Beschreibung:
Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann (z.B. in Schulen oder Hotels), ist es empfehlenswert durch eine RADIUS-Authentifizierung dafür zu sorgen, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf das Verwaltungs-Netzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Points angeschlossen wird.
In diesem Artikel wird beschrieben, wie für einen Access Point mit LCOS eine RADIUS-Authentifizierung eingerichtet wird, damit nur dieser Zugriff zum Verwaltungs-Netzwerk erhält.
Voraussetzungen:
- LANCOM Router als RADIUS-Server
- Access Point mit LCOS
- Switch der GS-3xxx Serie
- LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version)
- LCOS ab Version 9.24 auf dem Access Point (download aktuelle Version)
- LANtools ab Version 10.30 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx Switch
Szenario:
Vorgehensweise:
1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.
1.4 Wechseln Sie in das Menü IPv4-Clients.
1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- IP-Adresse: Tragen Sie die IP-Adresse des Switch ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
- Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.2 auf dem Switch eingetragen.
1.6 Wechseln Sie in das Menü Benutzerkonten.
1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
- Passwort: Tragen Sie ein Passwort ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
- Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.
Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt.
1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Authenticators auf dem GS-3xxx Switch:
3. Konfiguration des RADIUS-Supplicant auf dem Access Point:
Damit sich der Access Point am Radius Server des Routers anmelden kann, muss die Authentisierungs-Methode festgelegt und Benutzerdaten zur Anmeldung angegeben werden. In diesem Beispiel wird als Authentisierungs-Methode PEAP/MSCHAPv2 verwendet. Die Benutzerdaten des Access Point haben Sie im Schritt 1.7 im Router konfiguriert.
3.1. Verbinden Sie sich per Konsole mit dem Access Point und rufen Sie den Pfad Supplicant-Ifc-Setup auf:
cd /Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup
3.2. Rufen Sie den Pfad für die LAN-Schnittstelle auf. In diesem Beispiel wird die Schnittstelle LAN-1 verwendet.
cd LAN-1
3.3. Geben Sie mit dem folgendem Befehl die Benutzerdaten zur Authentifizierung am RADIUS-Server des LANCOM Routers an:
set credentials <Benutzername>:<Passwort>
In diesem Beispiel muss der Befehl wie folgt lauten:
set credentials ap1:ap1
3.4. Setzen Sie mit folgendem Befehl die Authentisierungs-Methode auf den Wert PEAP/MSCHAPv2:
set Method PEAP/MSCHAPv2
Mit dem folgenden Skript können Sie die Änderungen alternativ per LANconfig in den Access Point laden. Ändern Sie vorher bitte die Werte für Benutzername und Passwort.
