marcee 10 Geschrieben 2. Juli 2008 Melden Teilen Geschrieben 2. Juli 2008 Hallo, durch einen Kollegen bin ich etwas verwirrt worden und bräuchte deshalb mal etwas Hilfe. Leider habe ich weder über das m0n0wall-Forum, noch über das Handbuch zur m0n0wall, noch über google etwas zu dem Thema gefunden. Im Forum zur m0n0wall hab ich es auch schon versucht, allerdings scheint das nicht so wirklich gut besucht zu sein. Und zwar geht es darum, ein WLAN zentral verwaltbar zu machen, was die Zugänge angeht. Das Netz sieht ungefähr so aus: AccessPoint 1-3 <-> (Layer-3-)Switch <-> m0n0wall <-> LAN/WAN Die Authentifizierung durch den User soll über das Captive-Portal der m0n0wall erfolgen. Die Frage ist jetzt, was die APs alles können müssen und ob dafür zwingend ein RADIUS-Server notwendig ist. Ich habe mich schon etwas informiert und habe einige Stichwörter aufgeschnappt: 802.1x, EAP/PEAP etc. Was muss ein AccessPoint können, damit User, die sich mit dem AP verbinden, die Seite des Captive-Portals bekommen und sich darüber authentifizieren können? Meiner Meinung nach dürfte das doch keine besonderen Ansprüche an einen AP stellen, oder? Der muss doch eigentlich nur ganz "dumm" jeden Verkehr an die m0n0wall weiter leiten, welche bei einem noch nicht authentifizierten User die Seite des Captive-Portals ausgibt. Darüber muss sich dann der User authentifizieren und bekommt dann ggf. den Zugang zum Netz. Oder liege ich da falsch? Einen RADIUS-Server ist nicht vorhanden, aber AFAIK auch nicht notwendig, da die Zugänge ja in der m0n0wall selbst gepflegt werden sollen. Daher dürfte auch egal sein, ob der AP 802.1x-Fähigkeiten hat oder nicht. Könnt ihr einen AP empfehlen, der sich auch mit anderen APs gut verträgt und entsprechend mit der m0n0wall zusammen arbeitet? edit: Kann mal bitte jemand das Thema nach "Security: Deutschland sicher im Netz" verschieben? Da wollte ich es eigentlich hin haben. :rolleyes: Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 5. Juli 2008 Melden Teilen Geschrieben 5. Juli 2008 Hallo, Und zwar geht es darum, ein WLAN zentral verwaltbar zu machen, was die Zugänge angeht. ... Die Authentifizierung durch den User soll über das Captive-Portal der m0n0wall erfolgen.Damit erzwingst Du aber nur eine Authentifizierung am Captive Portal, wenn der User durch die Monowall hindurch auf "LAN/WAN" zugreifen möchte. Den Zugang zum WLAN selbst kannst Du damit m.W. nicht beregeln. Ob es das ist, was Du möchtest, musst Du selber wissen... Meiner Meinung nach dürfte das doch keine besonderen Ansprüche an einen AP stellen, oder? Der muss doch eigentlich nur ganz "dumm" jeden Verkehr an die m0n0wall weiter leiten, welche bei einem noch nicht authentifizierten User die Seite des Captive-Portals ausgibt.Korrekt. Einen RADIUS-Server ist nicht vorhanden, aber AFAIK auch nicht notwendig, da die Zugänge ja in der m0n0wall selbst gepflegt werden sollen.Beides ist möglich. Wenns sehr viele User sind, würde ich die mit im AD pflegen und per IAS an die M0n0wall anbinden. Daher dürfte auch egal sein, ob der AP 802.1x-Fähigkeiten hat oder nicht.Ja, weil hier schlicht kein 802.1x genutzt wird. Siehe oben. Gruß Steffen Zitieren Link zu diesem Kommentar
marcee 10 Geschrieben 5. Juli 2008 Autor Melden Teilen Geschrieben 5. Juli 2008 Damit erzwingst Du aber nur eine Authentifizierung am Captive Portal, wenn der User durch die Monowall hindurch auf "LAN/WAN" zugreifen möchte. Den Zugang zum WLAN selbst kannst Du damit m.W. nicht beregeln. Ob es das ist, was Du möchtest, musst Du selber wissen... Erstmal danke für die Antwort! Ja, mir ist klar, dass man dadurch das WLAN selber nicht absichern kann. Allerdings wird das in dem Fall irrelevant sein. Es gibt ja allerdings auch APs mit der Funktion, dass die WLAN-Clients sich untereinander nicht sehen. Damit dürfte sich sowas ja auch absichern lassen. Wenn man den Zugang zum WLAN per Captive Portal regeln will, dann geht das doch nur mit einem, direkt in den AP eingebauten, CP, oder? Denn damit man an ein externes CP weiter geleitet werden kann, muss man ja prinzipiell schon Zugang zum WLAN haben. Oder gibt es eine Möglichkeit, den WLAN-Zugang über ein externes CP zu regeln? Beides ist möglich. Wenns sehr viele User sind, würde ich die mit im AD pflegen und per IAS an die M0n0wall anbinden. Nein, hier handelt es sich um relativ wenige User, die auch wechseln. Es geht zB um das WLAN in Schulungsräumen, wo hin und wieder zB Gastzugänge eingerichtet werden sollen. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 6. Juli 2008 Melden Teilen Geschrieben 6. Juli 2008 Es gibt ja allerdings auch APs mit der Funktion, dass die WLAN-Clients sich untereinander nicht sehen. Damit dürfte sich sowas ja auch absichern lassen.Layer2-Isolierung. Bei Gäste-WLANs sicherleich sinnvoll - wenngleich nicht unumgänglich und auch kein Schutz vor Mitsniffen. Wenn man den Zugang zum WLAN per Captive Portal regeln will, dann geht das doch nur mit einem, direkt in den AP eingebauten, CP, oder? Denn damit man an ein externes CP weiter geleitet werden kann, muss man ja prinzipiell schon Zugang zum WLAN haben. Oder gibt es eine Möglichkeit, den WLAN-Zugang über ein externes CP zu regeln?Wenn ich mich Recht entsinne (hab das System erst einmal implementiert), kann das der WFS709TP von Netgear. Ist ein WLAN-Controller, mit dem man sog. Thin-Accesspoints zentral verwalten kann. Mit 3 APs liegt man bei ca. 2100 EUR incl. Märchensteuer. Ein absolutes Schnäppchen, wenn man das mal mit dem Mitbewerb vergleicht - zumal da m.W. eine OEM-Version von Aruba unter der Haube werkelt. Nein, hier handelt es sich um relativ wenige User, die auch wechseln. Es geht zB um das WLAN in Schulungsräumen, wo hin und wieder zB Gastzugänge eingerichtet werden sollen.Für Gastzugänge gibt es eine richtig schicke Lösung von Zyxel: den G-4100v2. Ist ein AP mit integrierten CP und Bondrucker. Das AAA-System gibt es auch als separate 19"-Box: VSG-1200V2 Gruß Steffen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.