Hallo Thomas (@tjordan ).
Mittlerweile habe ich mir packefence mal angesehen und dann festgestellt, dass es für das was wir benötigen echt zu komplex ist. Es gibt zwar eine sehr ausführliche Doku aber die Einstellungsmöglichkeiten übersteigen dann doch sehr deutlich das, was hier sinnvoll ist. Mir würde es reichen, wenn der freeRADIUS-Server zwischen Gruppen unterscheiden kann. Ich habe mich daher gerade an diesen Parallelthread drangehängt. Mal sehen, wohin die Reise geht…
Mit der Kombination Freeradius und Daloradius bist du doch auf dem richtigen Wege. Damit ist die dynamische VLAN Zuweisung über ein entsprechends Profil doch mit ein paar Mausklicks erledigt und ist universell für alle WPA-Enterprise installationen.
Unter dem folgenden Link findest du genauere Infos dazu:
Hallo zusammen,
hat jemand sachon den daloradius zum laufen gebracht? Ich hab’s nicht hinbekommen. Weder im Docker-Container noch in einer VM. Ich hätte zu gern mal reingeschaut.
Gruß,
Mathias
Hallo Mathias,
ja – wie im Parallelthread erwähnt, funktioniert das zwar – aber inwiefern es sinnvoll ist bzw. zusammen mit dem Management von LDAP-Gruppen weiterhilft, steht auf einem anderen Blatt.
Ich hatte zunächst bei der Installation von daloRADIUS einfach das ‚latest release‘ gewählt. Da sich dort aber die Verzeichnisstruktur ziemlich geändert hat, kam ich damit nicht richtig weiter. Ich habe dann eine ältere Version genommen und damit ging es dann:
Am Ende habe ich die ältere Version 1.3 genommen, damit ich die oben verlinkte Anleitung verwenden konnte. Damit ging es dann ootb.
Viele Grüße,
Michael
Hallo Michael,
vielen Dank für deine schnelle Rückmeldung.
Inwiefern die Sache sinvoll ist, weiß ich auch noch nicht. Toll wäre es, wenn man es so konfigurieren könnte, dass die Geräte von Usern aus der Gruppe teachers mit dem VLAN 01, user die nur in der Gruppe wifi sind mit dem VLAN 02 und alle anderen mit dem VLAN 03 verbunden werden.
Eine MAC-filerung möchte ich eigentlich nicht, da ich die Liste pflegen müsste. Und das habe ich schon gemacht. Da hat man ruckzuck MAC-Adressen, die es garicht mehr gibt…
Hallo. Ganz genau – das war auch mein ursprünglicher Gedanke: Es wäre einfach gut, wenn man eine detailliertere Unterscheidung hätte als nur „WiFi: oder “.
Wenn man hier nach den sowieso schon vorhandenen Gruppen „teachers“, „students“ und von mir aus auch noch „extrastudents“ unterscheiden und sie dementsprechend gleich in ihr passendes VLAN packen könnte, wäre viel gewonnen, meine ich!?
Wenn Du aber daloRADIUS nach der verlinkten Anleitung installierst, wirst Du feststellen, dass dort zunächst mal gar keine User vorhanden sind, da dort „nur“ in der mySQL-Datenbank nach den Usern geschaut wird aber nicht auf dem LDAP-Server. Wenn Du hier etwas neues oder anderes herausfindest, lass es uns wissen
Viele Grüße,
Michael
Hi.
Ich pushe diesen Thread nochmal nach oben, weil er wieder an Brisanz gewonnen hat … wir haben ein WLAN, dessen PSK wir ausschließlich per relution-Richtlinie auf iPads verteilen. Dennoch ist das Passwort wieder auf irgendeinem nicht nachvollziehbaren Weg in Schülerhände gelangt – weiß der Geier, wie es dieses Mal gelungen ist
Nun sind jedenfalls wieder alle möglichen BYOD-Schülersmartphones in diesem WLAN, die da nicht hingehören.
Erste Idee war:
alles im Unifi-Controller blockieren, was man nicht haben will. Leider wurden aber in Version 8.0.x des Controllers ein paar Optionen derartig verändert oder aus unerfindlichen Gründen herausgenommen (??), dass man nicht mehr gezielt nach blockierten Geräten suchen/filtern kann. Das wäre also bei über 1000 Geräten viel Handarbeit
zweite Idee: MAC-Filterung auch für dieses WLAN einführen (wohl wissend, dass es MAC-Spoofing gibt – aber besser als nichts). Konsequenz: Der Unifi-Controller kann (zumindest nach den Infos, die ich gefunden habe) „nur“ mit 512 MAC-Adressen im Filter umgehen. Mehr ist nicht (und ist vermutlich auch nicht sinnvoll).
dritte Idee: Nochmal zurück auf LOS … keine DM 4000,- ziehen und von vorne überlegen: Vielleicht doch ein WAP3-Enterprise-WLAN für die iPads?!? Vorteil: Jeder Benutzer müsste sich persönlich anmelden und man hätte keinen PSK mehr. Nachteil: Mit welchem Gerät das gemacht wird und von wie vielen Geräten aus, hätte man zunächst nicht im Griff. Und dann fiel mir dieser Ansatz wieder ein (der schon wieder ein ganzes Jahr alt ist).
also vielleicht doch auf diese Weise?? Macht das jemand so? Mir wäre ja eine Lösung wie Packetfence, die Thomas (@tjordan) oben erwähnt hat, am liebsten. Allerdings war das schon ziemlich komplex und ich habe beim letzten Versuch keine guten Infos oder gar ein How-To gefunden, wie man damit schnell ans Ziel kommt.
Unter’m Strich: Es klingt so einfach: Ein WLAN soll nur für Schülergeräte zur Verfügung stehen aber es soll gewährleistet sein, dass die Schüler nur mit ihrem Tablet in dieses WLAN gelangen können. Zudem sollen andere, private Geräte der Schüler nicht über dieses WLAN ins Internet gelangen können. Dahinter steckt nur, dass ein Gerät und Login pro User genügen sollte, damit das schulweite WLAN nicht so belastet wird. Da das aber ~1000 Geräte sind, muss es auch in Sachen Verwaltung machbar bleiben … sieht da jemand Licht am Ende des Tunnels??
Eine künstliche Einschränkung auf 1 Gerät pro Nutzer im WLAN würde ich nicht empfehlen. Das macht zulässige Gerätewechsel nur unnötig schwierig und bindet unnötig Personal um Support zu leisten, weil dann händischer Eingriff notwendig ist. Die reine (große) Anzahl eingebuchter Geräte ist kein Problem, entscheidend ist die Anzahl der gleichzeitig aktiven Geräte, die tatsächlich Datenverkehr verursachen.
Für Endgeräte der Schule: Egal ob man WPA2/3-Enterprise mit Clientzertifikat im Gerät oder einem gespeicherter PSK verwendet, der normale Benutzer (ohne Adminrechte) darf keinen Zugriff auf Datei/Datenbank/wasauchimmer haben, wo die Zertifikatsdatei oder der PSK gespeichert sind.
Hallo Buster,
ok – die Sache mit WPA3-OWE wäre denkbar aber löst das Problem nur so halb.
Die „künstliche Einschränkung“ ist vielleicht nicht so künstlich wie Du meinst, denn der Kauf der Geräte wird eh über die Schule abgewickelt und somit sind alle gekauften Geräte mit dem ersten Einschalten direkt über das Apple-DEP in unserem MDM erfasst. Auf diese Weise wird der Administrationsaufwand natürlich ganz erheblich reduziert. Aus dem Grund sollen in diesem WLAN auch keine anderen Geräte sein, denn das Stichwort „Airtime“ ist wahrscheinlich auch nicht zu verachten, wenn da Schüler u.U. mit irgendwelchen Uralt-Smartphones um die Ecke kommen.
Wenn ein Schüler ein neues Gerät verwenden muss (meistens im Fall von Glasbruch), werden wir das daher sowieso erfahren „müssen“, da es erneut ins MDM gelangen muss.
Um zurück auf das Thema freeRADIUS zu kommen. Das gleiche Thema hatten wir vor etwas mehr als einem Jahr hier:
Ich bin in dieser Sache leider nicht wirklich weitergekommen. Dass es aber stellenweise Probleme im WLAN bei so vielen Geräten gibt, ist leider nicht von der Hand zu weisen .
Wenn man da ganz anders rangehen sollte, wäre ich für jeden Hinweis dankbar.
Ja, das ist klar – der PSK wurde (wie oben erwähnt) NUR über eine relution-Richtlinie verteilt. Er war zu keiner Zeit irgendwo „direkt verfügbar“. Uns ist daher auch nicht klar, wie der PSK in Umlauf kam, aber ich kann mir vorstellen, dass Apple-Geräte manchmal zu großzügig sind, wenn es um die Weitergabe der WLAN-Verbindungen geht. Manchmal erhält man auf privaten Geräten solche Meldungen wie „Wollen Sie das WLAN-Passwort mit XYZ teilen?“ — also: wer weiß?! Vielleicht ist es auf diesem Weg irgendwie weitergetragen worden, auch wenn das so natürlich nicht sein dürfte
Nun, wenn das so ist, kannst du ja für dieses WLAN Zertifikats-Basierte RADIUS Authentisierung (EAP-TLS) machen. Wenn ich dich richtig verstanden habe, sind diese Geräte ja über Relution verwaltet. So kannst du das Gerätezertifikat und die Konfiguration auf die Tablets pushen. Dann braucht man keine persönliche Benutzerauthentisierung oder PSK mehr. Wenn der für dieses Funknetz zuständige RADIUS entsprechend konfiguriert ist, kommt da ohne entsprechendes Gerätezertifikat kein anderer rein.
Hallo Thomas,
das klingt genau nach der Lösung, die optimal wäre. Dann muss ich mich wohl oder übel mal wieder mit Zertifikaten herumschlagen. Das Thema hatten wir ja hier auch schon mal und ich erinnere mich, dass Du meintest, dass man zu diesem Zweck nicht einfach ein LE-Cert nehmen sollte … die Frage ist nur: Was nimmt man stattdessen? Irgendein selbstsigniertes Zertifikat? Mit anderen Worten: bei der praktischen Umsetzung sind noch ein paar Lücken vorhanden … in etwa so wie hier:
die brauchst eine eigene Zertifizierungsstelle mit der du das Serverzertifikat und die Clientzertifikate erstellt. Kann man z.B. auf der opnSense machen oder freeradius bringt für diesen Zweck eigene Templates mit, die man entsprechend ausfüllen muss und dann wird CA, Server-Zertifikat und Client-Zertifikat per Skript generiert.
… jetzt, wo Du’s sagst … stimmt! Soweit war ich irgendwann sogar schon mal und hatte das auf der OPNSense eingetragen. Muss ich nochmal rauskramen.
Aber danke für’s Erinnern!