12
WLAN Kontrolle, ein Geraet pro User, RADIUS
Hallo zusammen,
ich stehe derzeit vor dem Problem das ich einem Teil unserer WLAN-Nutzer den Zugang zum WLAN auf ein Gerät beschränken muss. Unser WLAN-Zugang wird über einen RADIUS-Server kontrolliert. Die Benutzer melden sich dort mit Ihren AD-Accounts an. Dies funktioniert auch reibungslos. Die Zeitliche Steuerung habe ich auch bereits eingerichtet, jedoch habe ich noch keine Möglichkeit gefunden den Zugang auf ein Gerät zu beschränken.
Hintergrund: WLAN-Benutzer die kurzfristig keinen Zugang zum WLAN erhalten sollen, sollen sich nicht mittels Account eines anderen Benutzers anmelden können. Lässt sich das über einen MAC-Filter realisieren?
Beim eingesetzten Server handelt es sich um einen Windows Server 2019
ich stehe derzeit vor dem Problem das ich einem Teil unserer WLAN-Nutzer den Zugang zum WLAN auf ein Gerät beschränken muss. Unser WLAN-Zugang wird über einen RADIUS-Server kontrolliert. Die Benutzer melden sich dort mit Ihren AD-Accounts an. Dies funktioniert auch reibungslos. Die Zeitliche Steuerung habe ich auch bereits eingerichtet, jedoch habe ich noch keine Möglichkeit gefunden den Zugang auf ein Gerät zu beschränken.
Hintergrund: WLAN-Benutzer die kurzfristig keinen Zugang zum WLAN erhalten sollen, sollen sich nicht mittels Account eines anderen Benutzers anmelden können. Lässt sich das über einen MAC-Filter realisieren?
Beim eingesetzten Server handelt es sich um einen Windows Server 2019
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 636121
Url: https://administrator.de/forum/wlan-kontrolle-ein-geraet-pro-user-radius-636121.html
Ausgedruckt am: 16.02.2025 um 19:02 Uhr
12 Kommentare
Neuester Kommentar
Hallo.
Wie? Gesperrte benutzer melden sich mit einem anderen account an, oder hab ich da was falsch gelesen?
Wie? Gesperrte benutzer melden sich mit einem anderen account an, oder hab ich da was falsch gelesen?
Vielleicht etwas detailierter:
Wir sind eine Jugendhilfeeinrichtung für schwer erziehbare Kinder usw. Soll nun einem dieser Kinder der Zugriff auf das WLAN untersagt werden (erzieherische Maßnahme) könnte er sich aber mittels Account eines anderen Kindes anmelden. Dies muss unterbunden werden. Zuerst würde es reichen wenn jeder Account nur eine Anmeldung zulassen würde. Besser wäre es jedoch die Endgeräte der Kinder irgendwo dem Account des Kindes zu zu weisen damit sich das Kind tatsächlich nur mit dem ihm zugewiesenen Gerät anmelden kann.
Wir sind eine Jugendhilfeeinrichtung für schwer erziehbare Kinder usw. Soll nun einem dieser Kinder der Zugriff auf das WLAN untersagt werden (erzieherische Maßnahme) könnte er sich aber mittels Account eines anderen Kindes anmelden. Dies muss unterbunden werden. Zuerst würde es reichen wenn jeder Account nur eine Anmeldung zulassen würde. Besser wäre es jedoch die Endgeräte der Kinder irgendwo dem Account des Kindes zu zu weisen damit sich das Kind tatsächlich nur mit dem ihm zugewiesenen Gerät anmelden kann.
Ich bin zumindest schon mal soweit das ich die Anmeldung auf ein Gerät beschränken kann. In den AD Einwahleigenschaften kann ich unter Anruferkennung verifizieren die MAC Adresse eines Gerätes eintragen. Jetzt stehe ich nur vor dem Problem das wenn eins der Kinder 2 oder 3 Geräte verwendet müssen die Adressen ja auch dort hinterlegt werden. Das scheint Microsoft aber so nicht vorgesehen zu haben, bzw. habe ich die Syntax dazu noch nicht gefunden.
Ich würde hier an 2 Stellen ansetzen. Das eine ist ein Captive Portal was eben auch prüft ob bereits ein Gerät angemeldet wurde.
Das zweite wäre ne klare Ansage (und das durchsetzen!) das wer seinen Account weitergibt und bemerkt wird auch gleich das ganze gesperrt bekommt. Nem Kiddy das WLAN für 1 Woche sperren kommt zwar einer Folter oder Todesstrafe gleich aber dürfte nach spätestens 2-3x zum Erfolg führen :D. Hoffentlich bekommt ihr nich irgendwann die Familie Trump - dem Twitter zu sperren zählt vermutlich sogar als Anschlag auf die innere Sicherheit der USA :D
Das zweite wäre ne klare Ansage (und das durchsetzen!) das wer seinen Account weitergibt und bemerkt wird auch gleich das ganze gesperrt bekommt. Nem Kiddy das WLAN für 1 Woche sperren kommt zwar einer Folter oder Todesstrafe gleich aber dürfte nach spätestens 2-3x zum Erfolg führen :D. Hoffentlich bekommt ihr nich irgendwann die Familie Trump - dem Twitter zu sperren zählt vermutlich sogar als Anschlag auf die innere Sicherheit der USA :D
Unser WLAN-Zugang wird über einen RADIUS-Server kontrolliert.
Das ist doch perfekt und dann eine Lösung kinderleicht. Du gibst für dieses WLAN einfach nur eine einzige Mac Adresse über den Radius frei:Diese Tutorials erklären dir die Grundlagen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Praxisbeispiele:
Cisco SG 350x Grundkonfiguration
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Klappt natürlich auch alles mit dem NPS Radius Server von MS.
Das ist aber genau mein Problem. Eine MAC Adresse kann ich über die Einwahleigenschaften des Benutzers im AD festlegen jedoch scheitert das Szenario derzeit, wenn ein User mehrer Geräte benutzt.
Die besten Erfolge haben wir bei einer ähnlichen Einrichtung mit zeitbasierten Vouchern erzielt die sich die Kids erarbeiten konnten was pädagogisch angenehme Nebeneffekte hatte, beim Erstellen konnte man beim Lancom die Anzahl an gleichzeitigen Geräten angeben die den Code verwenden durften. Zum Radius kann ich leider nichts beitragen.
Danke für den Tipp, ein Vouchersystem über unsere Sophos UTM haben wir derzeit im Einsatz jedoch kann ich darüber nicht für jeden einzelnen User eine Zeit bestimmen wann er Online gehen darf und wann nicht. Dies soll aber nun erfolgen. Da war mir die Radiuslösung die effektivste.
Ah verstehe, das haben die Betreuer Vor Ort ziemlich analog mittels Zettelausgabe gesteuert 
Bei uns bekommen alle einen 90 Tage Voucher, bei Maßnahmen haben die Erzieher über das Portal die Möglichkeit den Voucher zu sperren, damit die Verwaltung nicht an mir hängen bleibt. Jedoch sollen einige ab ner bestimmten Uhrzeit keinen Zugang mehr haben. Diese Kontrolle fehlt bei dem System und kann über das AD Konto realisiert werden. Ich hab dazu auch bereits ein Powershell Script mit Gui geschrieben damit die Erzieher hier die Kontrolle haben und das auch nicht bei mir hängen bleibt. Jedoch fehlt mir hier jetzt nur noch die Mehrgerätesteuerung 🤯
Hallo,
nur kurz zur Info: Unter Android und Apple iOS ist seit einiger Zeit standardmäßig "MAC Address Randomization" aktiviert, das heißt jedes Gerät würfelt sich eine Zufalls-MAC-Adresse, die sich mit einem Klick auch neu auswürfeln läßt, falls sie z.B. gesperrt wird.
Eine Sperre auf MAC-Basis ist somit in 5 Sekunden ausgehebelt und wirkungslos.
Just my 2c,
ipzipzap
nur kurz zur Info: Unter Android und Apple iOS ist seit einiger Zeit standardmäßig "MAC Address Randomization" aktiviert, das heißt jedes Gerät würfelt sich eine Zufalls-MAC-Adresse, die sich mit einem Klick auch neu auswürfeln läßt, falls sie z.B. gesperrt wird.
Eine Sperre auf MAC-Basis ist somit in 5 Sekunden ausgehebelt und wirkungslos.
Just my 2c,
ipzipzap
Ja aber meines Wissens nach ändert sich bei iOS die MAC Adresse pro Netzwerk, d.h. Da sich der User im gleichen Netzwerk auch die gleiche MAC bekommt. Nur in einem neuen/anderen Netzwerk eine andere Adresse. So haben das auch meine internen Tests ergeben. Bei Android bin ich mir noch nicht sicher, muss ich prüfen, aber ich gehe vom gleichen Prozedere aus.
