Quelle anzeigen

Beschreibung:

In Szenarien, bei denen eine RADIUS-Weiterleitung für eine 802.1x-SSID zu einem externen RADIUS-Server benötigt wird, sollte im Regelfall ein separates RADIUS-Profil im WLAN-Controller für diese SSID verwendet werden. Die Access Points senden die RADIUS-Anfragen dann selbstständig an den externen RADIUS-Server (es handelt sich dabei um die empfohlene Vorgehensweise). Ist dies zu aufwendig oder nicht möglich (etwa wegen zusätzlicher Routing-Einstellungen auf den Access Points) kann auf dem WLAN-Controller auch eine RADIUS-Weiterleitung eingerichtet werden. Die Access Points stellen die RADIUS-Anfragen weiterhin an den WLAN-Controller und dieser sendet die Anfragen an den externen RADIUS-Server. Damit die Anfragen korrekt zugeordnet werden können, wird bei einer RADIUS-Weiterleitung mit einem Realm gearbeitet.

In diesem Artikel wird die Einrichtung einer RADIUS-Weiterleitung auf einem WLAN-Controller beschrieben.

Voraussetzungen:

LCOS ab Version 10.50 (download aktuelle Version)
LANtools ab Version 10.50 (download aktuelle Version)
Bereits konfiguriertes WLAN-Profil auf dem WLAN-Controller

Vorgehensweise:

1. Konfiguration der Realms für die RADIUS-Weiterleitung:

1.1 Öffnen Sie die Konfiguration des WLAN-Controllers in LANconfig und wechseln in das Menü RADIUS → Server → Weiterleitung.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 1.png

1.2 Tragen Sie je nach Szenario den Standard-Realm und/oder den Leeren Realm ein. Die genaue Realm-Konfiguration unterscheidet sich je nach Szenario:

Die Endgeräte melden sich ohne Realm (z.B. bei einer einfachen 802.1x-Konfiguration):
- Tragen Sie bei Leerer Realm einen Realm ein, der für die Weiterleitung verwendet werden soll (in diesem Beispiel RADIUS-EXT, siehe Screenshot). Dadurch wird bei den Anfragen der Leere Realm angehängt und der gleichnamige Weiterleitungs-Eintrag verwendet.
Die Endgeräte melden sich mit Realm (z.B. bei Verwendung von Zertifikaten):
- In diesem Fall ist es ausreichend, einen Weiterleitungs-Eintrag mit dem passenden Realm zu erstellen. Es ist aber empfehlenswert, sowohl den Standard.Realm und auch den Leeren Realm zu konfigurieren, falls für den Realm ,it dem sich ein Endgerät meldet, doch kein Realm gesetzt ist oder sich ein Endgerät doch ohne Realm meldet.

Standard-Realm: Der Standard-Realm wird für den Fall benutzt, dass für einen anfragenden Realm kein Weiterleitungs-Server konfiguriert ist.

Leerer Realm: Der Leere Realm wird für den Fall benutzt, dass ein Benutzername ohne Realm anfragt.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 2a.png

1.3 Klicken Sie auf Weiterleitungs-Server, um in das Menü für die RADIUS-Weiterlungen zu gelangen.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 2b.png

2. Konfiguration der RADIUS-Weiterleitung:

2.1 Konfiguration einer RADIUS-Weiterleitung zu einem einzelnen RADIUS-Server:

2.1.1 Klicken Sie auf Hinzufügen, um einen neuen Weiterleitungs-Eintrag zu erstellen.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 3.png

2.1.2 Passen Sie die folgenden Parameter an:

Realm: Tragen Sie den in Schritt 1.2 vergebenen Leeren Realm ein (in diesem Beispiel RADIUS-EXT).
Server-Adresse: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein (in diesem Beispiel 192.168.100.100).
Schlüssel (Secret): Tragen Sie das Shared Secret ein, welches der WLAN-Controller zur Authentifizierung am RADIUS-Server verwendet.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 6.png

2.2 Konfiguration einer RADIUS-Weiterleitung zu einem RADIUS-Server und einem Backup-Server:

Zur Schaffung einer Redundanz kann ein zusätzlicher Eintrag für einen Backup-Server erstellt werden. Fällt der erste RADIUS-Server aus, wird der Backup-Eintrag aktiv. Allerdings dauert dies einige Sekunden, was für viele Endgeräte zu lange ist, sodass diese den Anmeldungs-Versuch bereits abgebrochen haben.

Zur Beschleunigung kann ab LCOS 10.92 Rel ein Supervision-Profil hinterlegt werden. Dadurch wird die Erreichbarkeit der RADIUS-Server periodisch überprüft. Nicht erreichbare RADIUS-Server werden bei der Authentifizierung übersprungen.

2.2.1 Klicken Sie auf Hinzufügen, um einen neuen Weiterleitungs-Eintrag zu erstellen.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 3.png

2.2.2 Erstellen Sie einen Eintrag für den Backup-RADIUS-Server und passen die folgenden Parameter an:

Realm: Tragen Sie einen aussagekräftigen Realm ein (in diesem Beispiel RADIUS-EXT-BACKUP).
Server-Adresse: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein (in diesem Beispiel 192.168.100.101).
Schlüssel (Secret): Tragen Sie das Shared Secret ein, welches der WLAN-Controller zur Authentifizierung am RADIUS-Server verwendet.
Supervision-Profil: Tragen Sie den String DEFAULT ein. Dadurch wird die Erreichbarkeit des RADIUS-Servers alle 60 Sekunden überprüft.

Es ist sinnvoll das Backup-Profil zuerst zu erstellen, weil dieses im Haupt-Profil hinterlegt werden muss.

Statt des Supervision-Profils DEFAULT kann im Konsolen-Pfad Setup/RADIUS/Supervision-Servers/Profiles/ auch ein eigenes Profil mit abweichenden Parametern erstellt und dieses verwendet werden.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 4.png

2.2.3 Erstellen Sie einen weiteren Eintrag für das ersten RADIUS-Server und passen die folgenden Parameter an:

Realm: Tragen Sie den in Schritt 1.2 vergebenen Leeren Realm ein (in diesem Beispiel RADIUS-EXT).
Backup-Profil: Wählen Sie im Dropdown-Menü das in Schritt 2.2.2 erstellte Backup-Profil aus (in diesem Beispiel RADIUS-EXT-BACKUP).
Server-Adresse: Tragen Sie die IP-Adresse oder den DNS-Namen des RADIUS-Servers ein (in diesem Beispiel 192.168.100.100).
Schlüssel (Secret): Tragen Sie das Shared Secret ein, welches der WLAN-Controller zur Authentifizierung am RADIUS-Server verwendet.
Supervision-Profil: Tragen Sie den String DEFAULT ein. Dadurch wird die Erreichbarkeit des RADIUS-Servers alle 60 Sekunden überprüft.

Statt des Supervision-Profils DEFAULT kann im Konsolen-Pfad Setup/RADIUS/Supervision-Servers/Profiles/ auch ein eigenes Profil mit abweichenden Parametern erstellt und dieses verwendet werden.

LANCOM Support Knowledge Base DE > Konfiguration einer RADIUS-Weiterleitung auf einem LANCOM WLAN-Controller > 5.png

2.2.4 Die Konfigurationsschritte sind damit abgeschlossen. Schreiben Sie die Konfiguration in den WLAN-Controller zurück.

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.