ComputerBase Menü
Aktuelles

ASUS RT-AC68U DD-WRT + AD und Radius

S

shox22

Ensign
Registriert
Apr. 2011
Beiträge
196
Morgen,

bin gerade dabei ein Wlan-Firmennetzwerk sicherer zu machen.
Bis jetzt wurden alle Wlan APs per WPA2 Personal, also einem "einfachen" Passwort gesichert. Nicht sehr sicher.

Jetzt wurde beschlossen, ein Firmennetzwerk und ein Gästenetzwerk (mit separatem IP Bereich) einzurichten. Beide sollten möglichst per WPA2 Enterprise über den Radius Server gesichert werden.

Vorgestellt habe ich mir es so:
2 Netzwerkrichtlinien, eine für Firmenmitarbeiter, eine für Gäste.
2 SSIDs, das Gäste-Netzwerk mit einem separatem IP-Bereich.

Gäste haben mit ihrem AD Login nur Zugriff auf die Gäste SSID, Mitarbeiter nur auf die Mitarbeiter SSID (oder beide, in dem Fall aber egal).

Normalerweiße sollte das kein Problem darstellen, da man in den Netzwerkrichtlinien eine Caller-ID einrichten kann, um so die Zugriffe über die SSID zu filtern. Das funktioniert bei den Buffalo AirStations die wir noch haben, jedoch nicht bei dem Asus.
Bei den AirStations sieht die Login-Anfrage ungefähr so aus:
"Caller-ID: MAC:SSID" (so sollte es laut Internet immer aussehen?!)
der Asus schickt jedoch nur die MAC Adresse und nicht die SSID.

Somit lässt sich der Zugriff auch nicht filtern.

Ist das ein Bug? Oder machen das alle neueren Geräte so? Die AirStations sind ca. 5 Jahre alt.
 
Moin,

je nach Firmengröße kann es auch einfacher sein einen WPA2 Personal-Wlan zu haben anstatt 802.1X. Aber das nur am Rande.

Meines Wissens nach ist bei 802.1X in der Caller-ID nur die MAC-Adresse mitggeben. Die SSID wird nicht übermittelt, da sie für die reine Authentifizierung irrelevant ist. Es kann sein, dass die Bufallo sie mit übermitteln, aber ich habe sie bisher nie gebraucht....

Die Frage an dich ist nun, welche EAP-Version nutzt du denn? EAP-PEAP? EAP-TLS?
Und wer spielt den Radius-Server?
Davon hängt vieles ab. Eine Cisco-Lösung hat andere Möglichkeiten wie ein Windows Server.

Bei den AirStations sieht die Login-Anfrage ungefähr so aus:
"Caller-ID: MAC:SSID" (so sollte es laut Internet immer aussehen?!)
der Asus schickt jedoch nur die MAC Adresse und nicht die SSID.
Zum Vergrößern anklicken....
Das ist kein richtiges 802.1X. Das ist eine simple Mac-Authentifizierung (Du filterst hier auf die MAC-Adresse...). Besser solltest du auf mindestens EAP-PEAP oder sogar EAP-TLS setzen.

Beispielsweise kannst du dann die Anfragen aufsplitten:
Computerauthentifizierung für das Mitarbeiter-Wlan. Ist der Rechner nicht in der Domäne, kommt er nicht rein.
Gäste nutzen PEAP mit Benutzer und Passwort.
 
Danke schon mal für deine Antwort.

Es sollen ca. 110 Mitarbeiter während der Pause die Möglichkeit haben, ins Internet gehen zu können (über einen eigenen, vom Firmennetz unabhängigen IP-Bereich). WPA2 P ginge, WPA2 E sollte aber um einiges sicherer sein. So hat man auch die Möglichkeit innerhalb von ein paar Minuten ein oder mehrere Passwörter zu ändern anstatt sich auf jeden der ca. 10 APs einwählen zu müssen.

Das gleiche gilt für das Gäste-Netz.

Es handelt sich um einen Windows Server 2012. Auf dem läuft die AD und der Radius. Als EAP Version wird EAP-PEAP genutzt.

Das mit der Caller-ID kommt direkt aus dem Radius Protokoll. Nach MAC filtere ich nicht, wird aber noch für das Firmennetz umgesetzt.
Mit der SSID Filterung wäre das "hoppen" zwischen den Netzen ausgeschlossen. Das funktionierte heute im Test mit den Buffalos sehr ordentlich.
 
Guten Morgen,
da kann ich dich verstehen. 802.1x ist sicherer, da es keinen shared Key gibt. Und bei 110 Mitarbeitern ist der Aufwand angemessen :D

Der Windows Server ist in Sachen Radius von den Regeln sehr begrenzt.

Ich habe es grade einmal mit einem alten Linux-Router und Tomato ausprobiert. Ich bekomme auch keine SSID mitgesendet.

Ein Lösungsvorschlag wäre, über die Called-Station-ID filtern, von welchem Wireless-Interface die Anfragen kommen. Und dann die Regeln darum zu bauen. Es ist umständlich, aber wenn du keine andere Lösung findest...

Ansonsten sieht es leider schlecht aus.

Ein Tipp: Lass den MAC-Filter weg. Das bringt nur Ärger und du musst die Listen manuell pflegen. Filter lieber ob, die Geräte in der Domäne sind.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

ligulem
Router Nachfolger für Asus RT-AC68U
Antworten
7
Aufrufe
927
Howdegen
Howdegen
autoshot
ASUS RT-AC68U vs. ASUS Blue Cave oder lieber warten
Antworten
10
Aufrufe
2.038
carnival55
carnival55
H
Asus RT-AC68U und DSL-AC68U
Antworten
2
Aufrufe
1.151
hausl78
H
P
asus rt-ac68u download master
Antworten
2
Aufrufe
843
Peter909
P
S
Asus RT-AC68 AP-Modus Probleme mit Konnektivität
Antworten
3
Aufrufe
729
SkyTraceX
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz