Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 13 Nächste Version anzeigen »


Beschreibung:

In Szenarien, bei denen eine  RADIUS-Weiterleitung für eine 802.1x-SSID zu einem externen RADIUS-Server benötigt  wird, sollte  im Regelfall ein separates RADIUS-Profil im WLAN-Controller für diese SSID  verwendet werden. Die  Access Points senden die RADIUS-Anfragen dann selbstständig an den externen RADIUS-Server (es handelt sich dabei um die empfohlene Vorgehensweise). Ist dies  zu aufwendig oder nicht möglich  (etwa wegen zusätzlicher Routing-Einstellungen auf den Access Points) kann auf dem WLAN-Controller  auch eine RADIUS-Weiterleitung eingerichtet  werden. Die  Access Points stellen die RADIUS-Anfragen weiterhin an den WLAN-Controller  und  dieser sendet die Anfragen an den externen RADIUS-Server . Damit die Anfragen korrekt zugeordnet werden können, wird bei einer RADIUS-Weiterleitung mit einem Realm gearbeitet. 

In diesem Artikel wird die Einrichtung einer RADIUS-Weiterleitung auf einem WLAN-Controller beschrieben.

Die gleichzeitige Verwendung einer RADIUS-Weiterleitung für eine 802.1x-SSID und des Public Spot ist in dem folgenden Knowledge Base Artikel beschrieben:

RADIUS-Weiterleitung durch WLAN-Controller an externen RADIUS-Server mit Realm-Tagging in Kombination mit dem Public Spot

Voraussetzungen:

Vorgehensweise:

1. Konfiguration der Realms für die RADIUS-Weiterleitung: 

1.1 Öffnen Sie die Konfiguration des WLAN-Controllers in LANconfig und wechseln in das Menü RADIUS → Server → Weiterleitung.

1.2 Tragen Sie je nach Szenario den Standard-Realm und/oder den Leeren Realm ein. Die genaue Realm-Konfiguration unterscheidet sich je nach Szenario:

Bedeutung der Realms:


Standard-Realm: Der Standard-Realm wird für den Fall benutzt, dass für einen anfragenden Realm kein Weiterleitungs-Server konfiguriert ist. Der Realm wird dann durch den Standard-Realm überschrieben.

Leerer Realm: Der Leere Realm wird für den Fall benutzt, dass ein Benutzername ohne Realm anfragt. Der Leere Realm wird dann zu der Anfrage hinzugefügt.

  • Die Endgeräte melden sich ohne Realm (z.B. bei einer einfachen 802.1x-Konfiguration):
    • Tragen Sie bei Leerer Realm einen Realm ein, der für die Weiterleitung verwendet werden soll (in diesem Beispiel RADIUS-EXT). Dadurch wird bei den Anfragen der Leere Realm angehängt und der gleichnamige Weiterleitungs-Eintrag verwendet. Optional kann als Standard-Realm der gleiche Realm wie der Leere Realm gesetzt werden, falls ein Endgerät sich doch mit einem Realm meldet und dieser nicht dem Realm in der RADIUS-Weiterleitung entspricht.

    • Klicken Sie auf Weiterleitungs-Server, um in das Menü für die RADIUS-Weiterlungen zu gelangen.

  • Die Endgeräte melden sich mit Realm (z.B. bei Verwendung von Zertifikaten):
    • In diesem Fall ist es grundsätzlich ausreichend, einen Weiterleitungs-Eintrag mit dem passenden Realm zu erstellen. Es ist aber empfehlenswert, als Standard-Realm und auch als Leeren Realm den Realm zu setzen, mit dem sich die Endgeräte melden. Dadurch werden die Fälle abgefangen, falls für den Realm, mit dem sich ein Endgerät meldet, keine RADIUS-Weiterleitung hinterlegt ist oder sich ein Endgerät doch ohne Realm meldet.

    • Klicken Sie auf Weiterleitungs-Server, um in das Menü für die RADIUS-Weiterlungen zu gelangen.



2. Konfiguration der RADIUS-Weiterleitung:

2.1 Konfiguration einer RADIUS-Weiterleitung zu einem einzelnen RADIUS-Server:

2.1.1 Klicken Sie auf Hinzufügen, um einen neuen Weiterleitungs-Eintrag zu erstellen.

2.1.2 Passen Sie die folgenden Parameter an:

  • Realm: Tragen Sie den Realm ein, der für die RADIUS-Weiterleitung verwendet werden soll (in diesem Beispiel RADIUS-EXT).
    • Die Endgeräte melden sich ohne Realm : Tragen Sie den in Schritt 1.2 vergebenen Leeren Realm ein.
    • Die Endgeräte melden sich mit Realm Tragen Sie den Realm ein, mit dem die Endgeräte die RADIUS-Anfragen stellen.
  • Server-Adresse: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein (in diesem Beispiel 192.168.100.100).
  • Schlüssel (Secret): Tragen Sie das Shared Secret ein, welches der WLAN-Controller zur Authentifizierung am RADIUS-Server verwendet.


2.2 Konfiguration einer RADIUS-Weiterleitung zu einem RADIUS-Server und einem Backup-Server:

Um eine Redundanz zu realisieren, kann ein zusätzlicher Eintrag für einen Backup-Server erstellt werden. Fällt der erste RADIUS-Server aus, wird der Backup-Eintrag aktiv. Allerdings dauert dies einige Sekunden, was für viele Endgeräte zu lange ist, sodass diese den Anmeldungs-Versuch bereits abgebrochen haben. 

Zur Beschleunigung kann ab LCOS 10.92 Rel ein Supervision-Profil hinterlegt werden. Dadurch wird die Erreichbarkeit der RADIUS-Server periodisch überprüft. Nicht erreichbare RADIUS-Server werden bei der Authentifizierung übersprungen.

2.2.1 Klicken Sie auf Hinzufügen, um einen neuen Weiterleitungs-Eintrag zu erstellen.

2.2.2 Erstellen Sie einen Eintrag für den Backup-RADIUS-Server und passen die folgenden Parameter an:

  • Realm: Tragen Sie einen aussagekräftigen Namen für den Backup-Eintrag ein (in diesem Beispiel RADIUS-EXT-BACKUP).
  • Server-Adresse: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein (in diesem Beispiel 192.168.100.101).
  • Schlüssel (Secret): Tragen Sie das Shared Secret ein, welches der WLAN-Controller zur Authentifizierung am RADIUS-Server verwendet.
  • Supervision-Profil: Tragen Sie den String DEFAULT ein. Dadurch wird die Erreichbarkeit des RADIUS-Servers alle 60 Sekunden überprüft.

Es ist sinnvoll das Backup-Profil zuerst zu erstellen, weil dieses im Haupt-Profil hinterlegt werden muss.

Statt des Supervision-Profils DEFAULT kann im Konsolen-Pfad Setup/RADIUS/Supervision-Servers/Profiles/ auch ein eigenes Profil mit abweichenden Parametern erstellt und dieses verwendet werden.

2.2.3 Erstellen Sie einen weiteren Eintrag für den Haupt-RADIUS-Server und passen die folgenden Parameter an:

  • Realm: Tragen Sie den Realm ein, der für die RADIUS-Weiterleitung verwendet werden soll (in diesem Beispiel RADIUS-EXT).
    • Die Endgeräte melden sich ohne Realm : Tragen Sie den in Schritt 1.2 vergebenen Leeren Realm ein.
    • Die Endgeräte melden sich mit Realm Tragen Sie den Realm ein, mit dem die Endgeräte die RADIUS-Anfragen stellen.
  • Backup-Profil: Wählen Sie im Dropdown-Menü das in Schritt 2.2.2 erstellte Backup-Profil aus (in diesem Beispiel RADIUS-EXT-BACKUP).
  • Server-Adresse: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein (in diesem Beispiel 192.168.100.100).
  • Schlüssel (Secret): Tragen Sie das Shared Secret ein, welches der WLAN-Controller zur Authentifizierung am RADIUS-Server verwendet.
  • Supervision-Profil: Tragen Sie den String DEFAULT ein. Dadurch wird die Erreichbarkeit des RADIUS-Servers alle 60 Sekunden überprüft.

Statt des Supervision-Profils DEFAULT kann im Konsolen-Pfad Setup/RADIUS/Supervision-Servers/Profiles/ auch ein eigenes Profil mit abweichenden Parametern erstellt und dieses verwendet werden.

2.2.4 Die Konfigurationsschritte sind damit abgeschlossen. Schreiben Sie die Konfiguration in den WLAN-Controller zurück.


Weitere Artikel zu diesem Thema:

 

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2026 LANCOM Systems GmbH