Quelle anzeigen

Beschreibung:

Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann (z.B. in Schulen oder Hotels), ist es empfehlenswert durch eine RADIUS-Authentifizierung dafür zu sorgen, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf das Verwaltungs-Netzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Points angeschlossen wird.

In diesem Artikel wird beschrieben, wie für einen Access Point mit LCOS LX eine RADIUS-Authentifizierung eingerichtet wird, damit nur dieser Zugriff zum Verwaltungs-Netzwerk erhält.

Access Points, welche in einem WLC-Szenario betrieben werden, müssen jeweils einzeln konfiguriert werden. Eine zentrale Konfiguration der hier beschriebenen Schritte über einen WLC ist nicht möglich.

Voraussetzungen:

LANCOM Router als RADIUS-Server
Access Point mit LCOS LX Betriebs-System:
- LW-500
- LW-600
- LX-640x
Switch der GS-23xx Serie
LCOS ab Version 9.24 (download aktuelle Version)
LCOS LX ab Version 5.20 RU2 (download aktuelle Version)
LANtools ab Version 9.24 (download aktuelle Version), 10.40 RU1 bei Konfiguration des Access Point per LANconfig
Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-23xx Switch und des Access Points

Szenario:

Ein LANCOM Router mit der IP-Adresse 192.168.1.254 fungiert als RADIUS-Server.
Ein Switch der GS-23xx Serie mit der IP-Adresse 192.168.1.250 fungiert als RADIUS-Authenticator. Der Switch leitet also die Anfragen des Access Points an den RADIUS-Server weiter.
Ein Access Point mit LCOS LX Betriebs-System meldet sich mit Login-Daten am Switch an und stellt somit den RADIUS-Supplicant dar.
Nach einem erfolgreichen Login am RADIUS-Server soll der Switch die Kommunikation auf dem Port, an dem der Access Point angeschlossen ist, freischalten.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Szenario.png

Vorgehensweise:

1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router1.png

1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router2.png

1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router3.png

1.4 Wechseln Sie in das Menü IPv4-Clients.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router4.png

1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

IP-Adresse: Tragen Sie die IP-Adresse des Switch ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.1 auf dem Switch eingetragen.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router5.png

1.6 Wechseln Sie in das Menü Benutzerkonten.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router6.png

1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
Passwort: Tragen Sie ein Passwort ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
Dienst-Typ: Wählen Sie im Dropdown-Menü Framed aus.
Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Router7.png

1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.

2. Konfiguration des RADIUS-Authenticators auf dem GS-23xx Switch:

2.1 Öffnen Sie das Webinterface des Gerätes, wechseln in das Menü Security → AAA → Configuration, passen bei RADIUS Authentication Server Configuration folgende Parameter an und klicken auf Apply:

Setzen Sie den Haken bei Enabled.
IP Address/Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
Secret: Hinterlegen Sie das in Schritt 1.5 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Switch1.png

2.2 Wechseln Sie in das Menü Security → NAS → Configuration, passen folgende Parameter an und klicken auf Apply:

Mode: Wählen Sie im Dropdown-Menü Enabled aus.
Port Configuration: Wählen Sie bei Admin State die Option Port-based 802.1X für den Port aus, an dem der Access Point angeschlossen werden soll.

Mit der Option Port-based 802.1X muss sich nur der Access Point authentifizieren. Alle weiteren per WLAN angebundenen Endgeräte können ohne Authentifizierung über den Switch-Port kommunizieren. Daher ist es wichtig, für die WLAN-Endgeräte ein eigenes Netzwerk einzurichten, welches per VLAN von dem Verwaltungs-Netzwerk abgetrennt ist. Dazu können Sie sich an diesem Knowledge Base Artikel orientieren.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Switch2.png

2.3 Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration wird bootpersistent gespeichert und steht dadurch auch nach einem Neustart oder einem Stromausfall zur Verfügung.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > Switch3.png

2.4 Die Konfiguration des Switches ist damit abgeschlossen.

3. Konfiguration des RADIUS-Supplicant auf dem Access Point:

3.1 Konfiguration des RADIUS-Supplicant per LANconfig:

3.1.1 Öffnen Sie die Konfiguration des Access Points per LANconfig und wechseln in das Menü Management → 802.1X-Supplicant → 802.1X-Supplicant konfigurieren.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > AP_LANconfig1.png

3.1.2 Bearbeiten Sie den vorhandenen Eintrag INTRANET.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > AP_LANconfig2.png

3.1.3 Passen Sie folgende Parameter an:

Methode: Wählen Sie im Dropdown-Menü MD5 aus. MD5 wird in LANCOM Routern als Standard-Methode verwendet.
Benutzername: Tragen Sie den in Schritt 1.7 vergebenen Namen / MAC-Adresse ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
Passwort: Tragen Sie das in Schritt 1.7 vergebene Passwort ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > AP_LANconfig3.png

3.1.4 Die Konfiguration des Access Points per LANconfig ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.

3.2 Konfiguration des RADIUS-Supplicant per WEBconfig:

3.2.1 Verbinden Sie sich per WEBconfig mit dem Access Point und wechseln in das Menü Systemkonfiguration → Passen Sie die Netzwerkeinstellungen Ihres Gerätes an.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > AP_WEBconfig1.png

3.2.2 Passen Sie bei 802.1X-Supplicant folgende Parameter an und klicken anschließend auf Übernehmen:

Benutzername: Tragen Sie den in Schritt 1.7 vergebenen Namen / MAC-Adresse ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
Passwort: Tragen Sie das in Schritt 1.7 vergebene Passwort ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
Methode: Wählen Sie im Dropdown-Menü MD5 aus. MD5 wird in LANCOM Routern als Standard-Methode verwendet.

LANCOM Support Knowledge Base > RADIUS-Authentifizierung eines Access Points mit LCOS LX über einen Switch der GS-23xx Serie an einem LANCOM Router als RADIUS-Server (802.1X) > AP_WEBconfig2.png

3.2.3 Die Konfiguration des Access Points ist damit abgeschlossen.