Radius Server und WDS

[dschaeck]

Hallo will WLAN umbauen und dieses auf Radius Umstellen (weil nur mitglieder der AD zugriff brauchen).
Habe einen W2003 mit installiertem Radius Server.
Jedoch finde ich bei der AVM 7170 keine Einstellungen um mich gegen einen Radius zu auth.

das Wlan hat zusätzlich einen T-Kom Sinus 1054 DSL als WDS slave der via Wep angebunden ist. (dieser kann z.b. diese auth.)

Jetz die Fragen :

1.) Kann die "FRITZ!Box Fon WLAN 7170, Firmware-Version 29.04.01" den Client gegen einen Radius Auth.
2.) Wie verhält sich das mit der Auth. via Waln Bridge (Sinus -> FB)

unabhängig würde mich evtl. auch interessieren, die Wlan Clients in eine DMZ zu "verbannen" und diesen den Zugriff zum Netz nur via VPN Tunnel zu erlauben.

gruß


dsc

 

[frank_m24]

Hallo,

1.) Kann die "FRITZ!Box Fon WLAN 7170, Firmware-Version 29.04.01" den Client gegen einen Radius Auth.

Nein. Davon habe ich auch bei den Mods noch nichts gehört.

2.) Wie verhält sich das mit der Auth. via Waln Bridge (Sinus -> FB)

Das sollte kein Problem sein, solange eine funktionierende IP Verbindung zwischen AP und Raduis Server exsitiert. Allerdings muss der AP es können (siehe 1).

unabhängig würde mich evtl. auch interessieren, die Wlan Clients in eine DMZ zu "verbannen" und diesen den Zugriff zum Netz nur via VPN Tunnel zu erlauben.

WAS? :shock: Du weißt, was eine DMZ ist? Ein den Rechner in der DMZ werden alle eingehenden Pakete, die keiner Verbindung zugeordnet werden können, weitergeleitet. D.h., gerade der Rechner hat einen exponierten Zugang zum Netz. Es kann natürlich auch immer nur einen Rechner in der DMZ pro NAT Router geben ("exposed Host"), da man einen Port immer nur an eine IP gleichzeitig weiterleiten kann.

Das willst du doch nicht, oder? Ich denke eher, du willst die Notebooks in eine Sperrzone hängen, so dass sie nur über den VPN Server Zugriff aufs Netz bekommen. Das geht auch nicht mit einer Fritzbox. Jedenfalls nicht ohne Modifikationen. Ob es mit dem ds-mod und OpenVPN machbar ist, weiß ich nicht, das wäre aber denkbar.
Draytek Vigors z.B. können das von Haus aus, auch Radius Unterstützung haben die schon drin.

Viele Grüße

Frank

 

[dschaeck]

WAS? :shock: Du weißt, was eine DMZ ist? Ein den Rechner in der DMZ werden alle eingehenden Pakete, die keiner Verbindung zugeordnet werden können, weitergeleitet. D.h., gerade der Rechner hat einen exponierten Zugang zum Netz. Es kann natürlich auch immer nur einen Rechner in der DMZ pro NAT Router geben ("exposed Host"), da man einen Port immer nur an eine IP gleichzeitig weiterleiten kann.

Ich will den in eine DMZ und nicht als exposed Host laufen lassen. Dies ist ein kleiner aber feiner unterschied *g*
In einem "ordentlichen" Firewallkonzept ist die DMZ gegen das Lan sowie das Internet geschützt. Und der verkehr ist nur eingeschränkt möglich.

Dies ist nicht verrückt sondern praktisch . Dadurch liese sich folgendes aufbauen.

Lan wird geschützt via firewall gegen Internet Traffic. (das geht ohne Problem)
Lan lässt nur bedingt traffic vom WLAN ins lan (in meinem fall, ausschliesslich VPN).
DMZ lässt nur bestimmten traffic vom internet zu. (wie bei nat)
Dadurch ergibt sich, das die Wlan nutzer, wenn sie zugriff auf lan resource brauchen, sich via VPN Auth. und einen gesicherten tunnel aufbauen.

Dies macht sinn wenn man z.b. erhöhte sicherheit benötigt (habe ne Bridge die via WEP abgesichert ist) oder Gastzugänge zum WLAN / Internet hat.
Als Gast zugriff meine ich nicht Anonymen zugriff aufs internet sondern arbeitskollegen, freunde etc.

Ähnliches kann man abgeschwächt mit einem radius erreichen, das ich dort mit Zertifikaten und Wahlregeln unter win 2003 arbeiten kann.

jedoch hab ich da folgende konfig :

Wlan Client -> Sinus 1054 DSL <-- WLAN BRIDGE(Repeater) --> AVM 7170 -> internet / Raduis server.

Soweit ich weiss kann die 7170 keine Radius Auth. daher muss das auf den sinus abgewälzt werden.
Würde in dem fall heissen :

1. Client meldet sich am sinus 1054 dsl an
2. Sinus reicht via WDS (sinus client, avm master) das an das lan weiter
3. Auth. am 2003 Server (radius)
4. bestätigung
5. client bekommt access.



Soweit dazu. Ich würde am liebsten die erste lösung wählen, da am sichersten.


gruss



dsc

 

[frank_m24]

Hallo,

Ich will den in eine DMZ und nicht als exposed Host laufen lassen. Dies ist ein kleiner aber feiner unterschied *g*
In einem "ordentlichen" Firewallkonzept ist die DMZ gegen das Lan sowie das Internet geschützt. Und der verkehr ist nur eingeschränkt möglich.

Richtig. Nur dass SoHo Router wie die Fritzbox sowas meist nicht anbieten, sondern nur die "Exposed Host" Variante (Pseudo-DMZ?). Deshalb mein Einwand. Da musst du schon schwerere Geschütze auffahren. Und die können dann wahrscheinlich auch direkt mit einem Radius Server kommunizieren.

1. Client meldet sich am sinus 1054 dsl an
2. Sinus reicht via WDS (sinus client, avm master) das an das lan weiter
3. Auth. am 2003 Server (radius)
4. bestätigung
5. client bekommt access.

Das sollte kein Problem sein. Die Kommunikation erfolgt ja zwischen AP und Radius Server, nicht zwischen WLAN Client und Radius Server. Wenn AP und Radius Server eine saubere IP Verbindung haben, sehe ich da kein Problem.
Die Fritz kann es meiner Meinung nach nicht selbst. Aber die Pakte zwischen Server und AP weiterleiten sollte sie können.

Viele Grüße

Frank

 

[dschaeck]

thx

werds mal die tage, wenn ich zeit und lust habe ..., testen.



- kann geclosed werden -