DTM

Ist jetzt etwas dirty aber ich habe es inzwischen anders "gelöst". Für die Kombination pfSense und Freeradius gibt es eine ganze Menge an Informationen im Netz und ich habe es jetzt mit Ubuntu Server 20.04.2 LTS / Freeradius 3.0.20 und pfSense CE 2.5.2 in Hyper-V zum Laufen gebracht. Eine große Unterstützung war mir dabei die Seite https://techexpert.tips/de/category/pfsense-de/ Das gute, und darauf war ich auch aus, ist dass bei allen Komponenten wirklich nur die Grundeinstellungen vorgenommen werden mussten. Lediglich die users Datei und die clients.conf Datei unter Debian/Ubuntu (/etc/Freeradius/3.0/) musste angepasst werden. Ich muss drei Szenarien nachbauen, Client/Authenticator/Authentication Server mit Linux/LinuxServer VMs, mit Windows VMs und mit hardware. Primär geht es dabei um den Radius Server und dessen Konfiguration. Die Probleme mit IP Fire waren jetzt eher zweitrangig und hinderlich (Prioritätsmäßig). Nachdem ich mich jetzt mit der Radius Konfiguration beschäftigen kann lasse ich das Setup mit IP Fire erst mal außen vor und schaue es mir ggf. ein andermal wieder an. Notizen hab ich mir dazu gemacht. Aber nochmal vielen Dank für Deine Mühe. Angemeldet hab ich mich jetzt auch bei Administrator.de. Würde den Thread jetzt auch auf ungelöst lassen und Ihn beizeiten ergänzen.. VG DennisTM

Vielen Dank für Deinen Hinweis. Werde ich mir auf jeden fall mal ansehen. Probiere es jetzt erst mal mit einem Switch der Radius kann (muss ich erst besorgen). Wenn das funktioniert bin ich auf jeden Fall schon mal einen Schritt weiter. Prinzipiell sollte bei einem korrekt funktionierenden Radius Server in der Authenticator Konfiguration ja nur die IP/Port des Servers und das Shared Secret (allgemeine RADIUS Einstellungen) ausreichen um eine Reaktion im Radius Debugging zu sehen? VG DTM

Liebe FI, beim Versuch in IP-Fire die Zugriffskontrolle per 802.1x (RADIUS) zu konfigurieren, beiße ich mir die Zähne aus. Vielleicht habt Ihr ja eine Idee. Das Szenario: IP-Fire soll als Authenticator zum Einsatz kommen und nach Radius Abfrage den Zugang von Grün aus ins WAN freigeben. An den IP-Fire Grundeinstellungen wurde nur das Nötigste verändert. Es wurde lediglich die Konfiguration ausgewählt (Rot/Grün/Orange) und die jeweiligen Schnittstellen zugeordnet. Im orangen Netz gibt es einen Freeradius Server (Ubuntu Server). Im grünen Netz befinden sich diverse Clients (Ubuntu/W10). Diese erhalten ihre IP Adressen per DHCP. Das grüne Netz stellt seine Anfragen über den in IP-Fire integrierten Proxy Server. Der Proxy Server läuft nicht im transparenten Modus. Sowohl aus dem grünen als auch aus dem orangen Netz lassen sich von allen Stationen aus Adressen im WAN pingen. Die Clients können den Server anpingen und umgekehrt. Der Radius Server funktioniert mit sich selbst als Client wie im Freeradius Wiki "Getting started" beschrieben. https://wiki.freeradius.org/guide/Getting-Started Der beschriebene Funktionstest ist erfolgreich und die Überprüfung des Kennworts klappt. Der nächste Schritt wäre nun, IP-Fire als Authenticator zu konfigurieren. Dafür gibt es in der Benutzeroberfläche nur eine Hand voll Einstellungen. https://wiki.ipfire.org/configuration/network/proxy/wui_conf/auth/radius Ich habe folgende Einstellungen festgelegt.. IP und Ports (1812/1813) des Radius Servers, das Shared Secret für die Anmeldung des Authenticators und den Hostnamen des Radius Servers. Außerdem benutzerbasierte Zugriffsbeschränkung aktiviert und in der entsprechenden Whitelist einen existierenden Benutzer eingetragen (der im Funktionstest mit 127.0.0.1 als Client auch funktioniert). Die Clients verbinden sich allerdings nach wie vor direkt per DHCP und haben Zugang zum Internet. An dieser Stelle weiß ich nicht weiter. Auf dem Radius/Ubuntu Server habe ich testweise die Firewall deaktiviert. Vielleicht habt Ihr eine Idee in welche richtung ich recherchieren könnte oder woran ich vielleicht noch nicht gedacht habe. Leider findet man sehr wenig zu IPFire / Radius im Netz.. VG Dennis

Es sollte TP-Link heißen. NICHT D-Link

nachdem ich über den Support Chat auch an die Handbücher gekommen bin, konnte ich herausfinden dass in der Konfiguration für den AP selbst, ein Radius Server angegeben werden kann. Ich schließe daraus, dass es so funktioniert. BTW selbes Problem bei der Kombination von D-Link Geräten. Hier scheint es beispielsweise zwingend notwendig zu sein, einen "passenden" Switch vom selben Hersteller vor den AP zu schalten. Ist halt dann ein Ausschlusskriterium.

Hallo, momentan befasse ich mich mit der Einrichtung von WLAN in einem Bürogebäude. Es gibt mehrere Etagen und in jeder Etage sollen mehrere WLAN AP installiert werden. Die Zugriffskontrolle soll zertifikatsbasiert erfolgen (802.1x). Am Gebäudeverteiler hängt ein NPS. Wenn ich keinen Denkfehler habe, reicht es, wenn im LAN ein WLAN Controller zur Verwaltung der AP installiert ist und die AP über die Etagenverteiler erreichbar sind (selbes Subnet oder VLAN). Ein dazwischen geschalteter zusätzlicher Switch als Authenticator ist nicht notwendig. Die AP übernehmen diese Funktion. Richtig oder falsch? Bin mir unsicher. Bitte korrigiert mich wenn ich falsch liege. Ich kann aus den Herstellerangaben nicht herauslesen wie es sich verhält. Beide Geräte "können" 802.1x. Im konkreten Fall geht es um folgende Kombination. WLAN Controller: https://eu.dlink.com/de/de/products/dnh-100-nuclias-connect-hub AP: https://eu.dlink.com/de/de/products/dap-2610-wireless-ac1300-wave-2-dualband-poe-access-point Über konstruktive Einlassungen würde ich mich freuen.

Danke. Das freut mich. Dann werde ich es bei Gelegenheit mal so versuchen. 👍

Hallo Allerseits, ich hab da ein Problem und würde mich freuen wenn mir vielleicht jemand einen Tipp geben könnte. Ich bin 45 und mache gerade eine Umschulung. Die Ausbildung ist noch nicht so weit fortgeschritten und ich bin Quereinsteiger. Es kann also sein dass ich nicht unbedingt den perfekten Terminus technicus verwende, auch mal etwas auf dem Schlauch stehe oder kompletten Blödsinn erzähle weil ich etwas noch nicht ganz oder falsch verstanden habe. Ich hoffe Ihr seht mir das nach. Ansonsten bin ich sehr lernwillig und freue mich über jeden konstruktiven Hinweis. So viel dazu (ist mein erster Beitrag). Folgende Situation. Ich möchte hinter einer Fritzbox 7430 einen VPN Server (IP Fire Open VPN) erreichen können. Das eigentliche lokale LAN steht per WLAN meiner Familie zur Verfügung. Für Gäste die ins Internet möchten, ist die integrierte Gastnetzfunktion aktiviert. An einen Port der Fritzbox möchte ich IP Fire Hardware (umfunktionierter Thin Client) anschließen und aus dem WAN über die Fritzbox mittels VPN Tunnel auf die DMZ zugreifen können. Zu Übungszwecken und um mich heranzutasten habe ich erstmal eine VPN Verbindung in das eigentliche Teilnetz der Fritzbox eingerichtet. Sowohl per Linux-, Windows- und Mac OS läuft alles und ich kann alle Geräte im Netz erreichen. Wahrscheinlich könnte ich jetzt einfach die Server in das selbe Netz nehmen und daraus quasi die DMZ machen und alle Clients an einen Switch hängen und in ein eigenes Teilnetz verfrachten. Der Gedanke war, das bereits bestehende lokale Netz komplett der Familie vorzubehalten und quasi von außen bis zum VPN Server einen "zweiten" Tunnel einzurichten so dass ich dann über die eine Verbindung "nur" im lokalen Netz lande, und über die andere in einem Netz das dahinter liegt. Also komplett voneinander abgetrennt. Natürlich würde nur jeweils eines genutzt werden. Im Moment denke ich an DynDNS und eine Portweiterleitung. Ist das ein sinnvoller weg oder denke ich da in die falsche Richtung. Vielleicht ist das auch Quatsch aber es muss doch zu realisieren sein. Leider komme ich einfach nicht dahinter wie ich das hin bekomme. Vielleichthabt Ihr ja einen Tipp für mich. Viele Grüße