RADIUS

LAN, WLAN, Routing, Netzwerk-Hardware/-Programme und vieles mehr.

Moderatoren: coolmann, chillmensch

Benutzeravatar
Takato
Beiträge: 1913
Registriert: 07.01.2005, 12:06

RADIUS

Beitragvon Takato » 25.11.2010, 15:03

Hi,
ich verwalte ein kleines Netzwerk (bis jetzt nur LAN) und ich will es um einen WLAN zugang erweitern.
Dies will ich über eine art RADIUS machen, dass also die Leute die ins Netz wollen sich authentifizieren müssen um eine Verbindung zu bekommen.
Als Hardware habe ich einen Windows 2003 Server und einen uralte TP-LINK WLAN Router.
wie kann ich das am besten machen, OHNE dass alle PCs in einer Domäne oder der gleichen sein müssen?
Ich hab das mal mit dem IAS von Windows Probiert, aber da müssen irgendwie alle User, die sich anmelden wollen, auch an der Domain angemeldet sein.
Ich habe nich wirklich viel ahnung davon, aber würde das gerne umgesetzt bekommen.
und ein anderes OS ist keine alternative ;)

Benutzeravatar
schmidtsmikey
Site Admin
Beiträge: 8969
Registriert: 08.12.2003, 21:50
Wohnort: Hamburg
Kontaktdaten:

Re: RADIUS

Beitragvon schmidtsmikey » 25.11.2010, 19:42

Erste Frage: wer soll sich wo authentifizieren? Am WLAN? Das machst Du am Router (WPA2-Verschlüsselung).

Windows Domäne brauchst Du, um bsp. zentral Benutzer zu administrieren (sicherlich ist das nur ein gaaaaanz kleiner Teil der Windows-Domäne).

Sag uns doch einfach, was Dein konkretes Ziel ist.

Benutzeravatar
Takato
Beiträge: 1913
Registriert: 07.01.2005, 12:06

Re: RADIUS

Beitragvon Takato » 25.11.2010, 22:38

Also konkret geht es bei uns an der Uni um unser Fachschaftsraum.
Wir haben 5lokale PCs zur verfügung die mit nem Server und nem Drucker in nem kleinem Netzwerk sind.
Die Rechner sind in ner Domäne und wir wollen das System erweitern, dass die Studenten sich über ein WLAN ins Netz einklinken können.
Es soll aber nachvollziehbar sein, wer rein geht.
Also nicht ein Passwort auf dem AP und jeder kann rein, sondern jeder der will, kann sich registrieren und bekommt dann ein Login.
Bei uns in der Uni gibbet sowas schon betrieben von der CampusIT, jedoch ist der empfang bei uns schlecht.
so wollen wir das auch bei uns machen.
Dieser beschränkte zugang ist aber Vorraussetzung, damit wir das WLAN aufmachen dürfen (sagt die CampusIT).
zZ geht das WLAN noch nicht.
Ich wollte es anfangs einmal mit 802.1X und IAS ausprobieren, jedoch müssen dann wohl die ganzen Clients, die ins Netz wollen ziemlich viele Sachen bei sich am Rechner umstellen UND der Domäne beitreten, damit das mit den Windows Server boardmitteln klappt.
Beim Netz ver CampusIT geht das da einfacher:
du loggst dich auf dem unverschlüsselten Netzwerk ein.
Öffnest irgendeine Seite und wirst auf die Login Seite der CampusIT geschickt, wo du dich anmelden musst mit deinem persönlichem Login.
Danach kannst du normal surfen.
Sowas in der Art will ich bei uns auch einrichten.
Achja: die CampusIT fragen, wie die das gemacht haben kommt aus div. Gründen nicht in Frage ;)
Ich hoffe ich habe es etwas besser schildern können und jemand hat ne idee

Benutzeravatar
schmidtsmikey
Site Admin
Beiträge: 8969
Registriert: 08.12.2003, 21:50
Wohnort: Hamburg
Kontaktdaten:

Re: RADIUS

Beitragvon schmidtsmikey » 26.11.2010, 16:06

Naja, im Prinzip ist es das, was die öffentlichen "Bezahl-WLANs" machen. Man kann sich verbinden, muss dann aber Betrag X bezahlen, um ins Internet zu dürfen.

D.h. dass der WLAN-Zugang frei ist und danach eine Authentifizierung erfolgt. Ich habe soetwas noch nicht gemacht und stelle mir die Frage, was in der Kette nach dem WLAN-Access-Point kommt? Meine FritzBox könnte ich nicht so konfigurieren, dass man irgendwas an Server X weiterleitet. Die FritzBox verteilt IP-Adresse, Subnetzmaske, DNS, Gateway und dann hat man Zugang zum gesamten (Windows) Netzwerk.

Ich würde mal (wahrscheinlich fälschlicherweise) behaupten, da braucht man eine Logik auf dem Access-Point. STOP! mir fällt gerade ein: was ist, wenn man den AP in einem eigenen Subnetz agieren lässt. Dann könnte der Default-Gateway auf einen eigenen Server, der das Tor zum richtigen Subnetz kontrolliert.

Benutzeravatar
Takato
Beiträge: 1913
Registriert: 07.01.2005, 12:06

Re: RADIUS

Beitragvon Takato » 26.11.2010, 16:11

Ich hatte am Anfang die Idee meinen AP als authentifizierung 802.11X einzustellen. dann sendet er die Anfragen weiter an meinen Domain Controler. jedoch hab ich das mit windows boardmitteln noch nich hinbekommen (gut, hab auch erst 3-4std damit rumexperimentiert ;)).
Also so einen Modus scheint es zu geben.
Das ganze in ein Subnetz zu machen wäre auch eine möglichkeit, dann müsste ich nur den drucker und den datenserver durchrouten.
die frgae ist nur: was dann? dann hab ich den AP in nem subnetz, aber immernoch keine authentifizierung :D

Benutzeravatar
schmidtsmikey
Site Admin
Beiträge: 8969
Registriert: 08.12.2003, 21:50
Wohnort: Hamburg
Kontaktdaten:

Re: RADIUS

Beitragvon schmidtsmikey » 26.11.2010, 17:34

Auf welche Dienste bzw. Ressourcen sollen die denn zugreifen?

Benutzeravatar
Jensomio
Moderator
Beiträge: 1008
Registriert: 28.08.2005, 12:01
Wohnort: Irgendwo
Kontaktdaten:

Re: RADIUS

Beitragvon Jensomio » 26.11.2010, 17:53

Ihr könntet das Ganze doch mit einem VPN erledigen. Jeder eingetragene Benutzer kann sich mit seinem key in das Netzwerk einloggen. Außerdem könntet ihr das auf eine Verbinung pro User beschränken damit. Das bedeutet im Klartext: Jeder mit einer WLAN Verbindung kann sich mit dem Netzwerk verbinden. Alle Verbindungen gehen ausschließlich über den Server, auf dem das VPN läuft. Das wäre jetzt der Ansatz, den ich verfolgen würde.
AMD Ryzen 7 5800X
64GB RAM
RTX 3070ti

Benutzeravatar
chillmensch
Beiträge: 1935
Registriert: 09.03.2004, 15:49
Wohnort: Kiel
Kontaktdaten:

Re: RADIUS

Beitragvon chillmensch » 21.05.2011, 09:20

Also am Windows Server 2008 lässt sich komfortabel ein RADIUS-Server einrichten. Die Clients müssen zur Authentifizierung nicht in der Domäne sein. Alternativ gibt es sicherlich auch Linux-Lösungen dafür.

Wir haben dieses Szenarion testweise (aus Langeweile) im Studium eingerichtet, lief einwandfrei mit einem virtualisierten Windows Server 2008 und einem WLAN-AP von Cisco.
Besucht doch auch mal meine persönliche Webseite
Mein letztes Projekt: Fahrschule Kiel


Zurück zu „Netzwerke“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste