gelöst WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN

Mitglied: hummus

hummus (Level 1) - Jetzt verbinden

27.12.2018 um 17:57 Uhr, 4750 Aufrufe, 65 Kommentare, 1 Danke

Liebe Experten,

ich habe eine pfSense als Router und mehrere Zyxel GS1900-Switche im Einsatz. Dort hängen aktuell zwei MikroTik cAP lite an Ports, die das VLAN 70 untagged übermitteln und einige weitere VLANs tagged. Einer der cAPs ist der CAPsMAN und in Zukunft werden noch weitere cAPs hinzukommen.
VLAN 70 ist also das Verwaltungsnetz für die WLAN-Hardware. Es werden aktuell drei bis vier VLANs für den Zugriff per WLAN benötigt. Ich habe schon gelesen, dass es grundsätzlich möglich ist, nur mit einer einzigen SSID zu arbeiten und die Zuordnung zu den VLANs bei dem Nutzer im Radius-Server zu hinterlegen. Ist das mit den MikroTik caps(man) auch möglich? Wenn ja: Wie?
Einen Freeradius-Server könnte ich im internen Netz installieren.

Außerdem würde ich gern noch ein Captive Portal für ein WLAN-Gastnetz haben. Alle cAPs sollen gleich konfiguriert sein (u.a. deshalb auch der CAPsMAN).

Ist die Kombination aus Captive Portal und 802.1x-Authentifizierung so möglich? Sollte ich das Captive Portal der pfSense nutzen oder eine MikroTik-interne Lösung? Für das Captive Portal (WLAN-Gastnetz) bräuchte ich keine unterschiedlichen VLANs, die landen dann alle in einem Gast-VLAN.

Ist es sinnvoll, den Radius-Server separat aufzusetzen oder in der pfSense?

Ich freue mich auf eine Beschreibung, welche Konstellation für mein Vorhaben am besten sein wird.

Danke!
65 Antworten
Mitglied: 137846
27.12.2018, aktualisiert um 18:28 Uhr
Zitat von hummus:
nur mit einer einzigen SSID zu arbeiten und die Zuordnung zu den VLANs bei dem Nutzer im Radius-Server zu hinterlegen. Ist das mit den MikroTik caps(man) auch möglich?
Ja
Wenn ja: Wie?
Dynamic VLAN Assignment with RADIUS and CAPsMAN Configuration Example
Außerdem würde ich gern noch ein Captive Portal für ein WLAN-Gastnetz haben. Alle cAPs sollen gleich konfiguriert sein (u.a. deshalb auch der CAPsMAN).

Ist die Kombination aus Captive Portal und 802.1x-Authentifizierung so möglich?
Ja, siehe PDF oben.
Sollte ich das Captive Portal der pfSense nutzen oder eine MikroTik-interne Lösung?
Bleibt dir überlassen. Das CP der pfSense basiert auf PHP und ist dadurch sehr flexibel anpassbar sollten später noch Sonderwünsche dazu kommen. Das CP des Mikrotik lässt sich ebenfalls fein konfigurieren, jedoch hat man hier keine Möglichkeit direkt mit PHP erweiterte Funktionen nachzurüsten.
Für das Captive Portal (WLAN-Gastnetz) bräuchte ich keine unterschiedlichen VLANs, die landen dann alle in einem Gast-VLAN.
Mikrotik Hotspot, oder pfSense CP erledigen das beide zufriedenstellend, schau sie dir einfach beide mal an.
Ist es sinnvoll, den Radius-Server separat aufzusetzen oder in der pfSense?
Wenn sowieso schon andere Hardware im Netz läuft, dann ja, ansonsten eben in der pfSense, kommt ja auch auf die Anzahl der User an und was sonst noch auf der pfSense so läuft .

Gruß A.
Bitte warten ..
Mitglied: hummus
27.12.2018 um 22:42 Uhr
Danke für deine Hinweise, da bin ich ja schonmal auf dem richtigen Weg.

Ich habe mir einen freeradius-Server im Docker-Container aufgesetzt und dort die VLAN-ID beim jeweiligen User hinterlegt. Mit radtest erhalte ich auch die ID zurück:

Vom Android-Smartphone aus kann ich mich mit den Zugangsdaten auch verbinden, allerdings funktioniert die VLAN-Zuordnung noch nicht. Den Datapath habe ich wie in der PDF-Anleitung auf Seite 13 so eingestellt, dass VLAN Mode = "use tag" ist, aber keine VLAN ID angegeben ist. Die soll ja vom Radius geliefert werden. Lasse ich den VLAN Mode leer, dann wird die Verbindung ordentlich aufgebaut, das Smartphone erhält dann eine IP-Adresse aus dem VLAN 70 (das ist das WLAN-Management-VLAN). Trage ich händisch die VLAN ID im Datapath ein, funktioniert es korrekt. Es ist also kein Problem mit dem DHCP o.ä.

Wie kann ich das Problem lokalisieren? Im Mikrotik-Log steht nur connected und dann wieder disconnected, aber keine Details zur VLAN-Wahl etc. Gibt es da noch ein detaillierteres Log?
Bitte warten ..
Mitglied: hummus
28.12.2018 um 07:46 Uhr
Nach einigem nächtlichen Lesen und probieren habe ich es gelöst: Es fehlte noch die Konfigurationsanpassung in der Datei /etc/raddb/mods-available/eap: Dort muss (wie man ähnlich hier nachlesen kann) use_tunneled_reply = yes eingestellt werden. (An beiden Stellen, vorher stand da "no".)
Bitte warten ..
Mitglied: hummus
28.12.2018 um 10:36 Uhr
Zitat von 137846:
Ist die Kombination aus Captive Portal und 802.1x-Authentifizierung so möglich?
Ja, siehe PDF oben.

Wie stelle ich das jetzt praktisch an? In der PDF fand ich nichts zur Kombination aus Captive Portal und 802.1x-Auth.
Brauche ich für das Captive Portal eine separate SSID? Die jetzige SSID ist ja so eingestellt, dass man für 802.1x die Zugangsdaten eingeben muss.
Wenn ja, muss ich da mit einem virtuellen AP bei MikroTik arbeiten und diesen manuell auf jedem cAP anlegen? Oder kann ich das global im CAPsMAN machen?
Bitte warten ..
Mitglied: hummus
28.12.2018 um 10:38 Uhr
Oder ist es sinnvoll machbar, die Voucher-Zugänge o.ä. im RADIUS zu hinterlegen und somit komplett auf das Captive Portal zu verzichten? Die Nutzer müssen dann die Zugangsdaten eben im 802.1x-Dialog und nicht auf einer Webseite eingeben.
Bitte warten ..
Mitglied: aqui
28.12.2018, aktualisiert 30.12.2018
Außerdem würde ich gern noch ein Captive Portal für ein WLAN-Gastnetz haben.
Das kannst du doch kinderleicht mit deiner pfSense realisieren !!
Guckst du hier:
https://administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive-por ...
Es bietet mehr Möglichkeiten der User Verwaltung und Steuerung als das des MT.
Auf ein Captive Portal solltest du wegen der rechtlichen Problematik (Abnicken der AGB etc) bei Gastzugängen und zur Registrierung der Mac Adressen besser nicht verzichten !
Die zeitliche Begrenzung der Voucher bzw. die Funktion als Einmalpasswörter ist über .1x ebenfalls nicht zu regeln.
Du hast dann dort wieder statische Passwörter die einen Tag später die ganze Nachbarschaft, 2 Tage später die ganze Stadt kennt. Sinnfreier NoGo....
<edit>
Natürlich kann man im Radius Server eine zeitliche Limitierung bzw. Zeitschiene definieren. Kollege @sk hat unten natürlich Recht.
Das Problem ist natürlich der zeitliche Ablauf eines Einmalpassworts. Das kann ein Radius nur schwer lösen. Thema Backendsystem. Das es generell natürlich mit Klimmzügen lösbar ist steht außer Frage nur sollte man hier immer die Balance zw. Aufwand und Nutzen im Hinterkopf haben. Sollte MT tatsächlich die "Private PSKs" supporten wäre das ein vielversprechender Ansatz.
</edit>
Bitte warten ..
Mitglied: hummus
28.12.2018 um 13:33 Uhr
Okay, das Tutorial habe ich schon gelesen. Ich habe nur noch eine Lücke bei der Kombination mit meinem CAPsMAN-Setup. Brauche ich eine zweite SSID für den WLAN-Gastzugang und schicke den Traffic dann auf ein separates VLAN, für das das Captive Portal auf der pfSense eingerichtet ist?
Wenn ja: Muss ich da mit einem virtuellen AP bei MikroTik arbeiten und diesen manuell auf jedem cAP anlegen? Oder kann ich das global im CAPsMAN machen?
Bitte warten ..
Mitglied: 137846
LÖSUNG 28.12.2018, aktualisiert um 15:36 Uhr
Zitat von hummus:

Zitat von 137846:
Ist die Kombination aus Captive Portal und 802.1x-Authentifizierung so möglich?
Ja, siehe PDF oben.

Wie stelle ich das jetzt praktisch an? In der PDF fand ich nichts zur Kombination aus Captive Portal und 802.1x-Auth.
Brauche ich für das Captive Portal eine separate SSID? Die jetzige SSID ist ja so eingestellt, dass man für 802.1x die Zugangsdaten eingeben muss.
Wenn ja, muss ich da mit einem virtuellen AP bei MikroTik arbeiten und diesen manuell auf jedem cAP anlegen? Oder kann ich das global im CAPsMAN machen?
Das sind ja auch zwei ganz verschiedene Paar Schuhe!
Das eine ist WPA2 Auth via 802.1x und das andere mit CaptivePortal lässt man, wenn man das für Gäste nutzt natürlich selbst unverschlüsselt und authentifiziert diese dann über das Portal.
vAPs lassen sich problemlos automatisch via Capsman auf alle CAPs provisionieren indem man als Parent das Hauptinterface angibt.
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.12.2018 um 18:18 Uhr
Brauche ich eine zweite SSID für den WLAN-Gastzugang
Ja, das macht man in der Regel so.
Wenn ja: Muss ich da mit einem virtuellen AP bei MikroTik arbeiten
Guckst du hier, da ist alles erklärt:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-router-os-ve ...
Bitte warten ..
Mitglied: sk
28.12.2018, aktualisiert um 20:10 Uhr
Zitat von aqui:
Die zeitliche Begrenzung der Voucher bzw. die Funktion als Einmalpasswörter ist üner .1x ebenfalls nicht zu regeln.
Du hast dann dort wieder statische Passwörter die einen Tag später die ganze Nachbarschaft, 2 Tage später die ganze Stadt kennt. Sinnfreier NoGo....

Diese Aussage ist hanebüchen. Selbstverständlich geht das auch per 802.1x i.V.m. Radius und einem geeigneten Backendsystem. Das machen wir mit Meru Identity Manager (heute Fortinet Connect) bereits seit einigen Jahren so. Sowohl zeitliche Limitierungen als auch Volumenregelungen lassen sich darüber abbilden. Wenn die entsprechenden Bedingungen eintreten, schickt das Backend-System einfach eine Disconnect Message an den Network Access Server. Siehe https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/radius_c ...

Interessant an Mikrotik ist, dass man damit auch sog. "Private PSKs" per Radius aus einer zentralen Datenbank holen kann. Jeder User kann also einen eigenen zeitlich befristeten WPA(2)-PSK bekommen. Aus Anwendersicht ist WPA(2)-Personal oft angenehmer und für den Admin mit weniger Supportaufwand verbunden, als WPA-Enterprise.
Meconet bewirbt das z.B. bei ihrem a3MANAGER i.V.m. Mikrotik als sog. "Secure Hotspot". Siehe https://www.meconet.de/hotspot-und-wlan-management.html
https://mum.mikrotik.com//presentations/DE16/presentation_3521_146487723 ...

Gruß
sk
Bitte warten ..
Mitglied: hummus
28.12.2018, aktualisiert um 23:21 Uhr
Danke, ich habe das mit den virtual APs hingekriegt. Allerdings musste ich für jeden cAP die vAPs selbst anlegen. Das ging zwar vom CAPsMAN aus, aber ich hatte mir das so vorgestellt, dass man das Set von vAPs irgendwie global festlegen kann, sodass z.B. beim Einfügen weiterer cAPs die vAPs gleich mit übernommen werden. Geht das auch?

In meinem Setup ist das noch nicht so dramatisch, aber wenn ich zig oder hunderte cAPs verwalte, macht es schon einen großen Unterschied.
Bitte warten ..
Mitglied: 137846
29.12.2018, aktualisiert um 08:37 Uhr
Ja, über die automatische Provisionierung im Capsman.
Bitte warten ..
Mitglied: hummus
30.12.2018 um 07:37 Uhr
Ich habe den CAPsMAN nochmal komplett neu eingerichtet, jetzt geht es nach der Übung der letzten Tage gut von der Hand und ist echt schnell erledigt
Und schwupps funktioniert auch die automatische Provisionierung neuer virtueller APs.

Vorher hat es nicht funktioniert, trotz (wahrscheinlich) gleicher Provisionierungseinstellungen ...
Wenn ich jetzt - nachdem die cAPs am CAPsMAN angemeldet sind und ihre Einstellungen bekommen haben - eine weitere Konfiguration zur Provisionierungsregel hinzufüge, wird aber kein weiterer vAP angelegt. Wie kann ich das erreichen?
Bitte warten ..
Mitglied: 137846
LÖSUNG 30.12.2018, aktualisiert um 08:04 Uhr
Einfach mal die Doku lesen
https://wiki.mikrotik.com/wiki/Manual:CAPsMAN#Radio_Provisioning
Also Master Interface rausschmeißen und neu provisionieren lassen.
Bitte warten ..
Mitglied: hummus
16.08.2019, aktualisiert 17.08.2019
Zur Dokumentation:
Will man die Provisionierung manuell anstoßen, weil sich was an der Konfiguration geändert hat, kann man dies im Terminal so machen:
Dann für jede Zeile einzeln diesen Befehl aufrufen (0 durch die Zahl des Remote-CAP ersetzen, die in obiger Tabelle in der ersten Spalte steht).
Eine Möglichkeit, dies für alle Remote-CAPs auf einmal zu machen, habe ich leider nicht gefunden - wäre aber bei vielen CAPs wünschenswert. Falls da jemand noch eine Idee hat, bitte ergänzen!

Möglich ist aber, die Nummern komma-separiert zu übergeben:

Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 13:31 Uhr
Moin zusammen,
ich spiele gerade auch mit meinem RADIUS herum, damit ich die WLAN Clients authentifizieren kann. Der Radius rennt auch, aber ich komme mit den Attributen im Radius nicht klar.

Welche Attribute muss ich hier zusätzlich anlegen?

vlanid - Klicke auf das Bild, um es zu vergrößern

Für meine MAC-Auth am Cisco Switch habe ich folgende Attribute in der Tabelle:

Ich hatte jetzt geglaubt, dass ich Letzteres durch Mikrotik-Wireless-VLANID ersetzten muss. Das ist es aber nicht!

Danke Euch,
Christian
Bitte warten ..
Mitglied: aqui
18.10.2019 um 16:42 Uhr
Hast du denn zuallerst mal ein einfaches WPA-Enterprise WLAN ausprobiert am MT AP ?
mtrad - Klicke auf das Bild, um es zu vergrößern
mtrad3 - Klicke auf das Bild, um es zu vergrößern
mtrad2 - Klicke auf das Bild, um es zu vergrößern
Funktioniert das fehlerlos ?
So sollte das dann aussehen auf dem FreeRadius
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 17:17 Uhr
Hi,
meine Mikrotik GUI-Einstellungen sehen ganz anders aus. mag daran liegen, dass ich im CAPSMAN bin.
Die Einstellungen im WLAN Interface die finde ich bei mir gar nicht!

Wenn ich die Anfrage über das Testtool schicke, sieht die Antwort so aus:


Wenn sich das Handy versucht einzuwählen, dann so:

Im CAPSMAN habe ich es so eingestellt:
caps1 - Klicke auf das Bild, um es zu vergrößern
caps2 - Klicke auf das Bild, um es zu vergrößern
caps3 - Klicke auf das Bild, um es zu vergrößern
caps4 - Klicke auf das Bild, um es zu vergrößern
radius - Klicke auf das Bild, um es zu vergrößern

ich denke, es liegt an die Attributen, oder?
Bitte warten ..
Mitglied: aqui
18.10.2019, aktualisiert um 17:23 Uhr
Ja, vermutlich. Generell sieht das aber gut aus von den Debug Messages !
Hast du dir den Dictionary File mal angesehen unter /usr/share/freeradius ob die Mikrotik Attribute dort drin sind ?!
Es gibt soweit mir bekannt auch noch einen Dictionary File unter /etc/freeradius. Musst du mal suchen mit find.
Checken ob die beide Identisch sind und checken ob sie die MT Attribute enthalten.
Sind simple ASCII Dateien die man mit less oder nano ansehen kann.
Der Schnelltest oben war ohne CapsMan mit einem händisch konfigurierten AP gemacht.
Bitte warten ..
Mitglied: 141320
18.10.2019, aktualisiert um 17:39 Uhr
Wichtige Einstellungen für MAC Auth finden sich für den Capsman an folgender Stelle:

screenshot - Klicke auf das Bild, um es zu vergrößern

screenshot - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 20:50 Uhr
Hi all,
ich komme nicht weiter.
Auf jeden Fall muss hier Folgendes eingestellt sein, sonst bekomme ich am radius ein Fehler angezeigt
"Password must not be empty"

capsman - Klicke auf das Bild, um es zu vergrößern

Das hier habe ich auch eingestellt:
capsman2 - Klicke auf das Bild, um es zu vergrößern

Und in das Dictionary habe ich Folgendes eingetragen:

Er verbindet sich beim Besten Willen nicht. mit dem WLAN.

Die Attribute in der SQL-DB, die der Radius zurückgeben soll heißen:
Das Problem ist m.E. das WLAN-Passwort. Ich hatte da ein Kennwort eingestellt, aber genau das scheint das Problem zu sein.Wenn ich das Kennwort lösche, zeigt mir das Debug vom RADIUS Folgendes an:
Am Android Device kommt aber jetzt eine Anforderung hoch, dass ich ein Zertifikat bestätigen soll!hoch

Was muss denn hier eingestellt werden?
kennwort - Klicke auf das Bild, um es zu vergrößern

Wo ist hier noch der Fehler? Hat jemand eine Idee?

Christian
Bitte warten ..
Mitglied: 141320
18.10.2019, aktualisiert um 22:09 Uhr
Da kommt gar nichts rein, es ist ja Passthru eingestellt.
Dein Android ist das Problem. Entweder PEAP MSCHAPv2 oder TLS oder MAC. Wir kennen deine Android Settings ja nicht.

Btw. Der Mikrotik hat auch ein sehr detailliertes Log, einfach im System -> Logging das Radius Topic aktivieren und das Log beobachten!
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 22:15 Uhr
Hi,
sorry, vestehe ich nicht! Kann Android das nicht? PEAP MSCHAPv2 kann ich nicht einstellen. Aber egal was ich einstelle, er will imemr ien Zertifikat.

91119c8b-3e2a-4bfb-a166-9a88e73ac437 - Klicke auf das Bild, um es zu vergrößern

Wo soll das herkommen, oder was muss da unter Identität rein?

Christian
Bitte warten ..
Mitglied: 141320
18.10.2019, aktualisiert um 22:29 Uhr
Na ein gültiger Username als Identität und dessen Passwort welche auf dem Radius angelegt sind.
Ich glaube du solltest erst mal die Grundlagen zu (P) EAP studieren und wie das alles miteinander verknüpft ist , dann müsstest du auch nicht wochenlang lang rum probieren 8-).
Reine Mac Auth per PEAP kann Android nicht.
Hier ist die Kombination MAC per AccessList freigeben + PEAP Account gefragt.
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 22:33 Uhr
Hi,
Moment! Er soll die MAC-Adresse zur Authentifizierung nehmen! Die sind in der Datenbank hinterlegt. Kennwort ist identisch.
Der Windows Client fragt übrigens auch nach dem Benutzernamen und dem Kennwort. Also irgendetwas ist da noch nicht ok, oder ich habe das Thema völlig falsch vestanden.

Hintergrund war,
das die WLAN-Clients sich über ihre MAC authentifizieren und das richtige VLAN zugeordnet bekommen.
Bitte warten ..
Mitglied: 141320
18.10.2019, aktualisiert um 22:57 Uhr
Zitat von Spartacus:

Hi,
Moment! Er soll die MAC-Adresse zur Authentifizierung nehmen! Die sind in der Datenbank hinterlegt. Kennwort ist identisch.
Na da hast du deinen Usernamen und Passwort 8-).
Der Windows Client fragt übrigens auch nach dem Benutzernamen und dem Kennwort. Also irgendetwas ist da noch nicht ok, oder ich habe das Thema völlig falsch vestanden.
Jepp da hast du wohl ein kleines aber feines Verständnis-Problem.
WPA Enterprise besteht immer aus zusätzlichen Methoden in Phase 2, also entweder Username mit Passwort als PEAP MsChapv2 oder TLS mit Client-Zertifikaten oder auch verschiedene SIM Profile auf Smartphones mit Kopplung an die IMEI usw.
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 22:59 Uhr
ok.
da lässt sich mit leben! Man kann die Daten ja abspeichern und muss sie nur Initial eingeben.


Wenn ich die MAC-Adresse als Benutzername und Passwort angebe, verbindet sich der Windows Client mit dem Mikrotik, bekommt aber keine IP-Adresse zugewiesen....irgendetwas stimmt in der Konfig noch nicht!.

Das VLAN60 ist aber konfiguriert am cAP und läuft auch wenn ich es gezielt aussende.

Noch ne Idee, wo es klemmen könnte, dass er sich kein Netz zieht?
Bitte warten ..
Mitglied: 141320
18.10.2019 um 23:17 Uhr
Zitat von Spartacus:
Noch ne Idee, wo es klemmen könnte, dass er sich kein Netz zieht?
Ja! Über die positive EAP des Radius Antwort reagiert der Mikrotik nicht auf dynamische VLAN Assignments, das muss über den Eintrag in der AccessList vorgenommen werden, hatte ich oben rot markiert.
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 23:30 Uhr
Hm!
verstehe die Logik noch nicht!

Ich habe x-WLAN-Clients, die sich authentifizieren. Und jeder Client bekommt irgendein VLAN zugewiesen, dass ist ja im Radius hinterlegt.

Wie reiche ich über dieses Formular die "Mikrotik-Wireless-VLANID = 60" durch? Ich habe doch mehr als nur das VLAN 60?
access - Klicke auf das Bild, um es zu vergrößern

Muss ich im Router jetzt noch mal für jeden Client eine Zuordnung zwischen MAC-Adresse und VLAN machen?
sorry, verstehe ich noch nicht!
Bitte warten ..
Mitglied: 141320
18.10.2019, aktualisiert um 23:45 Uhr
Nein, dort muss nur stehen unter VLAN Mode "use tag", das VLAN wird dann vom Radius übernommen.
Und vergessen hast du folgendes Attribut für die MAC am Freeradius zu hinterlegen:
Mikrotik-Wireless-VLANIDtype
Das muss für die MAC auf 0, gesetzt werden.
Bitte warten ..
Mitglied: Spartacus
18.10.2019 um 23:56 Uhr
...geht trotzdem nicht!
Für heute ist die Luft raus. Keine Ahnung, wo ich hier noch suchen soll!
Bitte warten ..
Mitglied: Spartacus
19.10.2019, aktualisiert um 15:32 Uhr
Moin,
so, ich habe jetzt noch einmal alles kontrolliert, aber ich finde den Fehler nicht. Der Client bekommt keine IP Adresse zugewieden.
Im Miktotik Log steht hier Folgendes:

dhcp-error - Klicke auf das Bild, um es zu vergrößern

Offenbar gelingt es schon eine IP aus dem VLAN 60 anzufordern, aber er kann sie nicht an den Client vergeben. Wo kann da nur der Fehler sein?

Für den Radius Test habe ich im CAPSMAN eine neue Konfiguration mit einer eigenen SSID konfiguriert, die auch völlig isoliert auf einem separaten AP läuft.
orivisioning - Klicke auf das Bild, um es zu vergrößern
test1 - Klicke auf das Bild, um es zu vergrößern
test2 - Klicke auf das Bild, um es zu vergrößern
test3 - Klicke auf das Bild, um es zu vergrößern
test4 - Klicke auf das Bild, um es zu vergrößern

Welche Schraube muss ich hier noch drehen?

Christian

NACHTRAG:
ich glaube ich habe es gefunden!:

forwarding - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 141320
19.10.2019, aktualisiert um 15:37 Uhr
Wo kann da nur der Fehler sein?
Wireshark ist dir bekannt?
https://www.google.com/search?q=offering+lease+without+success+mikrotik

Das ganze geht übrigens nur mit "LocalForwarding" auf den CAPs nicht mit Forwarding auf dem CAPsMan.
Bitte warten ..
Mitglied: Spartacus
19.10.2019 um 15:39 Uhr
HI,
ja, das war das Problem! Hatte ich gerade schon im letzten POST als Nachtrag angefügt.
forwarding - Klicke auf das Bild, um es zu vergrößern

Das Forwarding fehlte in den Einstellungen. Allerdings dauert es schon recht lange, bis er die IP zugewiesen kriegt (nach der Verbindung, ca, 10-15s).

Hast Du ggf. noch nen Tipp, wie man unautorisierte Benutzer in ein DEFAULT-Gäste-WLAN schickt (e.g. VLAN-ID) 70?
Bitte warten ..
Mitglied: 141320
19.10.2019, aktualisiert um 15:47 Uhr
Allerdings dauert es schon recht lange, bis er die IP zugewiesen kriegt (nach der Verbindung, ca, 10-15s).
Wireshark.
Wir kennen deine Forwarding Strategie deiner CAPs etc. nicht.
wie man unautorisierte Benutzer in ein DEFAULT-Gäste-WLAN schickt
Gäste SSID, mit Hotspot-Funktion und Captive Portal
Bitte warten ..
Mitglied: aqui
19.10.2019, aktualisiert um 16:06 Uhr
Das ganze geht übrigens nur mit "LocalForwarding" auf den CAPs nicht mit Forwarding auf dem CAPsMan.
Das ist ja auch irgendwie verständlich, denn dann terminiert das VLAN ja direkt an dem AP Port. Folglich muss es auch DA dann aktiviert werden.
Ohne local Forwarding tunnelt der CapsMan ja jeglichen WLAN Traffic an den CapsMan Controller und koppelt es dann dort aus.
Logisch das dann dort der Port dynamische VLANs können müsste was technisch er nicht so gut ist. Aus Performance Gründen macht man so oder so immer Local Forwarding !
Übrigens wie man Zertifikate generiert und importiert siehst du hier:
https://administrator.de/forum/radius-server-eexterner-ap-authentifizier ...
Das Server Zertifikat schickst du dann einfach als Email oder Airdrop oder USBStick oder SD Karte und importierst es:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Bitte warten ..
Mitglied: Spartacus
19.10.2019 um 22:01 Uhr
Hi
danke für den Tipp mit den Zertifikaten!

Zum Verständnis zum Vorgehen:

Ich habe bereits ein Zertifikat am FreeRadius Server unter dem Ordner "certs" erzeugt.
  • Das Server-Zertifikat importiere ich an meinem Androiden
  • wo und was genau stelle ich jetzt im CAPSMAN ein?
  • hat dies dann auch den Effekt, dass ich keinen Benutzernamen un kein Kennwort (hier MAC-Adresse des Clients) bei der WLAN-Verbindung eingeben muss? Oder geht der Vorschlag in eine andere Richtung!

Danke und Gruß,
Christian
Bitte warten ..
Mitglied: aqui
20.10.2019, aktualisiert um 00:03 Uhr
Der Kollege nc6400 hat sich ja leider abgemeldet, schade eigentlich. Er hat aber schon richtigerweise gesagt was Sache ist. Der CapsMan ist ja nur der Konfig "Distributeur" sprich da ziehen sich die APs rein nur die Konfig. Dort steht EAP ja schon auf "Passthrough" d.h. die APs reichen alles durch an den Radius.
Wenn du das Zertifikat auch nutzen willst was du erzeugt hast musst du auch in der eap.conf sicherstellen das es aus dem richtigen Verzeichnis geladen wird.
Macht man das nicht nutzt man immer das "snake oil" Default Zertifikat (Debian basierte Installs). Du kannst das in der Debugger Meldung (-X) sehen oder eben in der eap.conf.
Du darfst hier aber nicht 802.1x und Mac Bypath verwechseln. Es geht nur entweder oder also entweder die Auth nach Mac Adresse oder die mit 802.1x mit User/Passwort.
Bitte warten ..
Mitglied: Spartacus
20.10.2019 um 12:17 Uhr
Hi aqui,
danke für das schnelle Feedback. ICh habe mir jetzt die Details noch nicht angesehen, aber wenn ich Dich hier richtig verstehe, kann ich den Radius entweder für:

  • MAC Auth with dynamic VLAN assignment (für die kabelgebundenen Geräte am Cisco Switch, was wir hier an anderer Stelle zum Fliegen bekommen haben)
  • oder für die Authentifizierung der WLAN-Clients mit Zertifikat

benutzen. PArallel geht das zunächst erst einmal nicht, da die eap.conf angepasst werden muss.

Was allerdings im Parallelbetrieb funktioniert, ist die Authentifizierung der WLAN-User über Benutzername und Kennwort. Hier kann man in der SQL-DB auch für die WLAN-Clients schönere Namen vergeben, als die MAC-Adresse. Das macht die Sache dann einfacher. Der Benutzername kann in diesem Fall immer der Gleiche sein und das Kennwort wird individuell vergeben. Das sollte für die Heimnetz-Geräte ja in Ordnung sein.
Eleganter wäre das mit dem Zertifikat schon, aber dann brauche ich nen zweiten Radius!
Bitte warten ..
Mitglied: aqui
20.10.2019 um 15:45 Uhr
aber wenn ich Dich hier richtig verstehe, kann ich den Radius entweder für:
Nein, dann hast du das leider falsch verstanden...
Richtig wäre:
  • MAC Authentication ohne dynamic VLAN
  • MAC Authentication mit dynamic VLAN
  • 802.1x Client Authentication mit Username/Passwort ohne dynamic VLAN
  • 802.1x Client Authentication mit Username/Passwort mit dynamic VLAN
  • 802.1x Client Authentication mit Zertifikat ohne dynamic VLAN (EAP-TLS)
  • 802.1x Client Authentication mit Zertifikat mit dynamic VLAN (EAP-TLS)
Diese Optionen hast du !
PArallel geht das zunächst erst einmal nicht, da die eap.conf angepasst werden muss.
Das ist richtig. Du musst entscheiden welche dieser Policies du WLAN weit umsetzen willst. Da die Auth Methode pro AP gilt könntest du sie max. pro AP unterschiedlich machen aber das macht ja keinen Sinn, denn in einem dynamisch geroamten WLAN weisst du ja nicht immer sicher auf welchem AP du landest. Es macht also Sinn sich fest für eine Policy zu entscheiden.
Was allerdings im Parallelbetrieb funktioniert, ist die Authentifizierung der WLAN-User über Benutzername und Kennwort
Parallelbetrieb zu WAS ?? Mac Auth ?
schönere Namen vergeben, als die MAC-Adresse.
Im Windows Client kann man sogar eintragen das der den Hostnamen verwendet....
Eleganter wäre das mit dem Zertifikat schon, aber dann brauche ich nen zweiten Radius!
Nein, wozu ?? Das machst du doch logischerweise alles mit EINEM Radius. Oder meinest du das so das AP x Username/Pass macht AP y dann Zertifikat. Dann wäre es in der Tat richtig, da du das ja pro AP bestimmen musst. Wie gesagt sinniger ist dann eine gemeinsame Strategie.
Bitte warten ..
Mitglied: Spartacus
20.10.2019 um 18:35 Uhr
Hi aqui,
bin mir nicht ganz sicher, ob wir das Gleiche meinen:

Was ich erreichen möchte:

  • MAC Authentication mit dynamic VLAN der kabelgebundenen Clients am Cisco Switch (das funktiniert ja aktuell auch mit dem FreeRadius)
  • nur eine WLAN-SSID für alle Clients aus unterschiedlichen VLANs
  • abhängig von der MAC-Adresse(or whatever der Schlüssel ist) des Clients, verbindet sich der WLAN Client mit dem VLAN, für das er zugelassen ist

Was aktuell mit dem vorhanden RADIUS-Konfiguration geht:

  • kabelgebundene Clients bekommen am Cisco Switch dynamisch ihr VLAN zugeordent
  • WLAN-Clients verbinden sich mit einheitlicher SSID
  • über Benutzername+Kennwort wird das VLAN zugewiesen (Benutzer in Gruppe radiusgroup)

Elegant wäre es jetzt, wenn der WLAN-Benutzer ohne Eingabe von Benutzername und Kennwort (nur anhand der MAC) direkt in sein VLAN kommt. So könnte man den Zugriff auf das WLAN nur über die SQL-DB steuern. Alternativ könnte man ihn auch über ein Zertifikat zulassen, was man dem User per Mail schickt und dann zwecks Zugriff installiert. Allerdings bleibt dann immer noch das Problem der Zuordnung des VLANs, da ich ja nur ein Zertifikat für alle Benutzer habe. Dazu müsste der RADIUS anhand der MAC das VLAN zuweisen und Benutzername und Kennwort würde durch das Zertifikat ersetzt..

Ob diese Szenario überhaupt mit meiner Infrastruktur machbar ist, weiß ich nicht! Die Sache mit Benutzername und Kennwort ist ja auch schon ok.

Christian
Bitte warten ..
Mitglied: aqui
21.10.2019, aktualisiert um 12:40 Uhr
abhängig von der MAC-Adresse(or whatever der Schlüssel ist) des Clients, verbindet sich der WLAN Client mit dem VLAN, für das er zugelassen ist
Ja, das geht natürlich aber die Frage ist ob der Mikrotik als Feature Dynamic VLANs auf Basis der Mac supportet. Da müsste auch ich hejtzt erstmal ins Router OS Handbuch sehen. Mit User/Pass geht es ja.
über Benutzername+Kennwort wird das VLAN zugewiesen (Benutzer in Gruppe radiusgroup)
Nur mal doof nachgefragt: Das meinst du jetzt fürs WLAN, oder ??
Benutzer in Gruppe radiusgroup
Ist das ne Konfig auf dem FreeRadius oder im Router OS ??
ohne Eingabe von Benutzername und Kennwort
Früher konnte man das mit dem Rechner Hostnamen verbinden:
eap - Klicke auf das Bild, um es zu vergrößern
Das konnte man in den MSChapv2 Eigenschaften des 802.1x Clients einstellen bis Winblows 8. Irgendwie sind aber alle diese Buttons bei Windows 10 verschwunden oder befinden sich an anderer Stelle oder...man kann sie nur noch über die Power Shell einstellen. Ich hab sie nicht gefunden aber laut Internet sollen sie dennoch da sein:
https://www.virtualizationhowto.com/2018/12/configure-windows-10-for-802 ...
da ich ja nur ein Zertifikat für alle Benutzer habe.
Ja, aber hier verwechselst du was. Das ist nicht das User Zertifikat sondern das des Servers. Das sorgt dafür das dir niemand einen anderen, wilden Radius Server unterschieben kann.
Wenn du die User mit Zertifikat authentisieren willst, denn musst du User Zertifikate erzeugen, die auf den Usern installieren. Dann hast du eine Zertifikatsbasierte Zugangssteuerung. Natürlich klappt auch das mit dynamischen VLANs
make client
http://deployingradius.com/documents/configuration/certificates.html
Bitte warten ..
Mitglied: Spartacus
21.10.2019 um 21:07 Uhr
Moin aqui,
danke, das Du auch hier wieder am Start bist!

Nur mal doof nachgefragt: Das meinst du jetzt fürs WLAN, oder ??

Ja, genau! Das meine ich, war sehr laienhaft ausgedrückt...and btw., bin ich ja auch!.

Ist das ne Konfig auf dem FreeRadius oder im Router OS ??

yep, das ist eine der Tabellen in der mySQL-DB.

Die Logik:
Benutzer in radcheck mit Kennwort anlegen
access_2 - Klicke auf das Bild, um es zu vergrößern

Benutzer in radusergroup der Gruppe zuordnen, die das VLAN bestimmt
access_1 - Klicke auf das Bild, um es zu vergrößern

Antwortoptionen der Gruppe in radgroupreply definieren
access_3 - Klicke auf das Bild, um es zu vergrößern

Ich glaube, das Thema stelle ich etwas zurück. Das mit den Zertifikaten ist m.E. im privaten Umfeld etwas oversized . Das mit dem MAC-Auth wäre hier sicherlich die schönste Lösung....aber ich muss erst einmal sehen, das mein Cisco hier zur Ruhe kommt. Im Moment spinnt das ganze System noch rum (wie Du ja im anderen Thread verfolgen kannst)

Wenn das läuft, mache ich hier mal weiter....

Christian
Bitte warten ..
Mitglied: aqui
22.10.2019 um 13:09 Uhr
Ist aber weiter ein spannendes Projekt und wenns zum Fliegen kommt sicher ein Tutorial wert !
Bitte warten ..
Mitglied: Spartacus
22.10.2019 um 13:14 Uhr
...danke Dir!....aber bevor wir das hier in ein Tut gießen, muss erst einmal alles fluppen!
Bitte warten ..
Mitglied: aqui
26.10.2019, aktualisiert 29.12.2019
So, ich habs zum Fliegen !
Erstmal noch mit einer statischen Konfig auf den APs aber der nächste Schritt ist jetzt die CapsMan Umsetzung. Das dürfte jetzt ein Kinderspiel sein. Wenn das rennt gibts ein Tutorial dazu ! Ggf. dann auch mit deiner SQL Lösung die ja schon spannend ist !
Hier sind die Schritte zur Lösung:

1.) cAP Einrichtung von Bridge, Bridgeports und Tagging

Bridge einrichten:
radbridge - Klicke auf das Bild, um es zu vergrößern
LAN und WiFi Ports der Bridge zuweisen:
radbridge - Klicke auf das Bild, um es zu vergrößern
radneubri - Klicke auf das Bild, um es zu vergrößern
radneubri2 - Klicke auf das Bild, um es zu vergrößern
VLAN Setting der Bridge:
radneubrivlan - Klicke auf das Bild, um es zu vergrößern

2.) cAP IP Adressierung

IP als DHCP Client auf den Bridge Port.
Unter System -> SNTP Client sollte man den Haken bei "enabled" setzen, damit der AP per DHCP die korrekte Uhrzeit erhält.
radneuip - Klicke auf das Bild, um es zu vergrößern
Vorher ist auf dem DHCP Server, der das AP Management Netz bedient die Option 42 zu setzen (NTP Server). Als Beispiel für einen Mikrotik Router oder Switch sieht das so aus:
ntpoption - Klicke auf das Bild, um es zu vergrößern
Bei einem Cisco IOS Router oder Switch z.B.
ip dhcp pool management
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 192.168.178.1
domain-name lan.home.arpa
option 42 ip 130.149.17.21

3.) cAP WLAN Interface und Radius:

radneuwlan - Klicke auf das Bild, um es zu vergrößern
Das WLAN Interface bleibt untagged. Der AP setzt selber auf die entsprechenden Client Mac Adressen den richtigen VLAN Tag laut Radius Vorgabe !
Security Profil mit WPA2 Preshared Keys und Mac Authentisierung angehakt. Das Format der Mac Adresse ist hier mit 2 Mittel Doppelpunkten gewählt um es im Radius User Setup eindeutig zu machen.
rad1 - Klicke auf das Bild, um es zu vergrößern
freerad - Klicke auf das Bild, um es zu vergrößern
Das wars auf dem Mikrotik AP.
Radius Server Konfig sieht so aus:

4.) FreeRadius Konfiguration:

Der Debug Output des FreeRadius zeigt dann auch das die VLAN Parameter übergeben werden (Ausgabe gekürzt):
Tadaaa !!!
Danach ist der WLAN Client mit der Mac 0022:FA7B:D8A7 dann in VLAN 10 !! 👍

Die dynamische VLAN Variante des Tutorials findet man hier:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Bitte warten ..
Mitglied: Spartacus
27.10.2019, aktualisiert um 13:37 Uhr
Hallo,
sehr, sehr schicke Sache!
Es sieht so aus, als würde das mit CAPSMAN nun auch funzen. Hier mal die Ergänzung dazu:

Configuration:
  • Standard, nichts Besonderes eingestellt.

Data Path:
datapath - Klicke auf das Bild, um es zu vergrößern

Security Configuration:
securityprofile - Klicke auf das Bild, um es zu vergrößern

Acccess List:
accesslist - Klicke auf das Bild, um es zu vergrößern

Hier ist mir aufgefallen, dass man das Interface nur für die cAPs einstellen sollte, die über die RADIUS-Authentifizierung laufen sollen. Sonst kommt plötzlich kein anderer Client mehr ins Netz. Bei mir ist das aktuell nur der AP00-1 mit dem 2.4 GHz-Band...d.h.: Es ist auch ein Mischbetrieb möglich!

Was jetzt noch fehlt, ist die Zuweisung eines Dummy-VLANs für alle WLAN-User, die nicht in der DB sind!
Ich könnte mir vorstellen, dass dies über den "postauth" - Prozess auf dem Freeradius gehen könnte, denn hier wird ja die "Reject"-Message verschickt.

Bis bald,
Spartacus

NACHTRAG:
Es funktioniert sogar, wenn man im FreeRadius (SQL-Tabelle radiusgroupreply) die Attribute für den Cisco-Switch und den Mikrotik parallel übergibt. So muss man keine separate Gruppe für das WLAN anlegen, sondern kann eine VLAN-Gruppe sowohl für kabelgebundene als auch für den mobilen Adapter eines Gerätes definieren. Der Cisco und auch der Mikrotik ignorieren die jeweils anderen Attribute.

group - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 141575
27.10.2019 um 13:53 Uhr
Was jetzt noch fehlt, ist die Zuweisung eines Dummy-VLANs für alle WLAN-User, die nicht in der DB sind!
https://serverfault.com/questions/177821/how-to-configure-freeradius-to- ...
Bitte warten ..
Mitglied: aqui
28.10.2019, aktualisiert um 10:01 Uhr
Sehr guter Hinweis !
Check ich mal aus.
Das Dummy VLAN bekommt dann ein Captive Portal was die nicht authentisierten benutzer zu Gesucht bekommen.
Das wäre dann die Deluxe Lösung !
Müsste dann so aussehen:
Bitte warten ..
Mitglied: Spartacus
28.10.2019 um 18:26 Uhr
Hallo,
das mit dem DEFAULT-User ist mir noch nicht ganz klar und vor Allem im Zusammenhang mit einer SQL-DB für die User. Ich hatte das o.a. DEFAULT-Profil leichtsinnigerweise in die user-Datei eingespielt und musste feststellen, dass alle meine User plötzlich im VLAN99 landeten. Die SQL-DB wurde nicht mehr gefragt.
Offenbar darf der DEFAULT-Eintrag nur am Ende der Verabeitungskette stehen, die Reihenfolge ist hier maßgeblich! Ich verstehe aber noch nicht, wie ich das in der SQL-Tabelle abbilden kann.

Gruß,
Spartacus
Bitte warten ..
Mitglied: Spartacus
30.10.2019 um 14:03 Uhr
Hallo,
ich noch mal!
Hier komme ich mit den DEFAULT-Einträgen nicht weite! Ich habe keine Möglichkeit gefunden, wie ich unathorisierte Benutzern über die SQL-Tabellen ein DEFAULT VLAN zuzuweisen kann.

Kann jemand helfen?
Spartacus
Bitte warten ..
Mitglied: 141575
30.10.2019, aktualisiert um 15:15 Uhr
Das machst du folgendermaßen :
In der Config nach dem Aufruf des "SQL" Moduls checkst du mit einer Condition ob das SQL Modul "reject" zurückgibt (das ist ja der Fall wenn kein passender User in radcheck gefunden wird), ist das der Fall veränderst du den Reply mit einem success und den Attributen für dein Default VLAN. Fertig ist die Chose.
https://freeradius.org/radiusd/man/unlang.html
Bitte warten ..
Mitglied: Spartacus
30.10.2019 um 15:40 Uhr
Moin,
In der Config nach dem Aufruf des "SQL" Moduls
...und damit geht es schon los! In welcher Config wird das SQL-Modul denn aufgerufen? Das steckt doch in vielen Dateien drin!

Ich verstehe zwar, was der Grundgedanke dieser Lösung ist, aber sorry, da weiß ich echt nicht, wo ich da anfangen soll, das geht schon sehr tief in Eingemachte! Gibt es da irgendwo Beispiele?
Bitte warten ..
Mitglied: 141575
30.10.2019 um 17:04 Uhr
Ich mach dir später ein Beispiel, steht aber alles in der Freeradius Doku.
Bitte warten ..
Mitglied: Spartacus
30.10.2019 um 17:51 Uhr
Hi Chickenwing,
ganz lieben Dank für Deinen Support. Ich habe die Doku schon gelesen, aber mir fehlt der wahrscheinlich etwas der Zusammenhang in diesem Thema .Ich bin da noch etwas unsicher unterwegs!

BTW:
Ich habe hier noch ein anderes Problem und auch dazu finde ich nicht so wirklich eine stabile Lösung. Ggf. fällt Dir ja noch etwas dazu ein!

Die DB vom Radius läuft auf einem NAS. Die Platten vom NAS gehen nachts irgendwann in den Standby und brauchen dann logischerweise eine Zeit, bis sie wieder da sind. Dann hat der Radius dem aber schon ein "Reject" geschickt. Ich habe etwas an den Parametern vom RadiusClient auf dem Cisco gespielt. Gefühlt ist es auch stabiler geworden, aber so richtig rund läuft das noch nicht!

Gibt es am FreeRadius noch einen Parameter, (e.g. "Wait For Database Ready") den man verändern kann, damit der Server etwas wartet, bevor er die "Absage" schickt? Sonst müssten die Platten ständig drehen, was nicht so toll wäre! Alternativ den Radius und die DB auf die selbe Kiste.

Danke Dir,
Spartacus
Bitte warten ..
Mitglied: 141575
30.10.2019, aktualisiert 31.10.2019
In deiner aktivierten Site per default ja ./sites-enabled/default, füge in der authorize Section hinter dem Aufruf des Moduls -sql folgenden Code ein:
Das prüft ob der Username/MAC in der SQL DB gefunden werden kann, kann er das nicht gibt Freeradius einen Access-Accept mit den passenden Attributen für ein Fallback VLAN zurück.

screenshot - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 141575
30.10.2019, aktualisiert um 19:10 Uhr
Zitat von Spartacus:
Gibt es am FreeRadius noch einen Parameter, (e.g. "Wait For Database Ready") den man verändern kann, damit der Server etwas wartet, bevor er die "Absage" schickt? Sonst müssten die Platten ständig drehen, was nicht so toll wäre! Alternativ den Radius und die DB auf die selbe Kiste.
In der Datei ../mods-available/sql
den Parameter entsprechend erhöhen
query_timeout = 5
Bitte warten ..
Mitglied: aqui
31.10.2019 um 18:03 Uhr
Die o.a. Lösung klingt pfiffig und auch sinnvoll.
Fragt sich dann allerdings wozu dann der User "DEFAULT" nütze ist oder ob das nur ein Fake ist. Ist er aber nicht...
Hier https://wiki.ubuntuusers.de/FreeRADIUS/#Lokale-Benutzer-users steht auch das es wohl auch nicht ganz so trivial ist wie oben einfach das PW auf den Nutzernamen zu setzen. Eine Group Verknüpfung ist da wohl erforderlich.
So einfach ists also wohl nicht mit dem DEFAULT Setting.
Bitte warten ..
Mitglied: Spartacus
02.11.2019 um 12:41 Uhr
Hallo chickenwing,
sorry, dass ich mich erst jetzt melde, aber ich bin ein paar Tage ausgefallen und konnte nicht an meinem Netzwerk basteln! Ich habe Deinen Vorschlag auf meine Bedürfnisse angepasst und in die DEFAULT-Datei eingebaut. Allerdings im Verzeichnis /etc/freeradius/3.0/sites-available/default Offenbar übernimmt er nach einem Neustart dann die "available"-Einsetllungen in die "enabled"-Konfiguration.

Es hat auf Anhieb funktioniert! Ganz lieben Dank für Deine Unterstützung! Nun surfen die Gäste im abgeschotteten VLAN

Gruß,
Spartacus
Bitte warten ..
Mitglied: Spartacus
02.11.2019 um 12:54 Uhr
Hallo Chickenwing,
auch das habe ich eingebaut! Ich hatte diesen Parameter zwar schon in der sql-Datei gefunden, aber es fälschlicherweise nur auf das Logfile bezogen! Ich habe den Parameter nun auf 60s gestellt. Bislang läuft alles so, wie es soll!

Zusätzlich hatte ich schon am Cisco-Switch eine Einstellung verändert, die m.E. auch nicht korrekt eingestellt war, denn der SG350x vergab relativ zügig die Gaste-VLAN-ID.

cisco - Klicke auf das Bild, um es zu vergrößern

Wahrscheinlich kann ich diese Funktion jetzt abschalten, da der FreeRadius ja mit dem Gäste-VLAN antwortet und dann läuft das zentral über eine Instanz.

Jetzt werde ich mich mal den SNMP-Geschichten widmen, denn ich brauche noch eine aktuelle Übersicht der Cisco-Portbelegung in meiner SQL-DB. So wie es aber aussieht, können die Trap-Einstellungen am SG350 nicht konfiguriert werden und VLAN-ID und MAC-Adresse des Users werden nicht mitgeschickt, wenn sich ein Client mit dem Port verbindet.

Gruß,
Spartacus
Bitte warten ..
Mitglied: aqui
03.11.2019 um 11:27 Uhr
Ein SNMP Trap wird auch nicht versendet bei einer VLAN Zuweisung. Du kannst das nur aus der VLAN und Mac Database auslesen per SNMP GET.
Etwas Scripting und Shell um den Output dann "schön" zu machen ist ggf. auch erforderlich.
Bitte warten ..
Mitglied: Spartacus
03.11.2019 um 12:12 Uhr
Moin,
ich habe diverse Port Mapping-Tools unter Windows gefunden, die alle Informationen auslesen. Es gibt sogar Tools, die es gleich in eine SQL-DB schreiben....aber die sind alle kostenpflichtig. Ein freies Tool, was einigermaßen sauber arbeitet, habe ich nicht gefunden!

Fazit:
Im Prinzip funktioniert es schon, das aktuelle Port-Mapping auszulesen, wenn man kommerzielle Produkte benutzt, die auch nicht ganz billig sind.
Das Ganze zu Fuß auszulesen und ins richtige Format zu packen, scheint etwas anspruchsvoller zu sein. Weiß noch nicht, ob ich das angehen werde. Meine Vorstellung ist, dass es hier einen kleinen Server gibt, der auf dem rPi rennt, den Switch regelmäßig abfragt und den Quatsch in meine MariaDb schreibt. Ein passendes freies Linux-Tool habe ich aber nicht gefunden.

Ich habe auch Versuche mit dem Paessler SNMP-Tester durchgeführt und konnte die MAC-Adressen an dem Cisco auslesen. Mit einem Walk auf "1.3.6.1.2.1.17.7.1.2.2.1.2" zeigt er das zwar an, aber in einem falchen Format. Das muss man offensichtlich konvertieren. Auch die VLANs bekomme ich ausgelesen....aber ich verstehe noch nicht, wie ich das alles zusammenbauen muss, und vor Allem, wie der ganze Kram dann in die SQL-DB kommen soll. Das scheint nicht trivial zu sein und daher hatte ich gehofft, ein paar Werkzeuge zu finden, die das Portmapping fix und fertig bereitstellen und man es nur noch in die DB schieben muss!

Christian
Bitte warten ..
Mitglied: aqui
03.11.2019 um 12:38 Uhr
Das ist der Punkt warum man bei Kommerz Software das teuer bezahlen muss
Der Trick ist das mit Expect, Perl oder etwas Bash Scripting via SNMP get aufzubearbeiten und dann mit PHP weiter zu verwursten. Da braucht es aber einen Softwerker für und keinen Netzwerker...
Ist aber schon sehr cool wie weit du gekommen bist. Das ist schon Profi Niveau !
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia23 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu22 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
gelöst DennisAdm1nFrageLAN, WAN, Wireless18 Kommentare

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
gelöst CubeHDFrageWindows 1017 Kommentare

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Windows 10
Achtung: Upgrade auf Win10 20H2 löscht unter Umständen eigene Zertifikate
DerWoWussteInformationWindows 1015 Kommentare

Microsoft untersucht es derzeit, siehe Windows 10 ,Feature Update to 1909, Certificates missing after Wer ebenso untersuchen möchte was ...

Ähnliche Inhalte
LAN, WAN, Wireless

WLAN Konfiguration WPA2-Enterprise Mikrotik CAPSMAN

gelöst taschaueFrageLAN, WAN, Wireless3 Kommentare

Guten Tag allerseits, ich hätte eine Frage, wie ihr WPA2-Enterprise konfiguriert habt in Verbindung mit Clients, die nicht in ...

LAN, WAN, Wireless

Mikrotik Capsman: SSID zu VLAN zuweisen

gelöst BirdyBFrageLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich brauche bitte eure Hilfe: Folgendes Setting: Ich habe zwei Mikrotik-APs mit Capsman verwaltet im Einsatz. Beide ...

LAN, WAN, Wireless

Mikrotik hEX CAPsMAN + Radius + User-Manager - Authentifizierung für WLAN funktioniert nicht

NiffchenFrageLAN, WAN, Wireless13 Kommentare

Hallo, so langsam wage ich mich in neue Dimensionen vor und bin prompt wieder auf Probleme gestoßen. Ich wollte ...

MikroTik RouterOS

Mikrotik WLAN-Probleme bei RADIUS-Auth

hummusFrageMikroTik RouterOS47 Kommentare

Guten Morgen, ich habe hier aktuell 6 Mikrotik cAP lite im Einsatz, wobei einer von denen auch als CAPsMAN ...

LAN, WAN, Wireless

Mikrotik CAPsMAN MAC-Filter nutzen

gelöst McLionFrageLAN, WAN, Wireless9 Kommentare

Hallo, ich habe bei mir CAPsMAN eingerichtet, was auch wunderbar funktioniert. Habe darauf zwei WLAN-Netze laufen, "Normal-WLAN" und "GAST-WLAN". ...

LAN, WAN, Wireless

Mikrotik CapsMan mit Sophos UTM

gelöst skaiser78FrageLAN, WAN, Wireless27 Kommentare

Hallo zusammen, ich habe folgende Idee: Als Router habe ich eine Fritzbox, in der ist die UTM als exposed ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT