RADIUS-Server - Habe ich den richtigen Router?
Guten Tag
Ich habe einen Windows Server RADIUS 2012 installiert nach dieser Anleitung möchte ich den RADIUS -Server installieren:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Dort steht dass die WLAN Authentifikationsverfahren entweder ""WPA2-Enterprise" oder "802.1X"." heisst. Bei mir existiert nur folgendes:
802.1X - keine WEB
802.1X - statische WEB
802.1X - dynamische WEB
Obwohl 802.1x vorkommt finde ich es merkwürdig, da WEB ja keine bis kaum Sicherheit bietet ist dass wirklich das richtige für einen RADIUS-Server Authenfikationsverfahren?
Danke
Nicolas
Ich habe einen Windows Server RADIUS 2012 installiert nach dieser Anleitung möchte ich den RADIUS -Server installieren:
http://www.heise.de/netze/artikel/Radius-mit-Windows-Server-2087800.htm ...
Dort steht dass die WLAN Authentifikationsverfahren entweder ""WPA2-Enterprise" oder "802.1X"." heisst. Bei mir existiert nur folgendes:
802.1X - keine WEB
802.1X - statische WEB
802.1X - dynamische WEB
Obwohl 802.1x vorkommt finde ich es merkwürdig, da WEB ja keine bis kaum Sicherheit bietet ist dass wirklich das richtige für einen RADIUS-Server Authenfikationsverfahren?
Danke
Nicolas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 277532
Url: https://administrator.de/forum/radius-server-habe-ich-den-richtigen-router-277532.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
44 Kommentare
Neuester Kommentar
Bei mir existiert nur folgendes:
Bezieht sich das jetzt auf den Winblows Server sprich also genau genommen dem NPS oder deinem AP und dessen Settings.Grundlagen dazu findest du auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
WPA Enterprise welches ich nicht habe
Keine Chance es dann technisch umzusetzen ! Jedenfalls nicht in einem WLAN.Leider hast du auch wieder die Frage nicht beantwortet ob es auf den Radius Server (Winblows NPS) bezogen war oder den WLAN Accesspoint ?
Vermutlich meinst du aber deinen Accesspoint, richtig ?
Ggf. hilft ein Frimware Update auf die aktuellste Firmware hier um das feature nachzurüsten.
Oder du hast Glück das auf der Accesspoint Hardware auch eine freie Firmware wie OpenWRT oder DD-WRT supportet ist.
Dann kannst du mit einfachem Flashen der Firmware dem AP das in 5 Minuten beibringen.
Geht das alles nicht oder ist nicht supportet, kommst du de facto um einen Neukauf passender Hardware nicht drumrum. Komisch ist das aber schon da heute sogar allerbilligste Chinaware wie ein TP-Link 841N für 15 Euro WPA-Enterprise problemlos supportet.
Ware mal interessant was du da sonderbares hast was das nicht kann. Entweder ist das Uralt Lavendel oder noch billiger als billige Chinaböller.
Wenn dein AP also in den Schlüsseloptionen des Security Setups die Option "WPA Enterprise" nicht hat bist du chancenlos und musst nicht weitermachen. Jedenfalls was die Konfig auf dem WLAN Accesspoint anbetrifft !
Im LAN sieht das anders aus...aber davon reden wir ja nicht, denn du machst ja kein 802.1x auf einem LAN Switch, oder ?
Wie gesagt technische Grundlagen und Hilfestellungen bieten dir diese Forum Tutorials:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi
Aber da du ja nun selber diesen Thread final auf "Gelöst" geklickt hast ist ja dann alles gut ! Case closed !
dass er keine weiteren Funktionen besitzt um den Router zu einem AP umzukonfigurieren.
Doch, das kann man mit jedem beliebigen Router am Markt immer machen. Siehe hier:Kopplung von 2 Routern am DSL Port
Werde den Hersteller Fragen.
Sinnfrei ihn zu fragen wenn du einen alternative Firmware wie OpenWRT oder DD-WRT verwendest. Da heist es einfach nur : machen !Ggf. hilft aber schon ein Frimware Update um die Funktion nachzurüsten.
Ein simpler Router / AP der das kann kostet 16 Euro:
http://www.reichelt.de/TPLINK-TL-WR841N/3/index.html?&ACTION=3& ...
Da kannst du dir dann gleich 2 kaufen !
Die Aussage "bis ich dann Geld habe..." wirkt dann bei dem Preis doch eher etwas kindisch und kann man dir nicht wirklich Ernst nehmen, sorry !
Übrigens: OpenWRT supportet der 16 Euro AP natürlich auch als Firmware
Ein normaler Router kann man obwohl es keine Funktion gibt zu einem AP umkonfigurieren. OK....
Ja, es ist ja nichts anderes als ein intern kombinierter WLAN Accesspoint mit einem Router. Wenn du eben nur den Accesspoint davon benutzt ist das ok.Das obige Tutorial beschreibt dir ja wie man es aufsetzt !
Den billigen TP-Link gibt es sicher auch für gute Franklis in der Schweiz und dann vermutlich für 10 Franken. Wenn bei so einem Popelbetrag der dir dann einen WPA-Enterprise fähigen AP beschert deine Kasse dennich leer ist dann hast du aber ein ganz anderes Problem.....
Dann nimmst du halt einen anderen Hersteller !
http://www.reichelt.de/WLAN-Router-Access-Point/ASUS-RT-N12-N300/3/inde ...
Der kann auch WPA-Enterprise.
Genau das muss unter "WLAN Verschlüsselung" stehen im Datenblatt das das supportet ist !
http://www.reichelt.de/WLAN-Router-Access-Point/ASUS-RT-N12-N300/3/inde ...
Der kann auch WPA-Enterprise.
Genau das muss unter "WLAN Verschlüsselung" stehen im Datenblatt das das supportet ist !
Guckst du hier:
https://de.wikipedia.org/wiki/Extensible_Authentication_Protocol
EAP hat mit "Enterprise" soviel zu tun wie ein Fisch mit einem Fahrrad....
https://de.wikipedia.org/wiki/Extensible_Authentication_Protocol
EAP hat mit "Enterprise" soviel zu tun wie ein Fisch mit einem Fahrrad....
Dort steht doch eindeutig EAP dient zur Authentifizierung z. B mit einem RADIUS-Server.
Ja....zur Authentifizierung des Clients (Supplicant) mit dem Radius ! Niemals aber der Authenticator (Switch oder AP) !Verstehe nicht was nun der Unterschied zwischen WPA2-Enterprise und WPA2-EAP
Da gibt es auch keinen !WPA Enterprise beschreibt generell das Verfahren der Authentisierung mit einem Radius Server. Ohne Enterprise ist es ein PSK Verfahren.
WPA Enterprise kann EAP verwenden zur Authentisierung muss es aber nicht. Denkbar und verbreitet sind auch noch PEAP, TLS usw.
Das konfigurierst du immer am CLIENT selber was Das Enterprise Verfahren benutzt also EAP. PEAP, TLS usw....
Sieh dir bitte das o.a. WLAN Tutorial an was das nochmal beschreibt !
Was erklären ?? Die Radius Authentisierung nach 802.1x ??
Guckst du hier:
http://www.elektronik-kompendium.de/sites/net/1409281.htm
https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Das sollte eigentlich reichen um es zu verstehen, oder ?!
Guckst du hier:
http://www.elektronik-kompendium.de/sites/net/1409281.htm
https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Das sollte eigentlich reichen um es zu verstehen, oder ?!
Einfach ist es nicht.
Wie immer im Leben ist das relativ ! Wenn man weiss was es ist ist es kinderleicht.WPA2-Enterprise hat den Vorteil das es sicherer ist als EAP da EAP
Da fängts schon an... So kann man das nicht sagen. WPA2-Ent. kann EAP als Authentisierung nutzen...oder PEAP oder TLS.Ein Auto kann mit Benzin, Diesel oder Strom fahren bleibt aber ein Auto....gleiches Prinzip.
Aber WPA2-Enterprise basiert auf dem Protokoll EAP
Nein. Es kann darauf basieren, der Standard lässt das aber bewusst offen so das auch andere Authentisierungsverfahren verwendet werden können.Eins interessiert mich aber noch welche Gründe gibts einen Router oder AP zu kaufen der EAP unterstützt?
Auch diese Frage ist Unsinnig, denn das Gerät ist nur Authenticator aber kein Supplicant. Es reicht also nur durch. Welches Authentisierungsverfahren benutzt wird gibt immer der Supplicant also der Client vor !Danach ist ja offen welches Verfahren benutzt wird, dazu muss ich denke ich mal ein weiterer AP gekauft werden der z. B WPA2-Enterprise anbietet oder?
Jetzt wird es vollkommen wirr.... Nein ! Wie gesagt der AP oder Switch reicht nur durch ! Er ist NICHT involviert in das Authentisierungsverfahren was einzig der Client oder der Server vorgeben.Es reicht also vollständig einen AP zu beschaffen der WPA2-Enterprise supportet, denn damit ist immer eine 802.1x basierte Authentisierung verbunden.
Ich stelle mir weiter die Frage wenn ich einen Router kaufe mit WPA2-Enterprise
Auch das ist schon technisch falsch. Ein Router an sich braucht niemals eine .1x Authentisierung...wozu auch. Er macht rein nur das Routing.Die Authentisierung greift lediglich für den im Router integrierten AP oder Switch zur Port, sprich Client Authentisierung. Die Routing Funktion (Layer 3 Forwarding) ist nie in irgendwelche Authentisierungsverfahren involviert. Vermutlich meist du das aber auch so, oder ?
wo bleibt das EAP ist das integriert in WPA2-Enterprise
DAS ist eben dein fataler Denkfehler ! Es ist wie oben mehrfach gesagt NICHT im AP sondern einzig im Client oder Server aktiviert.Wenn du mal realistisch nachdenkst dann ist auch klar das solche Authentisierungsverfahren erhebliche Prozessor Power benötigt. In billigsten China oder Taiwan APs die WPA2-E supporten ist die gar nicht vorhanden was ein weiteres Indiz dafür ist das diese Geräte nur "weiterreichen".
Wir schaffen das hoffentlich noch dir das zu vermitteln...
gibt ja AP die EAP und WPA2-Enterprise anbieten. Nützt mir dieses EAP nur etwas, wenn dieser AP sich gegenüber einem weiteren AP oder was auch immer authentifizieren muss?
Das ist beides wie bereits gesagt das gleich. WPA-2 Enterprise inkludiert ja EAP.Ausserdem verfällst du hier wieder mal in die Denke das EAP vom AP kommt !!! NEIN, dem ist nicht so ! Nur der WLAN Client macht das. Der AP reicht einfach nur durch und macht aktiv kein EAP.
AP zu AP Kommunikation gibt es nur wenn diese APs ein WLAN Bridging supporten und/oder WISP oder Client Mode. Und ja... im Client Mode (da ja "Client") kann dieser AP dann auch EAP oder PEAP aktiv.
Das können aber nur "bessere" APs nicht die Feld, Wald und Wiesenteile vom Blödmarkt Grabbeltisch.
Zurzeit habe ich einen Router der auch gleichzeitig WLAN-Router ist.
Ja, das ist wie immer ein Router mit einem intern am LAN Port angeflanschten AP.Eigentlich möchte ich einen neuen Router anschaffen der eben WPA2-Enterprise anbietet.
OK, verstanden....d.h. der integrierte AP muss WPA-Enterprise supporten. Sowas gibt es aber...auch im Billigbereich von TP-Link und den anderen üblichen Verdächtigen.Hier gilt aber wie immer im Leben: "Augen auf beim Routerkauf !" und ein genauer Blick ins Datenblatt BEVOR man das Geld auf den Tisch legt
Ja, es gibt Hersteller die nennen es WPA2-Enterprise andere EAP wieso ist das so, wenn beides das Gleiche ist?
Das ist so nicht ganz richtig. WPA-2 tunnelt ja nur das Authentisierungsprotokoll vom Client zum Radius.Das Protokoll kann aber EAP, PEAP, TLS usw. sein !
WPA-2 Enterprise ist also mitnichten auch EAP, das sind 2 Paar Schuhe ! Es stellt lediglich den .1x Tunnel zur Verfügung, was du darin überträgst ist allein Sache des Clients, niemals der WPA-2 Enterprise Hardware.
Anders natürlich wenn der AP selber WLAN Client sein kann z.B. als WISP Client. Dann muss er selber eine Authentisierungsart sprechen. Sinnvoll ist dann naürlich darauf zu achten das er mindestens das parallel kann was zu 98% im WLAN Enterprise Umfeld gemacht wird also die 3 Klassiker EAP, PEAP und TLS. Mit nur einem wäre das nicht sehr gut.
Ist aber oben schon mehrfach gesagt worden....
Somit könnte ich auch ein AP kaufen der nur mit EAP arbeitet
Wie bereits gesagt...genau DA ist dein Denkfehler ! Die WPA-2 Enterprise HW spricht selber nie aktiv ein Authentisierungsprotokoll zu einem Client.Ausnahme sie ist oder kann selber Client sein als WLAN Client oder WISP Client !
Bisher habe ich einen interessanten Router gesehen aber statt Enterprise bietet dieser nur EAP an
Und schon wieder verfällst du in deinen Standard Denkfehler... Es steht dort NICHT das der Router den WLAN Client oder WISP Modus supportet.
EAP besagt lediglich das er im stinknormalen AP Modus (Infrastructure) bei WPA-2 Verschlüsselung TKIP und AES/CCMP supportet. Einzig das ist damit gemeint.
So nach den Specs die dort angegeben sind kann der nichtmal WPA-Enterprise.
Es ist auch sinnfrei auf Specs zu sehen die ein vielleicht unwissender Händler da reingeklimpert hat.
Sinnvoll ist einzig immer das Datenblatt des herstellers selber:
https://www.asus.com/de/Networking/RTAC66U/specifications/
Viel hilfreicher ist das aber dort auch nicht. Ggf. macht die Original Herstellerseite da einen bessere Figur.
Abgesehen davon haben sich ASUS Router nicht gerade mit Ruhm bekleckert in der Vergangenheit...im Gegenteil:
http://www.heise.de/security/meldung/Asus-Router-schutzlos-bei-Angriffe ...
http://www.heise.de/security/meldung/Asusgate-Zehntausende-Router-geben ...
Ob das ne gute Wahl ist muss wohl jeder selber beurteilen...
Also ich brauche eindeutig WPA2-Enterprise das steht fest und habe ich verstanden
Ja, das ist immer Fakt wenn du einen Radius basierte Authentisierung brauchst...keine Frage !So wie ich dich verstehe besteht WPA2-Enterprise aus WPA2 und EAP oder PEAP oder einem sonstigen Authenzifizierungsprotkoll?
Jein ! Das kommt darauf an ob du im Modus Supplicant oder Authenticator arbeitest. Der Supplicant (.1x Client) der muss eines der oben zitierten Protokolle können, richtig !Der Authenticator (Switch AP etc.) der reicht nur weiter und tunnelt dieses Protokoll an den Radius Server.
Da WPA2-Enterprise auch ein Authenfitizierungsprotokoll beinhaltet wozu braucht der AP das?
Zum Beispiel wenn du diesen AP an einem 801.x gesicherten LAN Port eines Switches betreiben willst.Dann muss dieser AP beides sein !
- Einmal .1x Client (Supplicant) um den Port am Switch freizubekommen
- Einmal als Authenticator um die .1x Requests der WLAN Clients anzunehmen und die an den Radius Server zur Authentisierung weiterzuleiten.
Das heisst, wenn ich ein Gerät finde das EAP unterstützt (wie mein Router den ich Verlinkt habe) dient das nur dazu, sich als WLAN Client zu authentifizieren bei einem RADIUS-Server?
Bingo ! Fast Richtig.... Nicht als WLAN sondern als LAN Client wenn er selber Supplicant ist und sich an einem .1x Port authentisieren muss wie oben beschrieben.Das können ach z.B. kleine Workgroup Switches sein. Die müssen selber .1x Client sein um sich bei einer Kaskadierung an einem anderen Switch zu authentisieren und können dann wiederum auch Authenticator sein um an sich angeschlossene .1x Clients am Radius zu authentisieren.
Was ist der Unterschied zwischen WPA2-Enterprise und nur WPA2?
Das ist einmal die statische Passwort Authentisierung und die per Radius mit Zertifikat.n der unteren Frage bestätigst du das WPA2-Enterprise also im Gegensatz zu WPA2 doch auch ein Authentifizierungsprotkoll beinhaltet also wie jetzt?
Nein, falsch, das bestätigt keiner. Das verwendete Authentisierungs Protokoll bestimmt ausschlieslich der Client. Niemals aber das Device selber (AP oder Switch)Der Router (Suplicant) authenzifiziert sich am AP (Authenticator) der AP sendet es an den Authenticator-Server.
Nein, bei einem WLAN Authentisiert sich immer der Client am Radius Server. Der AP nimmt das auf und leitet das nur weiter an den Radius.Verstehe dein Beispiel mit weiteren Switchen nicht.
Nochmal damit auch du es verstehst... - Unser hat einen Switch an dem es Port Authentisierung gibt. Alle Ports sind dicht und gehen nur auf wenn der Client sich mit .1x authentisiert.
- Soweit so gut alles funktioniert super....
- Jetzt will eine User an diesem Port wo eigentlich sein .1x PC arbeitet und sich authentisiert einen kleinen 5 Port Switch anschliessen, damit sich auch noch die 3 Kollegen im Büro dort anstöpseln können
- Steckt er nun den kleinen Switch an den Port ist der Port tot, denn der aufnehmnedne Switch erfordert ja ne .qx Auth wie auch am Client zuvor...logisch
- Deshalb gibt es kleine Switches die selber .1x Clients sind. Diese können sich dann am Uplink Switch authentisieren und sind selber auch wieder authentisierender Switch für die 3 Bürokollegen....so einfach !
Dieses EAP sagt also nur aus das der Router / AP unter der WPA2 Verschlüsselung AES oder TKIP unterstützt?
Nööö, genau falsch. Wie gesagt welches Cipher Protokoll gesprochen wird bestimmt ALLEIN nur der Client selber, niemals der Router, Switch oder AP.Wofür brauche ich den überhaupt bei WLAN einen Switch das macht doch keinen Sinn?
Du bist Netzwerk Administrator in einem Unternehmen und baust ein verteiltes WLAN mit 100 Accesspoints auf. Alle diese APs werden an eine bestehende Switch Infrastruktur die über den Campus verteilt ist angeschlossen....Klingelts bei dir ?? Oder wie würdest du es denn ohne Switches lösen die APs zu vernetzen ???
Wenn mein AP auch an einen Switch oder Router muss, benötige ich also auch die Client-Funktion (.1x Client) des AP?
Ja, und auch nur dann wenn der Switch selber 802.1x Port Authentication macht logischerweise. Ohne natürlich nicht, klar.Die meisten der Consumer Produkte im AP und Switchbereich können das aber nicht weil 802.1x dort so gut wie nie benutzt wird und da im Blödmarkt jeder Cent zählt implementieren die China Anbieter es auch nicht auf Produkten für den Massenmarkt.
Marktwirtschaftlich verständlich...
ASUS scheint dann zu den Besseren zu gehören wenn die eine Client Funktion anbieten auf dem Gerät wie du schreibst.
und der Client will wissen ob ein Serverzertifikat vorliegt und prüft dieses.
Richtig ! Kann man zwar auch abschlaten im Client, dann besteht aber die Gefahr das man dem Client einen x-belibigen Radius unterschieben kann. Man in the Middle Attacke.weshalb hat den der Router von ASUS welchen ich kaufen wollte WPA-EAP wenn sich nur Clients authentifizieren können?
Das EAP bezieht sich ausschliesslich auf die Daten Encryption (AES/CCMP) im WLAN. Nicht aber auf die Client Authorisierung wenn der AP selber einen 802.1x Client an Bord hat. Zwei Paar Schuhe...nicht verwechseln.Möglich aber auch das sollte ein .1x Client an Brod sein dieser einzig nur EAP supportet und kein PEAP oder TLS.
Müsste man ins Datenblatt sehen. Gut möglich bei Billig APs.
In deinem Beispiel schreibst du davon das einer dieser kleinen Büroswitche sich gegenüber einem anderen Switch authentifiziert.
Ja, das wäre z.B. ein anderes Anwendungsszenario wo ein Switch selber .1x Client ist aber auch selber wieder Port Authentisierung machen kann. Cisco SG-200-8 ist z.B. so einer der das kann. Dort kann man pro Port definieren ob der Port selber als .1x Client arbeitet um sich z.B. bei einem Uplink Switch zu authentisieren der ja sonst niemanden an sich ranlässt ohne .1x, oder ob der Port selber Authenticator ist um dort andere .1x Clients gegenüber einem Radius zu authentisieren.Das ist pro Port an diesem Switch konfigurierbar.
Beispiel verstanden ??
Client Mode arbeiten können wieso Switche es geht doch um die AP.
Das ist doch vollkommen egal ob Switches oder AP. Nimm das Beispiel von oben... Per .1x gesicherter Port an dem du nun ein AP anschliessen willst.Der AP muss isch ja erstmal als .1x Client authentifizieren, damit der Switch überhaupt den Port aufmacht. Gegenüber den WLAN Clients ist der AP aber Authenticator der deren .1x Requests an den Radius leitet.
Gleiches Beispiel wie mit dem kleinen Switch oben...
Oder nimm einen Drucker oder ein Telefon was sich an einem .1x gesicherten Port authentisieren muss...gleiches Spielchen in Grün...
Dieser ASUS Router macht nur WPA-EAP
Ja, das gilt auch nur für die Daten Encryption im WLAN, nicht für einen .1x Client Mode...kann der vermutlich zu 98% nicht.bietet WPA-EAP an wozu ist das?
Gleiches wie oben !! Damit ist die Daten Encryption WPA2 gemeint.https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol
Ob er 1.x Client Mode kann müsste man im Datenblatt nachsehen.
Wozu sind den diese Betriebsmodis bei APs WLAN Client oder Client Mode
Das ist ein und dasselbe..kein Unterschied.Der Client Mode dient ja dazu das sich der AP gegenüber einem anderen AP authentifiziert und so mehrere Netzwerke verbinden lassen?
Jein. Verbinden ist schon richtig, dann ist der AP aber kein reiner AP mehr sondern ein Router, denn das erfordert WISP (WLAN NAT) oder transparentes Routing.Ein Bridging oder Repetaing ist so nicht möglich, das sind eigene Modi.
Guckst du hier:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Aber dann muss doch jeder AP gleichzeitig auch den Client Mode können
Nein, das muss er nicht.Er muss es nur wenn er sich selber z.B. als Client an einem gesichterten .1x Switchport authentifizieren muss. Ohne könnte man ihn nicht an einen gesichterten Netzwerk Switchport anschliessen.
Billige APs haben diese Option aber nicht.
Was ist der Unterschied zwischen WPA2-EAP und WPA2
WPA2 kann auch mit TKIP arbeiten ist dann aber Banbreiten limitiert.WISP heisst Wiresless Internet Service Provider... sind wohl so eine Art von Hotspot?
Nein, das bedeutet nur das der AP am Funkport NAT (PAT) macht !Bezieht sich der Client Mode nur auf Port Authentifizierung?
Ja genau. Das hast du genau richtig verstanden !WPA2 = keine Authentifizierung
Nein das ist Unsinn. WPA impliziert immer eine Verschlüsselung. WPA kann EAP/CCMS oder TKIP verwenden als Cipher Protokoll (Verschlüsselungsalgorythmus. (Nun weisst du auch was mit Cipher Prot. gemeint ist Wenn ich eine AP / Router kaufe mit WPA-EAP heisst das er kann sich an einen RADIUS-Server authentifizieren
Nein, das heisst es nicht !Es heisst das er das WPA Protokoll für die WLAN Clients (und nur die) supportet.
Er kann auch selber .1x Client sein wenn er sich an einen Drahtport an einen .1x gesichterne Switch authentisieren muss. Das sind aber 2 unterschiedliche Baustellen die nichts miteienander zutun haben, denn einmal Funk und einmal Draht... 2Paar Schuhe
WPA Enterprise heisst das er die Client Autnetisierung an einen Radisu durchreichen kann !
dass WISP so eine Art von Hotspot ist welches bis zu 10 km Reichweite beträgt.
Nein, das ist Blödsinn. WISP bedeutet nur das der AP am Funkport NAT und Routing macht zum Provider. Also Quasi der DSL Port eines Internet Routers nur eben auf der Funkschnittstelle.Leider steht bei Wikipedia nicht, wohin APs gehören
Ein AP ist in der Regel immer eine Bridge auf Mac Adress basis.Wie läuft diese Port Authentifizierung ab?
Da liest du mal am besten den 802.1x Standard:https://de.wikipedia.org/wiki/IEEE_802.1X
http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Bei WLAN und RADIUS kommt statt der Eingabe des PSK's Anmeldemaske mit Benutzername Passwort.
Kann, muss aber nicht. Nutzername und Passwd werden i.d.R. im Radius definiert oder durch Kopplung an ein AD / LDAP. siehe hier:Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Verstehe nicht die Unterschiede zwischen Client-Mode, Port-Authenfitifierung und WPA-EAP.
Das einen ist Draht (LAN) das andere WLAN !Verstehe ich gar nicht. Der AP oder Router kann sich auch gegenüber einem Switch Authentifizieren der Port Authentifikation macht. OK. Was meinst du mit einmal Funk einmal Draht?
OK...noch ein allerletztes Mal:Ein AP der selber WPA-Enterprise (also WLAN Autnetisierung über Radius) macht, soll an einem .1x gesicherten Switchport angeschlossen werden !
- Hier muss der AP auf seinem LAN Port selber .1x Client sein, damt er sich gegenüber dem LAN Switch authentisieren kann
- Gleichzeitig ist er selber Authenticator gegenüber seinen WLAN Clients die ER authentisieren muss
Verstanden ?
Diese WISP sind wohl einfach die Handyantennen
Nein, mit Mobilfunk ala GSM, UMTS und LTE hat das nichts zu tun. Das ist rein WLAN !! Und Antenne sind es gar nicht, es ist ein kompletter AP mit integriertem Routing.Authentifizierungen können also bei LAN und auch WLAN durchgeführt werden?
Das ist richtig ! Sowas wie "Ports" gibt es in dem Sinne bei WLANs ja auch nicht.Also Port Authentifikation ist über LAN?
In der Regel ja. Es buntzt aber die identischen Mechanismen wie auch WLAN Auth. Basis ist immer 802.1x Standard bei beiden.WPA-EAP betrifft nur WLAN?
Ja, denn sowas wie WPA also die Encryption gibt es an LAN Ports ja nicht. EAP ist aber wieder gleich. Im LAN nutzt man z.B. EAPoLAlso sind es spezielle AP's die dazu benutzt werden um Flächendeckend WLAN anzubieten?
Nein, speziell sind die nicht. Flächendeckend WLAN anbieten kann auch jeder 15 Euro Billig AP vom Blödmarkt Grabbeltisch...WISP ist nur ein Feature was diese APs können.
In manchen Ländern gibt es Internet Provider die Internet via WLAN Frequenzen öffentlicch ausstrahlen. In der EU ist das eher selten bis gar nicht der Fall.
Dafür ist dann diese WISP Funktion gedacht. Es ist schlicht und einfach NAT (genaugenommen PAT) Routing über den WLAN Port.
PSK heist Pre Shared key, also vorher ausgehandeltes Passwort. Das ist immer statisch und natürlich gefährlich, denn wenn einer es weitergibt ist die Sicherheit dahin. PSK ist also recht unsicher. Unsicher vom Handling des Passworts nicht vom Grad der Verschlüsselung wenn man hier AES/CCMP einsetzt und nicht TKIP.
WPA2 EAP gibt es so nicht als Bezeichnung, das entspringt deiner Phantasie. EAP bezeichnet eine Variante des Schlüsselprotokolls.
Der Rest stimmt so.
WPA2 EAP gibt es so nicht als Bezeichnung, das entspringt deiner Phantasie. EAP bezeichnet eine Variante des Schlüsselprotokolls.
Der Rest stimmt so.
und können so Datenverkehr an einen anderen AP mit WISP Funktion routen?
Ja, so kann man das sagen.Also ist WISP eigentlich wie ein Router genaugenommen ein WLAN Router?
Ja, ganz genau so ! Ein Router mit NAT bzw. PAT.