Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Guten Morgen.

Ich wurde damit beauftragt die Sicherheit unserer WLAN Umgebung in der Firma zu verbessern. Hierzu sollen alle Mitarbeiter über ihre Benutzeranmeldung der Firmendomäne ins WLAN gelangen....soweit so einfach. Probleme habe ich momentan mit der Umsetzung einer Lösung für Besucher der Firma. Diese sollen ebenfalls über eine Benutzeranmeldung Zugang zum WLAN erhalten und einzig und allein Zugang zum Internet erhalten. Bisher haben wir in einem separaten Büro einen Hot Spot zu einem zweiten DSL Anschluss der Firma für diesen Zweck. Meine erste Idee war es, die Besucher sich ebenfalls an den Access Points zum Firmennetz anmelden zu lassen (über eine zweite SSID) und diese dann in ein separates VLAN zu stecken. Leider habe ich es nicht geschafft diese Idee bei unseren Access Points (CISCO Aironet 1200) umzusetzen. Diese können zwar eigene VLANs einrichten, aber es soll ja ein eigenes, im Firmenswitch erstelltes, VLAN genutzt werden.

Meine zweite Idee: Seperate Access Points für Gäste...diese dann per Port Based VLAN über unsere Switche bis zum Hot Spot des zweiten DSL Anschlusses verbinden und über die zweite Netzwerkschnittstelle des RADIUS Server diesen ebenfalls mit diesem VLAN zu verbinden. Hier bekomme ich aber folgendes Problem: Unsere Mitarbeiter sollen sich nicht an diesem Netz für Besucher anmelden können (Vorgabe Geschäftsleitung). Ich weiss aber nicht ob und wie man die Anmeldung über den RADIUS Server trennen kann für beide Netze (RADIUS Server ist momentan ein Windows Server 2003 R2 mit IAS)

Ich weiss...viel Text aber ich hoffe ich habe es verständlich beschrieben. Hat vielleicht jemand eine Idee wie ich dieses Problem lösen könnte?

Vielen dank :)

  • 4 Wochen später...
Geschrieben

ich würde als radius server den Cisco ACS Server empfehlen...

Habe das letztens erst bei uns umgesetzt, erstmal nur für das wired Netz, aber am WLAN bin ich dran.

will das genau so machen wie du...2 SSIDs, Mitarbeiter authentifizieren sich über den Domänenaccount (PEAP-MS-CHAPv2) und kommen in das normale Netz. Gäste authentifizieren sich einfach gar nicht und werden automatisch in das Gast-VLAN gesteckt. Diese Lösung wäre am einfachsten, da die Gäste so überhaupt keine Einstellungen an ihren Rechnern durchführen müssten. Auf dem ACS kann man das wunderbar festlegen.

die nötigen befehle auf dem Cisco Switch bzw. AP lauten:

authentication event fail action authorize vlan xxx

authentication event no-response action authorize vlan xxx

* 1 50 WS-C2960-48TC-L 15.0(1)SE C2960-LANBASEK9-M

Geschrieben

Schau dir das mal an:

Öffentlicher Internet-Zugang per WLAN HotSpot – gesetzeskonform

Kombiniert mit dem WLAN-Controller ist das eine super Lösung! Läuft bei uns wie geschmiert.

Du hast eben die Möglichkeit, mehrere SSIDs anzulegen z.B. eine für die Mitarbeiter (VLAN-ID 2) und eine für die Gäste (VLAN-ID 3). Dann kannst du dem Router sagen, dass er alles, was über die Gast-SSID reinkommt, über einen externen RADIUS-Server laufen soll.

Den Traffic könnte man anschließend mit einer Stateful Inspection Firewall reglementieren, sodass Gäste nur Zugriff aufs Internet haben dürfen.

Grüße

Fl0

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...