Guten Morgen.

Ich wurde damit beauftragt die Sicherheit unserer WLAN Umgebung in der Firma zu verbessern. Hierzu sollen alle Mitarbeiter über ihre Benutzeranmeldung der Firmendomäne ins WLAN gelangen....soweit so einfach. Probleme habe ich momentan mit der Umsetzung einer Lösung für Besucher der Firma. Diese sollen ebenfalls über eine Benutzeranmeldung Zugang zum WLAN erhalten und einzig und allein Zugang zum Internet erhalten. Bisher haben wir in einem separaten Büro einen Hot Spot zu einem zweiten DSL Anschluss der Firma für diesen Zweck. Meine erste Idee war es, die Besucher sich ebenfalls an den Access Points zum Firmennetz anmelden zu lassen (über eine zweite SSID) und diese dann in ein separates VLAN zu stecken. Leider habe ich es nicht geschafft diese Idee bei unseren Access Points (CISCO Aironet 1200) umzusetzen. Diese können zwar eigene VLANs einrichten, aber es soll ja ein eigenes, im Firmenswitch erstelltes, VLAN genutzt werden.

Meine zweite Idee: Seperate Access Points für Gäste...diese dann per Port Based VLAN über unsere Switche bis zum Hot Spot des zweiten DSL Anschlusses verbinden und über die zweite Netzwerkschnittstelle des RADIUS Server diesen ebenfalls mit diesem VLAN zu verbinden. Hier bekomme ich aber folgendes Problem: Unsere Mitarbeiter sollen sich nicht an diesem Netz für Besucher anmelden können (Vorgabe Geschäftsleitung). Ich weiss aber nicht ob und wie man die Anmeldung über den RADIUS Server trennen kann für beide Netze (RADIUS Server ist momentan ein Windows Server 2003 R2 mit IAS)


Ich weiss...viel Text aber ich hoffe ich habe es verständlich beschrieben. Hat vielleicht jemand eine Idee wie ich dieses Problem lösen könnte?

Vielen dank

ich würde als radius server den Cisco ACS Server empfehlen...
Habe das letztens erst bei uns umgesetzt, erstmal nur für das wired Netz, aber am WLAN bin ich dran.
will das genau so machen wie du...2 SSIDs, Mitarbeiter authentifizieren sich über den Domänenaccount (PEAP-MS-CHAPv2) und kommen in das normale Netz. Gäste authentifizieren sich einfach gar nicht und werden automatisch in das Gast-VLAN gesteckt. Diese Lösung wäre am einfachsten, da die Gäste so überhaupt keine Einstellungen an ihren Rechnern durchführen müssten. Auf dem ACS kann man das wunderbar festlegen.
die nötigen befehle auf dem Cisco Switch bzw. AP lauten:

authentication event fail action authorize vlan xxx
authentication event no-response action authorize vlan xxx

* 1 50 WS-C2960-48TC-L 15.0(1)SE C2960-LANBASEK9-M

Schau dir das mal an:
Öffentlicher Internet-Zugang per WLAN HotSpot – gesetzeskonform

Kombiniert mit dem WLAN-Controller ist das eine super Lösung! Läuft bei uns wie geschmiert.
Du hast eben die Möglichkeit, mehrere SSIDs anzulegen z.B. eine für die Mitarbeiter (VLAN-ID 2) und eine für die Gäste (VLAN-ID 3). Dann kannst du dem Router sagen, dass er alles, was über die Gast-SSID reinkommt, über einen externen RADIUS-Server laufen soll.
Den Traffic könnte man anschließend mit einer Stateful Inspection Firewall reglementieren, sodass Gäste nur Zugriff aufs Internet haben dürfen.

Grüße
Fl0