osze90
Goto Top

RADIUS-Server - Habe ich den richtigen Router?

Guten Tag

Ich habe einen Windows Server RADIUS 2012 installiert nach dieser Anleitung möchte ich den RADIUS -Server installieren:

http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...

Dort steht dass die WLAN Authentifikationsverfahren entweder ""WPA2-Enterprise" oder "802.1X"." heisst. Bei mir existiert nur folgendes:

802.1X - keine WEB
802.1X - statische WEB
802.1X - dynamische WEB

Obwohl 802.1x vorkommt finde ich es merkwürdig, da WEB ja keine bis kaum Sicherheit bietet ist dass wirklich das richtige für einen RADIUS-Server Authenfikationsverfahren?

Danke
Nicolas

Content-ID: 277532

Url: https://administrator.de/forum/radius-server-habe-ich-den-richtigen-router-277532.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

tikayevent
tikayevent 16.07.2015 um 15:07:37 Uhr
Goto Top
WEB oder WEP?
aqui
aqui 16.07.2015 aktualisiert um 15:40:43 Uhr
Goto Top
Bei mir existiert nur folgendes:
Bezieht sich das jetzt auf den Winblows Server sprich also genau genommen dem NPS oder deinem AP und dessen Settings.
Grundlagen dazu findest du auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
osze90
osze90 16.07.2015 aktualisiert um 15:44:39 Uhr
Goto Top
Zitat von @aqui:

> Bei mir existiert nur folgendes:
Bezieht sich das jetzt auf den Winblows Server sprich also genau genommen dem NPS oder deinem AP und dessen Settings.
Grundlagen dazu findest du auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Habe mir das mal kurz durchgelesen. Dort ist die Rede von WPA Enterprise welches ich nicht habe darum meine Frage ob die oben genannten ebenfalls auch gehen da Standard "802.1X"

Wie siehts aus?

Kenne die Grundlagen von RADIU-Server noch nicht deshalb lässt sich deine Frage nicht klären wegen NPA oder Access Point. Ich habe gehört das WPA-Enterrise haben muss da mein Router das nicht anbietet will ich wissen. Vermutlich also AP.
aqui
Lösung aqui 16.07.2015, aktualisiert am 20.07.2015 um 14:50:10 Uhr
Goto Top
WPA Enterprise welches ich nicht habe
Keine Chance es dann technisch umzusetzen ! Jedenfalls nicht in einem WLAN.
Leider hast du auch wieder die Frage nicht beantwortet ob es auf den Radius Server (Winblows NPS) bezogen war oder den WLAN Accesspoint ? face-sad
Vermutlich meinst du aber deinen Accesspoint, richtig ?
Ggf. hilft ein Frimware Update auf die aktuellste Firmware hier um das feature nachzurüsten.
Oder du hast Glück das auf der Accesspoint Hardware auch eine freie Firmware wie OpenWRT oder DD-WRT supportet ist.
Dann kannst du mit einfachem Flashen der Firmware dem AP das in 5 Minuten beibringen.
Geht das alles nicht oder ist nicht supportet, kommst du de facto um einen Neukauf passender Hardware nicht drumrum. Komisch ist das aber schon da heute sogar allerbilligste Chinaware wie ein TP-Link 841N für 15 Euro WPA-Enterprise problemlos supportet.
Ware mal interessant was du da sonderbares hast was das nicht kann. Entweder ist das Uralt Lavendel oder noch billiger als billige Chinaböller.

Wenn dein AP also in den Schlüsseloptionen des Security Setups die Option "WPA Enterprise" nicht hat bist du chancenlos und musst nicht weitermachen. Jedenfalls was die Konfig auf dem WLAN Accesspoint anbetrifft !

Im LAN sieht das anders aus...aber davon reden wir ja nicht, denn du machst ja kein 802.1x auf einem LAN Switch, oder ?
Wie gesagt technische Grundlagen und Hilfestellungen bieten dir diese Forum Tutorials:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi

Aber da du ja nun selber diesen Thread final auf "Gelöst" geklickt hast ist ja dann alles gut ! Case closed !
osze90
osze90 20.07.2015 um 14:50:03 Uhr
Goto Top
Zitat von @aqui:

> WPA Enterprise welches ich nicht habe
Keine Chance es dann technisch umzusetzen ! Jedenfalls nicht in einem WLAN.

Habs mir schon gedacht sehr schade. Freut mich, dass es jedoch alternativen geben kann z.B Firmware upgrade.

Leider hast du auch wieder die Frage nicht beantwortet ob es auf den Radius Server (Winblows NPS) bezogen war oder den WLAN
Accesspoint ? face-sad

Sorry, Aqui es handelt sich um den Access Point welcher kein WPA-Enterprise bietet zudem ist mir aufgefallen, dass er keine weiteren Funktionen besitzt um den Router zu einem AP umzukonfigurieren.

Vermutlich meinst du aber deinen Accesspoint, richtig ?

Ja...
Ggf. hilft ein Frimware Update auf die aktuellste Firmware hier um das feature nachzurüsten.

Werde den Hersteller Fragen.
Oder du hast Glück das auf der Accesspoint Hardware auch eine freie Firmware wie OpenWRT oder DD-WRT supportet ist.
Dann kannst du mit einfachem Flashen der Firmware dem AP das in 5 Minuten beibringen.
Geht das alles nicht oder ist nicht supportet, kommst du de facto um einen Neukauf passender Hardware nicht drumrum. Komisch ist
das aber schon da heute sogar allerbilligste Chinaware wie ein TP-Link 841N für 15 Euro WPA-Enterprise problemlos supportet.
Ware mal interessant was du da sonderbares hast was das nicht kann. Entweder ist das Uralt Lavendel oder noch billiger als billige
Chinaböller.

Wenn dein AP also in den Schlüsseloptionen des Security Setups die Option "WPA Enterprise" nicht hat bist du
chancenlos und musst nicht weitermachen. Jedenfalls was die Konfig auf dem WLAN Accesspoint anbetrifft !

Im LAN sieht das anders aus...aber davon reden wir ja nicht, denn du machst ja kein 802.1x auf einem LAN Switch, oder ?
Wie gesagt technische Grundlagen und Hilfestellungen bieten dir diese Forum Tutorials:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi

Danke. Sobald oder wenn ich dann Geld und Lust habe mich weiter mit RADIUS zu beschäftigen bzw. wenn ich ein Upgrade der Firmware machen kann melde ich mich bei Fragen wieder.

Aber da du ja nun selber diesen Thread final auf "Gelöst" geklickt hast ist ja dann alles gut ! Case closed !

aqui
aqui 20.07.2015 aktualisiert um 19:05:09 Uhr
Goto Top
dass er keine weiteren Funktionen besitzt um den Router zu einem AP umzukonfigurieren.
Doch, das kann man mit jedem beliebigen Router am Markt immer machen. Siehe hier:
Kopplung von 2 Routern am DSL Port
Werde den Hersteller Fragen.
Sinnfrei ihn zu fragen wenn du einen alternative Firmware wie OpenWRT oder DD-WRT verwendest. Da heist es einfach nur : machen !
Ggf. hilft aber schon ein Frimware Update um die Funktion nachzurüsten.
Ein simpler Router / AP der das kann kostet 16 Euro:
http://www.reichelt.de/TPLINK-TL-WR841N/3/index.html?&ACTION=3& ...
Da kannst du dir dann gleich 2 kaufen ! face-wink
Die Aussage "bis ich dann Geld habe..." wirkt dann bei dem Preis doch eher etwas kindisch und kann man dir nicht wirklich Ernst nehmen, sorry !
Übrigens: OpenWRT supportet der 16 Euro AP natürlich auch als Firmware face-wink
osze90
osze90 21.07.2015 um 15:13:20 Uhr
Goto Top
Zitat von @aqui:

> dass er keine weiteren Funktionen besitzt um den Router zu einem AP umzukonfigurieren.
Doch, das kann man mit jedem beliebigen Router am Markt immer machen. Siehe hier:
Kopplung von 2 Routern am DSL Port

Echt? Ein normaler Router kann man obwohl es keine Funktion gibt zu einem AP umkonfigurieren. OK....
Sobald ist dann auch ein WPA-Enterprise fähigen AP habe werde ich weitermachen. Zum jetzigen Zeitpunkt machts fast keinen Sinn. Danke trotzdem für den Link.
> Werde den Hersteller Fragen.
Sinnfrei ihn zu fragen wenn du einen alternative Firmware wie OpenWRT oder DD-WRT verwendest. Da heist es einfach nur : machen !
Ggf. hilft aber schon ein Frimware Update um die Funktion nachzurüsten.
Ein simpler Router / AP der das kann kostet 16 Euro:
http://www.reichelt.de/TPLINK-TL-WR841N/3/index.html?&ACTION=3& ...
Da kannst du dir dann gleich 2 kaufen ! face-wink
Die Aussage "bis ich dann Geld habe..." wirkt dann bei dem Preis doch eher etwas kindisch und kann man dir nicht
wirklich Ernst nehmen, sorry !
Übrigens: OpenWRT supportet der 16 Euro AP natürlich auch als Firmware face-wink


Ich habe im moment bereits vieles anderes gekauft Grafikkarte, Bildschirm Inverter etc. Da bleibt die Kasse im Moment leer für nochmehr Elektronik. Zudem bin ich Schweizer und kaufe wenns nicht sein muss nicht in deutschen Shop (konntest du ja nicht wissen). Zudem bietet laut Hersteller Zyxel mein zurzeitiger Router keine fremden Firmware an. Also neuen kaufen heisst das. Denke du hast mich da falsch verstanden und meintest mein jetziger bietet Open Firmware an.

Ich bedanke mich für die Hilfe sollte ich dann einen WPA-Enterprise fähigen AP kaufen und weiterhin Hilfe benötigen melde ich mich wieder.
aqui
aqui 22.07.2015 um 12:29:42 Uhr
Goto Top
Ein normaler Router kann man obwohl es keine Funktion gibt zu einem AP umkonfigurieren. OK....
Ja, es ist ja nichts anderes als ein intern kombinierter WLAN Accesspoint mit einem Router. Wenn du eben nur den Accesspoint davon benutzt ist das ok.
Das obige Tutorial beschreibt dir ja wie man es aufsetzt !

Den billigen TP-Link gibt es sicher auch für gute Franklis in der Schweiz und dann vermutlich für 10 Franken. Wenn bei so einem Popelbetrag der dir dann einen WPA-Enterprise fähigen AP beschert deine Kasse dennich leer ist dann hast du aber ein ganz anderes Problem.....
osze90
osze90 23.07.2015 aktualisiert um 14:01:31 Uhr
Goto Top
Zitat von @aqui:

> Ein normaler Router kann man obwohl es keine Funktion gibt zu einem AP umkonfigurieren. OK....
Ja, es ist ja nichts anderes als ein intern kombinierter WLAN Accesspoint mit einem Router. Wenn du eben nur den Accesspoint davon
benutzt ist das ok.
Das obige Tutorial beschreibt dir ja wie man es aufsetzt !

In der Ausbildung hatte ich gelernt, wie man 2 verschiedene Router kaskadiert das wird wohl so ähnlich sein. Weiter stelle ich mir die Frage ob ich überhaupt einen Acess Point benötige ein Router mit WPA-Enterprise würde ja schon genügen. Diesen Test-Router müsste ich nur noch hinter den eigentlichen hauptRouter stellen welcher dann die Verbindung ins WAN stellt. Der WAN-Port bleibt auf dem zweiten Router leer.

Den billigen TP-Link gibt es sicher auch für gute Franklis in der Schweiz und dann vermutlich für 10 Franken. Wenn bei
so einem Popelbetrag der dir dann einen WPA-Enterprise fähigen AP beschert deine Kasse dennich leer ist dann hast du aber
ein ganz anderes Problem.....

Die 10 Franken verkrafte ich... Ich schau mich gelegentlich mal um. Zurzeit beschäftige ich mich IPsec und WSUS. Ich greife zu einem späteren Zeitpunkt auf das Thema RADIUS auf.

Auf der Seite https://www.digitec.ch/de/s1/product/tp-link-tl-wr841n-router-435744 finde ich keine Infos, dass WPA-Enterprise unterstützt wird. Bist du sicher, dass der AP dieses anbietet? Weiter unten im Bescheid steht wiederrum IEEE802.1X Standart wird ebenfalls unterstützt was wiederrum das Authentifizieren also für RADIUS-Server gedacht ist. Etwas irritirend, dass es nicht auch unter WLAN Verschlüsselung bei digitec.ch steht.
osze90
osze90 24.07.2015 um 11:48:35 Uhr
Goto Top
Habe da nochmals gesucht

https://www.digitec.ch/de/s1/product/d-link-dir-600-router-227328?tagIds ...

Dort steht bei WLAN Verschlüsselungi: WPA-PSKi , WPA2-PSKi , WEPi , WPA-EAPi, WPA-EAP

Als ich suchte was EAP heisst da fand ich genau dass, was ich brauche.


Info bei Wiki:

Die Authentifizierung über EAP wird meist in großen Wireless-LAN-Installationen angewendet, da dafür eine Authentifizierungsinstanz in Form eines Servers (z. B. ein RADIUS-Server) benötigt wird.

Verstehe nun nicht der Router von dir unterstützt EAP nicht, somit kein Authentifizieren mit RADIUS?
osze90
osze90 28.07.2015 um 13:32:36 Uhr
Goto Top
Auf was muss ich den genau Achten? Kann ich den AP kaufen obwohl nicht steht, dass WPA2-PSK EAP unterstützt wird??
aqui
aqui 28.07.2015 um 15:08:15 Uhr
Goto Top
Dann nimmst du halt einen anderen Hersteller !
http://www.reichelt.de/WLAN-Router-Access-Point/ASUS-RT-N12-N300/3/inde ...
Der kann auch WPA-Enterprise.
Genau das muss unter "WLAN Verschlüsselung" stehen im Datenblatt das das supportet ist !
osze90
osze90 28.07.2015 um 17:51:27 Uhr
Goto Top
Zitat von @aqui:

Dann nimmst du halt einen anderen Hersteller !
http://www.reichelt.de/WLAN-Router-Access-Point/ASUS-RT-N12-N300/3/inde ...
Der kann auch WPA-Enterprise.
Genau das muss unter "WLAN Verschlüsselung" stehen im Datenblatt das das supportet ist !

Was ist dann EAP das ist doch auch Enterprise? Authentifizierung mittels RADIUS oder? Kann das auch gehen?
aqui
aqui 28.07.2015 um 19:49:20 Uhr
Goto Top
Guckst du hier:
https://de.wikipedia.org/wiki/Extensible_Authentication_Protocol
EAP hat mit "Enterprise" soviel zu tun wie ein Fisch mit einem Fahrrad....
osze90
osze90 28.07.2015 um 21:18:51 Uhr
Goto Top
Zitat von @aqui:

Guckst du hier:
https://de.wikipedia.org/wiki/Extensible_Authentication_Protocol
EAP hat mit "Enterprise" soviel zu tun wie ein Fisch mit einem Fahrrad....

Oh mann. Dort steht doch eindeutig EAP dient zur Authentifizierung z. B mit einem RADIUS-Server. Das ist ja das was ich will. Verstehe nicht was nun der Unterschied zwischen WPA2-Enterprise und WPA2-EAP sein soll. Der Wiki Link hatte ich mir also bereits angesehen.

Zitat aus Wiki:

"
Das Extensible Authentication Protocol (EAP) ist ein von der Internet Engineering Task Force (IETF) entwickeltes, allgemeines Authentifizierungsprotokoll, das unterschiedliche Authentisierungsverfahren unterstützt wie z. B. Username/Password (RADIUS), Digitales Zertifikat, SIM-Karte. EAP wird oft für die Zugriffskontrolle in WLANs genutzt.
"
aqui
aqui 03.08.2015 um 16:49:16 Uhr
Goto Top
Dort steht doch eindeutig EAP dient zur Authentifizierung z. B mit einem RADIUS-Server.
Ja....zur Authentifizierung des Clients (Supplicant) mit dem Radius ! Niemals aber der Authenticator (Switch oder AP) !
Verstehe nicht was nun der Unterschied zwischen WPA2-Enterprise und WPA2-EAP
Da gibt es auch keinen !
WPA Enterprise beschreibt generell das Verfahren der Authentisierung mit einem Radius Server. Ohne Enterprise ist es ein PSK Verfahren.
WPA Enterprise kann EAP verwenden zur Authentisierung muss es aber nicht. Denkbar und verbreitet sind auch noch PEAP, TLS usw.
Das konfigurierst du immer am CLIENT selber was Das Enterprise Verfahren benutzt also EAP. PEAP, TLS usw....
Sieh dir bitte das o.a. WLAN Tutorial an was das nochmal beschreibt !
osze90
osze90 04.08.2015 aktualisiert um 16:11:51 Uhr
Goto Top
Zitat von @aqui:

> Dort steht doch eindeutig EAP dient zur Authentifizierung z. B mit einem RADIUS-Server.
Ja....zur Authentifizierung des Clients (Supplicant) mit dem Radius ! Niemals aber der Authenticator (Switch oder AP) !
Verstehe nicht. Was macht den der Unterschied zwischen Switch oder AP und Client? Das WPA2-EAP und WPA2-Enterprise dient doch dazu wenn sich Clients über meinen Router, AP oder Switch via RADIUS-Server Authentifizieren wollen?

Das macht ja keinen Sinn, dass sich der AP oder Switch sich gegenüber dem RADIUS-Server authentifizieren muss sondern nur die User mit einem Passwort. Das verstehe ich ja.
> Verstehe nicht was nun der Unterschied zwischen WPA2-Enterprise und WPA2-EAP
Da gibt es auch keinen !
WPA Enterprise beschreibt generell das Verfahren der Authentisierung mit einem Radius Server. Ohne Enterprise ist es ein PSK
Verfahren.
WPA Enterprise kann EAP verwenden zur Authentisierung muss es aber nicht. Denkbar und verbreitet sind auch noch PEAP, TLS usw.
Das konfigurierst du immer am CLIENT selber was Das Enterprise Verfahren benutzt also EAP. PEAP, TLS usw....
Sieh dir bitte das o.a. WLAN Tutorial an was das nochmal beschreibt !

Das ist ja wieder schön kompliziert...

Soweit ich dich verstehe muss ich auf der Seite des Client einstellen welches Verfahren benutzt werden soll also in meinem Fall müsste ich dort beim Client "WPA2-Enterprise" auswählen und auf der Seite des Router oder AP wähle ich in meinem Fall WPA2-EAP? Funktioniert das so? Erhalte ich wie ich nun beschrieben habe beim Client eine Eingabemaske mit Benutzername und Passwort?

Das hat ja nun der Nachteil, dass ich überall auf allen Clients das Verschlüsselungsverfahren ändern muss da standardmäßig WPA2-Personal benutzt wird.
osze90
osze90 10.08.2015 um 15:58:39 Uhr
Goto Top
Kann mir da jemand erklären wie das genau funktioniert damit ich dann entsprechend weiss was ich dafür benötige?

Dankeschön.
aqui
aqui 10.08.2015 um 18:29:18 Uhr
Goto Top
Was erklären ?? Die Radius Authentisierung nach 802.1x ??
Guckst du hier:
http://www.elektronik-kompendium.de/sites/net/1409281.htm
https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Das sollte eigentlich reichen um es zu verstehen, oder ?!
osze90
osze90 24.08.2015 um 18:34:51 Uhr
Goto Top
Zitat von @aqui:

Was erklären ?? Die Radius Authentisierung nach 802.1x ??
Guckst du hier:
http://www.elektronik-kompendium.de/sites/net/1409281.htm
https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Das sollte eigentlich reichen um es zu verstehen, oder ?!

Einfach ist es nicht.

Soweit ich es verstehe EAP ist also ein Authentifizierungsprotokoll, WPA2-Enterprise ein Sicherheitsstandard welcher mittels RADIUS-Server Benutzer Authentifizieren kann.

WPA2-Enterprise hat den Vorteil das es sicherer ist als EAP da EAP die Daten als Klartext sendet. WPA2-Enterprise hingegen verschlüsselt via AES. Also ist es fast empfehlenswerter lieber auf WPA2-Enterprise zu setzten als auf EAP? Aber WPA2-Enterprise basiert auf dem Protokoll EAP welches unsicher ist oder man setzt (EAP-TLS ein)?

Eins interessiert mich aber noch welche Gründe gibts einen Router oder AP zu kaufen der EAP unterstützt? Dort wird ja WPA2-Enterprise nicht gehen sondern nur das EAP Protokoll. Danach ist ja offen welches Verfahren benutzt wird, dazu muss ich denke ich mal ein weiterer AP gekauft werden der z. B WPA2-Enterprise anbietet oder?

Ich stelle mir weiter die Frage wenn ich einen Router kaufe mit WPA2-Enterprise wo bleibt das EAP ist das integriert in WPA2-Enterprise oder wie geht das?

Hoffentlich habe ich etwas mehr verstanden jetzt...
aqui
aqui 25.08.2015 aktualisiert um 14:28:05 Uhr
Goto Top
Einfach ist es nicht.
Wie immer im Leben ist das relativ ! Wenn man weiss was es ist ist es kinderleicht.
WPA2-Enterprise hat den Vorteil das es sicherer ist als EAP da EAP
Da fängts schon an... So kann man das nicht sagen. WPA2-Ent. kann EAP als Authentisierung nutzen...oder PEAP oder TLS.
Ein Auto kann mit Benzin, Diesel oder Strom fahren bleibt aber ein Auto....gleiches Prinzip.
Aber WPA2-Enterprise basiert auf dem Protokoll EAP
Nein. Es kann darauf basieren, der Standard lässt das aber bewusst offen so das auch andere Authentisierungsverfahren verwendet werden können.
Eins interessiert mich aber noch welche Gründe gibts einen Router oder AP zu kaufen der EAP unterstützt?
Auch diese Frage ist Unsinnig, denn das Gerät ist nur Authenticator aber kein Supplicant. Es reicht also nur durch. Welches Authentisierungsverfahren benutzt wird gibt immer der Supplicant also der Client vor !
Danach ist ja offen welches Verfahren benutzt wird, dazu muss ich denke ich mal ein weiterer AP gekauft werden der z. B WPA2-Enterprise anbietet oder?
Jetzt wird es vollkommen wirr.... Nein ! Wie gesagt der AP oder Switch reicht nur durch ! Er ist NICHT involviert in das Authentisierungsverfahren was einzig der Client oder der Server vorgeben.
Es reicht also vollständig einen AP zu beschaffen der WPA2-Enterprise supportet, denn damit ist immer eine 802.1x basierte Authentisierung verbunden.
Ich stelle mir weiter die Frage wenn ich einen Router kaufe mit WPA2-Enterprise
Auch das ist schon technisch falsch. Ein Router an sich braucht niemals eine .1x Authentisierung...wozu auch. Er macht rein nur das Routing.
Die Authentisierung greift lediglich für den im Router integrierten AP oder Switch zur Port, sprich Client Authentisierung. Die Routing Funktion (Layer 3 Forwarding) ist nie in irgendwelche Authentisierungsverfahren involviert. Vermutlich meist du das aber auch so, oder ?
wo bleibt das EAP ist das integriert in WPA2-Enterprise
DAS ist eben dein fataler Denkfehler ! Es ist wie oben mehrfach gesagt NICHT im AP sondern einzig im Client oder Server aktiviert.
Wenn du mal realistisch nachdenkst dann ist auch klar das solche Authentisierungsverfahren erhebliche Prozessor Power benötigt. In billigsten China oder Taiwan APs die WPA2-E supporten ist die gar nicht vorhanden was ein weiteres Indiz dafür ist das diese Geräte nur "weiterreichen".
Wir schaffen das hoffentlich noch dir das zu vermitteln... face-wink
osze90
osze90 08.09.2015 um 17:28:18 Uhr
Goto Top
Zitat von @aqui:

Einfach ist es nicht.
Wie immer im Leben ist das relativ ! Wenn man weiss was es ist ist es kinderleicht.
Das stimmt jeder Anfang ist schwer.

WPA2-Enterprise hat den Vorteil das es sicherer ist als EAP da EAP
Da fängts schon an... So kann man das nicht sagen. WPA2-Ent. kann EAP als Authentisierung nutzen...oder PEAP oder TLS.
Ein Auto kann mit Benzin, Diesel oder Strom fahren bleibt aber ein Auto....gleiches Prinzip.
Verstehe EAP, CHAP, MS-CHAP sind Protokolle wie die Authentifikation geregelt wird. WPA regelt wie das Verschlüsselungsverfahren. AES oder TKIP wie die die Daten zusammengewürfelt werden damit sie nicht im "Klartext" zu lesen sind.

Eins interessiert mich aber noch welche Gründe gibts einen Router oder AP zu kaufen der EAP unterstützt?
Auch diese Frage ist Unsinnig, denn das Gerät ist nur Authenticator aber kein Supplicant. Es reicht also nur durch. Welches Authentisierungsverfahren benutzt wird gibt immer der Supplicant also der Client vor !

Ok. Habe gesehen, dass ich am Laptop in den Netzwerkeinstellungen auswählen kann ob mit Zertifikat, CHAP, MS-CHAP, EAP etc. authentifizieren möchte. Es gibt ja diverse APs oder Router die diverse Standards anbieten z.B WPA2-PSK, WPA2-Enterprise, EAP etc. Welche Unterschied bestehen den nun wenn ich EAP auswähle oder halt eben WPA2-Enterprise? Auf dem Markt gibt ja AP die EAP und WPA2-Enterprise anbieten. Nützt mir dieses EAP nur etwas, wenn dieser AP sich gegenüber einem weiteren AP oder was auch immer authentifizieren muss?

Danach ist ja offen welches Verfahren benutzt wird, dazu muss ich denke ich mal ein weiterer AP gekauft werden der z. B WPA2-Enterprise anbietet oder?
Jetzt wird es vollkommen wirr.... Nein ! Wie gesagt der AP oder Switch reicht nur durch ! Er ist NICHT involviert in das Authentisierungsverfahren was einzig der Client oder der Server vorgeben.
Es reicht also vollständig einen AP zu beschaffen der WPA2-Enterprise supportet, denn damit ist immer eine 802.1x basierte Authentisierung verbunden.
Verstehe ok...

Ich stelle mir weiter die Frage wenn ich einen Router kaufe mit WPA2-Enterprise
Auch das ist schon technisch falsch. Ein Router an sich braucht niemals eine .1x Authentisierung...wozu auch. Er macht rein nur das Routing.
Die Authentisierung greift lediglich für den im Router integrierten AP oder Switch zur Port, sprich Client Authentisierung. Die Routing Funktion (Layer 3 Forwarding) ist nie in irgendwelche Authentisierungsverfahren involviert. Vermutlich meist du das aber auch so, oder ?

Vermutlich hast du mich da wirklich falsch verstanden. Sorry für die ungeschickte Ausdrucksweise.
Mir geht darum, dass ich nicht einen weiteres Gerät anschaffen muss das zusätzlich Strom braucht und gewartet werden muss. Zurzeit habe ich einen Router der auch gleichzeitig WLAN-Router ist. Eigentlich möchte ich einen neuen Router anschaffen der eben WPA2-Enterprise anbietet.

wo bleibt das EAP ist das integriert in WPA2-Enterprise
DAS ist eben dein fataler Denkfehler ! Es ist wie oben mehrfach gesagt NICHT im AP sondern einzig im Client oder Server aktiviert.
Wenn du mal realistisch nachdenkst dann ist auch klar das solche Authentisierungsverfahren erhebliche Prozessor Power benötigt. In billigsten China oder Taiwan APs die WPA2-E supporten ist die gar nicht vorhanden was ein weiteres Indiz dafür ist das diese Geräte nur "weiterreichen".
Wir schaffen das hoffentlich noch dir das zu vermitteln... face-wink


Danke für deine Geduld nicht alle sind so geduldig face-smile. Ich gebe mir beste Mühe, auch wenn es schriftlich über ein Forum nicht sehr einfach zu verstehen ist.
aqui
aqui 09.09.2015 um 17:17:46 Uhr
Goto Top
gibt ja AP die EAP und WPA2-Enterprise anbieten. Nützt mir dieses EAP nur etwas, wenn dieser AP sich gegenüber einem weiteren AP oder was auch immer authentifizieren muss?
Das ist beides wie bereits gesagt das gleich. WPA-2 Enterprise inkludiert ja EAP.
Ausserdem verfällst du hier wieder mal in die Denke das EAP vom AP kommt !!! NEIN, dem ist nicht so ! Nur der WLAN Client macht das. Der AP reicht einfach nur durch und macht aktiv kein EAP.
AP zu AP Kommunikation gibt es nur wenn diese APs ein WLAN Bridging supporten und/oder WISP oder Client Mode. Und ja... im Client Mode (da ja "Client") kann dieser AP dann auch EAP oder PEAP aktiv.
Das können aber nur "bessere" APs nicht die Feld, Wald und Wiesenteile vom Blödmarkt Grabbeltisch.
Zurzeit habe ich einen Router der auch gleichzeitig WLAN-Router ist.
Ja, das ist wie immer ein Router mit einem intern am LAN Port angeflanschten AP.
Eigentlich möchte ich einen neuen Router anschaffen der eben WPA2-Enterprise anbietet.
OK, verstanden....d.h. der integrierte AP muss WPA-Enterprise supporten. Sowas gibt es aber...auch im Billigbereich von TP-Link und den anderen üblichen Verdächtigen.
Hier gilt aber wie immer im Leben: "Augen auf beim Routerkauf !" und ein genauer Blick ins Datenblatt BEVOR man das Geld auf den Tisch legt face-wink
osze90
osze90 16.09.2015 aktualisiert um 17:47:07 Uhr
Goto Top
Das ist beides wie bereits gesagt das gleich. WPA-2 Enterprise inkludiert ja EAP.

Ja, es gibt Hersteller die nennen es WPA2-Enterprise andere EAP wieso ist das so, wenn beides das Gleiche ist? EAP sagt doch nur aus wie die Authentifikation gemacht werden muss z.B über RADIUS-Server, Zertifikat, Smartcard etc. Und mit WPA-Enterprise kann NUR ein RADIUS-Server verwendet werden. Habe ich das richtig verstanden?

Somit könnte ich auch ein AP kaufen der nur mit EAP arbeitet um einen RADIUS-Server zu betreiben, aber idealerweise wenn ich nur RADIUS verwenden will machts dann mehr Sinn nur einen AP mit WPA-Enterprise zu besorgen?

Ausserdem verfällst du hier wieder mal in die Denke das EAP vom AP kommt !!! NEIN, dem ist nicht so ! Nur der WLAN Client macht das. Der AP reicht einfach nur durch und macht aktiv kein EAP.

Also das ist mir klar, der Client macht die Authentifikation darum kann ich auch am Client einstellen ob EAP oder über ein Zertifikat oder MS-CHAP Authentifikation stattfinden soll.


Eigentlich möchte ich einen neuen Router anschaffen der eben WPA2-Enterprise anbietet.
OK, verstanden....d.h. der integrierte AP muss WPA-Enterprise supporten. Sowas gibt es aber...auch im Billigbereich von TP-Link und den anderen üblichen Verdächtigen.
Hier gilt aber wie immer im Leben: "Augen auf beim Routerkauf !" und ein genauer Blick ins Datenblatt BEVOR man das Geld auf den Tisch legt face-wink

Ja, der Router mit integriertem AP muss WPA-Enterprise können. Bisher habe ich einen interessanten Router gesehen aber statt Enterprise bietet dieser nur EAP an. https://www.digitec.ch/de/s1/product/asus-rt-ac66u-ac1300n450-router-330 ...

Wie oben erwähnt müsste dieser Router mit EAP auf meinem Windows-RADIUS-Server auch gehen?
aqui
aqui 16.09.2015 um 20:15:54 Uhr
Goto Top
Ja, es gibt Hersteller die nennen es WPA2-Enterprise andere EAP wieso ist das so, wenn beides das Gleiche ist?
Das ist so nicht ganz richtig. WPA-2 tunnelt ja nur das Authentisierungsprotokoll vom Client zum Radius.
Das Protokoll kann aber EAP, PEAP, TLS usw. sein !
WPA-2 Enterprise ist also mitnichten auch EAP, das sind 2 Paar Schuhe ! Es stellt lediglich den .1x Tunnel zur Verfügung, was du darin überträgst ist allein Sache des Clients, niemals der WPA-2 Enterprise Hardware.
Anders natürlich wenn der AP selber WLAN Client sein kann z.B. als WISP Client. Dann muss er selber eine Authentisierungsart sprechen. Sinnvoll ist dann naürlich darauf zu achten das er mindestens das parallel kann was zu 98% im WLAN Enterprise Umfeld gemacht wird also die 3 Klassiker EAP, PEAP und TLS. Mit nur einem wäre das nicht sehr gut.
Ist aber oben schon mehrfach gesagt worden....
Somit könnte ich auch ein AP kaufen der nur mit EAP arbeitet
Wie bereits gesagt...genau DA ist dein Denkfehler ! Die WPA-2 Enterprise HW spricht selber nie aktiv ein Authentisierungsprotokoll zu einem Client.
Ausnahme sie ist oder kann selber Client sein als WLAN Client oder WISP Client !
Bisher habe ich einen interessanten Router gesehen aber statt Enterprise bietet dieser nur EAP an
Und schon wieder verfällst du in deinen Standard Denkfehler... face-sad
Es steht dort NICHT das der Router den WLAN Client oder WISP Modus supportet.
EAP besagt lediglich das er im stinknormalen AP Modus (Infrastructure) bei WPA-2 Verschlüsselung TKIP und AES/CCMP supportet. Einzig das ist damit gemeint.
So nach den Specs die dort angegeben sind kann der nichtmal WPA-Enterprise.
Es ist auch sinnfrei auf Specs zu sehen die ein vielleicht unwissender Händler da reingeklimpert hat.
Sinnvoll ist einzig immer das Datenblatt des herstellers selber:
https://www.asus.com/de/Networking/RTAC66U/specifications/
Viel hilfreicher ist das aber dort auch nicht. Ggf. macht die Original Herstellerseite da einen bessere Figur.
Abgesehen davon haben sich ASUS Router nicht gerade mit Ruhm bekleckert in der Vergangenheit...im Gegenteil:
http://www.heise.de/security/meldung/Asus-Router-schutzlos-bei-Angriffe ...
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
Ob das ne gute Wahl ist muss wohl jeder selber beurteilen...
osze90
osze90 30.09.2015 aktualisiert um 18:41:54 Uhr
Goto Top
Zitat von @aqui:

Ja, es gibt Hersteller die nennen es WPA2-Enterprise andere EAP wieso ist das so, wenn beides das Gleiche ist?
Das ist so nicht ganz richtig. WPA-2 tunnelt ja nur das Authentisierungsprotokoll vom Client zum Radius.
Das Protokoll kann aber EAP, PEAP, TLS usw. sein !
WPA-2 Enterprise ist also mitnichten auch EAP, das sind 2 Paar Schuhe ! Es stellt lediglich den .1x Tunnel zur Verfügung, was du darin überträgst ist allein Sache des Clients, niemals der WPA-2 Enterprise Hardware.
Anders natürlich wenn der AP selber WLAN Client sein kann z.B. als WISP Client. Dann muss er selber eine Authentisierungsart sprechen. Sinnvoll ist dann naürlich darauf zu achten das er mindestens das parallel kann was zu 98% im WLAN Enterprise Umfeld gemacht wird also die 3 Klassiker EAP, PEAP und TLS. Mit nur einem wäre das nicht sehr gut.
Ist aber oben schon mehrfach gesagt worden....

Also ich brauche eindeutig WPA2-Enterprise das steht fest und habe ich verstanden. So wie ich dich verstehe besteht WPA2-Enterprise aus WPA2 und EAP oder PEAP oder einem sonstigen Authenzifizierungsprotkoll? Da WPA2-Enterprise auch ein Authenfitizierungsprotokoll beinhaltet wozu braucht der AP das? Damit er die Daten auswerten und weiterleiten kann? Also die Frage bezieht sich jetzt NICHT auf AP die WLAN-Client sein sollen.


Verstehe nicht was du mit "WPA-2 Enterprise ist also mitnichten auch EAP, das sind 2 Paar Schuhe" sagen willst.

Somit könnte ich auch ein AP kaufen der nur mit EAP arbeitet
Wie bereits gesagt...genau DA ist dein Denkfehler ! Die WPA-2 Enterprise HW spricht selber nie aktiv ein Authentisierungsprotokoll zu einem Client.
Ausnahme sie ist oder kann selber Client sein als WLAN Client oder WISP Client !

Das heisst, wenn ich ein Gerät finde das EAP unterstützt (wie mein Router den ich Verlinkt habe) dient das nur dazu, sich als WLAN Client zu authentifizieren bei einem RADIUS-Server?

Bisher habe ich einen interessanten Router gesehen aber statt Enterprise bietet dieser nur EAP an
Und schon wieder verfällst du in deinen Standard Denkfehler... face-sad
Es steht dort NICHT das der Router den WLAN Client oder WISP Modus supportet.
EAP besagt lediglich das er im stinknormalen AP Modus (Infrastructure) bei WPA-2 Verschlüsselung TKIP und AES/CCMP supportet. Einzig das ist damit gemeint.
So nach den Specs die dort angegeben sind kann der nichtmal WPA-Enterprise.
Es ist auch sinnfrei auf Specs zu sehen die ein vielleicht unwissender Händler da reingeklimpert hat.
Sinnvoll ist einzig immer das Datenblatt des herstellers selber:
https://www.asus.com/de/Networking/RTAC66U/specifications/
Viel hilfreicher ist das aber dort auch nicht. Ggf. macht die Original Herstellerseite da einen bessere Figur.
Abgesehen davon haben sich ASUS Router nicht gerade mit Ruhm bekleckert in der Vergangenheit...im Gegenteil:
http://www.heise.de/security/meldung/Asus-Router-schutzlos-bei-Angriffe ...
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
Ob das ne gute Wahl ist muss wohl jeder selber beurteilen...

Dieses EAP sagt nur aus das er unter WPA2 Verschlüsselungen wie AES oder TKIP unterstützt? Also heisst dieses EAP nicht auch gleichzeitig das er als WLAN-Client im Netzwerk agieren kann und sich gegenüber einem RADIUS authentifizieren kann?
aqui
aqui 01.10.2015 um 10:33:48 Uhr
Goto Top
Also ich brauche eindeutig WPA2-Enterprise das steht fest und habe ich verstanden
Ja, das ist immer Fakt wenn du einen Radius basierte Authentisierung brauchst...keine Frage !
So wie ich dich verstehe besteht WPA2-Enterprise aus WPA2 und EAP oder PEAP oder einem sonstigen Authenzifizierungsprotkoll?
Jein ! Das kommt darauf an ob du im Modus Supplicant oder Authenticator arbeitest. Der Supplicant (.1x Client) der muss eines der oben zitierten Protokolle können, richtig !
Der Authenticator (Switch AP etc.) der reicht nur weiter und tunnelt dieses Protokoll an den Radius Server.
Da WPA2-Enterprise auch ein Authenfitizierungsprotokoll beinhaltet wozu braucht der AP das?
Zum Beispiel wenn du diesen AP an einem 801.x gesicherten LAN Port eines Switches betreiben willst.
Dann muss dieser AP beides sein !
  • Einmal .1x Client (Supplicant) um den Port am Switch freizubekommen
  • Einmal als Authenticator um die .1x Requests der WLAN Clients anzunehmen und die an den Radius Server zur Authentisierung weiterzuleiten.
Ein recht häufiges Szenario in abgesicherten Netzen !
Das heisst, wenn ich ein Gerät finde das EAP unterstützt (wie mein Router den ich Verlinkt habe) dient das nur dazu, sich als WLAN Client zu authentifizieren bei einem RADIUS-Server?
Bingo ! Fast Richtig.... Nicht als WLAN sondern als LAN Client wenn er selber Supplicant ist und sich an einem .1x Port authentisieren muss wie oben beschrieben.
Das können ach z.B. kleine Workgroup Switches sein. Die müssen selber .1x Client sein um sich bei einer Kaskadierung an einem anderen Switch zu authentisieren und können dann wiederum auch Authenticator sein um an sich angeschlossene .1x Clients am Radius zu authentisieren.
osze90
osze90 05.10.2015 um 19:16:02 Uhr
Goto Top
Zitat von @aqui:
So wie ich dich verstehe besteht WPA2-Enterprise aus WPA2 und EAP oder PEAP oder einem sonstigen Authenzifizierungsprotkoll?
Jein ! Das kommt darauf an ob du im Modus Supplicant oder Authenticator arbeitest. Der Supplicant (.1x Client) der muss eines der oben zitierten Protokolle können, richtig !
Der Authenticator (Switch AP etc.) der reicht nur weiter und tunnelt dieses Protokoll an den Radius Server.

Ja, Was ist der Unterschied zwischen WPA2-Enterprise und nur WPA2? Besagt das Enterprise nur, dass die Daten weitergereicht werden oder wieso genau benötigt es dieses Enterprise? Zeigt WPA2-Enterprise im Gegensatz zu WPA2 mehr und andere Funktionen an wenn man dieses im AP auswählt oder worin besteht der genaue Unterschied?

In der unteren Frage bestätigst du das WPA2-Enterprise also im Gegensatz zu WPA2 doch auch ein Authentifizierungsprotkoll beinhaltet also wie jetzt?

Da WPA2-Enterprise auch ein Authenfitizierungsprotokoll beinhaltet wozu braucht der AP das?
Zum Beispiel wenn du diesen AP an einem 801.x gesicherten LAN Port eines Switches betreiben willst.
Dann muss dieser AP beides sein !
  • Einmal .1x Client (Supplicant) um den Port am Switch freizubekommen
  • Einmal als Authenticator um die .1x Requests der WLAN Clients anzunehmen und die an den Radius Server zur Authentisierung weiterzuleiten.
Ein recht häufiges Szenario in abgesicherten Netzen !

Aha okay... Was heisst das den nun ein WPA2-Enterprise AP besteht immer aus WPA2 und EAP. Oder er der AP muss auch immer gleichzeitig ein Authentifizierungsprotkoll beinhalten? Meine Frage ist da wohl etwas schlecht formuliert.

Das heisst, wenn ich ein Gerät finde das EAP unterstützt (wie mein Router den ich Verlinkt habe) dient das nur dazu, sich als WLAN Client zu authentifizieren bei einem RADIUS-Server?
Bingo ! Fast Richtig.... Nicht als WLAN sondern als LAN Client wenn er selber Supplicant ist und sich an einem .1x Port authentisieren muss wie oben beschrieben.
Das können ach z.B. kleine Workgroup Switches sein. Die müssen selber .1x Client sein um sich bei einer Kaskadierung an einem anderen Switch zu authentisieren und können dann wiederum auch Authenticator sein um an sich angeschlossene .1x Clients am Radius zu authentisieren.

Verstehe nicht. Wie meinst du das jetzt? Der Router (Suplicant) authenzifiziert sich am AP (Authenticator) der AP sendet es an den Authenticator-Server. Danach ist der Router per Wifi über den AP verbunden. Das stimmt doch soweit? Meinst du vielleicht, das der Router per Kabel mit dem AP verbunden wird?

Verstehe dein Beispiel mit weiteren Switchen nicht.


Kannst du mir noch bitte die letzte Frage beantworten:
Dieses EAP sagt also nur aus das der Router / AP unter der WPA2 Verschlüsselung AES oder TKIP unterstützt? Also heisst dieses EAP auch gleichzeitig das er als WLAN-Client im Netzwerk agieren kann und sich gegenüber einem RADIUS authentifizieren kann? Wofür unterstützt er dann sonst ein Authentifizierungsprotokoll? EAP = Authentifizierung mit PSK = z.B WPA2 oder WEB?
aqui
aqui 05.10.2015 um 21:10:04 Uhr
Goto Top
Was ist der Unterschied zwischen WPA2-Enterprise und nur WPA2?
Das ist einmal die statische Passwort Authentisierung und die per Radius mit Zertifikat.
n der unteren Frage bestätigst du das WPA2-Enterprise also im Gegensatz zu WPA2 doch auch ein Authentifizierungsprotkoll beinhaltet also wie jetzt?
Nein, falsch, das bestätigt keiner. Das verwendete Authentisierungs Protokoll bestimmt ausschlieslich der Client. Niemals aber das Device selber (AP oder Switch)
Der Router (Suplicant) authenzifiziert sich am AP (Authenticator) der AP sendet es an den Authenticator-Server.
Nein, bei einem WLAN Authentisiert sich immer der Client am Radius Server. Der AP nimmt das auf und leitet das nur weiter an den Radius.
Verstehe dein Beispiel mit weiteren Switchen nicht.
Nochmal damit auch du es verstehst... face-sad
  • Unser hat einen Switch an dem es Port Authentisierung gibt. Alle Ports sind dicht und gehen nur auf wenn der Client sich mit .1x authentisiert.
  • Soweit so gut alles funktioniert super....
  • Jetzt will eine User an diesem Port wo eigentlich sein .1x PC arbeitet und sich authentisiert einen kleinen 5 Port Switch anschliessen, damit sich auch noch die 3 Kollegen im Büro dort anstöpseln können
  • Steckt er nun den kleinen Switch an den Port ist der Port tot, denn der aufnehmnedne Switch erfordert ja ne .qx Auth wie auch am Client zuvor...logisch
  • Deshalb gibt es kleine Switches die selber .1x Clients sind. Diese können sich dann am Uplink Switch authentisieren und sind selber auch wieder authentisierender Switch für die 3 Bürokollegen....so einfach !
Dieses EAP sagt also nur aus das der Router / AP unter der WPA2 Verschlüsselung AES oder TKIP unterstützt?
Nööö, genau falsch. Wie gesagt welches Cipher Protokoll gesprochen wird bestimmt ALLEIN nur der Client selber, niemals der Router, Switch oder AP.
osze90
osze90 06.10.2015 aktualisiert um 19:27:45 Uhr
Goto Top
Zitat von @aqui:
Was ist der Unterschied zwischen WPA2-Enterprise und nur WPA2?
Das ist einmal die statische Passwort Authentisierung und die per Radius mit Zertifikat.

Ok, also bei WPA2 nur ein PSK, bei Einterprise über Benutzerdaten und der Client will wissen ob ein Serverzertifikat vorliegt und prüft dieses.

Der Router (Suplicant) authenzifiziert sich am AP (Authenticator) der AP sendet es an den Authenticator-Server.
Nein, bei einem WLAN Authentisiert sich immer der Client am Radius Server. Der AP nimmt das auf und leitet das nur weiter an den Radius.

Wenn jetzt der Router (Suplicant) EAP anbietet (der jenige den ich kaufen wollte von ASUS) ist dieser ja dafür vorgesehen selber Client zu sein, darum hat er ja auch ein Authentifizierungsprotokoll wie EAP. Darum mein Beispiel von oben. Sorry, fürs Missverständnis.

Ich denke der Router hat zwei oder mehrere Betriebsmodis normal Router und dann AP. Also müsste ich korrekterweise sagen der zum AP konfigurierten Router.

Verstehe dein Beispiel mit weiteren Switchen nicht.
Nochmal damit auch du es verstehst... face-sad
  • Unser hat einen Switch an dem es Port Authentisierung gibt. Alle Ports sind dicht und gehen nur auf wenn der Client sich mit .1x authentisiert.
  • Soweit so gut alles funktioniert super....
  • Jetzt will eine User an diesem Port wo eigentlich sein .1x PC arbeitet und sich authentisiert einen kleinen 5 Port Switch anschliessen, damit sich auch noch die 3 Kollegen im Büro dort anstöpseln können
  • Steckt er nun den kleinen Switch an den Port ist der Port tot, denn der aufnehmnedne Switch erfordert ja ne .qx Auth wie auch am Client zuvor...logisch
  • Deshalb gibt es kleine Switches die selber .1x Clients sind. Diese können sich dann am Uplink Switch authentisieren und sind selber auch wieder authentisierender Switch für die 3 Bürokollegen....so einfach !

Also hört sich nach Kaskadierung an.
Wofür brauche ich den überhaupt bei WLAN einen Switch das macht doch keinen Sinn? Da reichen doch überall verteilt APs. Ab dem 4. Punkt verstehe ich nicht mehr alles, am Port wo vorher der PC war, wo sich der Benutzer authentifiziert hat, ist jetzt neu ein Switch der und dieser Switch authentifiziert sich über den Uplink Port beim Switch an welchem er angeschlossen ist.

Dieses EAP sagt also nur aus das der Router / AP unter der WPA2 Verschlüsselung AES oder TKIP unterstützt?
Nööö, genau falsch. Wie gesagt welches Cipher Protokoll gesprochen wird bestimmt ALLEIN nur der Client selber, niemals der Router, Switch oder AP.

Cipher Protokoll? Wenn mein AP selber Client ist muss er doch auch ein Authentifizierungsprotokoll sprechen wieso hat den der Router von ASUS welchen ich kaufen wollte EAP? Damit sich der ASUS Router mit EAP (in meinem Fall) an den AP Authentifizieren kann? Der WSUS Router ist somit selber ein Client der sich authentifizieren muss?

Da WPA2-Enterprise auch ein Authenfitizierungsprotokoll beinhaltet wozu braucht der AP das?
Zum Beispiel wenn du diesen AP an einem 801.x gesicherten LAN Port eines Switches betreiben willst.
Dann muss dieser AP beides sein !
  • Einmal .1x Client (Supplicant) um den Port am Switch freizubekommen
  • Einmal als Authenticator um die .1x Requests der WLAN Clients anzunehmen und die an den Radius Server zur Authentisierung weiterzuleiten.
Ein recht häufiges Szenario in abgesicherten Netzen !

Also meine Frage ist ja falsch gestellt, der AP bietet WPA-Enterprise und zusätzlich ein Authentifizierungsprotkoll an. Wenn mein AP auch an einen Switch oder Router muss, benötige ich also auch die Client-Funktion (.1x Client) des AP?
aqui
aqui 06.10.2015 aktualisiert um 19:46:55 Uhr
Goto Top
Wofür brauche ich den überhaupt bei WLAN einen Switch das macht doch keinen Sinn?
Du bist Netzwerk Administrator in einem Unternehmen und baust ein verteiltes WLAN mit 100 Accesspoints auf. Alle diese APs werden an eine bestehende Switch Infrastruktur die über den Campus verteilt ist angeschlossen....
Klingelts bei dir ?? Oder wie würdest du es denn ohne Switches lösen die APs zu vernetzen ???
Wenn mein AP auch an einen Switch oder Router muss, benötige ich also auch die Client-Funktion (.1x Client) des AP?
Ja, und auch nur dann wenn der Switch selber 802.1x Port Authentication macht logischerweise. Ohne natürlich nicht, klar.
Die meisten der Consumer Produkte im AP und Switchbereich können das aber nicht weil 802.1x dort so gut wie nie benutzt wird und da im Blödmarkt jeder Cent zählt implementieren die China Anbieter es auch nicht auf Produkten für den Massenmarkt.
Marktwirtschaftlich verständlich...
ASUS scheint dann zu den Besseren zu gehören wenn die eine Client Funktion anbieten auf dem Gerät wie du schreibst.
osze90
osze90 07.10.2015 aktualisiert um 17:57:19 Uhr
Goto Top
Kannst du das bitte noch die restlichen offenen Fragen beantworten und bestätigen, dass ich das richtig verstanden habe*. Dankeschön
Zitat von @aqui:
Was ist der Unterschied zwischen WPA2-Enterprise und nur WPA2?
Das ist einmal die statische Passwort Authentisierung und die per Radius mit Zertifikat.

*Ok, also bei WPA2 nur ein PSK, bei Einterprise über Benutzerdaten und der Client will wissen ob ein Serverzertifikat vorliegt und prüft dieses.

Dieses EAP sagt also nur aus das der Router / AP unter der WPA2 Verschlüsselung AES oder TKIP unterstützt?
Nööö, genau falsch. Wie gesagt welches Cipher Protokoll gesprochen wird bestimmt ALLEIN nur der Client selber, niemals der Router, Switch oder AP.

*Cipher Protokoll? Wenn der Router der zum AP umkonfiguriert wurde im Client Mode läuft muss er doch auch ein Authentifizierungsprotokoll können weshalb hat den der Router von ASUS welchen ich kaufen wollte WPA-EAP wenn sich nur Clients authentifizieren können?

Zitat von @aqui:
Wofür brauche ich den überhaupt bei WLAN einen Switch das macht doch keinen Sinn?
Du bist Netzwerk Administrator in einem Unternehmen und baust ein verteiltes WLAN mit 100 Accesspoints auf. Alle diese APs werden an eine bestehende Switch Infrastruktur die über den Campus verteilt ist angeschlossen....
Klingelts bei dir ?? Oder wie würdest du es denn ohne Switches lösen die APs zu vernetzen ???

Achso natürlich... In deinem Beispiel schreibst du davon das einer dieser kleinen Büroswitche sich gegenüber einem anderen Switch authentifiziert. Die Authentifikation macht doch der Client? Verstehe dein Beispiel nicht. Geht es in deinem Beispiel nun um die Authentifizierung von Client die per Ethernet-Kabel angeschlossen sind? Weiter schreibst du nun von Switchen die auch im Client Mode arbeiten können wieso Switche es geht doch um die AP.

Wenn mein AP auch an einen Switch oder Router muss, benötige ich also auch die Client-Funktion (.1x Client) des AP?
Ja, und auch nur dann wenn der Switch selber 802.1x Port Authentication macht logischerweise. Ohne natürlich nicht, klar.
Die meisten der Consumer Produkte im AP und Switchbereich können das aber nicht weil 802.1x dort so gut wie nie benutzt wird und da im Blödmarkt jeder Cent zählt implementieren die China Anbieter es auch nicht auf Produkten für den Massenmarkt.
Marktwirtschaftlich verständlich...
ASUS scheint dann zu den Besseren zu gehören wenn die eine Client Funktion anbieten auf dem Gerät wie du schreibst.

Ich verstehe es nicht was du damit meinst. Wieso soll ein Switch Port Authentifikation machen es sind doch nur AP die im Client Mode als Betriebsmodus haben?

Dieser ASUS Router macht nur WPA-EAP. Ich weiss nicht, ob dass mit dem Client Mode etwas zu tun hat?

Was ich weiter immer noch nicht verstehe:

1. Dieser Router (https://www.digitec.ch/de/s1/product/asus-rt-ac66u-ac1300n450-router-330 ..) bietet WPA-EAP an wozu ist das? Wenn ich es richtig verstehe, damit sich dieser Router sich auch zum AP umkonfigurieren lassen kann und sich im Netzwerk wie ein Client verhält. Der Router der zum AP umkonfiguriert wurde authentifiziert sich mit WPA-EAP enn er WPA2 benutzt mit AES oder TKIP? Dieses EAP heisst gleichzeitig, dass er auch im Client Mode funktioniert?

2. Wozu sind den diese Betriebsmodis bei APs WLAN Client oder Client Mode. Der Client Mode dient ja dazu das sich der AP gegenüber einem anderen AP authentifiziert und so mehrere Netzwerke verbinden lassen?
aqui
aqui 07.10.2015 um 18:02:23 Uhr
Goto Top
und der Client will wissen ob ein Serverzertifikat vorliegt und prüft dieses.
Richtig ! Kann man zwar auch abschlaten im Client, dann besteht aber die Gefahr das man dem Client einen x-belibigen Radius unterschieben kann. Man in the Middle Attacke.
weshalb hat den der Router von ASUS welchen ich kaufen wollte WPA-EAP wenn sich nur Clients authentifizieren können?
Das EAP bezieht sich ausschliesslich auf die Daten Encryption (AES/CCMP) im WLAN. Nicht aber auf die Client Authorisierung wenn der AP selber einen 802.1x Client an Bord hat. Zwei Paar Schuhe...nicht verwechseln.
Möglich aber auch das sollte ein .1x Client an Brod sein dieser einzig nur EAP supportet und kein PEAP oder TLS.
Müsste man ins Datenblatt sehen. Gut möglich bei Billig APs.
In deinem Beispiel schreibst du davon das einer dieser kleinen Büroswitche sich gegenüber einem anderen Switch authentifiziert.
Ja, das wäre z.B. ein anderes Anwendungsszenario wo ein Switch selber .1x Client ist aber auch selber wieder Port Authentisierung machen kann. Cisco SG-200-8 ist z.B. so einer der das kann. Dort kann man pro Port definieren ob der Port selber als .1x Client arbeitet um sich z.B. bei einem Uplink Switch zu authentisieren der ja sonst niemanden an sich ranlässt ohne .1x, oder ob der Port selber Authenticator ist um dort andere .1x Clients gegenüber einem Radius zu authentisieren.
Das ist pro Port an diesem Switch konfigurierbar.
Beispiel verstanden ??
Client Mode arbeiten können wieso Switche es geht doch um die AP.
Das ist doch vollkommen egal ob Switches oder AP. Nimm das Beispiel von oben... Per .1x gesicherter Port an dem du nun ein AP anschliessen willst.
Der AP muss isch ja erstmal als .1x Client authentifizieren, damit der Switch überhaupt den Port aufmacht. Gegenüber den WLAN Clients ist der AP aber Authenticator der deren .1x Requests an den Radius leitet.
Gleiches Beispiel wie mit dem kleinen Switch oben...
Oder nimm einen Drucker oder ein Telefon was sich an einem .1x gesicherten Port authentisieren muss...gleiches Spielchen in Grün...
Dieser ASUS Router macht nur WPA-EAP
Ja, das gilt auch nur für die Daten Encryption im WLAN, nicht für einen .1x Client Mode...kann der vermutlich zu 98% nicht.
bietet WPA-EAP an wozu ist das?
Gleiches wie oben !! Damit ist die Daten Encryption WPA2 gemeint.
https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol
Ob er 1.x Client Mode kann müsste man im Datenblatt nachsehen.
Wozu sind den diese Betriebsmodis bei APs WLAN Client oder Client Mode
Das ist ein und dasselbe..kein Unterschied.
Der Client Mode dient ja dazu das sich der AP gegenüber einem anderen AP authentifiziert und so mehrere Netzwerke verbinden lassen?
Jein. Verbinden ist schon richtig, dann ist der AP aber kein reiner AP mehr sondern ein Router, denn das erfordert WISP (WLAN NAT) oder transparentes Routing.
Ein Bridging oder Repetaing ist so nicht möglich, das sind eigene Modi.
Guckst du hier:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
osze90
osze90 13.10.2015, aktualisiert am 14.10.2015 um 15:02:45 Uhr
Goto Top
Zitat von @aqui:
weshalb hat den der Router von ASUS welchen ich kaufen wollte WPA-EAP wenn sich nur Clients authentifizieren können?
Das EAP bezieht sich ausschliesslich auf die Daten Encryption (AES/CCMP) im WLAN. Nicht aber auf die Client Authorisierung wenn der AP selber einen 802.1x Client an Bord hat. Zwei Paar Schuhe...nicht verwechseln.
Möglich aber auch das sollte ein .1x Client an Brod sein dieser einzig nur EAP supportet und kein PEAP oder TLS.
Müsste man ins Datenblatt sehen. Gut möglich bei Billig APs.

Was meinst du eigentlich mit Cipher Protokoll?
Verstehe nicht, was du damit meinst: WPA-EAP soll nur heissen, dass er auch AES Daten Entschlüsseln kann aber das ist doch in WPA2 ohne EAP integriert sonst würde ja WPA2 gar nicht funktionieren wenn nur Daten verschlüsselt jedoch nicht entschlüsselt werden können? Was hat dieses WPA-EAP zu bedeuten? Verstehe ich dich also richtig, dass WPA-EAP nicht heisst, dass er auch gleichzeitig WLAN Client ist?

In deinem Beispiel schreibst du davon das einer dieser kleinen Büroswitche sich gegenüber einem anderen Switch authentifiziert.
Ja, das wäre z.B. ein anderes Anwendungsszenario wo ein Switch selber .1x Client ist aber auch selber wieder Port Authentisierung machen kann. Cisco SG-200-8 ist z.B. so einer der das kann. Dort kann man pro Port definieren ob der Port selber als .1x Client arbeitet um sich z.B. bei einem Uplink Switch zu authentisieren der ja sonst niemanden an sich ranlässt ohne .1x, oder ob der Port selber Authenticator ist um dort andere .1x Clients gegenüber einem Radius zu authentisieren.
Das ist pro Port an diesem Switch konfigurierbar.
Beispiel verstanden ??

Verstehe dein erstes Beispiel nicht bei deinem zweiten Verstehe ich etwas mehr.
So wie ich dich verstehe muss also der AP sich beim Switch authenzifizieren da der Switch am Authenticator Server hängt. Der Switch hat auf einem Port wo der AP angeschlossen ist eine IEEEE .1X Authentifizierung wo auch der AP angeschlossen ist. Nachdem der AP sich beim Switch authentifiziert hat müssen sich auch noch die Clients beim AP authentifizieren?
In diesem Fall muss also der AP nicht nur WPA-Enterprise können sondern auch gleichzeitig die Funktion Client Mode? Den Switch den du verlinkt hast bietet also die Betriebsmodis: Client Mode um wie ein WLAN Client zu agieren um sich gegenüber einem anderen Uplink-Switch authentifizieren zu können und den Modus, dass sich andere WLAN Client sich bei ihm authentifizieren können?

Was bringt das wenn sich der Switch (am Switch hängt der AP) gegenüber dem Authenticator-Server authentifizieren muss? Wo ist da der Sinn dahinter?

Client Mode arbeiten können wieso Switche es geht doch um die AP.
Das ist doch vollkommen egal ob Switches oder AP. Nimm das Beispiel von oben... Per .1x gesicherter Port an dem du nun ein AP anschliessen willst.
Der AP muss isch ja erstmal als .1x Client authentifizieren, damit der Switch überhaupt den Port aufmacht. Gegenüber den WLAN Clients ist der AP aber Authenticator der deren .1x Requests an den Radius leitet.
Gleiches Beispiel wie mit dem kleinen Switch oben...
Oder nimm einen Drucker oder ein Telefon was sich an einem .1x gesicherten Port authentisieren muss...gleiches Spielchen in Grün...

Aber dann muss doch jeder AP gleichzeitig auch den Client Mode können ein AP ist ja meistens entweder an Router oder an einem Switch angeschlossen.
Der Switch in deinem Beispiel muss sich nicht beim Authenticator-Server authentifizieren? Der AP hat .1X Client (Client Mode) damit er den Port am Switch freibekommt mehr nicht?

bietet WPA-EAP an wozu ist das?
Gleiches wie oben !! Damit ist die Daten Encryption WPA2 gemeint.
https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol

Was heisst den das? Wenn ein AP oder Router WPA2 kann muss er doch zwingend Daten verschlüsseln und entschlüsseln können? Was ist der Unterschied zwischen WPA2-EAP und WPA2? EAP hat mit authenzifizierung zu tun wieso sagst du WPA-EAP dient zur Encryption von WPA2 Daten?... Was bringt es den Daten nur entschlüsseln zu können (WPA-EAP)?


Der Client Mode dient ja dazu das sich der AP gegenüber einem anderen AP authentifiziert und so mehrere Netzwerke verbinden lassen?
Jein. Verbinden ist schon richtig, dann ist der AP aber kein reiner AP mehr sondern ein Router, denn das erfordert WISP (WLAN NAT) oder transparentes Routing.
Ein Bridging oder Repetaing ist so nicht möglich, das sind eigene Modi.
Guckst du hier:
Mit einem WLAN zwei LAN IP Netzwerke verbinden

Client Mode hat also gar nichts mit Authentifizieren zu tun sondern dient nur dazu zwei Netzwerke miteinander per WLAN zu verbinden? WISP heisst Wiresless Internet Service Provider... sind wohl so eine Art von Hotspot? Was heisst Transparentes Routing? Sovie ich weiss etwas ohne NAT und PAT. NAT oder PAT wird doch zwingend vorausgesetzt damit Routing funktioniert?
aqui
aqui 19.10.2015 um 20:00:23 Uhr
Goto Top
Aber dann muss doch jeder AP gleichzeitig auch den Client Mode können
Nein, das muss er nicht.
Er muss es nur wenn er sich selber z.B. als Client an einem gesichterten .1x Switchport authentifizieren muss. Ohne könnte man ihn nicht an einen gesichterten Netzwerk Switchport anschliessen.
Billige APs haben diese Option aber nicht.
Was ist der Unterschied zwischen WPA2-EAP und WPA2
WPA2 kann auch mit TKIP arbeiten ist dann aber Banbreiten limitiert.
WISP heisst Wiresless Internet Service Provider... sind wohl so eine Art von Hotspot?
Nein, das bedeutet nur das der AP am Funkport NAT (PAT) macht !
osze90
osze90 20.10.2015 um 18:46:58 Uhr
Goto Top
weshalb hat den der Router von ASUS welchen ich kaufen wollte WPA-EAP wenn sich nur Clients authentifizieren können?
Das EAP bezieht sich ausschliesslich auf die Daten Encryption (AES/CCMP) im WLAN. Nicht aber auf die Client Authorisierung wenn der AP selber einen 802.1x Client an Bord hat. Zwei Paar Schuhe...nicht verwechseln.
Möglich aber auch das sollte ein .1x Client an Brod sein dieser einzig nur EAP supportet und kein PEAP oder TLS.
Müsste man ins Datenblatt sehen. Gut möglich bei Billig APs.

Was meinst du eigentlich mit Cipher Protokoll?
Verstehe nicht, was du damit meinst: WPA-EAP soll nur heissen, dass er auch AES Daten Entschlüsseln kann aber das ist doch in WPA2 ohne EAP integriert sonst würde ja WPA2 gar nicht funktionieren wenn nur Daten verschlüsselt jedoch nicht entschlüsselt werden können? Was hat dieses WPA-EAP zu bedeuten? Verstehe ich dich also richtig, dass WPA-EAP nicht heisst, dass er auch gleichzeitig WLAN Client ist?

In deinem Beispiel schreibst du davon das einer dieser kleinen Büroswitche sich gegenüber einem anderen Switch authentifiziert.
Ja, das wäre z.B. ein anderes Anwendungsszenario wo ein Switch selber .1x Client ist aber auch selber wieder Port Authentisierung machen kann. Cisco SG-200-8 ist z.B. so einer der das kann. Dort kann man pro Port definieren ob der Port selber als .1x Client arbeitet um sich z.B. bei einem Uplink Switch zu authentisieren der ja sonst niemanden an sich ranlässt ohne .1x, oder ob der Port selber Authenticator ist um dort andere .1x Clients gegenüber einem Radius zu authentisieren.
Das ist pro Port an diesem Switch konfigurierbar.
Beispiel verstanden ??

Verstehe dein erstes Beispiel nicht bei deinem zweiten Verstehe ich etwas mehr.
So wie ich dich verstehe muss also der AP sich beim Switch authenzifizieren da der Switch am Authenticator Server hängt. Der Switch hat auf einem Port wo der AP angeschlossen ist eine IEEEE .1X Authentifizierung wo auch der AP angeschlossen ist. Nachdem der AP sich beim Switch authentifiziert hat müssen sich auch noch die Clients beim AP authentifizieren?
In diesem Fall muss also der AP nicht nur WPA-Enterprise können sondern auch gleichzeitig die Funktion Client Mode? Den Switch den du verlinkt hast bietet also die Betriebsmodis: Client Mode um wie ein WLAN Client zu agieren um sich gegenüber einem anderen Uplink-Switch authentifizieren zu können und den Modus, dass sich andere WLAN Client sich bei ihm authentifizieren können?

Was bringt das wenn sich der Switch (am Switch hängt der AP) gegenüber dem Authenticator-Server authentifizieren muss? Wo ist da der Sinn dahinter?

Aber dann muss doch jeder AP gleichzeitig auch den Client Mode können
Nein, das muss er nicht.
Er muss es nur wenn er sich selber z.B. als Client an einem gesichterten .1x Switchport authentifizieren muss. Ohne könnte man ihn nicht an einen gesichterten Netzwerk Switchport anschliessen.
Billige APs haben diese Option aber nicht.

Kompliziert... Mir ist noch immer nicht klar, wenn ich einen AP brauche der im Client Modus arbeitet oder nicht.
Teure Switch = Alle Geräte an diesem teuren Switch müssen sich authentifizieren also das Gerät muss das tun die Authentifizierung? = Client Mode
Billige Switche = keine Authentifizierung = kein Client Mode

Verstehe ich das so richtig?

Bezieht sich der Client Mode nur auf Port Authentifizierung? Weil jeder AP muss ja an einen Switch oder Router und dort brauchts ja keinen Client Mode wenn ich einen billigen Switch als Privatanwender nutzte? Also kann ein RADIUS-Server nicht nur Clients die per WLAN sich ins Netzwerk einloggen wollen authentifizieren sondern auch irgendwelche Geräte z. B Switch, AP, Telefone, Router.... die eben z. B WPA-EAP sprechen (wie der ASUS Router den ich kaufen wollte)? Vielleicht habe ich jetzt die ganzen Zusammenhänge verstanden?

Was ist der Unterschied zwischen WPA2-EAP und WPA2
WPA2 kann auch mit TKIP arbeiten ist dann aber Banbreiten limitiert.

Ich möchte gerne die genauen Unterschiede kennen.
WPA2 = keine Authentifizierung // WPA-EAP = mit Authentifizierung

Wenn ich eine AP / Router kaufe mit WPA-EAP heisst das er kann sich an einen RADIUS-Server authentifizieren das über das WPA Protokoll und authentifiziert sich über EAP Protokoll, dass wiederrum heisst er kann im Client-Mode arbeiten? Du sagtest glaube mal WPA-EAP ist nicht gleich Client Mode. Weitere Frage: Was ist der Unterschied zwischen Client Mode und WPA2-EAP?

WISP heisst Wiresless Internet Service Provider... sind wohl so eine Art von Hotspot?
Nein, das bedeutet nur das der AP am Funkport NAT (PAT) macht !

Ja, bei Wikipedia verstehe ich nur, dass WISP so eine Art von Hotspot ist welches bis zu 10 km Reichweite beträgt. Dabei werden wohl verschiedene APs zu einem Leistungsstarken AP zusammengefasst. WDS heisst das ja.

Das heisst ich kann an diesem Funkport welches WISP hat einen Router anhängen der NAT (PAT) macht? Befinden sich AP und Router auf dem selben OSI-Layer? Leider steht bei Wikipedia nicht, wohin APs gehören ist das mit Bridge gleichzusetzen?
aqui
aqui 21.10.2015 um 20:49:26 Uhr
Goto Top
Bezieht sich der Client Mode nur auf Port Authentifizierung?
Ja genau. Das hast du genau richtig verstanden !
WPA2 = keine Authentifizierung
Nein das ist Unsinn. WPA impliziert immer eine Verschlüsselung. WPA kann EAP/CCMS oder TKIP verwenden als Cipher Protokoll (Verschlüsselungsalgorythmus. (Nun weisst du auch was mit Cipher Prot. gemeint ist face-wink
Wenn ich eine AP / Router kaufe mit WPA-EAP heisst das er kann sich an einen RADIUS-Server authentifizieren
Nein, das heisst es nicht !
Es heisst das er das WPA Protokoll für die WLAN Clients (und nur die) supportet.
Er kann auch selber .1x Client sein wenn er sich an einen Drahtport an einen .1x gesichterne Switch authentisieren muss. Das sind aber 2 unterschiedliche Baustellen die nichts miteienander zutun haben, denn einmal Funk und einmal Draht... 2Paar Schuhe
WPA Enterprise heisst das er die Client Autnetisierung an einen Radisu durchreichen kann !
dass WISP so eine Art von Hotspot ist welches bis zu 10 km Reichweite beträgt.
Nein, das ist Blödsinn. WISP bedeutet nur das der AP am Funkport NAT und Routing macht zum Provider. Also Quasi der DSL Port eines Internet Routers nur eben auf der Funkschnittstelle.
Leider steht bei Wikipedia nicht, wohin APs gehören
Ein AP ist in der Regel immer eine Bridge auf Mac Adress basis.
osze90
osze90 26.10.2015 aktualisiert um 19:03:46 Uhr
Goto Top
Zitat von @aqui:
Bezieht sich der Client Mode nur auf Port Authentifizierung?
Ja genau. Das hast du genau richtig verstanden !

Wie läuft diese Port Authentifizierung ab? Bei WLAN und RADIUS kommt statt der Eingabe des PSK's Anmeldemaske mit Benutzername Passwort. Kommt diese Eingabemaske bei Port Authentifizierung auch obwohl ich nicht per Wifi sondern per Kabel verbunden bin wie geht das? Weiter muss sich vereinfacht gesagt der AP beim Authenticator-Server authentifizieren. Wie gehe ich da vor? Eröffne ich einen Account im AD für alle APs und gebe die Userdaten anschliessend im AP ein und wähle noch wie der AP sich authentifizieren soll mit Zertifikat, WPA2-EAP oder TLS..?

WPA2 = keine Authentifizierung
Nein das ist Unsinn. WPA impliziert immer eine Verschlüsselung. WPA kann EAP/CCMS oder TKIP verwenden als Cipher Protokoll (Verschlüsselungsalgorythmus. (Nun weisst du auch was mit Cipher Prot. gemeint ist face-wink

Achso ok. face-smile Also die Unterschiede zwischen WPA-EAP und WPA sind:
WPA-EAP = Kann im Client-Mode Daten verschlüsseln wie auch sich authentifizieren über EAP. Aber WPA-EAP heisst nicht automatisch, dass er gleichzeitig auch im Client Mode arbeiten kann? Wo wird WPA-EAP sonst noch benutzt wenn nicht bei Port Authentifizierung?
WPA = nur Verschlüsseln von Daten.


Wenn ich eine AP / Router kaufe mit WPA-EAP heisst das er kann sich an einen RADIUS-Server authentifizieren
Nein, das heisst es nicht !
Es heisst das er das WPA Protokoll für die WLAN Clients (und nur die) supportet.

Oh Mann... wozu dann noch dieses "EAP" wenn der Router oder AP nur normale WLAN Clients supportet? Mein ZyXEL hat kein EAP und funktioniert relativ gut. Dieses WPA-"EAP" brauchts doch nur für Authentifizierung also wie bei der Port Authentifizierung = AP muss im Client Mode arbeiten können um sich beim Switch authentifizieren zu können?

Verstehe nicht die Unterschiede zwischen Client-Mode, Port-Authenfitifierung und WPA-EAP.... Port Authentifizierung setzt doch 1. voraus, dass sich z. B der AP authentifizieren kann also brauche ich ein AP der im Client Mode sein kann weiter muss er sich ja mit einem Protokoll authentifizieren können also z. B WPA-EAP, oder WPA-TLS...?


Er kann auch selber .1x Client sein wenn er sich an einen Drahtport an einen .1x gesichterne Switch authentisieren muss. Das sind aber 2 unterschiedliche Baustellen die nichts miteienander zutun haben, denn einmal Funk und einmal Draht... 2Paar Schuhe

Verstehe ich gar nicht. Der AP oder Router kann sich auch gegenüber einem Switch Authentifizieren der Port Authentifikation macht. OK. Was meinst du mit einmal Funk einmal Draht? Also nur bei Funk gibts WPA-EAP? Und wie wird die Port Authentifizierung über Draht gemacht?


dass WISP so eine Art von Hotspot ist welches bis zu 10 km Reichweite beträgt.
Nein, das ist Blödsinn. WISP bedeutet nur das der AP am Funkport NAT und Routing macht zum Provider. Also Quasi der DSL Port eines Internet Routers nur eben auf der Funkschnittstelle.

Diese WISP sind wohl einfach die Handyantennen über die läuft ja auch die Internet Kommunikation? Diese Handyantennen sind ja auch wie grosse Hotspots?


Leider steht bei Wikipedia nicht, wohin APs gehören
Ein AP ist in der Regel immer eine Bridge auf Mac Adress basis.

Also das Gerät Bridge ist auf OSI Layer 2 somit gehören auch APs dazu? Ok...
AP = Bridge weil im normal Fall per Wireless Signale in den AP reinkommen und dort per Kabel an einen Switch oder Router weitergereicht werden?
aqui
aqui 28.10.2015 um 10:55:11 Uhr
Goto Top
Wie läuft diese Port Authentifizierung ab?
Da liest du mal am besten den 802.1x Standard:
https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Bei WLAN und RADIUS kommt statt der Eingabe des PSK's Anmeldemaske mit Benutzername Passwort.
Kann, muss aber nicht. Nutzername und Passwd werden i.d.R. im Radius definiert oder durch Kopplung an ein AD / LDAP. siehe hier:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Verstehe nicht die Unterschiede zwischen Client-Mode, Port-Authenfitifierung und WPA-EAP.
Das einen ist Draht (LAN) das andere WLAN !
Verstehe ich gar nicht. Der AP oder Router kann sich auch gegenüber einem Switch Authentifizieren der Port Authentifikation macht. OK. Was meinst du mit einmal Funk einmal Draht?
OK...noch ein allerletztes Mal:
Ein AP der selber WPA-Enterprise (also WLAN Autnetisierung über Radius) macht, soll an einem .1x gesicherten Switchport angeschlossen werden !
  • Hier muss der AP auf seinem LAN Port selber .1x Client sein, damt er sich gegenüber dem LAN Switch authentisieren kann
  • Gleichzeitig ist er selber Authenticator gegenüber seinen WLAN Clients die ER authentisieren muss
Er ist also gleichzeitig .1x Supplicant und Authenticator in diesem Falle !
Verstanden ?
Diese WISP sind wohl einfach die Handyantennen
Nein, mit Mobilfunk ala GSM, UMTS und LTE hat das nichts zu tun. Das ist rein WLAN !! Und Antenne sind es gar nicht, es ist ein kompletter AP mit integriertem Routing.
osze90
osze90 29.10.2015 um 17:32:39 Uhr
Goto Top
Zitat von @aqui:
Wie läuft diese Port Authentifizierung ab?
Da liest du mal am besten den 802.1x Standard:
https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...

Also so wie ich das verstehe bezieht sich der Begriff Port Authentifizierung nur LAN. Authentifizierungen können also bei LAN und auch WLAN durchgeführt werden?

WPA2 = keine Authentifizierung
Nein das ist Unsinn. WPA impliziert immer eine Verschlüsselung. WPA kann EAP/CCMS oder TKIP verwenden als Cipher Protokoll (Verschlüsselungsalgorythmus. (Nun weisst du auch was mit Cipher Prot. gemeint ist face-wink

Kannst du mir folgendes bitte noch erklären:

Achso ok. face-smile Also die Unterschiede zwischen WPA-EAP und WPA sind:
WPA-EAP = Verschlüsseln von Daten und das zusätzliche Übertragen von Authentifikationen?
WPA = nur Verschlüsseln von Daten über WLAN...

Verstehe nicht die Unterschiede zwischen Client-Mode, Port-Authenfitifierung und WPA-EAP.
Das einen ist Draht (LAN) das andere WLAN !
Also Port Authentifikation ist über LAN?
WPA-EAP betrifft nur WLAN? Beides Zusammen gehört zum Standard Authentifikation IEEE 802.1X?

Verstehe ich gar nicht. Der AP oder Router kann sich auch gegenüber einem Switch Authentifizieren der Port Authentifikation macht. OK. Was meinst du mit einmal Funk einmal Draht?
OK...noch ein allerletztes Mal:
Ein AP der selber WPA-Enterprise (also WLAN Autnetisierung über Radius) macht, soll an einem .1x gesicherten Switchport angeschlossen werden !
  • Hier muss der AP auf seinem LAN Port selber .1x Client sein, damt er sich gegenüber dem LAN Switch authentisieren kann
  • Gleichzeitig ist er selber Authenticator gegenüber seinen WLAN Clients die ER authentisieren muss
Er ist also gleichzeitig .1x Supplicant und Authenticator in diesem Falle !
Verstanden ?

Ja face-smile

Diese WISP sind wohl einfach die Handyantennen
Nein, mit Mobilfunk ala GSM, UMTS und LTE hat das nichts zu tun. Das ist rein WLAN !! Und Antenne sind es gar nicht, es ist ein kompletter AP mit integriertem Routing.

Also sind es spezielle AP's die dazu benutzt werden um Flächendeckend WLAN anzubieten? Die Abkürtzung WISP bedeutet ja immerhin Wireless Internet Service Provider... Ich kann diesen Begriff noch nicht ganz einordnen und vorstellen wo WISP eingesetzt wird.
aqui
aqui 29.10.2015 aktualisiert um 18:06:12 Uhr
Goto Top
Authentifizierungen können also bei LAN und auch WLAN durchgeführt werden?
Das ist richtig ! Sowas wie "Ports" gibt es in dem Sinne bei WLANs ja auch nicht.
Also Port Authentifikation ist über LAN?
In der Regel ja. Es buntzt aber die identischen Mechanismen wie auch WLAN Auth. Basis ist immer 802.1x Standard bei beiden.
WPA-EAP betrifft nur WLAN?
Ja, denn sowas wie WPA also die Encryption gibt es an LAN Ports ja nicht. EAP ist aber wieder gleich. Im LAN nutzt man z.B. EAPoL
Also sind es spezielle AP's die dazu benutzt werden um Flächendeckend WLAN anzubieten?
Nein, speziell sind die nicht. Flächendeckend WLAN anbieten kann auch jeder 15 Euro Billig AP vom Blödmarkt Grabbeltisch...
WISP ist nur ein Feature was diese APs können.
In manchen Ländern gibt es Internet Provider die Internet via WLAN Frequenzen öffentlicch ausstrahlen. In der EU ist das eher selten bis gar nicht der Fall.
Dafür ist dann diese WISP Funktion gedacht. Es ist schlicht und einfach NAT (genaugenommen PAT) Routing über den WLAN Port.
osze90
osze90 02.11.2015 aktualisiert um 18:45:40 Uhr
Goto Top
Es gibt ja diverse Verschlüsselungstypen wie z.B WPA2-PSK oder WPA2-EAP.
WPA2-PSK heisst er verschlüsselt alles und zum Entschlüsseln gibt einen PSK?
WPA2-EAP heisst er Verschlüsselt mit alles mit WPA2 und an die Daten zu gelangen muss man sich Authentifizieren.
WPA2-Enterprise sagt ebenfalls aus alles verschlüsseln zum Entschlüsseln muss man sich per RADIUS-Server authentifizieren
Stimmt das so? Also bezeichnet dieses (WPA2)"-EAP" immer wie man die Daten wieder entschlüsseln kann?

Zitat von @aqui:
Also sind es spezielle AP's die dazu benutzt werden um Flächendeckend WLAN anzubieten?
Nein, speziell sind die nicht. Flächendeckend WLAN anbieten kann auch jeder 15 Euro Billig AP vom Blödmarkt Grabbeltisch...
WISP ist nur ein Feature was diese APs können.
In manchen Ländern gibt es Internet Provider die Internet via WLAN Frequenzen öffentlicch ausstrahlen. In der EU ist das eher selten bis gar nicht der Fall.
Dafür ist dann diese WISP Funktion gedacht. Es ist schlicht und einfach NAT (genaugenommen PAT) Routing über den WLAN Port.

So wie ich dich verstehe, können APs mit WISP PAT (wie ein Router auch) und können so Datenverkehr an einen anderen AP mit WISP Funktion routen?
Also ist WISP eigentlich wie ein Router genaugenommen ein WLAN Router?
aqui
Lösung aqui 03.11.2015, aktualisiert am 20.12.2015 um 15:30:26 Uhr
Goto Top
PSK heist Pre Shared key, also vorher ausgehandeltes Passwort. Das ist immer statisch und natürlich gefährlich, denn wenn einer es weitergibt ist die Sicherheit dahin. PSK ist also recht unsicher. Unsicher vom Handling des Passworts nicht vom Grad der Verschlüsselung wenn man hier AES/CCMP einsetzt und nicht TKIP.
WPA2 EAP gibt es so nicht als Bezeichnung, das entspringt deiner Phantasie. EAP bezeichnet eine Variante des Schlüsselprotokolls.
Der Rest stimmt so.
und können so Datenverkehr an einen anderen AP mit WISP Funktion routen?
Ja, so kann man das sagen.
Also ist WISP eigentlich wie ein Router genaugenommen ein WLAN Router?
Ja, ganz genau so ! Ein Router mit NAT bzw. PAT.
osze90
osze90 09.11.2015 aktualisiert um 15:32:06 Uhr
Goto Top
Super keine Fragen mehr, alles Klar - Thema erledigt face-smile

Nun gehts auf die Suche nach einem geeigneten AP.

Danke für deine Geduld und deine Hilfe.