ich habe hier noch einen ungenutzten AccessPoint rumfliegen und würden den gerne in unsere Testinstallation (lmn 7.1, OPNsense) integrieren. Allerdings bekomme ich die Begrifflichkeiten noch nicht ganz sortiert (Netzwerkzugriff über Radius — linuxmuster.net 7.0 beta Dokumentation)…
Der in OPNsense intergrierte RADIUS-Server kann von einem Accesspoint (was muss der „können“?) abgefragt werden und somit nutzerbasierte Anmeldung im Netz ermöglichen/verhindern?
Ist davon etwas nutzbar für eine nutzer-basierte WLAN-Anmeldung?
Mir ist - wie immer - völlig klar, dass das weit von einem gut funktionierendem Setup ist - es geht halt um Demonstration, um die Entscheider vom System zu überzeugen…
ich hab das jetzt nicht so genau angeschaut, aber wenn du das Capturing
Portal der OPNsense verwendest, dann kannst du den dümmsten AP dran
hängen, den du finden kannst: der muss nämlich garnichts können.
Okay. Es stellt sich heraus, dass die oben verlinkte Anleitung eine neuere Revision des APs ist.
Meine Version (1.3) hat aber wohl die Möglichkeit, „WPA/WPA2-Enterprise Authentication“ an einem Radius-Server zu betreiben (https://ftp.dlink.de/dap/dap-2553/documentation/DAP-2553_man_en_Manual.pdf).
Wie gehe ich dann am geschicktesten vor? Ich habe ja den proxmox-host und darin dann die opnsense und den lmn-server. Ich muss dann sicherlich erst einmal die neue Netzwerkschnittstelle im proxmox anlegen und durchreichen - richtig?
Wie würde es dann weiter gehen?
Es gibt ja wohl die einfache Variante mit CaptivePortal - wären Geräte dahinter auch in der Lage, auf Netzlaufwerke zuzugreifen? Wie ist es mit veyon?
Alternativ kann ich ja wohl auch gegen den Radius-Server der OPNsense (oder einen in lmn installierten) authentifizieren - richtig? Habe ich dann eine bessere Integration?
Es gibt ja wohl die einfache Variante mit CaptivePortal - wären Geräte
dahinter auch in der Lage, auf Netzlaufwerke zuzugreifen? Wie ist es mit
veyon?
Netzlaufwerke im CaptivPortal Netz sind eher nicht sinnvoll.
Du darfst ja nciht vergessen, dass die WLAN Anmeldung damit
Nutzerbezogen ist: also erst nach dem Login am Rechner aufgebaut werden
kann (im Browser).
Danach kannst du durch doppelklicken eines scripts am Client schon noch
Netzlaufwerke verbinden: aber da wird es dann schon zu komplex für die User.
Genau das gleiche ist es bei WPA2 Enterprise: da steht die WLAN
Verbindung auch erst zu spät.
Deswegen werden solche AD Anmeldungen mit APs in Grün und WPA2 Personal
gemacht,.
Der Admin bringt den Clietn dann durch die Eingabe des WPA2 PSK Keys ins
grüne Netz.
Das Passwort wird nie irgend jemand gesagt: es steht geschützt im Client.
Alternativ kann ich ja wohl auch gegen den Radius-Server der OPNsense
(oder einen in lmn installierten) authentifizieren - richtig? Habe ich
dann eine bessere Integration?
Integration ist ja nicht das wichtigste.
Ich bin froh, dass meine Nutzer keine so große INtegration haben (WPA2
Enterprise in Blau).
Für die große INtegration habe ich eine SSID im grünen Netz: aber das
ist eben vorbehalten für die Einrichtungseigenen Geräte (Notebooks).
Okay. Es geht ja in diesem Szenario um BYOD-Geräte - da könnte man entsprechendes KnowHow („Klick“) voraussetzen bzw. antrainieren ;-)…
Das wäre jetzt aber die Variante für lmn-gepflegte Geräte - richtig? Denn sonst hätten die Nutzer ja Admin-Rechte am Gerät und könnten den Key auslesen?
Dann noch mal zum dritten LAN (blau). Ich habe jetzt das USB-Dongle bestellt, stöpsele das in den Server und muss das doch sicherlich erst in proxmox einrichten, damit es bei der OPNsense ankommt - richtig?
- völlig klar, dass das weit von einem gut funktionierendem Setup ist - es geht halt um Demonstration, um die Entscheider vom System zu überzeugen…