casitsb
Goto Top

WLAN Zugriffsverwaltung mit Windows 2008 R2 (NPS)

Hallo Wissende,

ich stehe vor einer Herausforderung und bin wohl mittlerweile etwas blind geworden, seit einiger Zeit versuche ich mittels Radius/NPS (Windows 2008R2) zwei WLANs zu verwalten.
Die Einrichtung der Authentifizierung mittels RADIUS habe ich mit einem Guide vorgenommen, in der "Standard"-Ausführung läuft das Ganze auch ohne Probleme.
Leider handeln diese Guides immer nur den soeben erwähnten "Standard" ab, ein WLAN mit einem RADIUS Server.


Das Ziel und damit meine Aufgabe:
Meine Firma wünscht die Bereitstellung zweier WLANs (A & B).
WLAN A ist für die Notebooks der Kollegen mit Zugriff auf das Intranet sowie das Internet via Proxy (einfach ausgedrückt, statt dem Netzwerkkabel wird das WLAN genutzt)
WLAN B ist für die Smartphones der Kollegen mit direktem und freien Zugriff auf das Internet OHNE Zugriff auf das interne Netzwerk. (separates VLAN, eigener IP-Kreis)


Zusammenfassung der Anforderungen:
- WLAN A für Notebooks
- WLAN B für Smartphones
- Notebooks dürfen nicht in das WLAN B
- firmeneigene Smartphones dürfen nicht in das WLAN A
- firmenfremde Smartphones dürfen nicht in das WLAN B
- Sicherstellung, dass Unbefugten kein Zugriff gewährt wird


Meine Idee:
WLAN A Zugriff mit User-Zertifikat (EAP-TLS), WLAN B Zugriff mit Username und Passwort (PEAP).
An die Notebooks wird das Zertifikat verteilt bzw. die User dürfen dieses selber anfordern, die Smartphones erhalten dieses Zertifikat nicht
Gruppe 1 "WLAN - Geräte" beinhaltet die Notebooknamen die auf WLAN-A zugreifen dürfen.
Gruppe 2 "WLAN - User" beinhaltet die Domänenbenutzer, die mit Ihrem Smartphone auf das WLAN B zugreifen dürfen.
die Smartphones sind nicht im AD erfasst!


Offene Fragen aus meiner Sicht:
- Unterbindung des Zugriffs der Notebooks auf WLAN B
- Unterbindung des Zugriffs von nicht firmeneigenen Smartphones auf WLAN B


Zur Umsetzung:

In meiner Testumgebung befindet sich der besagte Windows 2008R2 Server, alle benötigten Rollen (DC, CA, NPS, etc) sind installiert.
Ich habe nun das WLAN A eingerichtet und den RADIUS Server konfiguriert. Eine Verbindung mit dem WLAN A war leider erst zum Zeitpunkt
der Aufnahme des Domänenbenutzers in die Gruppe "WLAN - Geräte", welche als Einschränkung für das WLAN A genutzt werden sollte, möglich.

Soweit so gut / schlecht! Eine Eingrenzung auf bestimmte Geräte ist nicht möglich - ausschließlich auf Benutzerebene??? --> Das kann m.E.n. nicht richtig sein?!

Wenn ich die Richtlinie für das zweite WLAN einrichte, habe ich zwei unterschiedliche Phänomene,
entweder benötige ich auch für das WLAN B das Zertifikat oder wenn ich die Reihenfolge der Richtlinien vertausche,
genügt die Authentifizierung via Benutzername und Passwort um eine Verbindung mit dem WLAN A herzustellen.

Laut meinem Verständnis, bedeutet dies, dass der NPS nicht wie gedacht Richtlinie 1 für WLAN-A und Richtlinie 2 für WLAN-B nutzt
und auch nicht wenn eine Richtlinie nicht greift, zur anderen wechselt. --> Schade eigentlich - hätte so einfach sein können! face-smile

Konnte mir noch jemand folgen und weiß vielleicht, was ich wie machen muss, damit die Realisierung noch umsetzbar ist?
Ist eine Eingrenzung über die Geräte wirklich nicht möglich - nur über die Benutzer oder liegt dies an der Authentifizierung über ein Benutzerzertifikat?
Besteht wirklich nicht die Möglichkeit, eine Richtlinie einem WLAN zu zuordnen?

Wenn euch etwas an Informationen fehlt, meldet euch!

Danke im Voraus!

Content-Key: 258010

Url: https://administrator.de/contentid/258010

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: aqui
aqui 18.12.2014 aktualisiert um 16:23:09 Uhr
Goto Top
Konnte mir noch jemand folgen und weiß vielleicht, was ich wie machen muss, damit die Realisierung noch umsetzbar ist?
Ja, das ist ein simpler Allerwelts Klassiker und keine große Herausforderung für einen Netzwerk Admin !

Das macht man sinnigerweise mit APs die mSSID supporten also das Mapping virtueller WLAN SSIDs auf eine VLAN ID.
Die Kommunikation der VLANs die ja dann diese beiden WLANs beherbergen regelt man mit einer Router Accessliste oder wer ganz sicher gehen will mit einer Firewall und ggf. Captive Portal Option.

Wie das alles technisch sehr einfach zu lösen ist beschreibt ein hiesiges Forumstutorial mit einem Praxisbeispiel für genau diese Anwendung von dir:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: sk
Lösung sk 19.12.2014, aktualisiert am 22.12.2014 um 11:18:30 Uhr
Goto Top
@aqui: Den Ausführungen des TO kann man m.E. entnehmen, dass der AP zwei SSIDs anbietet und diese auf unterschiedliche VLANs gemappt sind.


@casitsb: Deine Ausführungen sind leider etwas verworren und es fehlen leider die entscheidenden Informationen. So ist zum Beispiel nicht ersichtlich, wie die Policies des NPS konkret konfiguriert sind und auch nicht, ob die dienstlichen Notebooks für das WLAN A Domainmember sind.


Zitat von @casitsb:
Ich habe nun das WLAN A eingerichtet und den RADIUS Server konfiguriert. Eine Verbindung mit dem WLAN A war leider erst zum
Zeitpunkt der Aufnahme des Domänenbenutzers in die Gruppe "WLAN - Geräte", welche als Einschränkung für das
WLAN A genutzt werden sollte, möglich.
Soweit so gut / schlecht! Eine Eingrenzung auf bestimmte Geräte ist nicht möglich - ausschließlich auf
Benutzerebene??? --> Das kann m.E.n. nicht richtig sein?!

Sollten die dienstlichen Notebooks Mitglied der Domäne sein, dann empfehle ich diese mittels PEAP gegen die Computerkonten im AD zu authentifizieren.


Zitat von @casitsb:
Wenn ich die Richtlinie für das zweite WLAN einrichte, habe ich zwei unterschiedliche Phänomene,
entweder benötige ich auch für das WLAN B das Zertifikat oder wenn ich die Reihenfolge der Richtlinien vertausche,
genügt die Authentifizierung via Benutzername und Passwort um eine Verbindung mit dem WLAN A herzustellen.
Laut meinem Verständnis, bedeutet dies, dass der NPS nicht wie gedacht Richtlinie 1 für WLAN-A und Richtlinie 2 für
WLAN-B nutzt und auch nicht wenn eine Richtlinie nicht greift, zur anderen wechselt.

Du musst halt in den NPS-Policies auswerten, in welches WLAN sich der Client versucht einzubuchen. Diese Information muss der Accesspoint dem RADIUS-Server in irgend einer Form liefern. Ich habe vergleichbare Projekte mit Zyxel und Meru umgesetzt. Zyxel liefert als "Called-Station-ID" die SSID. Meru hingegen den Namen des zugehörigen Konfigurationsprofils. Beides ist geeignet, um entsprechend zu filtern. Was Dein Accesspoint liefert, schreibt Dir Dein NPS ins Logfile...


Gruß
sk
Mitglied: aqui
Lösung aqui 19.12.2014, aktualisiert am 22.12.2014 um 10:48:54 Uhr
Goto Top
Den Ausführungen des TO kann man m.E. entnehmen, dass der AP zwei SSIDs anbietet und diese auf unterschiedliche VLANs gemappt sind.
Richtig, würde man erstmal aus der Schilderung so verstehen, aber obs stimmt ?!
Mitglied: casitsb
casitsb 22.12.2014 um 11:17:57 Uhr
Goto Top
Fälschlicherweise hab ich den letzten Beitrag als "Lösung" markiert... ich sollte erst lesen, dann klicken!

Ich danke euch für eure Anregungen und Ideen, "leider" werde ich erst im neuen Jahr dazu kommen, diese umzusetzen / zu testen...

ja das ist richtig, es gibt bereits zwei SSIDs (Produktivsystem), diese sind auch auf zwei unterschiedliche VLANs gemappt, die Notebooks sind Mitglieder der Domäne, die einzigen Geräte, die nicht in die Domäne eingebunden sind, sind die Smartphones der Kollegen.

Dass meine Ausführungen verworren sind, wundert mich nicht... Entschuldigung dafür! Sicher ein Grund, da ich beim schreiben geistig zwischen Test- & Produktivumgebung hin und her gewechselt bin...

Mein Kernproblem ist, die Zuordnung der Richtlinien zu ihren SSIDs und ich denke, dass sk mir hier den richtigen Aufhänger gegeben hat!
Ich denke HP hat seinen Netzwerkprodukten die Fähigkeit gegeben, mir die benötigten Informationen zu liefern! Manchmal ist die Lösung so einfach!

Ich habe meine Hausaufgaben erkannt! face-smile


Ich wünsche euch ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr! Sobald ich neue Informationen habe, werde ich berichten!

mfg

casitsb
Mitglied: sk
sk 22.12.2014 um 11:48:52 Uhr
Goto Top
Zitat von @casitsb:
die Notebooks sind Mitglieder der Domäne

Dann kannst Du diese gegen eine Gruppe, welche die Computerkonten enthält, authentifizieren und vorallem auch die clientseitigen WLAN-Settings komplett über Gruppenrichtlinien steuern.


Zitat von @casitsb:
Ich denke HP hat seinen Netzwerkprodukten die Fähigkeit gegeben, mir die benötigten Informationen zu liefern!

Definitiv.

Zitat von @casitsb:
Ich wünsche euch ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr!

Danke, Dir auch!


Gruß
sk
Mitglied: aqui
aqui 22.12.2014 um 14:50:25 Uhr
Goto Top
Ich denke HP hat seinen Netzwerkprodukten die Fähigkeit gegeben, mir die benötigten Informationen zu liefern!
Na ja....in ihrem Kundensegment wo sie sich tummeln sicherlich...in anderen eher weniger aber dafür ists halt HP face-wink
Mitglied: casitsb
casitsb 07.01.2015 um 09:40:23 Uhr
Goto Top
Guten Morgen zusammen und ein frohes und gesundes neues Jahr!

es läuft - wie zu erwarten!

Was habe ich getan:
Die Umsetzung der angesprochenen Auswertung der SSIDs in die Anforderungs- & Netzwerkrichtlinien einbinden (das hat sk angesprochen) .
Durch die Aufnahme der "Empfangs-ID" (Called-Station-ID) unter den Bedingungen ist dies gewährleistet.
Da es bei dem von meiner Firma eingesetzten HP MSM Controller nicht die Möglichkeit gibt, ausschließlich die SSID als Called-Staion-ID zu senden (nur Kombi aus MAC & SSID), muss dies bei der Auswertung berücksichtigt werden.
Zwei Sachen, die vielleicht für andere hilfreich sein können:

ein Fix für die "IASNAP.dll" :
http://support.microsoft.com/kb/2599437/EN-US

eine kleine Hilfe für den Einsatz von Wildcards und RegEx:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/fa662135 ...

Den Fix musste ich nicht anwenden, die "IASNAP.dll" unserer NPS hat die Versionsnummer 16385 und ist von 2009, hier scheint es noch keine Probleme zu geben.

Der Einfachheit halber, habe ich die Authentifizierung, so wie sk vorgeschlagen hat, gegen die Computerkonten im AD laufen lassen.


Was mache ich mit den Smartphones?
Die User sind in der Domäne, die Smartphones durchlaufen unsere Abteilung einmalig bei der Einrichtung (Softwareinstallation & Konfiguration).
Um keine Whitelist auf dem Controller pflegen zu müssen, bin ich gedanklich bei Userzertifikaten. Für andere Ideen bin ich offen! face-smile

mfg
Mitglied: aqui
aqui 07.01.2015 um 09:43:28 Uhr
Goto Top
Registrier die Mac Adressen der Smartphones und lass die Authentisierung gegen die Mac Adresse laufen wenn dir das als Security reicht...
Ansonsten User Zertifikate.