Richtige Samba-Domäne und Anmeldung WPA Enterprise mit PEAP und Mschapv2

Infrastruktur WLAN
41

Hallo Thomas,

Und Stichwort BYOD → da würd ich mir zweimal überlegen, ob ich solche
potentiell verseuchten Geräte in ein mit WPA/2/3-Enterprise
abgesichertes Netz aufnehme, wo evtl. sensible Daten liegen, oder die
doch lieber in einem Gast-Netz mit CaptivePortal unterbringe

deswegen habe ich WPA2 enterprise im Blauen Netz und nicht in Grün.

LG

Holger

42

Hallo Jörg,

richtig.

Bei iOS-Geräten musste man das Serverzertifikat schon immer akzeptieren, unabhängig aus welcher CA es stammte. Bei Android (ich spreche von Android 13 Patchstand 6.Februar 2023) gibt es jetzt diese Möglichkeit auch, sofern der RADIUS auch das CA-Zertifikat mit ausliefert. Auch bei Windows musste man zustimmen.

Das Problem lag/liegt bei den Androids, die diese Option noch nicht haben. Hier musste man das CA-Zertifikat händisch einspielen und den Benutzern die Konfiguration für den wpa-supplicant mitteilen. Das war sehr umständlich.

Viele Grüße
Thomas

43

Hallo Thomas,
Hallo Noah,

ich habe nun Eure Hinweise und Anleitungen (Erstellung eines eigenen Radius-Zertifikat mit der Ca von linuxmuster.net sowie der Einbindung der Zertifikate in Freeradius) in der Doku aufgenommen (Netzwerkzugriff über Radius — linuxmuster.net 7.1 Dokumentation). Kontrolliert bitte nochmal, ob das alles so stimmt.

@nosch Welche Firewall-Einstellungen hast Du denn zusätzlich benötigt ? Erklärungen und Screenshots wären hier hilfreich.

VG
Chris

44

Hallo Chrs!

Ich hatte für mich die komplette Einrichtung eines „blauen Netzes“ mit DHCP-Server auf der OPNSense so dokumentiert:

Ein blaues Netz für das Schüler-WLAN einrichten:

Zunächst muss für das blaue Netz ein in allen Switches ein VLAN (hier als Beispiel 10) erstellt und getaggt auf die notwendigen Ports gelegt werden.

Ziel ist es nun auf diesem VLAN ein Netzwerk zu erstellen, das von der OPNSense per DHCP verwaltet wird und von dem aus Zugriff ins Internet, aber kein Zugriff ins grüne Netz möglich ist bzw. nur die WebUI erreichbar ist.

Dazu sind zunächst, falls noch nicht geschehen ein paar Anpassungen im Proxmox, auf dem die OPNSense läuft zu machen:

  1. Die Bridge vmbr1 für VLANs „aware“ machen:

    image
    image1901×697 80.1 KB

  2. Dann in der OPNSense Maschine ein neues Netzwerk Device erstellen, dass auf das VLAN hört:

    image
    image1024×544 69.3 KB

  3. Anschließend in der OPNSense das Interface hinzufügen:

    image
    image1919×694 48.8 KB

  4. Nun das Interface einrichten:

    image
    image1920×1581 249 KB

  5. Dann noch den DHCP-Server einrichten:

    image
    image1920×2352 334 KB

  6. Und zum Schluss noch die Firewallregeln anlegen. Dazu muss zunächst ein Alias mit den privaten Netzen angelegt werden, die nicht von blau erreichbar sein sollen:

    image
    image1920×909 70.3 KB

Und dann folgende Regeln erstellen:

image
image1920×909 86.8 KB

Die Reihenfolge der Regeln ist entscheidend - siehe verlinktes Video weiter unten! Die unterste Regel erlaubt den Zugriff aus blau überall hin - die darüber liegende Regel schränkt dies aber ein und verbietet alles in die privaten Netze. Darüber kommen zwei Ausnahmen für die WebUI und DNS-Anfragen.

Mein Vorgehen zum Einrichten des blauen Netzes entspricht dieser Anleitung:

Und für die Firewall-Regeln diesem schönen Video:

Soll ich noch Bilder der einzelnen Firewall-Regeln erstellen?
Viele Grüße!
Noah

45

Hi,

Wäre es dann nicht einfacher beide Regeln zusammenzufassen, indem man nur bei der letzten Regel die Destination auf „NICHT Alias PrivateNetze“ festlegt? Die Regel davor könnte eingespart werden, weil das dann wieder durch die unsichtbare deny-all-Regel am Ende erfasst wäre.

MfG Buster

46

Hallo Chris,

alles soweit nachvollziehbar!

Danke für die Arbeit!

VG
Thomas