Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau]] 

WLAN mit RADIUS-Auth. im Access-Point - Blaues Netz

Die Arbeiten am paedML-Server und am WinXP-Client sind identisch zum → AP im grünen Netz. Zusätzlich muss nun der zwischengeschaltete IPCop konfiguriert werden.
Im IPCop ist dabei weder OpenVPN aktiv noch der CopSpot installiert!

In der Datei /etc/freeradius/clients.conf einen Eintrag für den AP hinzufügen:

client ap01 {
    ipaddr = 172.16.16.9
    secret = muster456
}

(A) Konfiguration des WLAN-Access-Points

Der AP muss auf WPA2 Enterprise umgestellt werden. Weiterhin muss man die IP der paedML eintragen (meist 10.16.1.1), den Port (1812) und das „Shared Secret“ mit dem der AP sich beim Server authentifiziert.
Auch sollte man dem AP eine feste IP im Blauen Netz geben, im folgenden wird die IP 172.16.16.9 mit Subnet-Mask 255.255.255.0 , Gateway 172.16.16.254 verwendet.
Der Access-Point ist dann auch über das grüne Netz mit seiner IP erreichbar.

(B1) Konfiguration des IPCop für http

Der DHCP-Server auf Blau muss eingeschaltet werden bei: Dienste → DHCP Server. Ebenso muss man die Anfangs- und Endadresse so wählen, dass die feste IP des Access Point nicht vergeben werden kann:

Unter Firewall → DMZ-Schlupflöcher muss der Zugriff des AP auf den Radius-Port 1812 - UDP des Servers zugelassen werden:

Ebenso muss der AP mit seiner MAC unter Firewall → Zugriff auf Blau eingetragen werden:

Dann den Proxy auch für das blaue Interfache unter Dienste → Advanced Proxy aktivieren:

Im BOT den Zugriff auf den Proxy unter Firewall → Block outgoing Traffic zulassen (Regel 4). Reihenfolge der Regeln beachten:

Zwischenstand: mit diesen Einstellungen kann nun ein am AP angemeldetes Notebook über http ins Internet. Für https-Zugriff, auch zum Server sind weitere Einstellungen notwendig.

(B2) Konfiguration des IPCop für https-Zugriff

Den https-Zugriff für die eingebuchten Geräte unter Firewall → Zugriff auf Blau einzeln erlauben:

Unter Firewall → DMZ-Schlupflöcher einen Eintrag für Zugriff aller IPs von Blau auf 10.16.1.1:443 eintragen.

Und im BOT eine neue Regel (hier Nr. 7) erstellen unter Firewall → Block outgoing Traffic:

Damit ist dann z.B. Horde oder moodle über https erreichbar.

(B3) Konfiguration des IPCop für weitere Ports

Analog zu https mit Port 443 kann man nun weitere Ports, z.B. 242 für die Schulkonsole auf Blau freigeben.

Sicherheitsrisiko beachten!

(C) Debug - Möglichkeiten

Abschalten des BOT ermöglicht den uneingeschränkten Zugriff nach außen, nicht jedoch den Zugriff von Blau auf Grün.

Am IPCop findet man unter Logs → Firewall-Logdateien geblockte Zugriffe.

 [[anwenderwiki:benutzerrechner:wlan:radius-accesspoint-blau]] anwenderwiki/benutzerrechner/wlan/radius-accesspoint-blau.txt · Zuletzt geändert: 2013/01/03 12:34 (Externe Bearbeitung)