Ergebnis 1 bis 7 von 7
  1. #1
    Anwender
    Registriert seit
    14.06.2019
    Beiträge
    4

    Standard Authentifizierung Gruppen - zwei verschiedene WLAN

    Guten Tag,
    ich habe ein Unifi-Netzwerk mit zwei Subnetzen (WLAN_Schueler und WLAN_Lehrpersonen). Auf dem Synology NAS habe ich die beiden Gruppen Schüler und Lehrpersonen erstellt. Das Paket Radius ist installiert.

    Ich habe nun im RadiusServer einen Client Unifi_WLAN_Schueler erstellt. Funktioniert alles bestens: Der Testschüler A kann sich anmelden und landet im entsprechenden Netz.

    Das weitere Vorgehen ist mir aber nicht klar:
    • Ich nehme an, dass ich einen weiteren Client erstellen muss (für das Netzwerk Client_WLAN_Lehrpersonen).
    • Aber: Wo und wie wird authentifiziert, ob ein Benutzer Schüler oder Lehrer ist?


    Ich kann Benutzer oder Benutzerguppen blockieren in der Blockierungsliste. Aber wie wird ein Benutzer dem entsprechenden Netzwerk zugeordnet? Die Blockierungslisten haben ja keinen Bezug zu den Clients. Die Benutzer Schüler müssen für das Netzwerk der Lehrpersonen gesperrt sein.

    Hab ich das Konzept falsch begriffen?
    Danke für einen Tip, ich stehe irgendwie auf der Leitung...

  2. #2
    Anwender
    Registriert seit
    14.06.2019
    Beiträge
    4

    Standard

    Laut Synology Chat-Support ist das nicht möglich.

  3. #3
    Anwender
    Registriert seit
    09.11.2016
    Beiträge
    1.925

    Standard

    Um das sauber zu trennen solltest du auch serverseitig mit 2 Netzen fahren. Wenn du eine Syno mit 4 Nw-Ports hast sollte das kein Problem sein.
    Ist noch die Frage, wie die Unify Netze getrennt sind, durch unterschiedliche IPs oder VLAN. Bei VLAN müsste man in der Syno via Konsole die Netzwerkeinstellungen verändern. Die DSM Oberfläche bietet leider kein VLAN an, es geht aber.
    Ich habe das Problem anders gelöst, hier erfolgt die Trennung im Router durch unterschiedliche LANs mit je eigenem DHCP. Die Anbindung an den Server erfolgt dann über spezielle Routen die firewalltechnisch abgesichert sind.
    • Synology: RS1619xs+ * RX1217RP * RS815RP+ * DS916+ * DS418play *
    • Router/Modem: Draytek Vigor130 * Draytek Vigor2960 * Bintec 3002 * Fritzbox 6490C / 7490 / 7590 / TC4400 *
    • LAN/WLAN: Netgear 24+2 Port * Ubiquiti UniFi US-8-60W * Ubiquiti Cloud Key + Unifi AC PROs * Draytek Vigor 1280G * Draytek Vigor P2280 * Draytek Vigor AP910C *
    • USV: CyberPower Rackmount Serie 1000VA * BlueWalker VI 3000 * BlueWalker FI 3000 * Eaton Ellipse ECO800 *

  4. #4
    Anwender Avatar von JudgeDredd
    Registriert seit
    12.11.2009
    Beiträge
    1.010

    Standard

    Zitat Zitat von rusmus
    Aber: Wo und wie wird authentifiziert, ob ein Benutzer Schüler oder Lehrer ist?
    Was Du suchst, nennt sich im FreeRADIUS "Huntgroups". Dort kannst Du z.B. LDAP-Gruppen für einzelne SSIDs berechtigen.

    Zitat Zitat von rusmus
    Laut Synology Chat-Support ist das nicht möglich.
    Da hat Synology bedingt recht. Über die Web Oberfläche kannst Du das nicht konfigurieren.
    Du könntest aber alles über die Konsole machen. Dann müsstest Du Dich aber vorher in die Konfiguration von FreeRADIUS einarbeiten.

    Gruß,
    JudgeDredd
    STANDORT 1:
    ROUTER:

    DS:

    DMZ: Eigenbau mit pfSense Software
    SUB: DrayTek Vigor2920 Dual WAN Security Router
    409+ Raid-5(4x1000) 4.2-[3255]
    STANDORT 2:
    ROUTER:
    DS:

    Eigenbau mit pfSense Software
    713+ Raid-1(2x3000) DSM 4.3-[3810]

  5. #5
    Anwender
    Registriert seit
    14.06.2019
    Beiträge
    4

    Standard

    Danke NSFH!

    Zitat Zitat von NSFH Beitrag anzeigen
    Um das sauber zu trennen solltest du auch serverseitig mit 2 Netzen fahren. Wenn du eine Syno mit 4 Nw-Ports hast sollte das kein Problem sein.
    Das ist nun mein Workaround: Ich nehme meine zwei alten NAS (211+). Eines für die Lehrpersonen und eines für die Schüler_Innen.

    Die beiden LANs haben verschiedene IPBereiche. Im Unifi-router (USG4) kann man bequem LANs und Firewall-Regeln definieren und so wäre das eigentlich dort gut lösbar.

  6. #6
    Anwender
    Registriert seit
    14.06.2019
    Beiträge
    4

    Standard

    Vielen Dank JudgeDredd!
    Deine Infos und der Link zu freeRadius geben mir einen möglichen Einstieg. Da wird's interessant! Ein gutes Sommerprojekt ;-) Liebe Grüsse rusmus

  7. #7
    Anwender Avatar von JudgeDredd
    Registriert seit
    12.11.2009
    Beiträge
    1.010

    Standard

    Gerne. Wenn Du Dich ein wenig eingelesen und konkrete Fragen dazu hast, kannst Du gerne fragen.

    Gruß,
    JudgeDredd
    STANDORT 1:
    ROUTER:

    DS:

    DMZ: Eigenbau mit pfSense Software
    SUB: DrayTek Vigor2920 Dual WAN Security Router
    409+ Raid-5(4x1000) 4.2-[3255]
    STANDORT 2:
    ROUTER:
    DS:

    Eigenbau mit pfSense Software
    713+ Raid-1(2x3000) DSM 4.3-[3810]

Ähnliche Themen

  1. WLAN Authentifizierung ohne AD-Domain Präfix
    Von greyman im Forum Radius Server
    Antworten: 0
    Letzter Beitrag: 27.10.2017, 08:34
  2. Zwei Rechner und zwei verschiedene Arbeitsgruppen
    Von Dimmi im Forum Netzwerkkonfiguration
    Antworten: 6
    Letzter Beitrag: 09.09.2016, 16:17
  3. zwei benutzer auf zwei verschiedene Ordner gleiches NAS geht nicht
    Von danse im Forum SMB-Server / AFP-Server
    Antworten: 2
    Letzter Beitrag: 25.10.2015, 16:20
  4. Antworten: 0
    Letzter Beitrag: 13.04.2015, 15:40
  5. Zwei verschiedene Netzwerkbereiche
    Von coe-bbg im Forum Netzwerkkonfiguration
    Antworten: 6
    Letzter Beitrag: 22.07.2013, 13:07

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •