Radius Synology RADIUS Erfahrungen

Status
Für weitere Antworten geschlossen.

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen,
dieser Bereich des syno-Forums scheint recht verwaist. Entweder alles läuft rund oder niemand nutzt den RADIUS auf der Syno...

Ich schlage mich gerade mit RADIUS und 802.1x herum...

Gibt es aktuell Benutzer hier, die das RADIUS Package in Anwendung haben oder hatten und ihre allgemeine Erfahrung austauschen / mitteilen möchten?

- Erfahrungen mit der Praxis
- Erfahrungen mit der Konfiguration

Würd mich freuen...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Hatte ich mal laufen (ist aber schon ewig her) und ehrlich gesagt, kann ich mich da auch garnicht so wirklich dran erinnern, das war damals noch auf meiner DS211j als ich die "neu" hatte :D In Deiner Signatur steht allerdings auch eine pfSense, würde das nicht ggf. mehr Sinn machen? Die wird doch vermutlich nicht so flott ausgetauscht wie die Syno (welche Du ja trotzdem als Auth-Backend nutzen kannst). Zumal ist die pfSense auch eher Infrastruktur-Teil (nicht wie die Syno) und dazu gehört ja auch WLAN. Was genau hast Du denn vor und was genau geht nicht wie es soll? :)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen blurr,
ich bin erst im ersten Planungsschritt und sammle noch infos. Eigentlich wollte ich den (Free)RADIUS Server via pfSense laufen lassen, das stimmt. Da ich aber auch andere Optionen mitdenken will, wollte ich einfach hier mal fragen, wie die Erfahrungen so sind/waren mit Synology RADIUS.
Was habe ich vor: einfach mich mit der Thematik mal vertraut machen, für eines der VLANs eine Radius Authentifizierung einrichten. OpenVPN habe ich bereits via RADIUS geschaltet, das läuft mit 2FA zum Aufbau des Tunnels auch super. Jetzt halt mal im Heimnetz die VLANs (der Sohn und seine Freunde...) nachjustieren, aber wirklich nicht als beruflichen Ansatz, sondern nur fürs Gefrickel im Heimnetz...

Dir noch einen sonnigen Nachmittag!
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
Naja, wenn Du beim Radius mehrere Auth-Backends angeben kannst (hatte zwar auch mal eine pfSense im Einsatz, aber ohne Radius) und auf der Syno entsprechend was läuft, was man auch anbinden kann (z.B. LDAP) würde ich das schon über die pfSense machen. Das macht für mich irgendwie mehr Sinn. Wenn der Syno-Radius allerdings auch gegen die lokalen User authentifizieren kann, wäre das natürlich schon praktisch, allerdings müsstest Du dann ja auch "... und seine Freunde..." dort anlegen (Sohn wird ja vermutlich eh einen Account haben). Glaube, dass ich das nochmal komplett trennen würde, bzw. vllt bekommt der Sohnemann ja irgendwann sein eigenes Gerät, dann kann er das dann quasi selbst dort verwalten (natürlich innerhalb des von Dir vorgegebenen VLANs und Du bist die Arbeit los) ;)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen nochmals,
zu 99% bin ich mir auch sicher, dass das komplett über die pfsense laufen wird. Alleine schon, weil ich nicht strukturelle Netzgeräte/Funktionen mit Serverfunktionen (Dateiserver) mischen will, daher ja auch kein VPN auf dem NAS. War auch eher dem Erfahrungsgewinn geschuldet, da hier im Forum ja jeder ALLES mit seinem NAS zu machen scheint, RADIUS aber hier irgendwie nur seeeeeehr selten Thema ist.

Danke für deine Einschätzung (und die deckt sich ja mit meinen) dazu!
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.129
Punkte für Reaktionen
588
Punkte
194
Ich nutze Radius um Anmeldungen über die in der Syno registrierten Nutzer laufen zu lassen. Dabei greifen Router und WLAN APs auf die RS zu. Was soll man da schon schreiben, es läuft.
Der Router nutzt es für die VPN Anmeldung und die WLAN APs mittels Zertifikat für mobile Nutzer.
Dabei stelle ich für WLAN insgesamt 4 verschiedene SSIDs zur Verfügung, welche verschiedene Zugriffe erlauben, eines zB nur für die private Nutzung. In dem kann man sich nur mit Android oder IOS anmelden, andere Betriebssysteme gehen nicht und auch die Datenkontngente sind beschränkt. Halt für Mailabruf und WhatsApp etc. Insgesamt sehr praktisch und funktionell.
Ich habe dort überall Draytek Geräte als Frontend laufen, wie das dann mit anderen Herstellern aussieht keine Ahnung.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.105
Punkte
248
...da hier im Forum ja jeder ALLES mit seinem NAS zu machen scheint...

Das hat jetzt aber schon so ein bisschen was von SAP, oder? 1.000.000 Fliegen können nicht irren, Sch... schmeckt! :D

...RADIUS aber hier irgendwie nur seeeeeehr selten Thema ist...

Was wohl schlichtweg darin liegt, dass Fritzbox und Co sowas einfach nicht können (die gummeligen Easyboxen von Vodafone konnten es aber mal :rolleyes:) und vermutlich auch den wenigsten bekannt sein dürften, dass es sowas gibt. Zumal es hier ja teilweise auch schon eher eine Prestige-Sache ist, wenn man sich dann irgendwo einen Syno-Router in die Ecke wirft und so (Gründe gibt es dann keine wirklich nennenswerte, aber hey, sieht gut aus neben dem NAS! :D).

Wünsche jedenfalls viel Erfolg bei Deinem Projekt und lass uns mal wissen, wie es ausgegangen ist! :)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.106
Punkte für Reaktionen
545
Punkte
154
Moinsen erneut,
also, erst mal besten Dank für Eure Einschätzung und Erfahrungsberichte. Die Möglichkeiten, RADIUS auch für Anmeldungen auf NAS und anderes an Gelöt einzusetzen, wäre hier der Overkill, werd ich aber bestimmt dann auch mal ausprobieren. Mit geht es wie gesagt um das Probieren, dabei was lernen, rein Hobby-mäßig.
Neben VPN werd ich dann die Tage mal das Ding auf der pfsense aufsetzn. Die hier verwendeten switches sind alle 802.1x fähig, der AP auch. Insofern, ja, ich sag Beschdi, wie es so gelaufen ist....
Und das NSFH auch auf andere Geräte setzt (und Draytek ist ja nun eine Hausnummer) bestärkt mich in meiner Entscheidung und bestätigt ja auch blurrs Beitrag, die pfSense ist eh nicht ausgelastet und damit bekommt sie jetzt den Zuschlag als zentraler RadiusServer...

Euch einen sonnigen Feierabend!
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.071
Punkte für Reaktionen
10
Punkte
64
the other schrieb:
...RADIUS aber hier irgendwie nur seeeeeehr selten Thema ist...
Ich habe mir vor Jahren mal das RADIUS Paket mal angesehen. Unter der Haube handelt es sich hier ja um den FreeRADIUS.
Allerdings ist dieser über die GUI so massiv eingeschränkt, das ein vernünftiger Betrieb eigentlich nicht sinnvoll, bzw. nur über die Shell zu administrieren ist.
Ich denke das Paket ist eher zum kennenlernen gedacht um zu demonstrieren, was ein RADIUS macht.

Ich nutze den FreeRADIUS auf einer CentOS Maschine mit AD-Backend.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.129
Punkte für Reaktionen
588
Punkte
194
Was heisst vernünftig?
Er kann das was er soll, andere Nw-Komponenten bzw Zugriffe legitimieren.
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.071
Punkte für Reaktionen
10
Punkte
64
NSFH schrieb:
Er kann das was er soll, andere Nw-Komponenten bzw Zugriffe legitimieren.
Wenn das bei Dir ausreicht ist doch super. Dann brauchst Du Dich ja nicht tiefer einarbeiten.

Aber wenn Du irgendwann auch mal Huntgroups, Hints, etc. nutzen möchtest, dann wirst Du feststellen, das er das und noch viel mehr kann, aber eben nicht mit der GUI.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.129
Punkte für Reaktionen
588
Punkte
194
Das machen bei mir die Drayteks. Der Radius dient nur zur Nutzerauthenfizierung.
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.071
Punkte für Reaktionen
10
Punkte
64
Na dann gibst Du Dir ja die Antwort schon selbst, das über die GUI vom Syno-RADIUS nicht alles möglich ist.

Wobei mir allerdings auch nicht klar ist, wie man das mit einem Draytek macht.
Wie verhinderst Du denn WLAN hopping und wie setzt Du verschiedene security-groups damit ?
 
Zuletzt bearbeitet von einem Moderator:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.129
Punkte für Reaktionen
588
Punkte
194
Verschieden Gruppen mit ACL, Zertifikate und auch dazugehörige IP Netze definiere ich im Router bzw teilweise schon im AP (Zertifikate).
Der Aufbau ist halt etwas anders als beim typischen Radius Server.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat