Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ZS come proxy Radius senza Captive Portal

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Lun Mag 16, 2016 10:20 pm    Oggetto: ZS come proxy Radius senza Captive Portal Rispondi citando

Salve, altro dubbio...
Posso usare ZS come proxy Radius tra un Win 2012 e un AP configurato in WPA2 enterprise.
In particolare se io l'AP lo faccio puntare al server radius di win 2012 funziona, se imposto sull'AP come server radius ZS funziona, ma se imposto sull'AP come server radius ZS che a sua volta ha impostato il proxy radius che punta verso il win 2012 allora non funziona.
Se metto ZS come proxy Radius per collegamenti VPN funziona, così come se uso il captive portal, ma non è quello che voglio.

Domande:
1. è fattibile fare su ZS il proxy radius senza Captive portal?
2. basta solo configurare "RADIUS PROXY DOMAINS"? e se si come imposto i flag NS e LB?
3. come fa ZS a distinguere un account locale da uno remoto? sul nome utente di accesso bisogna mettere il nome di dominio del win2012?
del tipo:
user: pinco.pallino@dominiodiwin2012.local
pass: passworddell'utente
????

grazie a tutti e speriamo che qualcuno risponda anche a solo una domanda.

Claudio
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Mar Mag 17, 2016 9:38 am    Oggetto: Rispondi citando

Sulla domanda 1 direi proprio di si,

Disabiliti il CP e imposti AP come Accounting RADIUS per le connessione WPA/WPA2 Enterprise, praticamente imposti la wifi come WPA enterprise.

In ZS pero affinché gli Access Point WiFi possano comunicare le informazioni di accounting al server RADIUS è necessario aggiungere il loro indirizzo IP insieme allo Shared Secret all'elenco dei client RADIUS autorizzati. ce la sezione RADIUS AUTHORIZED CLIENTS dove mettere ip e la secret shared key.

per gli altri punti so che:

Eventuali proxy RADIUS esterni possono essere sia server Zeroshell, con abilitato il servizio di accounting, che Server RADIUS diversi da Zeroshell. In quest'ultimo caso, potrebbero esserci delle difficoltà nella gestione dei limiti di traffico, di tempo e nella gestione delle tariffe prepagate, mentre per quel che riguarda il calcolo dei costi non ci sono prolemi.
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mar Mag 17, 2016 1:47 pm    Oggetto: Rispondi citando

Grazie tiger, sei molto gentile per avermi risposto

tiger ha scritto:
Sulla domanda 1 direi proprio di si,

Disabiliti il CP e imposti AP come Accounting RADIUS per le connessione WPA/WPA2 Enterprise, praticamente imposti la wifi come WPA enterprise.

In ZS pero affinché gli Access Point WiFi possano comunicare le informazioni di accounting al server RADIUS è necessario aggiungere il loro indirizzo IP insieme allo Shared Secret all'elenco dei client RADIUS autorizzati. ce la sezione RADIUS AUTHORIZED CLIENTS dove mettere ip e la secret shared key.


Questo è quello che attualmente ho impostato: ho fatto puntare all' AP lo ZS come server radius. Ho impostato AP come AUTHORIZED CLIENTS e ho usato il segreto condiviso. E qui funziona tutto, senza alcun problema i client (docenti della mia scuola) si connettono usando l'account creato su ZS, correttamente e senza problemi. Ma i client (docenti) hanno anche un'account di dominio su un win 2012. Per evitare di avere 2 account, e quindi 2 password da cambiare periodicamente, per ogni docente che va e che viene a scuola, vorrei fare in modo che ZS non usi il suo account locale ma funzioni da proxy e che chieda al radius remoto (windows 2012) l'autorizzazione.
Capisco che potrei impostare negl'AP direttamente il server win 2012 come server radius e settargli gli AP come AUTHORIZED CLIENTS, e questo mi funziona anche, ma a questo punto bypasserei Zeroshell con la getione dei log e tutto il resto...
Impostare dei limiti di traffico o di tempo non mi serve perchè stiamo parlando di docenti.
Gli studenti si connettono su un ssid diverso dedicato a loro, poichè il ssid "studenti" è su vlan dedicata intercetto le connessione con il captive portal, in questo caso gli utenti studenti li faccio gestire a ZS/ZT ed imposto i limiti che mi servono.
Mi aiutate a capire "RADIUS PROXY DOMAINS"?
Grazie
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Mar Mag 17, 2016 1:57 pm    Oggetto: Rispondi citando

zeroshell.net/listing/captive_portal_windows_2008_radius.pdf

Hai letto questa guida?
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Mar Mag 17, 2016 3:50 pm    Oggetto: Rispondi citando

tiger ha scritto:
zeroshell.net/listing/captive_portal_windows_2008_radius.pdf

Hai letto questa guida?


grazie tiger per l'interessamento, questa guida è stata per me molto importante perchè anche se basata su windows 2008 in realtà nel win 2012 cambia solo un po' la grafica ma le impostazioni sono le stesse.
Ho letto questa guida in passato ed infatti la mia attuale situazione per i docenti è proprio con il captive portal che, però non usa proxy radius ma kerberos5 e Active Directory di win 2012.
Adesso volevo proprio cambiare in modo che il ssid docenti usi solo radius:
AP ---> proxy radius ZS ---> radius win 2012
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Mer Mag 18, 2016 4:31 pm    Oggetto: Rispondi citando

Puoi fare una cosa però..

ti prendi un bel ap/router qlc sia, io ti consiglierei un tl-wr940n tplink,

Collega la WAN a ZS,
Su ZS autorizzi la wan a bypassare il cp attraverso il mac address suo (quello della wan),

Fai collegare i docente alla wifi del tplink impostato come protezione in WPA/WPA2 Enterprise che uscirebbe con sua lan avente classe ip 192.168.0.1 rispetto alla wan 192.168.1.x.

in questo modo i docenti si autentificherebbero solo come radius e non cp.
e metti nella lan del tuo ap il server win 2012.

dovresti risolvere
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Gio Mag 19, 2016 4:05 pm    Oggetto: Rispondi citando

Tiger grazie ancora per l'interessamento

tiger ha scritto:
Puoi fare una cosa però..
ti prendi un bel ap/router qlc sia, io ti consiglierei un tl-wr940n tplink,

Gli access point che ho sono un pochino migliori dei tplink, sono dei "Cisco"

tiger ha scritto:

Collega la WAN a ZS,
Su ZS autorizzi la wan a bypassare il cp attraverso il mac address suo (quello della wan),

Fai collegare i docente alla wifi del tplink impostato come protezione in WPA/WPA2 Enterprise che uscirebbe con sua lan avente classe ip 192.168.0.1 rispetto alla wan 192.168.1.x.

in questo modo i docenti si autentificherebbero solo come radius e non cp.
e metti nella lan del tuo ap il server win 2012.

dovresti risolvere

bypassare il cp attraverso il mac address già lo faccio per alcune cose ad esempio il sito dell'istituto e il registro elettronico. Bypassare interamente il captive portal per l'intero SSID/Vlan dei docenti non ne vedo il motivo visto che basta solo non attivare il CP per quella Vlan e mettere WPA enterprise sugl'AP.
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Gio Mag 19, 2016 4:17 pm    Oggetto: Rispondi citando

Certo che non vi è paragone tra cisco e tplink, ma permettimi di dirti che non ero a conoscenza.

Nn avevo compreso che avessi una vlan su ap.. in multi ssid? la vlan è gestita da uno switch management o semplicemente hai impostato vlan su scheda zs?

se bypassi il cp su zs e imposti il radius esterno non ho capito che problema hai allora...
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Ven Mag 20, 2016 11:53 am    Oggetto: Rispondi citando

tiger ha scritto:
Certo che non vi è paragone tra cisco e tplink, ma permettimi di dirti che non ero a conoscenza.

Nn avevo compreso che avessi una vlan su ap.. in multi ssid? la vlan è gestita da uno switch management o semplicemente hai impostato vlan su scheda zs?

se bypassi il cp su zs e imposti il radius esterno non ho capito che problema hai allora...


Scusami se non sono stato molto chiaro...

Le Vlan posso gestirle come voglio e riesco a farle funzionare sia su uno switch layer 3 sia su ZS, in questo momento ho preferito ZS, cioè ho impostato sul DHCP come gateway l'IP di ZS.

In questo momento il mio problema è proprio che bypasso ZS (solo per i docenti) e quindi per controllare i log devo fare controlli incrociati sia su ZS sia sul Win2012 (troppo complicati). Mi sarebbe piaciuto fare il proxy radius su ZS, cioè gli AP si collegano al radius di ZS che a sua volta per gli account docenti che sono remoti, si collega al server radius del win 2012.
La mia prima domanda è ma si può fare?

Perchè sto incominciando a pensare che su ZS non sia fattibile.
Certo che però sono riuscito a farlo con il captive portal e con il VPN in quei casi impostando il proxy radius ha funzionato.
Grazie ancora

Claudio
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Ven Mag 20, 2016 12:45 pm    Oggetto: Rispondi citando

Gli account docenti stanno tutti memorizzati su Windows 2012? O sono replicati anche su zs? Spiegati meglio su vpn funziona in che senso? Collegandoti casa accedi con credenziali docenti? Se si sei sicuro interroga la vpn il database kerberos win2012 e non suo?

Se usi vlan su ap esso é multissid? Cioè permette più nomi WiFi legati ognuno ad un IP vlan?

Se si, puoi usare ip vlan ssid docenti su una lan dedicata su zs che punti a proxy domain radius

Se ap non é multissid usa un ap per docenti e uno per gli altri. E metti ap docenti sempre su una lan dedicata zs.

Perciò zs dovrebbe avere o tre lan una per internet una per ap docente e una per ap altrui

Oppure 2 lan una per internet e altra impostata con ip+vlan ip in modo che ssid docenti lo smisti su proxy domain. Non so se sono stato chiaro. Altrimenti dovremmo sentirci telefonicamente. Eheh
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Ven Mag 20, 2016 11:30 pm    Oggetto: Rispondi citando

tiger ha scritto:
Gli account docenti stanno tutti memorizzati su Windows 2012? O sono replicati anche su zs?

Sono tutti memorizzati solo su windows 2012

tiger ha scritto:
Spiegati meglio su vpn funziona in che senso? Collegandoti casa accedi con credenziali docenti? Se si sei sicuro interroga la vpn il database kerberos win2012 e non suo?

Si usando Host-to-LAN (OpenVPN) e impostando come Domain Name di Default il dominio che precedentemente ho attivato su proxy domains, più altre cose sul server win, riesco a collegarmi da casa usando un account che è presente solo su windows e non su ZS.

tiger ha scritto:
Se usi vlan su ap esso é multissid? Cioè permette più nomi WiFi legati ognuno ad un IP vlan?

Si proprio così

tiger ha scritto:
Se si, puoi usare ip vlan ssid docenti su una lan dedicata su zs che punti a proxy domain radius

Esattamente quello che vorrei fare ma che non riesco a far funzionare.

tiger ha scritto:
Se ap non é multissid usa un ap per docenti e uno per gli altri. E metti ap docenti sempre su una lan dedicata zs.

Non è il mio caso

tiger ha scritto:
Perciò zs dovrebbe avere o tre lan una per internet una per ap docente e una per ap altrui

ho due lan una interna e una esterna, poi la lan interna è suddivisa in Vlan

tiger ha scritto:
Oppure 2 lan una per internet e altra impostata con ip+vlan ip in modo che ssid docenti lo smisti su proxy domain. Non so se sono stato chiaro. Altrimenti dovremmo sentirci telefonicamente. Eheh

Chiarissimo, voglio fare esattamente questo ma non funziona, questo è il motivo per cui mi sono rivolto al forum. Grazie

Claudio
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Lun Mag 23, 2016 6:11 pm    Oggetto: Rispondi citando

Non saprei cosa dirti,
bisognerebbe fare dei test che io non posso,

prova a fare una stupidaggine cmq,

sebbene il cp sia disabilitato sulla vlan docenti,
nella sezione Free Authorized client prova a inserire
il mac address sia della lan server win 2012
sia quella della vlan docenti del tuo ap.

non ha un nesso ma prova.....

see you


L'ultima modifica di tiger il Lun Mag 23, 2016 6:37 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Lun Mag 23, 2016 6:32 pm    Oggetto: Rispondi citando

grazie!
Top
Profilo Invia messaggio privato
tiger



Registrato: 02/02/16 10:34
Messaggi: 189

MessaggioInviato: Gio Mag 26, 2016 12:00 pm    Oggetto: Rispondi citando

claudio in un vecchio post fulvio scriveva:

http://www.zeroshell.net/forum/viewtopic.php?t=3599&sid=de7dcbb57c8b6df562072fe8a70f4ea3


"Kerberos 5 è alternativo a RADIUS. Invece per contattare un server RADIUS esterno ti basta aggiungerlo come proxy RADIUS per un certo dominio.
Tieni conto che dovrai anche aggiungere l'IP e lo shared secret di Zeroshell come client sul server RADIUS esterno.

Saluti
Fulvio"

mi chiedo hai aggiunto tu ip e la shared come client anche su radius esterno windows?
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 84

MessaggioInviato: Ven Mag 27, 2016 2:41 pm    Oggetto: Rispondi citando

tiger ha scritto:

mi chiedo hai aggiunto tu ip e la shared come client anche su radius esterno windows?

Si, altrimenti non funzionerebbe nemmeno con VPN o captive portal.
Al più il dubbio è: chi è il client?
ZS, il controller o l'AP?
ma per non sbagliare li ho messi tutti...

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it