Beschreibung:
Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann (z.B. in Schulen oder Hotels), ist es empfehlenswert durch eine RADIUS-Authentifizierung dafür zu sorgen, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf das Verwaltungs-Netzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Point angeschlossen wird.
In diesem Artikel wird beschrieben, wie für einen Access Point mit LCOS LX eine RADIUS-Authentifizierung eingerichtet wird, damit nur dieser Zugriff zum Verwaltungs-Netzwerk erhält.
Voraussetzungen:
- LANCOM Router als RADIUS-Server
- Access Point mit LCOS LX Betriebs-System:
- LW-500
- LW-600
- LX-640x
- Switch der GS-23xx Serie
- LCOS ab Version 9.24 (download aktuelle Version)
- LCOS LX ab Version 5.20 RU2 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version), 10.40 RU1 bei Konfiguration des Access Point per LANconfig
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-23xx Switch und des Access Points
Szenario:
Vorgehensweise:
1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.
1.4 Wechseln Sie in das Menü IPv4-Clients.
1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- IP-Adresse: Tragen Sie die IP-Adresse des Switch ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
- Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.1 auf dem Switch eingetragen.
1.6 Wechseln Sie in das Menü Benutzerkonten.
1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
- Passwort: Tragen Sie ein Passwort ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
- Dienst-Typ: Wählen Sie im Dropdown-Menü Framed aus.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.
1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Authenticator auf dem GS-23xx Switch:
2.1 Öffnen Sie das Webinterface des Gerätes, wechseln in das Menü Security → AAA → Configuration, passen bei RADIUS Authentication Server Configuration folgende Parameter an und klicken auf Apply:
- Setzen Sie den Haken bei Enabled.
- IP Address/Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
- Port: Stellen Sie sicher, dass der Port 1812 hinterlegt ist.
- Secret: Hinterlegen Sie das in Schritt 1.5 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.
2.2 Wechseln Sie in das Menü Security → NAS → Configuration, passen folgende Parameter an und klicken auf Apply:
- Mode: Wählen Sie im Dropdown-Menü Enabled aus.
- Port Configuration: Wählen Sie bei Admin State die Option Port-based 802.1X für den Port aus, an dem der Access Point angeschlossen werden soll.
Mit der Option Port-based 802.1X muss sich nur der Access Point authentifizieren. Alle weiteren per WLAN angebundenen Endgeräte können ohne Authentifizierung über den Switch-Port kommunizieren. Daher ist es wichtig, für die WLAN-Endgeräte ein eigenes Netzwerk einzurichten, welches per VLAN von dem Verwaltungs-Netzwerk abgetrennt ist.
2.3 Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration wird bootpersistent gespeichert und steht dadurch auch nach einem Neustart oder einem Stromausfall zur verfügung.
2.4 Die Konfiguration des Switch ist damit abgeschlossen.
3. Konfiguration des RADIUS-Supplicant auf dem Access Point:
3.1 Konfiguration des RADIUS-Supplicant per LANconfig:
3.1.1 Öffnen Sie die Konfiguration des Access Points per LANconfig und wechseln in das Menü Management → 802.1X-Supplicant → 802.1X-Supplicant konfigurieren.
3.1.2 Bearbeiten Sie den vorhandenen Eintrag INTRANET.
3.1.3 Passen Sie folgende Parameter an:
- Methode: Wählen Sie im Dropdown-Menü MD5 aus. Dies ist erforderlich, da die GS-23xx Serie lediglich MD5 unterstützt.
- Benutzername: Tragen Sie den in Schritt 1.7 vergebenen Namen / MAC-Adresse ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
- Passwort: Tragen Sie das in Schritt 1.7 vergebene Passwort ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
3.1.4 Die Konfiguration des Access Points per LANconfig ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
3.2 Konfiguration des RADIUS-Supplicant per WEBconfig:
3.2.1 Verbinden Sie sich per WEBconfig mit dem Access Point und wechseln in das Menü Systemkonfiguration → Passen Sie die Netzwerkeinstellungen Ihres Gerätes an.
3.2.2 Passen Sie bei 802.1X-Supplicant folgende Parameter an und klicken anschließend auf Übernehmen:
- Benutzername: Tragen Sie den in Schritt 1.7 vergebenen Namen / MAC-Adresse ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
- Passwort: Tragen Sie das in Schritt 1.7 vergebene Passwort ein. Mit diesem authentifiziert sich der Access Point am RADIUS-Server.
- Methode: Wählen Sie im Dropdown-Menü MD5 aus. Dies ist erforderlich, da die GS-23xx Serie lediglich MD5 unterstützt.
3.2.3 Die Konfiguration des Access Points ist damit abgeschlossen.