Radius Authentifizierung Gruppen - zwei verschiedene WLAN

Status
Für weitere Antworten geschlossen.

rusmus

Benutzer
Mitglied seit
15. Jun 2019
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Guten Tag,
ich habe ein Unifi-Netzwerk mit zwei Subnetzen (WLAN_Schueler und WLAN_Lehrpersonen). Auf dem Synology NAS habe ich die beiden Gruppen Schüler und Lehrpersonen erstellt. Das Paket Radius ist installiert.

Ich habe nun im RadiusServer einen Client Unifi_WLAN_Schueler erstellt. Funktioniert alles bestens: Der Testschüler A kann sich anmelden und landet im entsprechenden Netz.

Das weitere Vorgehen ist mir aber nicht klar:
  • Ich nehme an, dass ich einen weiteren Client erstellen muss (für das Netzwerk Client_WLAN_Lehrpersonen).
  • Aber: Wo und wie wird authentifiziert, ob ein Benutzer Schüler oder Lehrer ist?

Ich kann Benutzer oder Benutzerguppen blockieren in der Blockierungsliste. Aber wie wird ein Benutzer dem entsprechenden Netzwerk zugeordnet? Die Blockierungslisten haben ja keinen Bezug zu den Clients. Die Benutzer Schüler müssen für das Netzwerk der Lehrpersonen gesperrt sein.

Hab ich das Konzept falsch begriffen?
Danke für einen Tip, ich stehe irgendwie auf der Leitung...
 

rusmus

Benutzer
Mitglied seit
15. Jun 2019
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Laut Synology Chat-Support ist das nicht möglich.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Um das sauber zu trennen solltest du auch serverseitig mit 2 Netzen fahren. Wenn du eine Syno mit 4 Nw-Ports hast sollte das kein Problem sein.
Ist noch die Frage, wie die Unify Netze getrennt sind, durch unterschiedliche IPs oder VLAN. Bei VLAN müsste man in der Syno via Konsole die Netzwerkeinstellungen verändern. Die DSM Oberfläche bietet leider kein VLAN an, es geht aber.
Ich habe das Problem anders gelöst, hier erfolgt die Trennung im Router durch unterschiedliche LANs mit je eigenem DHCP. Die Anbindung an den Server erfolgt dann über spezielle Routen die firewalltechnisch abgesichert sind.
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
rusmus schrieb:
Aber: Wo und wie wird authentifiziert, ob ein Benutzer Schüler oder Lehrer ist?
Was Du suchst, nennt sich im FreeRADIUS "Huntgroups". Dort kannst Du z.B. LDAP-Gruppen für einzelne SSIDs berechtigen.

rusmus schrieb:
Laut Synology Chat-Support ist das nicht möglich.
Da hat Synology bedingt recht. Über die Web Oberfläche kannst Du das nicht konfigurieren.
Du könntest aber alles über die Konsole machen. Dann müsstest Du Dich aber vorher in die Konfiguration von FreeRADIUS einarbeiten.

Gruß,
JudgeDredd
 

rusmus

Benutzer
Mitglied seit
15. Jun 2019
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Danke NSFH!

Um das sauber zu trennen solltest du auch serverseitig mit 2 Netzen fahren. Wenn du eine Syno mit 4 Nw-Ports hast sollte das kein Problem sein.

Das ist nun mein Workaround: Ich nehme meine zwei alten NAS (211+). Eines für die Lehrpersonen und eines für die Schüler_Innen. :eek:

Die beiden LANs haben verschiedene IPBereiche. Im Unifi-router (USG4) kann man bequem LANs und Firewall-Regeln definieren und so wäre das eigentlich dort gut lösbar.
 

rusmus

Benutzer
Mitglied seit
15. Jun 2019
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Vielen Dank JudgeDredd!
Deine Infos und der Link zu freeRadius geben mir einen möglichen Einstieg. Da wird's interessant! Ein gutes Sommerprojekt ;-) Liebe Grüsse rusmus
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.064
Punkte für Reaktionen
8
Punkte
64
Gerne. Wenn Du Dich ein wenig eingelesen und konkrete Fragen dazu hast, kannst Du gerne fragen.

Gruß,
JudgeDredd
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat