/u/49557/crop5d44021e4193d_cropped.png?f=community)
Ik heb de volgende setup:
pfSense waar FreeRadius (FR) 3 op draait.
2x TP-Link Archer C7 met Lede Reboot 17.01.2 beide hebben ze 3 SSID's (normaal, guest en admin SSID).
De Archers zijn ingericht als "domme" wireless AP's.
Normaal verbindt met VLAN10, guest op VLAN11 en admin op VLAN12.
Nu wil ik WPA2 Enterprise (EAP) gaan gebruiken ipv PSK.
Een aantal gebruikers aangemaakt in FR. Archers gekoppeld met FR. Voor zover werkt het prima.
Maar nu wil ik onderscheid gaan maken welke gebruikers er op welke SSID's mogen connecten.
Immers gebruikers die guest zijn mogen alleen verbinden met het guest netwerk en non-admin users mogen niet verbinden met het admin netwerk.
Ik heb een packet capture gedaan en ik zie diverse Radius attributes tijdens het connecten.
Waaronder Called-Station-Id. Dit leek mij een prima attribute om een user mee te geven zodat ie niet kan/mag verbinden op andere SSID's.
Gebruiker John is een guest user en deze heb ik dan ook het volgende CHECK ITEM attribute meegegeven:
Waar xx-xx het mac adres is van het SSID (BSSID).
Dit werkt, echter alleen voor 1 wireless AP. Zodra ik een tweede Called-Station-Id toevoeg dan werkt het niet meer. Maar ik heb 2 wireless access points en John moet op beide kunnen inloggen (hebben hetzelfde guest SSID).
Zodra ik een tweede Called-Station-Id toevoeg als attribute dan moet hij beide matchen. Dat werkt natuurlijk niet. Hoe kan ik meerdere attributes invoegen en een statement dat hij een van de 2 moet matchen en niet allebei.
Of een andere manier waarop ik dit werkend kan krijgen is natuurlijk ook welkom!
Dynamic vlanning werkt helaas (nog) niet op Lede (OpenWRT) op 5GHz dus dat gaat niet lukken.
pfSense waar FreeRadius (FR) 3 op draait.
2x TP-Link Archer C7 met Lede Reboot 17.01.2 beide hebben ze 3 SSID's (normaal, guest en admin SSID).
De Archers zijn ingericht als "domme" wireless AP's.
Normaal verbindt met VLAN10, guest op VLAN11 en admin op VLAN12.
Nu wil ik WPA2 Enterprise (EAP) gaan gebruiken ipv PSK.
Een aantal gebruikers aangemaakt in FR. Archers gekoppeld met FR. Voor zover werkt het prima.
Maar nu wil ik onderscheid gaan maken welke gebruikers er op welke SSID's mogen connecten.
Immers gebruikers die guest zijn mogen alleen verbinden met het guest netwerk en non-admin users mogen niet verbinden met het admin netwerk.
Ik heb een packet capture gedaan en ik zie diverse Radius attributes tijdens het connecten.
Waaronder Called-Station-Id. Dit leek mij een prima attribute om een user mee te geven zodat ie niet kan/mag verbinden op andere SSID's.
Gebruiker John is een guest user en deze heb ik dan ook het volgende CHECK ITEM attribute meegegeven:
code:
1
| Called-Station-Id = "xx-xx-xx-xx-xx-xx:guest" |
Waar xx-xx het mac adres is van het SSID (BSSID).
Dit werkt, echter alleen voor 1 wireless AP. Zodra ik een tweede Called-Station-Id toevoeg dan werkt het niet meer. Maar ik heb 2 wireless access points en John moet op beide kunnen inloggen (hebben hetzelfde guest SSID).
Zodra ik een tweede Called-Station-Id toevoeg als attribute dan moet hij beide matchen. Dat werkt natuurlijk niet. Hoe kan ik meerdere attributes invoegen en een statement dat hij een van de 2 moet matchen en niet allebei.
Of een andere manier waarop ik dit werkend kan krijgen is natuurlijk ook welkom!
Dynamic vlanning werkt helaas (nog) niet op Lede (OpenWRT) op 5GHz dus dat gaat niet lukken.
) wat betreft FreeRadius.