vjordian
Oct 11, 2022
view2182
view11
0
Goto Top

CAPsMAN + MS NPS RADIUS + bridge VLAN Filtering funktioniert nicht

GermansolvedQuestionMikroTikNetworksLAN, WAN, Wireless
Hallo zusammen,

trotz intensiver Recherche hier im Forum und dem glauben genau das Beispiel bzw. den Beitrag gefunden zu haben, den ich zur Umsetzung brauche funktioniert meine aktuelle Config nicht.

Ich werde versuchen alles so detailliert wie nur irgend möglich aufzuzeigen und hoffe auf den letzten Hinweis, der das System zum Laufen bringt.

Allgemeine Infos
CAPsMAN: CCR1072-1G-8S+ v6.48.6
CAPs: ca. 400 cAP AC, hAP ac, wAP AC, hAP ac² - alle v6.48.6
Radius Server: Microsoft NPS
Firewall: Sophos UTM

Schaubild:
2022-10-11_14h39_02

Einleitung:
Unser Netzwerk besteht aus mehreren Standorten, die alle über eine Dark Fiber (direkte LWL Verbindung der Gebäude) miteinander verbunden sind und somit nicht über das Internet laufen.
An unserem Headquarter sind der CAPsMAN, der Radius Server (auf unserem Hyper-V, im Schaubild aber vereinfacht dargestellt als einzelner Server) und die Firewall sowie einige AccessPoints. Die restlichen AccessPoints sind auf unsere Standorte verteilt.
Jeder Standort, auch das Headquarter, hat einen eigenen VLAN Bereich mit verschiedenen Funktions-VLANs, die wiederum an allen Standorten gleich sind.

Beispiel Standort: Headquarter VLAN 1xx ; Standort A = VLAN 2xx ; Standort B = VLAN 3xx
Beispiel Funktion (am Standort Headquarter): Server = VLAN 110 ; interne Clients = VLAN 120 ; externe Clients = VLAN 130 ; WLAN MGM = VLAN 199
Beispiel Funktion (am Standort A): Server = VLAN 210 ; interne Clients = VLAN 220 ; externe Clients = VLAN 230 ; WLAN MGM = VLAN 299
Beispiel Funktion (am Standort B): Server = VLAN 310 ; interne Clients = VLAN 320 ; externe Clients = VLAN 330 ; WLAN MGM = VLAN 399

Alle knapp 400 AccessPoints (CAPs) sind identisch eingerichtet. Lediglich IP Adresse, Name je CAP und VLAN je Standort unterscheiden sich.
Das Management VLAN ist je Standort x99, also im Headquarter 199.
Jeder CAP bekommt sein spezifisches Management VLAN untagged. Durch das VLAN Filtering liegt auch das Management VLAN x99 als VLAN auf dem CAP (Siehe Muster Config).
Dabei sollte zu wissen sein, dass wir die gesamte Infrastruktur (CAPsMAN, MikroTik Switche und CAPs) auf Basis von bridge VLAN Filtering eingerichtet haben.
Das gesamte WLAN-Netzwerk arbeitet mit local forward.

Eine Muster Config für einen CAP MIT bridge VLAN Filtering ist hier zu finden:
###############################
## System Identity definiert ##
###############################
/system identity set name=##IDENTITY##

#################################################
## Erzeuge VLAN Filtering Bridge (deaktiviert) ##
#################################################
/interface bridge add frame-types=admit-only-vlan-tagged name=bridge-VLANs vlan-filtering=no
{
	:local newAdminMac [/interface ethernet get [find name=ether1] mac-address]
	/interface bridge set [find name="bridge-VLANs"] admin-mac=$newAdminMac auto-mac=no  
}

#####################
## Uplink umbennen ##
#####################
/interface ethernet set [ find default-name=ether1 ] comment=Uplink

############################
## Erzeuge MGMT Interface ##
############################
/interface vlan add interface=bridge-VLANs name=bridge-VLANs-299-StandortA-mgm-wlan vlan-id=299

####################
## SNMP aktiviert ##
####################
/snmp community set [ find default=yes ] authentication-password=PASSWORT authentication-protocol=SHA1 encryption-password=PASSWORT encryption-protocol=AES name=mgm security=private write-access=yes
/snmp community add addresses=::/0 authentication-password=PASSWORT authentication-protocol=SHA1 encryption-password=PASSWORT encryption-protocol=AES name=NAME security=private
/snmp set contact=[/system identity get name] enabled=yes

############################
## User Group full access ##
############################
/user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp

#############################################################################
## Bridge Port Uplink definieren + Beispiel für zusätzlichen Untagged Port ##
#############################################################################
/interface bridge port add bridge=bridge-VLANs interface=ether1 pvid=299
#/interface bridge port add bridge=bridge-VLANs frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=220

##########################
## IP Neighbor Settings ##
##########################
/ip neighbor discovery-settings set discover-interface-list=!dynamic protocol=lldp

#######################
## STANDORT A VLANs Anlegen ##
#######################
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-Server tagged=ether1 vlan-ids=210
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-interne-Clients tagged=ether1 vlan-ids=220
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-externe-Clients tagged=ether1 vlan-ids=230
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-mgm-wlan tagged=bridge-VLANs vlan-ids=299

##########################
## CAP Modus aktivieren ##
##########################
/interface wireless cap
# 
set bridge=bridge-VLANs caps-man-addresses=10.000.299.1 enabled=yes interfaces=wlan1,wlan2

######################################
## DHCP Client auf MGM Port setzten ##
######################################
/ip dhcp-client add disabled=no interface=bridge-VLANs-299-StandortA-mgm-wlan

#################################################
## NTP aktivieren und setzen / Timezone setzen ##
#################################################
/system ntp client set enabled=yes primary-ntp=10.000.299.254 secondary-ntp=8.8.8.8
/system clock set time-zone-name=Europe/Berlin

#############################################
## Aktiviere VLAN Filtering auf der Bridge ##
#############################################
/interface bridge set bridge-VLANs vlan-filtering=yes

############################################
## Disable default VLAN 1 on bridge-VLANs ##
############################################
/interface bridge set bridge-VLANs frame-types=admit-only-vlan-tagged

Hier die Config des AccessPoint OHNE VLAN Filtering, mit dem die gesamte Einrichtung funktioniert
/interface bridge add admin-mac=B8:69:F4:4F:4C:B5 auto-mac=no name=bridge-lan protocol-mode=none
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(7dBm), SSID: ssid, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
/interface wireless
# managed by CAPsMAN
# channel: 5180/20-Ce/ac/P(14dBm), SSID: ssid, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/snmp community set [ find default=yes ] authentication-protocol=SHA1 encryption-protocol=AES name=mgm security=authorized write-access=yes
/user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port add bridge=bridge-lan interface=ether1
/ip neighbor discovery-settings set discover-interface-list=!dynamic
/interface wireless cap
# 
set bridge=bridge-lan caps-man-addresses=10.000.299.1 enabled=yes interfaces=wlan1,wlan2
/ip dhcp-client add disabled=no interface=bridge-lan
/system clock set time-zone-name=Europe/Berlin
/system identity set name=IDENTITY
/system logging add action=remote prefix=hap topics=warning,info,error,critical
/system logging add action=remote prefix=hap topics=warning,info,error,critical
/system ntp client set enabled=yes primary-ntp=10.000.299.254
/tool romon
# RoMON inactive, ID not determined
set enabled=yes
/tool romon port set [ find default=yes ] forbid=yes

Anhand der Anleitung https://mum.mikrotik.com/presentations/EU18/presentation_5159_1523293520 ... habe ich die Einrichtung auf dem CAPsMAN und auch auf dem RADIUS Server 1zu1 umgesetzt.

Die Einrichtung funktioniert soweit auch.
Wenn sich nun ein Client mit dem WLAN verbindet wird er anhand der ActiveDirectory Credentials dem richtigen VLAN zugewiesen (Zuordnung anhand von AD Shadow Groups).
Sprich "internerBenutzer-A" mit "internesPasswort-A" ist am Standort A und meldet sich an. Es wird das VLAN 220 zugewiesen.
Der "externeBenuter-A" mit dem "externenPasswort-B" am Standort A bekommt VLAN 230 zugewiesen.

ABER das Ganze funktioniert nur an einem AccessPoint ohne(!) bridge VLAN Filtering!
Durch Zufall habe ich in meinen Büroräumen zwei AccessPoints, die sich in der Grundkonfiguration unterscheiden.
Anfangs konnte ich keine Verbindung aufbauen. Zwar erscheint mein Login auf dem CAPsMAN unter der Registration Table, aber ich bekomme keine IP zugewiesen.
Da ich an einen Fehler auf dem AccessPoint in meinem Büro ausschließen wollte habe ich diesen vorerst abgeklemmt. Anschließend konnte ich mich verbinden und bekam auch meine korrekte IP Adresse. Auch der Datenverkehr war möglich.

Auf beiden AccessPoints zeigt die Einstellung "CAP -> Bridge" auf die einzige lokale Bridge. Ich konnte einzig als Unterschied VLAN Filtering ausmachen.

Ich hoffe auf Eure Hilfe und einen Tipp, wie diese Einrichtung inkl. VLAN Filtering funktionieren kann ohne eventuell die Config auf 400 AccessPoints ändern zu müssen. (PS: Wir haben dies erst vor kurzem getan und vereinheitlicht ^^'....)

Sollten Infos fehlen versuche ich diese natürlich nachzureichen!

Liebe Grüße
Vjordian
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 4234812611

Url: https://administrator.de/contentid/4234812611

Printed on: May 8, 2024 at 04:05 o'clock

11 Comments
Latest comment
Goto Top
Member: aqui
aqui Oct 11, 2022 updated at 13:13:03 (UTC)
Goto Top
Das passende Tutorial zur Thematik hast du gefunden?!
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Bzw. für die Grundlagen auch hier.
Dort steht eigentlich alles was man zum Thema und einer erfolgreichen Konfig wissen muss.
Den Radius Server Part kannst du dir natürlich wegdenken weil du schon einen hast. face-wink
Alle knapp 400 AccessPoints (CAPs) sind identisch eingerichtet.
Das ist eine evidente Feststellung wenn man mit einem zentralen Management über CapsMan arbeitet. 😉
Durch das VLAN Filtering liegt auch das Management VLAN x99 als VLAN auf dem CAP
Ebenso evident wenn man die VLANs richtig einrichtet... 😉

Die Kardinalsfrage ist ob du local Termination aktiviert hast bei den APs, also die MSSID VLANs direkt am AP in die lokale Infrastruktur bringst ohne Tunnel auf den CapsMan. Das ist in einem Design wie bei deinem zwingend und Tunneling ausgeschlossen.
Das o.a. Tutorial beschreibt das im Kapitel "Konfigurations Profil für das gesamte WLAN setzen" mit der Datapath Konfig (Haken Local Forwarding).

Tip:
Du solltest wenn du produktiv gehst mindestens auf Router OS 7.3 oder höher gehen (aktuell ist die Stable 7.5) weil die Radius Funktion bis dahin in manchen Punkten recht buggy waren.
Außerdem ist deine 6er Version generell nicht mehr supportet und es gibt keinerlei Fixes mehr dafür.
Nebenbei OT: 5Ghz solltest du mindestens auf 40Mhz Bandbreite, besser 80 gehen! (Siehe hier)
Zur Dummheit Google DNS zu verwenden ist hier im Forum auch schon alles gesagt worden... https://www.privacy-handbuch.de/handbuch_93d.htm
heart1
Member: Vjordian
Vjordian Oct 11, 2022 updated at 13:17:31 (UTC)
Goto Top
Hey und danke für deine schnelle Antwort.

Ja, dein Tutorial habe ich auch gefunden und es war ebenfalls sehr hilfreich.

Nun ist es so, dass wenn ich dein Tutorial richtig deute die CAPs über die Auto-Config Funktion eingerichtet wurden und somit auf diesen kein VLAN Filtering auf der bridge aktiv wäre.
Das bridge VLAN Filtering haben wir unter anderem im Einsatz, weil es vorkommen kann, dass bei einem CAP auf Ether2 ein weiteres Gerät angeschlossen wird (zum Beispiel Computer).
Damit dieser dann das spezifische und korrekte VLAN erhält habe ich in der default Config doch keine Möglichkeit der Steuerung oder übersehe ich hier etwas?

Zum Radius - Wäre in diesem Fall nur der CAPsMAN auf die OS Version 7.3 (bzw 7.5) zu aktualisieren oder auch alle CAPs, denn hier würde ich die Kompatibilität zwischen CAPsMAN und CAPs infrage stellen face-smile

EDIT: Ja, die MSSID VLANs werden direkt am AP ins Netz gebracht, sprich local forwarding ist im Datapath eingerichtet.
Member: aqui
aqui Oct 11, 2022 updated at 13:27:49 (UTC)
Goto Top
und somit auf diesen kein VLAN Filtering auf der bridge aktiv wäre.
Nein, das ist falsch und würde auf einer Switch Infrastruktur ja auch gar nicht funktionieren.
Alle VLANs im Tutorial wurden vorher mit Filtering eingerichtet wie im VLAN Tutorial beschrieben.
VLAN Bridge Filtering ist in solchen Setups zwingend.
oder übersehe ich hier etwas?
Ja du übersiehst etwas. Vermutlich weil du noch in der alten 6er Version gefangen bist. Die Radius Funktion hat eine komplette Überarbeitung erfahren in der 7er Version und ist jetzt komplett Standard konform was sie vorher nicht war. Siehe Tutorial des Kollegen @colinardo.
Vielleicht hilft dazu auch noch das hier als Lektüre:
Mikrotik: Wifi clients in anderes VLAN schieben?
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2

Mit anderen Worten ist in der 7er Version ein kompletter, standardkonformer .1x Client und Radius Server an Bord.
Den Client kannst du unter anderem auch verwenden den AP selber dynamisch in ein Management VLAN zu hieven wenn du zusätzlich Port Sicherheit an den AP Ports benötigst.
Zwingend ist das aber nicht, denn man kann die MSSID VLANs die dynamisch WLAN Clients am AP zugewiesen werden auch statisch am AP Anschlussport eintragen.
Das o.a. Setup funktioniert hier in einem gemischten WLAN AP Umfeld mit Cisco, Ruckus und Mikrotik APs mit dynamischen WLAN Client VLANs absolut fehlerlos.
Ob man dabei den onboard Radius, FreeRadius oder wie in deinem Falle Winblows NPS nutzt spielt dabei keinerlei Rolle. Wichtig sind nur die speziellen Mikrotik Attribute.
Wäre in diesem Fall nur der CAPsMAN auf die OS Version 7.3 (bzw 7.5) zu aktualisieren oder auch alle CAPs
Das kommt drauf an ob du mit local Forwarding arbeitest oder nicht. Generell solltest du wegen des fehlenden Supports keinerlei 6er Firmware mehr einsetzen in Produktion. Musst du aber letztlich selber wissen ob du das Risiko tragen willst...
Member: Vjordian
Vjordian Oct 11, 2022 at 13:31:34 (UTC)
Goto Top
Vielen Dank für die ausführlichen Antworten!
Wir sichern gerade unser gesamtes System um dann mit einem Teilbereich das Update auf 7.x durchzuführen und zu testen, bevor wir in die Masse gehen.
Das ganze passiert morgen und ich hoffe in dem Zuge dann dein Feedback direkt als Lösung markieren zu können.
Member: aqui
aqui Oct 11, 2022 at 13:57:59 (UTC)
Goto Top
Dann drücken wir mal die Daumen. Ansonsten 25 Euro Taschengeld investieren, einen hAP Lite beschaffen und damit ganz entspannt und in Ruhe üben und testen bis es wasserdicht rennt. 😉
Member: Vjordian
Vjordian Oct 12, 2022 at 12:17:13 (UTC)
Goto Top
Moin, leider sind wir nach dem Firmware Update auf v7.5 (CAPsMAN und CAPs) noch nicht viel weiter gekommen.
Grundsätzlich ist weiterhin zu sagen: Ist das bridge VLAN Filtering auf einem AccessPoint, der über einen CAPsMAN gesteuert wird, aktiviert, so funktioniert RADIUS (noch) nicht.

Im Tutorial Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik ist im Abschnitt Access Point Setup beschrieben, dass der AccessPoint im CAPS Mode zurückgesetzt wird und anschließend lokal auf dem Access Point keine weiteren Einstellungen getätigt werden. In diesem Fall ist bridge VLAN Filtering auf dem Access Point selbst nicht aktiv. Wie steuere ich dann zum Beispiel, dass ein explizites VLAN am zweiten Port des Access Points, der durch den CAPsMAN gesteuert wird, anliegt um einen Computer anzusteuern? Ich habe hierzu bislang keine Steuerungsmöglichkeit über den CAPsMAN gefunden.

Das bridge VLAN Filtering auf dem CAPsMAN und eventuell zwischengelagerten Switches bis zum AccessPoint ist und bleibt natürlich aktiv.
Member: aqui
aqui Oct 12, 2022 updated at 14:14:55 (UTC)
Goto Top
dass der AccessPoint im CAPS Mode zurückgesetzt wird und anschließend lokal auf dem Access Point keine weiteren Einstellungen getätigt werden.
Das ist richtig, denn wenn man mit CapsMan arbeitet kommt die AP Konfig ja immer zentral vom CapsMan Server bzw. wird auch NUR dort vorgenommen. Das ist der tiefere Sinn eines zentralen WLAN Managements.
Was man machen kann ist ggf. noch den Namen (Identity) anzupassen damit man die APs besser identifizieren kann.
In diesem Fall ist bridge VLAN Filtering auf dem Access Point selbst nicht aktiv.
Das muss es auch nicht, weil die APs im CapsMan Setup mit local Forwarding betrieben werden!
Sie taggen die MSSIDs bereits fix und fertig am Kupferport ohne Tunneling zum Controller.
dass ein explizites VLAN am zweiten Port des Access Points
OK, das ist eine Sonderlocke die du oben leider in der Beschreibung unterschlagen hast. Wir sind hier alle von einem klassischen Anschluß ausgegangen. face-sad
Hier muss auf dem AP dann auch wieder eine Filter Bridge eingerichtet werden, das ist richtig.
Wie gesagt, das Setup von dir rennt hier na einem RB2011 als CapsMan Server solwohl mit einem FreeRadius als auch dem Mikrotik bordeigenen Radius fehlerlos.
Member: Vjordian
Vjordian Oct 13, 2022 at 09:50:28 (UTC)
Goto Top
Danke für deine bisherige Hilfe!

Wie gesagt, das Setup von dir rennt hier na einem RB2011 als CapsMan Server solwohl mit einem FreeRadius als auch dem Mikrotik bordeigenen Radius fehlerlos.
Das die Einrichtung nach Anleitung funktioniert möchte ich gar nicht anzweifeln bzw. kann ich soweit auch mit unserer Live Config (MS Radius) nachvollziehen, so lange VLAN Filtering auf den AccessPoints deaktiviert ist.

Unsere Betriebsanforderung lässt es leider nicht anders zu, als das wir auf den AccessPoins auch die eventuell weiteren vorhandenen Ports (z.B. cAP ac, hAP ac² usw.) dediziert (an)steuern können.
Auch auf den MS Radius können wir an der Stelle leider nicht verzichten.

Somit bin ich aktuell bei der Auffassung, dass in unserem besonderen Beispiel das Szenario CAPsMAN + RADIUS noch nicht Einsatzfähig ist.

Ich bin natürlich offen für weitere Ideen um das Problem zu lösen, eine 1zu1 Umsetzung des Tutorials können wir aber leider nicht umsetzten.

Vielen Dank @ aqui
Member: aqui
aqui Oct 24, 2022 updated at 08:38:21 (UTC)
Goto Top
so lange VLAN Filtering auf den AccessPoints deaktiviert ist.
Das ist es ja per se immer! Wenn du mit CapsMan Management arbeitest dann resettest du die APs ja immer im CapsMan Mode. Damit sind sie konfigtechnisch nackt und ziehen sich die Konfig vom Controller. So eine CapsMan Konfig sieht keine VLAN Konfig vor, denn sie betrifft, wie es bei zentralem WLAN Management in der Regel üblich ist, einzig nur die WLAN spezifische Konfig, nicht aber ein 802.1q VLAN Handling mehrerer individueller Kupferports.
Das ist systembedingt nicht Sache der CapsMan Konfig vom Controller sondern muss dann immer individuell auf einem AP zusätzlich konfiguriert werden sofern der spezifisches VLAN Switching über weitere vorhandene Ports machen soll. Das das dann ohne aktive VLAN Filtering Option nicht geht steht außer Frage.
Somit bin ich aktuell bei der Auffassung, dass in unserem besonderen Beispiel das Szenario CAPsMAN + RADIUS noch nicht Einsatzfähig ist.
Nein, das ist eine klar falsche Schlussfolgerung. Beide Optionen haben auch gar nichts miteinander zu tun, sondern sind 2 völlig getrennte Baustellen. Kupferports können prinzipbedingt ja auch gar nicht per CapsMan administriert werden, müssen also auch separat konfiguriert werden in Bezug auf Radius basierte Port Security. Übrigens auch auf die rein Mac basierte Security ohne Radius.
Eine Radius bedingte Authentisierung im WLAN funktioniert völlig problemlos mit einer Kupferport basierten Authentisierung im Einklang. Beides sogar mit dynamischer VLAN Zuordnung. Ein einfacher hAP Lite zeigt das in der Praxis!
Member: Vjordian
Solution Vjordian Oct 25, 2022 at 07:48:43 (UTC)
Goto Top
Das ist es ja per se immer! Wenn du mit CapsMan Management arbeitest dann resettest du die APs ja immer im CapsMan Mode.
Das trifft bei uns nicht zu. Auch wenn wir den CAPsMAN benutzen so resetten wir unsere AccessPoints komplett und bespielen diese mit einer für uns spezifischen und notwendigen Config. Der CAP-Mode ist eine nette Hilfestellung, aber nur ein Anteil von dem wie wir MikroTik AccessPoints nutzen.

Sollte die Auffassung entstanden sein, dass wir versuchen die Kupferports eines AccessPoints über den CAPsMAN zu steuern ist dies leider falsch verstanden worden. Das ist natürlich nur lokal über die Konfiguration des AccessPoint möglich.

Nachdem wir nun weitere Versuche unternommen haben sind wir schließlich zu einer Lösung gekommen und dabei das VLAN Filtering auf den AccessPoints nicht verlieren.

Wenn man VLAN Filtering auf den CAPs aktiviert hat und man fährt über CAPsMAN eine Konfiguration mit mehreren einzelnen SSIDs, dann werden bei aktiviertem CAP-mode die wlan-Interfaces für die einzelnen SSIDs unter /interface/bridge/vlan automatisch als untagged Port für das zugehörige VLAN gesetzt.
Wenn wir nun VLAN Filtering auf den Access Points aktivieren und dynamische VLAN Zuweisung über den NPS nutzen, können die wlan-Interfaces nicht automatisch als untagged Port für ein VLAN auf Basis der SSID gesetzt werden, da die SSID nun ja nicht mehr einer festen VLAN-ID zugeordnet ist.

Damit VLAN Filtering + dynamische VLAN-ID Zuordnung via NPS nun funktionieren:
1. Die SSID welche dynamisches VLAN assignment via NPS/RADIUS nutzt, wird im CAPsMAN bei den Provisioning Regeln als Master Configuration für die entsprechenden CAPs gesetzt. So können wir sicherstellen, dass die SSIDs welche dynamisches VLAN assignment benutzen, auf den unseren APs immer auf den Interfaces wlan1 und wlan2 konfiguriert werden.
2. Nun deaktivieren wir zunächst den CAP Mode auf den jeweiligen Access Points (damit ggf. vorhandene dynamische VLAN Einträge für die Interface wlan1 und wlan2 unter /interface/bridge/vlan entfernt werden werden).
3. Nun fügen wir unter /interface/bridge/vlan für jede VLAN-ID, welche per NPS/RADIUS einem Client zugewiesen werden kann einen Eintrag hinzu, welche die jeweilige VLAN-ID TAGGED auf die Interfaces wlan1 und wlan2 erlaubt.
4. Nun aktivieren wir wieder den CAP Mode auf unserem Access Point.

Jetzt funktioniert die dynamische VLAN Zuweisung über NPS/RADIUS und wir können von der Bridge VLAN Filtering Funktion Gebrauch machen.

An dieser Stelle gehört die Anerkennung zur Lösung dieses Problems meinem Arbeitskollegen, der den letzten Kniff gefunden hat.

In Form einer Config sieht es dann wie folgt aus

###############################
## System Identity definiert ##
###############################
/system identity set name=##IDENTITY##

#################################################
## Erzeuge VLAN Filtering Bridge (deaktiviert) ##
#################################################
/interface bridge add frame-types=admit-only-vlan-tagged name=bridge-VLANs vlan-filtering=no
{
	:local newAdminMac [/interface ethernet get [find name=ether1] mac-address]
	/interface bridge set [find name="bridge-VLANs"] admin-mac=$newAdminMac auto-mac=no  
}

#####################
## Uplink umbennen ##
#####################
/interface ethernet set [ find default-name=ether1 ] comment=Uplink

############################
## Erzeuge MGMT Interface ##
############################
/interface vlan add interface=bridge-VLANs name=bridge-VLANs-299-StandortA-mgm-wlan vlan-id=299

####################
## SNMP aktiviert ##
####################
/snmp community set [ find default=yes ] authentication-password=PASSWORT authentication-protocol=SHA1 encryption-password=PASSWORT encryption-protocol=AES name=mgm security=private write-access=yes
/snmp community add addresses=::/0 authentication-password=PASSWORT authentication-protocol=SHA1 encryption-password=PASSWORT encryption-protocol=AES name=NAME security=private
/snmp set contact=[/system identity get name] enabled=yes

############################
## User Group full access ##
############################
/user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp

#############################################################################
## Bridge Port Uplink definieren + Beispiel für zusätzlichen Untagged Port ##
#############################################################################
/interface bridge port add bridge=bridge-VLANs interface=ether1 pvid=299
#/interface bridge port add bridge=bridge-VLANs frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=220

#################################################
## Managed WLAN Interfaces der bridge zuweisen ##
#################################################
/interface bridge port add bridge=bridge-VLANs interface=wlan1 frame-types=admit-only-VLAN-tagged
/interface bridge port add bridge=bridge-VLANs interface=wlan2 frame-types=admit-only-VLAN-tagged

##########################
## IP Neighbor Settings ##
##########################
/ip neighbor discovery-settings set discover-interface-list=!dynamic protocol=lldp

##############################
## STANDORT A VLANs Anlegen ##
##############################
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-Server tagged=ether1 vlan-ids=210
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-interne-Clients tagged=ether1,wlan1,wlan2 vlan-ids=220
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-externe-Clients tagged=ether1,wlan1,wlan2 vlan-ids=230
/interface bridge vlan add bridge=bridge-VLANs comment=StandortA-mgm-wlan tagged=bridge-VLANs vlan-ids=299

##########################
## CAP Modus aktivieren ##
##########################
/interface wireless cap
# 
set bridge=bridge-VLANs caps-man-addresses=10.000.299.1 enabled=yes interfaces=wlan1,wlan2

######################################
## DHCP Client auf MGM Port setzten ##
######################################
/ip dhcp-client add disabled=no interface=bridge-VLANs-299-StandortA-mgm-wlan

#################################################
## NTP aktivieren und setzen / Timezone setzen ##
#################################################
/system ntp client set enabled=yes primary-ntp=10.000.299.254 secondary-ntp=8.8.8.8
/system clock set time-zone-name=Europe/Berlin

#############################################
## Aktiviere VLAN Filtering auf der Bridge ##
#############################################
/interface bridge set bridge-VLANs vlan-filtering=yes

############################################
## Disable default VLAN 1 on bridge-VLANs ##
############################################
/interface bridge set bridge-VLANs frame-types=admit-only-vlan-tagged
heart1
Member: aqui
aqui Nov 03, 2022 at 16:16:48 (UTC)
Goto Top
👍
Danke für das professionelle und hilfreiche Feedback!
heart1
GermansolvedQuestionMikroTikNetworksLAN, WAN, Wireless
Hotly discussed
LinuxeroWireguard with systemd and nftablesLinuxero - 9 Comments