Ubuntu 6.06 als Freeradius Server

**berndg_FC4** · 27.08.07, 20:28

Hallo zusammen,

ich habe in einer nicht abgesicherten Umgebung (keine Firewall, kein AppArmor oder SELinux) einen Radius-Server aufgesetzt. Ich will ihn für die Authentifizierung (EAP-PEAP) von WLAN Usern und "fest verkabelten" Usern verwenden.

Es funktioniert auch soweit sehr gut.

Meine Frage dazu:

Wo soll ich den DHCP-Server "platzieren"? Kann der DHCP Dienst auf meinem WLAN-Router (Linksys WRT54GS mit OpenWRT WhiteRussian 0.9) nicht authentifizierte Nutzer mit einer IP-Adresse versorgen?

Ach übrigens, wo speichert ihr eure Userdaten (Unix-passwd,smbpasswd, LDAP, MySQL)???

Danke für eure Hilfe
mfG
berndg_FC4

**unux** · 27.08.07, 22:48

Hi,

Wo soll ich den DHCP-Server "platzieren"? Kann der DHCP Dienst auf meinem WLAN-Router (Linksys WRT54GS mit OpenWRT WhiteRussian 0.9) nicht authentifizierte Nutzer mit einer IP-Adresse versorgen?

Wenn die APs bzw. Switches die Clients aufgrund falscher/fehlender Auth nicht ins Netz lassen, bekommen die auch keine Adresse.

Ach übrigens, wo speichert ihr eure Userdaten (Unix-passwd,smbpasswd, LDAP, MySQL)???

Kommt immer auf die Anzahl der User an. Professionell, wie man es machen sollte, benutzt man dazu eine LDAP-DB. Bei < 10 Usern stellt sich allerdings die Frage, ob die Aufwand/Nutzen-Relation dafür spricht.

Greetz
UnuX

**berndg_FC4** · 28.08.07, 07:48

Hi,

zu meiner Topologie:

Internet (zur Verfügung gestellt via Kabelmodem)
||
||
DMZ (Httpd) <== WLAN Router (derzeit mit aktiviertem DHCP-Server) ==>Radius Srv (EAP-PEAP) ==> WLAN Clients
||
||
2x 16-port Ethernet-Switch ==> Ethernet-Clients

Der DHCP Server (am WLAN Router) vergibt (richtigerweise) keine Leases an nicht authentifizierte WLAN Clients. Verbinde ich allerdings einen Client vom Switch mit dem Router bekommt er anstandslos eine IP-Adresse.

Würde es helfen den DHCP Server am Router zu stoppen und in der DMZ anzusiedeln?

Wie kann ich dem Router beibringen, dass er auch Ethernet-Ports authentifizieren muss?

mfG
berndg_FC4

**stefaan** · 28.08.07, 08:23

Servus!

Die sauberste Lösung wäre wohl portbezogene Authentifizierung mit einem Switch der das kann direkt am Radius (Stichwort 802.1x war das glaub ich).
Alles andere wird eine Pfuschlösung mit iptables, ähnlich meinem phpHotspot (siehe Signatur).

Grüße, Stefan

**berndg_FC4** · 28.08.07, 09:15

Hi,

802.1x direkt am Port der Switches bzw. von mir aus auch erst am Router ware super. Ist aber leider nur bei sehr teuren Geräten von Cisco/Linksys/Nortel oder evtl. Netgear möglich.

Ich werd' mich ma´l in die OpenWRT Doku einlesen, ob es eine Möglichkeit oder ein Softwarepaket gibt, das dem Router beibingt 802.1x auch auf den Switchports auszuführen.

mfG
berndg_FC4

**unux** · 28.08.07, 11:40

Hi,

hatte dich anscheinend falsch verstanden, dachte deine Switches beherrschen ebenfalls 802.1x.

Ich werd' mich ma´l in die OpenWRT Doku einlesen, ob es eine Möglichkeit oder ein Softwarepaket gibt, das dem Router beibingt 802.1x auch auf den Switchports auszuführen.

1. Meines Wissens kann das OpenWRT schon aus rein technischer Sicht nicht, da du nur 3 Devices konfigurieren kannst (WAN,WLAN,1 * LAN). Die restlichen Ports hängen intern an einem Switch und können somit software-technisch nicht kontrolliert werden.

2. Wenn ich dein Netzwerkschema richtig verstanden habe wäre das sowieso keine Lösung, da hinter deinem WLAN Router nochmals 2 Switches hängen, die ebenfalls kein 802.1x beherrschen.

Davon abgesehen sind Linksys bzw bald nur noch Cisco-Geräte längst nicht mehr so teuer. Da du 2 * 16 Port Switches im Einsatz hast, geh ich davon aus, dass auch die Anzahl der Clients die Kapazität eines Gerätes übersteigt, die Clients die über WLAN connecten noch nicht mitgerechnet. Bei der Anzahl sollte man doch auch über bessere Netzwerkhardware nachdenken können.

Greetz UnuX

**cane** · 28.08.07, 13:17

Zitat von berndg_FC4

802.1x direkt am Port der Switches bzw. von mir aus auch erst am Router ware super. Ist aber leider nur bei sehr teuren Geräten von Cisco/Linksys/Nortel oder evtl. Netgear möglich.

Nein, Du solltest bereits für 300-500 € einen Swicth bekommen der so etwas beherrscht. Als Renewal kannst Du nochmal bis zu 40 % sparen.

schau Dir mal die HP Switches an...

Bsp: HP J4899BR Procurve Switch 2650

mfg
cane

**unux** · 28.08.07, 13:39

Linksys/Cisco bietet schon Geräte ab 200Eur an, da er einen WRT-AP einsetzt denke ich mal, dass das Ganze nicht in einem wirklich professionellen Umfeld eingesetzt wird, so dass es auch ein Linksys tut. Leider fehlen uns dazu die Infos ...

Greetz

**stefaan** · 28.08.07, 14:05

Servus!

Hab letztens bei ebay einen 3Com Superstack III 4400 um €40,- bekommen...
Eben für solche Testzwecke

Grüße, Stefan

**berndg_FC4** · 28.08.07, 14:08

Hi,

find' ich schade, dass das nicht ohne weitere Investition leicht realisierbar ist. Ich werde mich ebenfalls bei ebay um passende Geräte umschauen.

Vielen Dank für eure Hilfe
mfG
berndg_FC4

**berndg_FC4** · 28.08.07, 22:34

Ich bins nochmal,

in der OpenWrt Doku hab ich was über 'nas', ein proprietäres Programm, das Verschlüsselung (am WIFI Interface) ermöglicht gelesen. Bin noch nicht sicher ob es sich auf LAN anwenden lässt.

Aber im Fallesfall, wenn am Router direkt kein DHCP-Dienst läuft kann ich nicht softwaremäßig, mit einer iptables-Regel zB, die Weiterleitung von Radius-Auth Requests erzwingen und so eine "Pfusch-Lösung" erreichen?

Ideen, Kommentare dazu?

mfG
berndg_FC4

**stefaan** · 28.08.07, 22:59

Servus!

Für die Pfusch-Lösung: Schau dir in meiner Signatur den phpHotspot an, dort ist es wie folgt gelöst:
Jeder angeschlossene Client bekommt per DHCP ein eigenes Subnetz (damit untereinander keine Kommunikation möglich ist), Routing wird deaktiviert, alle HTTP-Requests werden auf eine Loginseite umgebogen.
Nach erfolgtem Login (gegen MySQL-DB) wird das Routing aktiviert.

Läuft hier seit ca. 2 Jahren ganz gut im LAN (kein WLAN).

Grüße, Stefan