{{tag>wlan blauesnetz accesspoint freeradius ldap ipcop}} ====== WLAN mit RADIUS-Auth. im Access-Point - Blaues Netz ====== Die Arbeiten am paedML-Server und am WinXP-Client sind identisch zum -> [[radius-accesspoint|AP im grünen Netz]]. Zusätzlich muss nun der zwischengeschaltete IPCop konfiguriert werden.\\ **//Im IPCop ist dabei weder OpenVPN aktiv noch der CopSpot installiert!// ** * Installation von freeradius siehe -> [[radius-accesspoint#b_installation_von_freeradius|Installation freeradius]].\\ * Konfiguration von freeradius siehe -> [[radius-accesspoint#c1_konfiguration_von_freeradius|Konfiguration freeradius]] (incl. Firewall, ldap und Zertifikate)\\ In der Datei **''/etc/freeradius/clients.conf''** einen Eintrag für den AP hinzufügen: client ap01 { ipaddr = 172.16.16.9 secret = muster456 } * Konfiguration des WinXP-Clients siehe -> [[radius-accesspoint#f_konfiguration_eines_winxp-clients|Konfiguration Win XP-Client]] ===== (A) Konfiguration des WLAN-Access-Points ===== Der AP muss auf WPA2 Enterprise umgestellt werden. Weiterhin muss man die IP der paedML eintragen (meist 10.16.1.1), den Port (1812) und das "Shared Secret" mit dem der AP sich beim Server authentifiziert.\\ Auch sollte man dem AP eine feste IP im Blauen Netz geben, im folgenden wird die IP 172.16.16.9 mit Subnet-Mask 255.255.255.0 , Gateway 172.16.16.254 verwendet.\\ Der Access-Point ist dann auch über das grüne Netz mit seiner IP erreichbar. ===== (B1) Konfiguration des IPCop für http ===== Der DHCP-Server auf Blau muss eingeschaltet werden bei: **Dienste -> DHCP Server**. Ebenso muss man die Anfangs- und Endadresse so wählen, dass die feste IP des Access Point nicht vergeben werden kann: {{:wlan:screenshot-ipcop-dhcp.jpg|}} Unter **Firewall -> DMZ-Schlupflöcher** muss der Zugriff des AP auf den Radius-Port 1812 - UDP des Servers zugelassen werden: {{:wlan:screenshot-ipcop-dmz.jpg|}} Ebenso muss der AP mit seiner MAC unter **Firewall -> Zugriff auf Blau** eingetragen werden: {{:wlan:screenshot-ipcop-blau.jpg|}} Dann den Proxy auch für das blaue Interfache unter **Dienste -> Advanced Proxy** aktivieren: {{:wlan:screenshot-ipcop-proxy.jpg|}} Im BOT den Zugriff auf den Proxy unter **Firewall -> Block outgoing Traffic** zulassen (Regel 4). Reihenfolge der Regeln beachten: {{:wlan:screenshot-ipcop-bot-proxy.jpg|}} **Zwischenstand:** mit diesen Einstellungen kann nun ein am AP angemeldetes Notebook über http ins Internet. Für https-Zugriff, auch zum Server sind weitere Einstellungen notwendig. ===== (B2) Konfiguration des IPCop für https-Zugriff ===== Den https-Zugriff für die eingebuchten Geräte unter **Firewall -> Zugriff auf Blau** einzeln erlauben: {{:wlan:screenshot-ipcop-dmz-2.jpg|}} Unter **Firewall -> DMZ-Schlupflöcher** einen Eintrag für Zugriff aller IPs von Blau auf 10.16.1.1:443 eintragen. {{:wlan:screenshot-ipcop-dmz.jpg|}} Und im BOT eine neue Regel (hier Nr. 7) erstellen unter **Firewall -> Block outgoing Traffic**: {{:wlan:screenshot-ipcop-bot-https.jpg|}} Damit ist dann z.B. Horde oder moodle über https erreichbar. ===== (B3) Konfiguration des IPCop für weitere Ports ===== Analog zu https mit Port 443 kann man nun weitere Ports, z.B. 242 für die Schulkonsole auf Blau freigeben. **Sicherheitsrisiko beachten!** ===== (C) Debug - Möglichkeiten ===== Abschalten des BOT ermöglicht den uneingeschränkten Zugriff nach außen, nicht jedoch den Zugriff von Blau auf Grün. Am IPCop findet man unter **Logs -> Firewall-Logdateien** geblockte Zugriffe.