Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Über WLAN mit RADIUS in VLAN mit Zugriff auf Kabelgebundenes Netzwerk

Mitglied: felixcc

felixcc (Level 1) - Jetzt verbinden

02.02.2011, aktualisiert 18.10.2012, 6178 Aufrufe, 6 Kommentare, 1 Danke

Hallo Zusammen,

nach langer Recherche über RADIUS-Server bin ich des öfteren über dieses Board gestolpert.
Da ich eine Lösung auf meine Fragestellung nicht finden konnte, hoffe ich nun, dass ihr -wie mir scheint- sehr kompetenten Mitglieder mir ein wenig helfen könnt.

Ich habe sowohl die Boardsuche, als auch Google bereits bemüht, konnte allerdings keine Lösungen für mein Problem finden.
Das könnte allerdings auch dran liegen, dass ich mich auf diesem Bereich so gut wie garnicht auskenne und deswegen vielleicht nach den falschen Begriffen gesucht habe.
Sollte dieses Thema also schon angesprochen worden sein, würde ich mich über einen Link dorthin sehr freuen.
Ansonsten bin ich natürlich über jeden hilfreichen Hinweis dankbar!!


So, nun kommen wir mal zu meinem Problem.
Ich bin auf der Suche nach einer sicheren Lösung für folgende Anforderungen:
1) sicheres WLAN
2) weiträumige Abdeckung von WLAN
3) Zugriff von festgelegten Geräten (2-5 Stück) über das WLAN auf einen mit Kabel verbunden PC
4) Andere Geräte (ca. 50 oder mehr) dürfen auf keinen Fall Zugriff auf diesen PC bekommen und nutzen WLAN nur, um in das Internet zu kommen.

Das ist mal ganz grob zusammengefasst die Anforderung.
Ich habe mir dazu folgendes überlegt.
1) WPA2-Verschlüsselung, da viele Endgeräte im Spiel sind mit RADIUS-Server.
2) mehrere APs mit Lankabel über Switch verbunden (Netzplan weiter unten im Beitrag)
3/4) VLANs für die beiden Benutzergruppen einrichten.

Ich habe leider momentan kein Visio oder ähnliches zur Verfügung und versuche deshalb den Plan hier recht einfach zu skizzieren.

- - - - = Lankabel
) ) ) ) = WLAN-Verbindung



_ _ _ _ AP2 ) ) ) ) ) ) Laptop3
|
|
Switch - - - - - - - - - - RADIUS-Server
| | |- - - - - - - - - - - - Router ? - - - - - Internet?
| | - - - - - - - - PC1
|
AP3 ) ) ) ) ) Laptop2
) ) ) ) ) ) ) Laptop 1

Ich werde wohl einige APs mehr benötigt, aber fürs Prinzip sollte die Zeichnung genügen.
Die Sache mit dem Internet ist mir nicht ganz so wichtig.
Wichtig ist folgende Sache:
- Laptop2 soll nach der Authentifizierung über RADIUS eine sichere Verbindung zu PC1 bekommen, eine Verbindung zu anderen Geräten im Netztwerk ist nicht erwünscht.
- Laptop 1 und 3 hingegen, sollen sich auch Authentifizieren können und den Zugriff auf das WLAN gestattet bekommen, sie sollen allerdings nichts von PC1 oder Laptop3 mitbekommen. Eine Internetverbindung für diese beiden Laptops wäre optional (ist wie gesagt aber nicht ganz so wichtig)


Für den RADIUS-Server habe ich FreeRadius gefunden, was mir sehr gut gefällt (Ich hab aber noch keinerlei Erfahrung auf diesem Gebiet.)
Die APs müssen hierzu auch RADIUS-FÄHIG sein und werden als Radius-Clients eingetragen. Soviel ist mir auch schon klar.
Ich weiß auch, dass man im Radius-Server nun konfigurieren kann welcher Benutzer in welches VLan gesteckt wird.
Prinzipiell ist mir also die Vorgehensweise klar, wie ich mein Problem lösen könnte, wenn der PC über einen AP verbunden wäre.

Wie ist es nun aber mit einem lokal im Netz angeschlossenen PC. Geht das überhaupt, neben den APs einen PC anzuschließen?
Wenn nein, wie muss ich es dann machen und wenn ja, wie bekomme ich es dann hin, dass er im gleichen VLan landet wie der Laptop2 und auf garkeinen Fall von den anderen Geräten auf ihn zugegriffen werden kann?
Wo müsste ich denn hier Firewalls richtig einsetzen?
Ist das Konzept, so wie ich es mir überlegt hab überhaupt möglich?



So viele Fragen... ich hoffe ihr könnt mir helfen!
Vielen Dank

Felixcc
Mitglied: aqui
02.02.2011, aktualisiert 18.10.2012
Dieses Tutorial hast du gelesen ??

https://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...

In Kombination mit:

https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

ist die Umsetzung deines Vorhabens ein Kinderspiel....
Bitte warten ..
Mitglied: felixcc
07.02.2011, aktualisiert 18.10.2012
Vielen Dank für die schnelle Antwort.

Ich habe mich jetzt überall durchgearbeitet und mir ist zusammen mit diesem Artikel:
https://www.administrator.de/wissen/netzwerk-zugangskontrolle-mit-802.1x ...
das Funktionsprinzip klargeworden.
Leider habe ich noch keine Hardware da, um zu testen....

Nur noch eine kleine Frage:
In einem wie oben beschriebenen Netzt mit 802.1x Authentifizierung, ist da WLAN-Roaming möglich, bzw was muss ich beachten um eine Neuanmeldung an jedem AP zu vermeiden?
Bitte warten ..
Mitglied: aqui
07.02.2011 um 21:38 Uhr
Das ist mit Konsumer standalone APs nicht zu machen ohne Neuanmeldung. Alternative ist du benutzt Zertifikate zur Anmeldung dann musst du nix eintippen.
Ansonsten geht das nur mit Roaming fähigen oder Controller basierten APs...die dann aber etwas teuerer sind
Bitte warten ..
Mitglied: felixcc
08.02.2011 um 13:40 Uhr
Vielen Dank für deine schnelle und informative Antwort, aqui.

Meinst du mit Zertifikat-basierende Anmeldung z.B. Authentifizierung über EAP-TLS oder verwechsel ich da jetzt etwas?
Was wäre denn die aktuellste und sicherste Möglichkeit eine solche zertifizierte Authentifizierung zu realisieren? EAP-TTLS?

Wird dabei Roaming unterstützt oder kommt es dem Benutzer nur so vor, weil er von der Neuanmeldung nichts mitbekommt?
Prinzipiell müsste es möglich sein, eine VNC-Verbindung ohne Verbindungsabbruch aufrecht zu erhalten, wenn der ClientPC sich frei zwischen den APs bewegt.

Das ganze sollte den höchstmöglichen aktuellen Sicherheitsmaßnahmen gerecht werden.
Ist bei einer RADIUS-Authentifizierung fürs WLAN noch ein VPN-Tunnel zwischen dem VNC-Server und VNC-Client zu empfehlen?
Bitte warten ..
Mitglied: aqui
08.02.2011, aktualisiert 18.10.2012
Zu deinen obigen Fragen siehe dies Tutorial:
https://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
Dort ist die Zertifikats Variante detailiert erklärt !
Ein wirkliches Roaming gibt es bei Konsumer APs nicht, deshalb kommt es dem Nutzer nur so vor, da er kein Passwort eingeben muss. Einen kleinen Hänger wirst du also immer haben.
Zudem kommt es auf dein Client Roaming Verhalten an im Treiber des Rechners. Die meisten Billigchipsätze wie Realtek, Ralink und Co. sind da wirklich mies. Die roamen erst wenn wenn die Bandbreite unter 1 oder 2 Mbit sinkt und der andere AP schon um die Ecke ist.
Bessere Clients wie die von Atheros und Intel bieten in den Treiber Settings oft den Button "Agressive Roaming" den man immer aktivieren sollte wenn ein schnelles Roaming erforderlich ist.
Leider ist das komplett Client abhängig wenn du keine Controller basierende WLAN Lösung hast !
VNC ist schon verschlüsselt allerdings hängt der Grad der Verschlüsselung von der verwendeten Version ab zu der du leider nix sagst
http://de.wikipedia.org/wiki/Virtual_Network_Computing
Letztlich ist damit dann kein Tunnel notwendig aber mit einem entsprechend sicher verschlüsselten VPN ist es dann absolut wasserdicht. Muss aber nicht unbedingt sein.
Bitte warten ..
Mitglied: felixcc
08.02.2011 um 16:03 Uhr
Lieber aqui,

schon wieder so schnell so gut geholfen!!!
Vielen Dank dafür!!

Ich kann weder zu der verwendeten VNC-Version noch zu der verwendeten Hardware Aussagen treffen, da sie noch garnicht angeschaft worden sind.
Bzw Es wird das beschafft, was die Anforderungen erfüllen kann.


Soweit ist dann alles klar,
ich danke die sehr für deine kompetente und qualifizierte Hilfe!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN

gelöst Frage von hummusLAN, WAN, Wireless65 Kommentare

Liebe Experten, ich habe eine pfSense als Router und mehrere Zyxel GS1900-Switche im Einsatz. Dort hängen aktuell zwei MikroTik ...

Windows Server

RADIUS Authentifizierung in WLAN

Frage von osze90Windows Server7 Kommentare

Hallo Ich bin bald sicher 1 Jahr a üben aber bringe es einfach nicht hin. Da das ursprüngliche Thema ...

Router & Routing

VLan Netzwerk aufbauen

gelöst Frage von MacLifeRouter & Routing3 Kommentare

Hallo Leute, ich bin dabei unser normales Netzwerk in einzelne VLans aufzuteilen. Jedoch möchte ich bevor ich auf unserem ...

LAN, WAN, Wireless

Mein Netzwerk mit VLAN und Routing (Voip,-Lan,- Wlan)

Frage von theunixLAN, WAN, Wireless6 Kommentare

Hallo Zusammen, Ich bräuchte euer Hilfe. Ich möchte mir gerne ein kleines Netzwerk einrichten. Folgendes habe ich an Hardware. ...

Neue Wissensbeiträge
Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 10 StundenSicherheit1 Kommentar

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 2 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 5 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 6 TagenOff Topic16 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Heiß diskutierte Inhalte
Windows 10
OneDrive: GUI lädt, move nicht
Frage von holliknolliWindows 1028 Kommentare

Hallo liebe alle, befindet sich jemand aus dem Kreise der MS-Developer, speziell Onedrive unter den Teilnehmern hier? Frage: warum ...

Router & Routing
Fritzbox Feste IP-Adresse Zugang
gelöst Frage von TobiTobiRouter & Routing19 Kommentare

Guten Tag liebes Forum, Ich habe ein Problem wo ich nicht weiterkomme! Situation: Netzwerk: DSL-Modem(daytrec)-OPNSense-Netzwerk Habe aktuell mein Anschluss ...

Festplatten, SSD, Raid
Backup einer an die FRITZBox angeschlossenen Festplatte
Frage von DJ-KeyFestplatten, SSD, Raid16 Kommentare

Habe eine Frstplatte, die mehrere Partitionen beherbergt. Die Festplatte die an der FRITZ!Box als NAS dient ist schon älter ...

Netzwerke
Wake on Lan funktioniert nicht durch VLANs
gelöst Frage von NetworkersvennyNetzwerke11 Kommentare

Hi Leute, Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ...