muesliriegel
Goto Top

Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router

Hallo!

Wir haben hier 15 User an einem WLAN-Netzwerk (3 x Ubiquiti-AP AC lite). Besonderheit: Jeder User benötigt nur Zugriff auf das Internet, es gibt keine sonstigen gemeinsam genutzen Geräte Server, NAs etc. Bislang gibt es nur einen WPA2-Schlüssel für alle User. Aber es kam schon vor, dass auch Externe plötzlich bei uns im WLAN waren - und niemand wollte zugeben, dass er den WLAN.Key weitergegeben hat. Um dies auszuschleßen tendieren wir dazu auf WPA-Enterprise, also RADIUS, umzusteigen. Die Alternative jeweils eine eigene SSID je User geht nicht, da die Ubiquiti-Geräte maximal 4 SSIDs je AP unterstützen.

Hat jemand von euch Erfahrung, ob man mit einem kleinen Ubiquiti oder Mikrotik-Router (oder sonst was günstigem) einen RADIUS-Server aufsetzen kann? Direkt auf dem Router, also ohne zusätzlicher Hardware?

Gibt es irgendwie die Möglichkeit die WLAN-Geräte der User voneinander zu trennen? Also dass User A keinen Zugriff hat auf die WLAN-Geräte von User B? Die User haben teilweise aber mehrere Geräte, die untereinander kommunizieren müssen. Also dass das Handy von User A mit dem WLAN-Drucker von User A kommunizieren kann. Das geht meines Wissens nicht, oder?

Content-ID: 322491

Url: https://administrator.de/contentid/322491

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

131381
Lösung 131381 30.11.2016 aktualisiert um 16:32:20 Uhr
Goto Top
Moin.
Hat jemand von euch Erfahrung, ob man mit einem kleinen Ubiquiti oder Mikrotik-Router (oder sonst was günstigem) einen RADIUS-Server aufsetzen kann? Direkt auf dem Router, also ohne zusätzlicher Hardware?
Die Mikrotiks (RouterOS) haben einen Radius-Server mit an Bord (Usermanager), trotzdem würde ich den z.B. auf einen kleinen Raspi auslagern.
Gibt es irgendwie die Möglichkeit die WLAN-Geräte der User voneinander zu trennen?
Ebenfalls beim Mikrotik kein Problem indem man das Default-Forwarding deaktiviert dann sind alle User voneinander Layer 2 separiert (Layer 2).
Mit passender Firewall Regel kannst du diese dann auch auf Layer 3 separieren.
Also dass das Handy von User A mit dem WLAN-Drucker von User A kommunizieren kann. Das geht meines Wissens nicht, oder?
Doch das ließe sich auf einem Mikrotik mit den entsprechenden Firewall-Regeln s.o. auch realisieren.

Ansonsten kannst du auch zu einer xbeliebigen pfSense greifen, damit läuft das auch alles auf ein und der selben Hardware.

Gruß
Looser27
Lösung Looser27 30.11.2016 um 16:28:35 Uhr
Goto Top
Nimm nen Raspi oder nen alten PC. Linux drauf und mit dem AD verbunden. Anleitung gibt's im Form.

Gruß Looser
108012
Lösung 108012 30.11.2016 um 17:16:07 Uhr
Goto Top
Hallo,

da hat wohl einer sein iPhone als WLAN AP für alle anderen hingehalten oder aber
das WLAN Passwort wurde wirklich weitergegeben!

RouterOS von MikroTik bringt einen Usermanager mit der dem RadiusServer
recht ähnlich ist bzw. kann man Ihn dazu bneutzen.

Auf UBNT EdgeRoutern kann man direkt einen Radius Server installieren.
Einen FreeRadius Server auf Ubiquiti EdgeMax Routern installieren


Gruß
Dobby
aqui
Lösung aqui 30.11.2016 aktualisiert um 19:15:55 Uhr
Goto Top
Bislang gibt es nur einen WPA2-Schlüssel für alle User.
Oha...ziemlich leichtsinnig ! Da kann man auch gleich ein Poster anbringen für alle "Unser heutiges WLAN Passwort ist xyz"
dass auch Externe plötzlich bei uns im WLAN waren - und niemand wollte zugeben, dass er den WLAN.Key weitergegeben hat.
Muss man sich wohl nicht wundern. Der Klassiker ! No comment face-smile
Gibt es irgendwie die Möglichkeit die WLAN-Geräte der User voneinander zu trennen?
Ja, das ist ein Mausklick im Setup des APs ! Nennt sich Client Isolation oder AP Isolation oder manchmal auch was mit "Privacy" als Client Privacy etc.
Ist das aktiviert kann der WLAN Client nur mit dem AP aber nicht zu anderen WLAN Clients. Muss natürlich auf allen APs aktiviert sein !
Also dass das Handy von User A mit dem WLAN-Drucker von User A kommunizieren kann
Das geht nur wenn du Clients und Drucker in unterschiedlichen SSIDs bzw. dann VLANs hast und zw. diesen routest mit einer Access Liste oder Firewall.
Zum Radius findest du alles hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
bzw. für den RasPi Tip:
Netzwerk Management Server mit Raspberry Pi
Sonst für Gäste immer Einmalpasswörter:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auf der Firewall kann dann auch gleich der Radius laufen !
Alternativ kannst du heute auf jedem billigen Consumer NAS (QNAP, Synology etc.) auch einen Radius Server laufen lassen.