gelöst CAPsMAN an OpenBSD-Router und -Firewall mit dynamischen VLANs

Mitglied: rabaxabel

rabaxabel (Level 1) - Jetzt verbinden

17.09.2020 um 19:53 Uhr, 1306 Aufrufe, 54 Kommentare

Tag die Runde,

bin neu hier und lese mich gerade in die MikroTik-Welt rein.

Meine Erfahrungen mit WLANs sind eher Bescheiden und liegen bei BSD und beim Entwickeln (Python, Django, PostgreSQL).

Inspiriert von dem ct-Artikel "Funkkutscher in Heft 7/2020) habe ich 4 cAPs ac beschafft, um mein WLAN zu aktualisieren und um die Sicherheitsstandards zu heben und die Versorgung zu verbessern, vor allem mit sauberem Roaming zwischen den APs.
Zur Trennung der Nutzergruppen (4-10 Personen, IoT-Gadgets) möchte ich 6 VLANs aufspannen und die Zuweisung zu einem VLAN bei der Anmeldung durch einen Radiusserver vornehmen.

Derzeitiges Netz:
https://administrator.de/images/c/1/6/1163705f23fd6aacd4d787c7883e55ee.j ...

Geplantes Netz:
https://administrator.de/images/c/1/6/fe9a49a7ab894701f952c398d58d75bc.j ...

Viele Fragen (-: :

0. Stimmt es, dass zum sauberen Roaming beim Ortswechsel des clients der CAPsMAN als Router (= "manager forward mode" betrieben werden muss?

1. Kann ich tatsächlich den Verkehr zu/von den VLANS in meiner Firewall regeln, oder will der CAPsMAN das selbst übernehmen?

2. Can CAPsMAN damit leben, dass er nicht den eigenen DHCP-Server verwendet?

3. Ich verstehe noch nicht, wie das mit der dynamischen VLAN-Zuweisung funktioniert. Um seine Authentifizierung zu machen, braucht der client bereits eine IP. Wird die dann gewechselt?

4. In welchem Netz müssen die Management-Adressen der 3 APs und des CAPsMAN liegen (untagged oder VLAN 1)?

5. Meine Kenntnisse der Linux-Firewall ist begrenzt. Ich sehe aber, die Standardregeln stehen meiner Konfiguration im Wege. Wie setzt man den CAPsMAN und die 3 APS am besten auf, ausgehend von der Standardkonfiguration oder von einer leeren Konfiguration?

6. Ist ein cAP ac mit dem Routen des WLAN-Verkehrs total überfordert, oder kann man damit mal anfangen und eventuell später upgraden?

Ich habe nach Konfigurationsanleitungen mit ähnlicher Aufgabenstellung hier im Forum gesucht und
diese gefunden:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...

Jeder Tipp ist willkommen, am liebsten natürlich ein Script oder eine Anleitung.

Jetzt schon mal Danke,
Rabaxabel
existing - Klicke auf das Bild, um es zu vergrößern
planned - Klicke auf das Bild, um es zu vergrößern
54 Antworten
Mitglied: BirdyB
17.09.2020 um 20:14 Uhr
Zitat von rabaxabel:

Tag die Runde,
Moin und herzlich Willkommen

0. Stimmt es, dass zum sauberen Roaming beim Ortswechsel des clients der CAPsMAN als Router (= "manager forward mode" betrieben werden muss?


1. Kann ich tatsächlich den Verkehr zu/von den VLANS in meiner Firewall regeln, oder will der CAPsMAN das selbst übernehmen?
Das kannst du mit deiner Firewall regeln. Da het der AP nix mit zu tun.
2. Can CAPsMAN damit leben, dass er nicht den eigenen DHCP-Server verwendet?
Sehr gut sogar...
3. Ich verstehe noch nicht, wie das mit der dynamischen VLAN-Zuweisung funktioniert. Um seine Authentifizierung zu machen, braucht der client bereits eine IP. Wird die dann gewechselt?
Nö, braucht der Client erstmal nicht.
4. In welchem Netz müssen die Management-Adressen der 3 APs und des CAPsMAN liegen (untagged oder VLAN 1)?
So, wie du es haben möchtest... Müssen muss da garnix. APs und CAPSMAN müssen sich halt sehen. In welchem Netz das passiert ist egal.
5. Meine Kenntnisse der Linux-Firewall ist begrenzt. Ich sehe aber, die Standardregeln stehen meiner Konfiguration im Wege. Wie setzt man den CAPsMAN und die 3 APS am besten auf, ausgehend von der Standardkonfiguration oder von einer leeren Konfiguration?
Leere Konfiguration nehmen und dann in den CAP-Modus schalten.
6. Ist ein cAP ac mit dem Routen des WLAN-Verkehrs total überfordert, oder kann man damit mal anfangen und eventuell später upgraden?
Warum sollte der cAP ac denn routen? Dafür hast du doch einen Router / Firewall... Aber ja, das Ding kann auch routen...
Ich habe nach Konfigurationsanleitungen mit ähnlicher Aufgabenstellung hier im Forum gesucht und
diese gefunden:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Die Anleitung ist prima
Jeder Tipp ist willkommen, am liebsten natürlich ein Script oder eine Anleitung.
Die Anleitung hast du ja schon gefunden... ansonsten hier: https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...

Viele Grüße
Bitte warten ..
Mitglied: aqui
18.09.2020, aktualisiert um 09:00 Uhr
Heisser Tip für den Neuling:
Wenn du bei Bildern die "+" Taste an der richtigen Stelle klickst nachdem du ein Bild eingefügt hast, dann erscheint es auch an der richtigen Stelle im Kontext und nicht so wirr aus dem Zusammenhang gerissen am Schluß wie oben bei dir.
Kann man übrigens über den "Berbeiten" Knopf rechts unter "Mehr" immer noch nachträglich wieder gerade rücken.
Sowas hilft ungemein bei der Übersicht und dem Verständnis um was es geht !
Zurück zum Thema...

Einen Großteil deiner Fragen beantwortet umfassend das oben von dir schon gefundene Forentutorial.
Zu den Fragen:
  • 1.) Damit hat CapsMan nichts zu tun, es regelt lediglich die Verwaltung der angeschlossenen Accesspoints. Es ist also nicht anderes als ein embeddeter WLAN Controller. Mit dem Forwarding in die VLANs hat er nichts zu tun, das macht die 802.1x Funktion (Tutorial lesen !)
  • 2.) Ja natürlich. Auch hier hat CapsMan mit der DHCP Funktion nicht das geringste zu tun. 2 verschiedene Baustellen und ob du DHCP über den MT machst oder z.B. mit einem zentralen_DHCP_Server ist allein eine Frage deiner persönlichen Konfiguration !
  • 3.) Nein, das hast du komplett falsch verstanden. die VLAN Zuweisung macht der Radius Server, denn dort ist die VLAN zu Client Zuordnung zentral konfiguriert. Eine Client IP ist dafür nicht erforderlich ! Du solltest dazu dringenst etwas 802.1x Grundlagen lesen. Z.B. hier und auch hier.
  • 4.) VLAN 1 ist das default VLAN und ist generell untagged. Die Frage ist also etwas wirr. VLAN 1 ist aber richtig. Obwohl es dort nicht liegen MUSS. Du kannst das Management VLAN immer selber festlegen. Der Einfachheit halber macht es aber Sinn das VLAN 1 zu nehmen.
  • 5.) Was haben Linux FW Regeln mit einer WLAN Installation zu tun ?! Bitte lies dir das oben genannte Tutorial durch. Dort findest du auch einfachste FW Regeln um die VLANs gegeneinander abzuschotten sollte das bei dir erforderlich sein !
  • 6.) Upgraden ?? Routen ? Was hat das eine mit dem anderen zu tun. Generell solltest du die APs immer als Bridges laufen lassen also im layer 2 Mode. Zentral zwischen den VLANs routen macht immer ein Layer 3 Switch (siehe HIER ) oder ein zentraler VLAN Router (siehe HIER ). Man kann das auch mit dem AP machen ist aber suboptimal und sehr aufwendig von der Konfig. Man lässt das also besser ! Auch hier wieder: lesen und verstehen !

am liebsten natürlich ein Script oder eine Anleitung.
Diese hast du ja mit dem o.a. Tutorial nun schon auf dem Silbertablett bekommen ?! Da musst du ja nur noch abtippen !
Grundlagen zur Mikrotik VLAN Konfiguration findest du wie immer hier:
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-routeros-v ...
Damit hast du alles Rüstzeug an der Hand und kannst das in 1 Stunde fehlerfrei aufsetzen.
Zum Rest hat Kollege @BirdyB oben ja auch schon alles gesagt.
Bitte warten ..
Mitglied: rabaxabel
18.09.2020 um 19:34 Uhr
0. Stimmt es, dass zum sauberen Roaming beim Ortswechsel des clients der CAPsMAN als Router (= "manager forward mode" betrieben werden muss?

Aha. Dann sieht das Bild jetzt so aus?:
project - Klicke auf das Bild, um es zu vergrößern

4. In welchem Netz müssen die Management-Adressen der 3 APs und des CAPsMAN liegen (untagged oder VLAN 1)?
So, wie du es haben möchtest... Müssen muss da garnix. APs und CAPSMAN müssen sich halt sehen. In welchem Netz das passiert ist egal.
Mir ging es eigentlich um meinen Administrationszugang. Zusatzfrage: Kann ich den auch per DHCP regeln?
Wie ich es verstanden habe, sind bei meiner Konfiguration DHCP-client und DHCP-server auf dem CAPsMAN abgedreht. Stimmt das?

Danke für die schnelle Antwort.
Bitte warten ..
Mitglied: rabaxabel
18.09.2020 um 19:57 Uhr
* 3.) Nein, das hast du komplett falsch verstanden. die VLAN Zuweisung macht der Radius Server, denn dort ist die VLAN zu Client Zuordnung zentral konfiguriert. Eine Client IP ist dafür nicht erforderlich ! Du solltest dazu dringenst etwas 802.1x Grundlagen lesen. Z.B. hier und auch hier.
Danke für den Tip.
https://administrator.de/tutorial/mikrotik-vlan-konfiguration-routeros-v ...
Damit hast du alles Rüstzeug an der Hand und kannst das in 1 Stunde fehlerfrei aufsetzen.
Zum Rest hat Kollege @BirdyB oben ja auch schon alles gesagt.
Danke für das Feuerwerk an Hinweisen.
Ich muss jetzt erst mal einen DHCP-Server bauen (weil mein jetziger kein IPv6 macht). Ich werde den vom ISC nehmen.
Dann muss ich DHCP- und RADIUS-Server konfigurieren und Deine Quellen lesen. Und zwischendurch muss ich noch was arbeiten (-:.
Ich melde mich wieder, wenn ich bei CAPsMAN bin. 1 Stunde ist seht optimistisch.

Danke für Deine umfassende Antwort.
Gruß, Rabaxabel
Bitte warten ..
Mitglied: aqui
18.09.2020, aktualisiert um 23:22 Uhr
Mir ging es eigentlich um meinen Administrationszugang. Zusatzfrage: Kann ich den auch per DHCP regeln?
Warum sollte man das deiner Meinung denn NICHT mit DHCP regeln können ??
In welchem VLAN du DHCP haben möchtest oder nicht bestimmst doch nur DU ganz allein mit deiner Konfig.
sind bei meiner Konfiguration DHCP-client und DHCP-server auf dem CAPsMAN abgedreht. Stimmt das?
Tja, wenn du uns denn überhaupt mal DEINE Konfig hier gepostet hättest, dann hätten wir auch eine faire Chance gehabt die Frage zielführend beantworten können. (geht mit "export" im Telnet/SSH CLI (PuTTY) oder WinBox Screenshot)
OHNE deine Konfig zu kennen bleibt uns ja dann auch nur die bekannte Kristallkugel. Wenn dir das reicht ??
Nur so viel. CapsMan hat mit DHCP Server und Client rein gar nix zu tun. Ganz andere Baustelle. CapsMan managed nur zentral die APs nicht mehr und nicht weniger. (Siehe Tutorial !)
Ich muss jetzt erst mal einen DHCP-Server bauen
Wie gesagt musst du nicht zwingend, denn der MT kann das ja auch machen. Allerdings mit dem Nachteil das du dann in jedem VLAN einen separaten DHCP Server konfigurieren musst. Obwohl 6 IP Segmente ja noch einigermaßen so handlebar sind wenns nicht viel mehr wird. Wenn du aber gerne einen zentralen haben willst dann kommst du um einen externen DHCP Server natürlich nicht drum rum, klar.
1 Stunde ist seht optimistisch.
Bei mir reichen dafür 15 Minuten.
Danke für das Feuerwerk an Hinweisen.
Immer gerne !
Bitte warten ..
Mitglied: rabaxabel
19.09.2020 um 10:41 Uhr
Zitat von aqui:

Mir ging es eigentlich um meinen Administrationszugang. Zusatzfrage: Kann ich den auch per DHCP regeln?
Warum sollte man das deiner Meinung denn NICHT mit DHCP regeln können ??
Ich hatte erklärt, dass der DHCP-Server auf meiner Firewall sitzt. Die APs reichen die DHCP-Pakete durch und deshalb dürfen angeblich DHCP-Server und -Client auf den APs nicht aktiviert werden (habe ich in einer der Quellen gelesen).
Tja, wenn du uns denn überhaupt mal DEINE Konfig hier gepostet hättest, dann hätten wir auch eine faire Chance gehabt die Frage zielführend beantworten können.
Ich habe noch keine, sammle noch die Bausteine für eine. (-;
Am Konkretesten ist das Bild (ich kann das konkretisieren, wenn gewünscht):
project - Klicke auf das Bild, um es zu vergrößern

Danke für Deine Mühe,
Rabaxabel
Bitte warten ..
Mitglied: rabaxabel
19.09.2020 um 10:57 Uhr
Zitat von aqui:

(geht mit "export" im Telnet/SSH CLI (PuTTY) oder WinBox Screenshot)

Aus welchen Bereichen (/ip, /system ...) muss man denn export aufrufen?
Oder gibts einen Sammelexport?

Rabaxabel
Bitte warten ..
Mitglied: aqui
19.09.2020, aktualisiert um 14:47 Uhr
Die APs reichen die DHCP-Pakete durch und deshalb dürfen angeblich DHCP-Server und -Client auf den APs nicht aktiviert werden
Ja, das ist richtig und da hast du Recht. Du hättest dann ja auch 2 DHCPs was zu einem Adress Chaos führen würde.
Wenn du einen zentralen DHCP betreibst dann macht einzig nur dieser DHCP, das ist richtig !
Wichtig ist dann nur das du auf dem Router der zwischen den IP Netzen / VLANs routet ein DHCP Relay / Helper aktivierst auf die IP des DHCP Servers.
Ich habe noch keine, sammle noch die Bausteine für eine.
Aahhhsoo...
Aus welchen Bereichen (/ip, /system ...) muss man denn export aufrufen?
Aus dem Hauptbereich. Gleich wenn du per Telnet oder SSH drauf bist gibst du "export" ein, das erstellt dir dann eine simple Textdatei mit der Konfig.
Dein o.a. Bild ist so absolut korrekt zu deinem angestrebten Design.
Wenn man es etwas genauer darstellt aus Layer 3 Sicht sähe es so aus:

vlan-allgemein3 - Klicke auf das Bild, um es zu vergrößern

(Hier einmal nur mit 3 VLANs und einem AP dargestellt der Übersicht halber.)

Der Radius Server (und auch DHCP) kann natürlich auch auf Router oder Firewall sein sofern die verwendete Hardware das supportet (z.B. pfSense FW).
Bitte warten ..
Mitglied: rabaxabel
21.09.2020 um 19:10 Uhr
Hallo Aqui,

leider habe ich den dhcpdv6 auf meiner OpenBSD Router nicht zum Laufen gebracht. dhcpd für IPv4 muss reichen. Es gibt ja noch autoconfig.

Zitat von aqui:

Die APs reichen die DHCP-Pakete durch und deshalb dürfen angeblich DHCP-Server und -Client auf den APs nicht aktiviert werden
Ja, das ist richtig und da hast du Recht. Du hättest dann ja auch 2 DHCPs was zu einem Adress Chaos führen würde.
Wenn du einen zentralen DHCP betreibst dann macht einzig nur dieser DHCP, das ist richtig !
Jetzt nochmal die Frage: Darf auf den cAPs auf dem ether1 ein DHCP-client laufen, der dem Interface ether1 die IP besorgt, oder muss ich das mit statischer IP machen?
Letzters ist umständlicher aufzusetzen.

Aus welchen Bereichen (/ip, /system ...) muss man denn export aufrufen?
Aus dem Hauptbereich. Gleich wenn du per Telnet oder SSH drauf bist gibst du "export" ein, das erstellt dir dann eine simple Textdatei mit der Konfig.
Danke. Das war hilfreich.

Dein o.a. Bild ist so absolut korrekt zu deinem angestrebten Design.
Wenn man es etwas genauer darstellt aus Layer 3 Sicht sähe es so aus:

vlan-allgemein3 - Klicke auf das Bild, um es zu vergrößern

(Hier einmal nur mit 3 VLANs und einem AP dargestellt der Übersicht halber.)
Der einzige Unterschied zu meinem Setup ist, dass ich einen unmanaged switch nutze, da in diesem Segment nur die 4 cAPs hängen, die ja tagged VLAN beherrschen. Richtig?

Rabaxabel
Bitte warten ..
Mitglied: aqui
22.09.2020, aktualisiert um 08:50 Uhr
Jetzt nochmal die Frage: Darf auf den cAPs auf dem ether1 ein DHCP-client laufen
Ja natürlich darf er das ! Das ist bei einer CapsMan Installation auch der ideale und richtige Weg und sollte man auch immer so machen. Nebenbei kommen die APs auch immer so als DHCP Clients im Default hoch wenn du sie in den CapsMan Mode bootest ! (Siehe Tutorial !)
dass ich einen unmanaged switch nutze
Damit sind dann keinerlei strukturierte VLANs möglich. Weder im MSSID Mode noch mit dynamischen VLANs. Ist ja auch klar, denn unmanaged Switches supporten keinerlei VLANs. Wie sollte das also gehen ??
Die APs taggen ja je nach Benutzer die VLAN ID in das Paket. Dein Switch kann aber die VLAN ID nicht lesen weil er nicht VLAN fähig ist. Dein Switch ist also nicht in der Lage das Paket wieder dem richtigen User VLAN zuzuordenen.
Mit deinem aktuellen Switch ist also dein Vorhaben sofort zum Scheitern verurteilt.
Du solltest dringenst noch einmal etwas über VLAN Grundlagen lesen. Z.B. die VLAN Schnellschulung:
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...

Fazit:
Besorge dir einen kleinen, preiswerten VLAN Switch. VLAN Switches sind Prinzipien bedingt immer managed:
https://www.amazon.de/TP-Link-TL-SG108E-Unmanaged-Metallgehäuse-Man ...
https://www.amazon.de/8-Port-Gigabit-Managed-Switch-GS1200-8/dp/B0798PKG ...
Bitte warten ..
Mitglied: rabaxabel
22.09.2020 um 18:23 Uhr
Hallo aqui,

Zitat von aqui:
dass ich einen unmanaged switch nutze
Damit sind dann keinerlei strukturierte VLANs möglich. Weder im MSSID Mode noch mit dynamischen VLANs. Ist ja auch klar, denn unmanaged Switches supporten keinerlei VLANs. Wie sollte das also gehen ??
Die APs taggen ja je nach Benutzer die VLAN ID in das Paket. Dein Switch kann aber die VLAN ID nicht lesen weil er nicht VLAN fähig ist. Dein Switch ist also nicht in der Lage das Paket wieder dem richtigen User VLAN zuzuordenen.
Mit deinem aktuellen Switch ist also dein Vorhaben sofort zum Scheitern verurteilt.
Ich bin davon ausgegangen, dass ein managed switch das getagte Paket von dem Tag befreit und es an den Port weiterleitet, der das VLAN bedient. Das funktioniert bei mir aber nicht, da ein AP alle VLANs bedienen können muss.
Und weiter war ich der Meinung das ein unmanaged switch die getagten Pakete einfach getagt weiterreicht, wo dann der AP anhand des Tags die dynamische Zuordnung macht. Auf der anderen Seite bei meinem Router entfernt das VLAN device das Tag.

Auch die VLAN Schnellschulung hat das nicht sauber geklärt.

An welcher Stelle stehe ich auf dem Schlauch?

Danke für Deine Geduld,
Rabaxabel
Bitte warten ..
Mitglied: BirdyB
22.09.2020, aktualisiert um 18:37 Uhr
Ein unmanaged Switch kann keine VLANs... Schlimmstenfalls wirft er die Pakete weg...
Bei einem managed Switch stellst du ein, welche VLANs an welchen Ports tagged und welches VLAN untagged zur Verfügung steht.
Also genau das, was du brauchst für dein Vorhaben.
Siehe auch hier: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Bitte warten ..
Mitglied: rabaxabel
22.09.2020 um 19:25 Uhr
Hallo BirdyB,

Zitat von BirdyB:

Ein unmanaged Switch kann keine VLANs... Schlimmstenfalls wirft er die Pakete weg...
Bei einem managed Switch stellst du ein, welche VLANs an welchen Ports tagged und welches VLAN untagged zur Verfügung steht.
Also genau das, was du brauchst für dein Vorhaben.

Sorry, ich bin halt ein L3-Mensch (Firewall routet zwischen DMZs etc - das ist physische Sicherheit). (-;

Habe jetzt den hier bestellt: ZyXEL GS1200-5HP V2, der hat gleich das POE für die cAPs.

Danke, Rabaxabel
Bitte warten ..
Mitglied: aqui
24.09.2020 um 11:56 Uhr
Ich bin davon ausgegangen, dass ein managed switch das getagte Paket von dem Tag befreit
Ein Managed Switch ja ! Der macht alles mit dem VLAN Tag was du ihm in der Konfig sagst.

Ein unmanaged Switch aber den du, wie du selber oben sagst, besitzt, kann das aber nicht. Der droppt (verwirft) alle getaggeten Pakete weil er VLAN IDs nicht versteht und es als Paket Fehler intepretiert.
Wenn du großes Glück hast schiebt er einen tagged Frame eins zu eins durch ändert aber nichts am Paket. Einige wenige billige unmanaged China Switches machen das. Das ist aber Zufall. Normalerweise konnen unmanaged Switches NICHT mit Tagged Frames umgehen !
Fazit:
Dein Design ist ohne einen managed Switch NICHT umsetzbar ! Kollege @BirdyB hat oben schon alles zu dem Thema gesagt.
Sorry, ich bin halt ein L3-Mensch
Es gibt auch L3 Switches also solche die Routen können. Sind dann logischerweise auch auch immer managed !!
Bitte warten ..
Mitglied: rabaxabel
24.09.2020 um 12:34 Uhr
Hallo aqui,

Zitat von aqui:
Fazit:
Dein Design ist ohne einen managed Switch NICHT umsetzbar ! Kollege @BirdyB hat oben schon alles zu dem Thema gesagt.
OK. Bis der ZyXEL GS1200-5HP V2 eintrifft, arbeite ich halt erst mal mit einem cAP direkt am Router.
Meine VLANS laufen jetzt mit DHCP für IPv4 und mit IPv6 router advertisement.
Ich fange jetzt mit FreeRadius an und bin immer dankbar für config -Schnipsel (-;

Danke, Rabaxabel
Bitte warten ..
Mitglied: rabaxabel
10.10.2020 um 21:49 Uhr
Hallo,
Hab jetzt wieder Zeit an meinem dynamisches VLAN setup an existierendem Router weiterzuarbeiten.
Meine Grundkonfiguration kann ich mittlerweile per Script erzeugen (s.u.).
Derzeit hängt am Routerport ohne VLAN ein alter AP, über den das WLAN derzeit läuft.
Das Managementinterface des cAP ist derzeit auch dort via DHCP angebunden (ether1)
Wenn ich jetzt im cAP ein VLAN-device mit VLAN ID 1 anlege, ist das dann in dem Netz ohne VLAN?

Rabaxabel

PS: Die derzeitige Konfig:

Bitte warten ..
Mitglied: aqui
11.10.2020, aktualisiert um 13:25 Uhr
Wenn ich jetzt im cAP ein VLAN-device mit VLAN ID 1 anlege, ist das dann in dem Netz ohne VLAN?
Diese Frage kann keiner richtig beantworten. (Weisst du auch selber wenn du mal etwas nachdenkst...!)
Du sagst ja nicht an welchem Switch Port der cAP angeschlossen ist und speziell was dieser Port für eine VLAN Konfiguration hat
Folglich ist das für die Community hier also Raten im freien Fall....
Nur so viel...
Wenn der cAP im CAPS Mode arbeitet sendet der als allererstes einen untagged DHCP Request aus um eine gültige IP zu bekommen. Daher ist es entscheident in welchem Default bzw. Native VLAN (PVID) dieser cAP Port arbeitet ?!
Dann discovert der cAP seinen CapsMan Manager ! Deshalb ist es essentiell das der CapsMan am Switch in diesem VLAN aktiviert ist um den cAP überhaupt mit einer gültigen Konfig zu versorgen.
Zu all dem sagst du nichts und wir haben dann nur unsere Kristallkugel.
Oder wolltest du den cAP jetzt testweise erstmal statisch ohne CapsMan laufen lassen ? Das ist leider nicht ganz klar und dann würde das_HIER als Leitlinie für ein richtiges Setup gelten.
Etwas mehr Input also bitte für eine zielführende Antwort.
Bitte warten ..
Mitglied: rabaxabel
11.10.2020 um 16:58 Uhr
Hallo aqui,

Zitat von aqui:

Wenn ich jetzt im cAP ein VLAN-device mit VLAN ID 1 anlege, ist das dann in dem Netz ohne VLAN?
Diese Frage kann keiner richtig beantworten. (Weisst du auch selber wenn du mal etwas nachdenkst...!)
Du sagst ja nicht an welchem Switch Port der cAP angeschlossen ist und speziell was dieser Port für eine VLAN Konfiguration hat
Als Neuling mit VLANs habe ich bei allen Ports VLAN 1 auf untagged gesetzt und alle anderen VLANs auf tagged. (Ich will ja dynamische VLAN-Zuweisung machen via Radius und deshalb brauchen alle cAPs alle VLANS). Am Port 2 hängt noch der legacy AP, da habe ich alle VLANs disabled.
Siehe Screenshot:
bildschirmfoto 2020-10-11 um 16.42.18 - Klicke auf das Bild, um es zu vergrößern

Wenn der cAP im CAPS Mode arbeitet sendet der als allererstes einen untagged DHCP Request aus um eine gültige IP zu bekommen. Daher ist es entscheidend in welchem Default bzw. Native VLAN (PVID) dieser cAP Port arbeitet ?!
Dann discovert der cAP seinen CapsMan Manager ! Deshalb ist es essentiell das der CapsMan am Switch in diesem VLAN aktiviert ist um den cAP überhaupt mit einer gültigen Konfig zu versorgen.
Danke für die Klarstellung.
Zu all dem sagst du nichts und wir haben dann nur unsere Kristallkugel.
Oder wolltest du den cAP jetzt testweise erstmal statisch ohne CapsMan laufen lassen ?
Ja, genau das.
Das ist leider nicht ganz klar und dann würde das_HIER als Leitlinie für ein richtiges Setup gelten.
Probiere ich später aus.

Danke für Deine Geduld,
Rabaxabel
Bitte warten ..
Mitglied: aqui
LÖSUNG 12.10.2020, aktualisiert um 09:24 Uhr
Als Neuling mit VLANs habe ich bei allen Ports VLAN 1 auf untagged gesetzt
Das ist auch absolut OK so und richtig.
Ja, genau das.
OK, dann gilt für dich alles was im Tutorial unter "das_hier" steht.
Dem musst du nur folgen und dann kommt das auch sofort zum Fliegen.
Bitte warten ..
Mitglied: rabaxabel
12.10.2020 um 19:50 Uhr
Zitat von aqui:

"das_hier"] steht.
Dem musst du nur folgen und dann kommt das auch sofort zum Fliegen.
Hier ein Zwischenbericht:
Bitte warten ..
Mitglied: aqui
13.10.2020, aktualisiert um 09:13 Uhr
Siehst ja schon mal recht vielversprechend aus...

Einen Kardinalsfehler in der o.a. Konfig hast du aber wieder begangen !
Niemals darfst du das Bridge Interface selber als DHCP Client setzen. Das Bridge Interface darf niemals direkt eine IP Adresse haben ! Das ist ein Fehler.
Den DHCP Client solltest du also dringenst wieder entfernen von der Bridge.
Wenn dann macht man das immer über ein VLAN IP Interface.
Leider weiss man jetzt nicht in welchem VLAN du dein Management hast. Aber du gehst so vor das du ein VLAN Interface anlegst unter //Interface -> VLAN/, das entsprechend der VLAN ID tagst und an das Bridge Interface anhängst.
Dann konfigurierst du den DHCP Client auf diesem VLAN IP Interface.
Am Anschlussport musst du dann auch entsprechend sicherstellen das entweder über die PVID (UNtagged) oder Tagged eine Verbindung in dein Management VLAN besteht.
Über welchen Port und von wem bekommt der cAP seine Management IP ? Leider kennen wir ja nur mit Switch und AP immer nur einen Bruchteil deines Netzes.
Bitte warten ..
Mitglied: rabaxabel
13.10.2020 um 13:54 Uhr
Zitat von aqui:

Siehst ja schon mal recht vielversprechend aus...


Leider weiss man jetzt nicht in welchem VLAN du dein Management hast.
ID 1 (untagged)
Über welchen Port und von wem bekommt der cAP seine Management IP ?
E1 vom Router gw1
>Leider kennen wir ja nur mit Switch und AP immer nur einen Bruchteil deines Netzes.
Hier sollten nun alle Klarheiten beseitigt sein:

wlan_details3 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
13.10.2020, aktualisiert um 15:06 Uhr
OK, perfekt. Alle Klarheiten beseitigt !
Der Router an Port 5 vergibt dann in allen VLANs entsprechend IP, Gateway und DNS, richtig ?
Management VLAN ist dann 1.
Du musst dann in jedem Falle von allen APs die IP von der Bridge wegnehmen. Das ist wichtig.
Du richtest dann unter Interface ein VLAN 1 Interface ein mit der ID 1 (und nur dies eine) und bindest das an die Bridge.
vlan1 - Klicke auf das Bild, um es zu vergrößern
Ebenso trägst du es dann in der Bridge Konfig unter "VLAN" mit der ID 1 als Tagged Member dort ein.
vlan2 - Klicke auf das Bild, um es zu vergrößern
Die Konfig geht davon aus das das VLAN 1 untagged zum Switch und Router anliegt (Default bzw. Native VLAN, cAP Port PVID=1) !
Den DHCP Client mappst du dann final statt auf die Bridge auf das VLAN 1 Interface. Damit liegt dann nur das Management und CapsMan usw. am VLAN 1 IP technisch.
Checke danach unter IP -> Adresses das die APs alle eine IP im VLAN 1 Netz bekommen haben und der CapsMan AP pingbar ist (Ping unter Tools).

Ansonsten bis dato alles richtig gemacht !
Bitte warten ..
Mitglied: rabaxabel
13.10.2020 um 16:10 Uhr
Zitat von aqui:

OK, perfekt. Alle Klarheiten beseitigt !
Der Router an Port 5 vergibt dann in allen VLANs entsprechend IP, Gateway und DNS, richtig ?
Richtig.
Ebenso trägst du es dann in der Bridge Konfig unter "VLAN" mit der ID 1 als Tagged Member dort ein.
vlan2 - Klicke auf das Bild, um es zu vergrößern
Mit "Tagged Member" meinst Du vermutlich Bridge Port?
Eine Tagged Port kann ich dort nicht einrichten. Wegen PVID 1 wird die immer als untagged aufgeführt:

bildschirmfoto 2020-10-13 um 15.58.53 - Klicke auf das Bild, um es zu vergrößern

bildschirmfoto 2020-10-13 um 15.59.35 - Klicke auf das Bild, um es zu vergrößern

Irgendwie steh ich auf dem Schlauch.
Bitte warten ..
Mitglied: aqui
14.10.2020, aktualisiert 15.10.2020
Mit "Tagged Member" meinst Du vermutlich Bridge Port?
Ja richtig. Bridgeport und der eingerichtete VLAN 1 Port müssen da eingetragen sein !

Hier nochmals das genaue Setup...

Testsetup:

hapvlantest - Klicke auf das Bild, um es zu vergrößern

Bridge Member Ports:

bridgeportneu - Klicke auf das Bild, um es zu vergrößern

Bridge VLANs:

bridgevlans - Klicke auf das Bild, um es zu vergrößern

AP IP Settings (DHCP Client):

hapip - Klicke auf das Bild, um es zu vergrößern

hAP Konfiguration:

Fazit:
Works as designed !!
Bitte warten ..
Mitglied: aqui
14.10.2020, aktualisiert 15.10.2020
Damit sollte es nun wasserdicht klappen...!!
Bitte warten ..
Mitglied: rabaxabel
14.10.2020 um 17:53 Uhr
Hab Deine Antwort erst jetzt gesehen und weiter rumprobiert (kam keine mail von administrator.de).
Habe aber immerhin gelernt, wie ich von der Winbox was downloaded kann [copy (-;].
Bevor ich es mit Deiner Konfig vom hAP vergleiche, hier schon mal mein Stand:
DHCP-client (und statische Adresse) am interface vlan1 funktioniert nicht.

Hier die Konfig:

  1. jan/02/1970 01:16:32 by RouterOS 6.47.4
  2. software id = CQSH-F3EA
  1. model = RBcAPGi-5acD2nD
  2. serial number = BECD0BDACDCD
/interface bridge
add name=vlanBridge vlan-filtering=yes
/interface wireless
  1. managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-g/n country=germany installation=\
indoor mode=ap-bridge ssid=ccc2 wireless-protocol=802.11 wps-mode=\
disabled
  1. managed by CAPsMAN
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-Ceee \
country=germany installation=indoor mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=vlanBridge name=vlan1 vlan-id=1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys radius-called-format=mac radius-mac-authentication=yes \
radius-mac-format=XXXX:XXXX:XXXX radius-mac-mode=as-username-and-password \
supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=vlanBridge interface=ether1
add bridge=vlanBridge interface=ether2
add bridge=vlanBridge interface=wlan1
add bridge=vlanBridge interface=wlan2
add bridge=vlanBridge interface=vlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=12
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=13
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=14
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=15
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=16
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/interface wireless cap
set bridge=vlanBridge enabled=yes interfaces=wlan2,wlan1
/ip dhcp-client
add disabled=no interface=vlan1
/radius
add address=172.16.63.9 service=wireless src-address=172.16.63.11
/system clock
set time-zone-name=Europe/Berlin
/system ntp client
set enabled=yes
Bitte warten ..
Mitglied: aqui
15.10.2020, aktualisiert 17.10.2020
DHCP-client (und statische Adresse) am interface vlan1 funktioniert nicht.
Bitte nutze die Code Tags für die Konfig, das ist dann übersichtlicher und erheblich besser zu lesen !!
Wenn das schon nicht klappt hast du ein grundsätzliches Problem mit der VLAN Bridge.
Den ersten Kardinalsfehler sieht man schon gleich !
  • Du hast fälschlicherweise die WLAN Interfaces als "Tagged" in den VLAN Settings der Bridge konfiguriert. Das kann nicht klappen, denn diese sind nicht Tagged in der Interface Konfig ! Vergleiche es immer mit den WinBox Screenshots und auch der geposteten Konfig von oben !!
  • Zweiter Fehler: Das VLAN Interface 1 muss NICHT in die Bridge Member Port Liste eingetragen sein. Es muss einzig nur in die Bridge VLAN Konfig unter Tagged. In den Bridge Member Ports stehen nur die Kupfer und WLAN Interfaces. Siehe wiederum Screenshot und Konfig oben !
Die PVID aller Kupferports muss auf 1 stehen.
Ggf. machst du vorher einen wasserdichen Check indem du einen Port am Switch als Access Port einmal im VLAN 1, dann 10 und 20 konfigurierst und du dort einen Rechner mit Kupferport anschliesst.
Du solltest dann in allen diesen 3 VLANs eine entsprechende IP am Rechner bekommen vom Router. Das MUSS klappen !
Auch solltest du den Rechner testweise an einem Trunk Port anschliessen. Das Native (Default) VLAN ist ja 1. Auch an einem Trunk Port sollte dann der Rechner eine VLAN 1 IP vom Router bekommen.
Das stellt dann sicher das auch der AP eine gültige VLAN 1 IP bekommt !

Was noch auffällig ist, ist die vorhandene /interface list member Konfig. Die lässt stark vermuten das du es unterlassen hast die Default Konfig des APs zu löschen ! Ein "WAN" Interface gibt es dann normal gar nicht mehr. Es ist kontraproduktiv und hinderlich diese Liste zu behalten weil dein AP nicht mehr als Router arbeitet.
Ggf. solltest du also wirklich noch einmal alles löschen und ganz sicher gehen das die Default Konfig wirklich entfernt wurde und dann alles neu aufsetzen !!

Checke also deine Konfig und vergleiche sie mit der oben geposteten. Die funktioniert getestet und fehlerlos in deinem Design.
Bitte warten ..
Mitglied: rabaxabel
21.10.2020 um 10:36 Uhr
Zitat von aqui:

Auch an einem Trunk Port sollte dann der Rechner eine VLAN 1 IP vom Router bekommen.
Das klappt jetzt alles mit der Konfig unten. Die habe ich aus Deiner Konfig gebaut, wobei ich über nstreme nichts gefunden habe und mir über die Funktion von manual-tx-power-table in Deiner Konfig nicht klar bin.
Leider habe ich es nicht hinbekommen, eine feste MAC-Adresse für das vlan1-Interface zu vergeben. Ich bin daher wieder auf statische Adressen ausgewichen. Zur Formattierung: Ich habe es nicht hinbekommen, ein mit new-line-escapes getrimmte Konfig per import auszuführen. Der Parser meckert über '\\'.
Was jetzt noch fehlt, ist der radius-client. Wenn ich mit einem WLAN-Client versuche, mich zu authentifizieren, fragt er ja nach user+passwort, aber tcpdump zeigt keine Anfrage zum Radiusserver auf dem Router mit seiner vlan1-Adresse.
Anmerkung: Die Art der Doku in RouterOS und freeradius macht mir Schwierigkeiten, weil sie lückenhaft, vorwiegend mit Beispielen arbeitet und nicht sauber strukturiert ist. Aber damit muss ich leben. (-;

Bitte warten ..
Mitglied: aqui
21.10.2020, aktualisiert um 11:44 Uhr
wobei ich über nstreme nichts gefunden habe
Niemals verwenden !! Das ist ein Mikrotik proprietäres (Bridging) Protokoll und nicht WiFi konform !
eine feste MAC-Adresse für das vlan1-Interface zu vergeben.
Ist eigenlich eine simple Lachnummer:
https://wiki.mikrotik.com/wiki/Change_MAC_address_of_VLAN_interface
Wichtig ist das du die Auto Mac Funktion abschaltest !
Wenn ich mit einem WLAN-Client versuche, mich zu authentifizieren, fragt er ja nach user+passwort
Aber nur wenn du am Client die 802.1x Funktion aktivierst. Bei einer reinen Mac Authentisierung via Radius macht er das logischerweise nicht.
Fragt sich jetzt WAS du erreichen willst. 802.1x Authentidierung oder Mac Authentisierung der WLAN Clients ?
2 verschiedene Paar Schuhe...
Die Art der Doku in RouterOS und freeradius macht mir Schwierigkeiten
Mikrotik verhölt sich da nicht anders als der gesamte Rest der Netzwerk Welt. Essentiell ist beim testen immer den FreeRadius im Debug Mode laufen zu lassen mit -X.
Da ist er dann immer unbestechlich und zeigt alles was was von den Geräten bei ihm ankommt.
Hier findest du einmal solch einen Live Mitschnitt im Detail:
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
Bitte warten ..
Mitglied: rabaxabel
21.10.2020 um 13:41 Uhr
Zitat von aqui:

Wenn ich mit einem WLAN-Client versuche, mich zu authentifizieren, fragt er ja nach user+passwort
Aber nur wenn du am Client die 802.1x Funktion aktivierst. Bei einer reinen Mac Authentisierung via Radius macht er das logischerweise nicht.

Ich dachte in meiner Konfig hätte ich 802.1x aktiv:
Diese Variante wollte ich für mac-based Authentifizierung verwenden:
Ansonsten habe ich zum Thema RADIUS nur das drin:
Ich vermute mal, dass es aus der Sicht des AP dabei um einen externen RADIUS-Server geht und nicht um den eingebauten und nicht um den client.

Fragt sich jetzt WAS du erreichen willst. 802.1x Authentidierung oder Mac Authentisierung der WLAN Clients ?

Klar. Erstmal würde ich gerne irgendwas hinkriegen, um zu sehen das es läuft.
Wenn Du mir sagst, was ich für den wpa2-psk noch ergänzen muss, würde ich den nehmen.

Endgültig brauche ich alle 3 Verfahren parallel (pro VLAN natürlich jeweils nur eins):
1. EAP mit Zertifikaten,
2. mac based für das IoT-Geraffel und
3. der Rest dann wpa2-psk für Gäste.

Essentiell ist beim testen immer den FreeRadius im Debug Mode laufen zu lassen mit -X.

Das mach ich ja, aber es kommt nichts an. (-:
Bitte warten ..
Mitglied: aqui
21.10.2020, aktualisiert um 14:55 Uhr
Ich dachte in meiner Konfig hätte ich 802.1x aktiv:
Da ist dann aber kein dot1x aktiviert ! Dann kann das nicht klappen.
mtdot1x - Klicke auf das Bild, um es zu vergrößern

Ich vermute mal, dass es aus der Sicht des AP dabei um einen externen RADIUS-Server geht
Ja, das ist richtig !
Der interne Mikrotik onboard Radius Server kann kein 802.1x und auch keine Mac Authentisierung !! Den kannst du mit den aktuellen Firmware Versionen dafür nicht benutzen ! Das Tutorial (und auch das Mikrotik Datenblatt) weist explizit darauf hin.
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...

Mikrotik wird das erst in kommenden Versionen (7.x) supporten. Derzeit ist das nur Beta.
https://administrator.de/wissen/mikrotik-802-1x-port-basierte-authentifi ...
Bitte warten ..
Mitglied: rabaxabel
21.10.2020 um 17:16 Uhr
Habe den radius service auf dot1x geändert.
Egal, was ich mache, es kommt auf dem Router mit Radiusserver kein Paket zu Port 1812.
Weder blockert die Firewall so ein Paket noch sehe ich es auf dem parent device der VLAN devices.
Ich habe auf dem Router *kein* VLAN1 angelegt, weil ich denke das macht ja das parent(hardware) device.
Der cAP spricht mit dem Radius Server über eine VLAN1-Adresse (möchte sprechen (-;)).
Bitte warten ..
Mitglied: rabaxabel
21.10.2020 um 19:23 Uhr
Ping vom cAP über VLAN1 zum Router klappt.
Der DHCP-Server auf dem Router hat auf verschiedenen Switchports Clients im VLAN1 mit Adressen versorgt.

Auf dem Router sehen parent device und vlans so aus:

Interessant ist, dass auf VLAN11 was reingekommen ist, obwohl noch keine Authetifizierung geklappt hat (172.16.11.1 ist die Router-Adresse).
Bitte warten ..
Mitglied: aqui
22.10.2020, aktualisiert um 09:31 Uhr
Habe den radius service auf dot1x geändert.
Sieht ja so aus als ob du einen FreeRadius da am werkeln hast ist das richtig ?
Dein VLAN 1 ist das em3 Interface mit der 172.16.63.1 /24 ? Auch richtig ?
Ich checke das hier ebenfalls nocheinmal...
Es gibt noch ein paar MT Dokumente dazu:
https://wiki.mikrotik.com/wiki/Manual:Wireless_PEAP_client_with_FreeRADI ...
https://wiki.mikrotik.com/wiki/Manual:Wireless_EAP-TLS_using_RouterOS_wi ...
Bitte warten ..
Mitglied: rabaxabel
22.10.2020 um 16:19 Uhr
Hallo aqui,

Zitat von aqui:

Habe den radius service auf dot1x geändert.
Sieht ja so aus als ob du einen FreeRadius da am werkeln hast ist das richtig ?
Ja.
Dein VLAN 1 ist das em3 Interface mit der 172.16.63.1 /24 ? Auch richtig ?
Ja.
Ich checke das hier ebenfalls nocheinmal...
Es gibt noch ein paar MT Dokumente dazu:
https://wiki.mikrotik.com/wiki/Manual:Wireless_PEAP_client_with_FreeRADI ...
Bei dem sehe ich:
Das fehlte bei mir. Hat aber noch nix gebracht. Kann man wohl bei "default" weglassen. Taucht auch nicht im /export auf.
In meinem log steht nur lapidarisch:
Meine Konfig ist immer noch:
Ratlos: Rabaxabel
Bitte warten ..
Mitglied: aqui
22.10.2020 um 17:46 Uhr
In meinem log steht nur lapidarisch:
Das besagt nur das der WLAN Client mit der Mac 86:3C:B6:F3:B2:C6 mit dem 5Ghz Radio verbunden ist. Das 2,4Ghz Radio hat ihn rausgeschmissen weil die (vermutlich) dort aktivierte 802.1x (WPA Enterprise) Funktion ihn nicht authentisieren konnte.
Ich check das...
Bitte warten ..
Mitglied: rabaxabel
22.10.2020 um 19:10 Uhr
Der Menüpunkt Dot1X hat unter allen 4 Tabs keinen (aktiven?) Eintrag.
Torch zeigt während der Authentifizierung auf vlan1 nur den Kontakt zum logserver an.
Bitte warten ..
Mitglied: rabaxabel
23.10.2020 um 07:38 Uhr
Das tab hosts auf der bridge Seite zeigt das hier (die MAC des Router ist ja 00:60:e0:5a:75:43 und die fremden MACs im vlan1 kommen vom historischen AP):
bildschirmfoto 2020-10-23 um 07.18.38 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: rabaxabel
23.10.2020 um 13:58 Uhr
Nachdem ich ein Zertifikat hochgeladen und dem radius-client zugeordnet habe, sehe ich ab und zu Verkehr auf port 1813 (nicht über port 1812), kann aber nichts in /var/log/radius/radacct finden.
Derzeit nutzt sowohl der radius-client als auch das security-profile ein auf den Namen des cAP ausgestelltes Zertifikat:
Wozu ist das Zertifikat beim Profile eigentlich?
Nach dem Konfigurieren des Zertifikats, bietet mir mein iPhone das WLAN-Netz unter "MikroTik" an und ich kann dann explizit enterprise-wpa2 auswählen. Nach Eingabe von Nutzername und Passwort, sagt das iPhone: "Dieses Netz gibt es nicht" )-8
Bitte warten ..
Mitglied: aqui
23.10.2020, aktualisiert um 18:23 Uhr
So, schneller Quick and Dirty Test mit einem simplen WLAN AP Setup klappt auf Anhieb.
Getestet mit einem Windows 10 Client (2004) und einem MacBook (10.15, Catalina).

Interfaces:

rad-bridge - Klicke auf das Bild, um es zu vergrößern

Security Profil WLAN:

rad-sec - Klicke auf das Bild, um es zu vergrößern

Radius:

rad-radius - Klicke auf das Bild, um es zu vergrößern

FreeRadius Debug Output:

Keine Ahnung was du da falsch gemacht hast ?!?
Fazit:
Works as designed !!
Bitte warten ..
Mitglied: rabaxabel
23.10.2020 um 20:52 Uhr
Bei meiner Konfiguration ist anders (abgesehen von der Adresse die bei mir auf vlan1 sitzt):

1. Wireless tables - Security profiles - EAP - EAP Methods = passthrough (von Deiner Konfig hAP oct/14/2020 14:11:21 hatte ich EAP Methods = "" übernommen.
2. Radius - Service wireless statt dot1x (hatte ich Deinen Rat vom 21.10. 14:55 befolgt) (-;

Auf jeden Fall klappt endlich die Authentifizierung mit user + pw!
aqui Du bist der Held des Tages! Danke!

Was nicht geklappt hat: Ich bin nicht im VLAN12 gelandet, sondern weiterhin im VLAN1.
Aus dem VLAN12 sehe ich keinen DHCP-Request.
Hier das radius-debug-log:

Bitte warten ..
Mitglied: aqui
24.10.2020, aktualisiert um 12:05 Uhr
aqui Du bist der Held des Tages! Danke!
Eigentlich auch nur ein kleiner, einfacher Anwender...
Was nicht geklappt hat: Ich bin nicht im VLAN12 gelandet, sondern weiterhin im VLAN1.
OK, das sieht die "quick and dirty" Konfig oben auch erstmal so nicht vor. Du hattest ja nur geschrieben das du erstmal die ganz einfache WPA-2 Enterprise Konfig zum laufen bringen willst..
Für dyn. VLANs musst du eine VLAN Bridge und VLAN Filtering einrichten.

Gut, dynamische VLANs mit Username Passwort folgen dann hier im 2ten Teil....
Das dann muss der Bridge Port Tagged sein. VLAN Filtering an usw. Screenshots folgen...
Bitte warten ..
Mitglied: rabaxabel
24.10.2020 um 13:54 Uhr
Zitat von aqui:

Für dyn. VLANs musst du eine VLAN Bridge und VLAN Filtering einrichten.
Ich hab dazu noch mal diese Anleitung:vlan bridge im switch mode durchgearbeitet.
Dabei sehe ich diese Unterschiede bei den bridge ports zu meiner Konfig:
Das sind die frame-types admit-only-vlan-tagged für das Management vlan und admit-only-untagged-and-priority-tagged für die anderen vlans.
Gelten diese Attribute auch für meinen Fall mit den account geseuerten dynamischen vlans? Falls ja, würde ich das schon mal ausprobieren.
Gut, dynamische VLANs mit Username Passwort folgen dann hier im 2ten Teil....
Das dann muss der Bridge Port Tagged sein. VLAN Filtering an usw. Screenshots folgen...
Das wäre toll.
Bitte warten ..
Mitglied: aqui
24.10.2020, aktualisiert um 16:02 Uhr
Mmmhhh, es sieht so aus als ob in der Standalone Konfig die dynamische Zuweisung nicht supportet ist. Ich habe alles durchgesehen und obwohl der Radius Server definitv die VLAN Attribute sendet werden di nicht umgesetzt.

Setzt man das allerdings mit einer CapsMan Konfig um funktioniert es sofort und fehlerlos !
Du kannst die Konfig aus dem hiesigen_Dynamischen_VLAN_Tutorial 1:1 übernehmen und musst einzig nur das Security Profil umstellen und dort statt WPA2-PSK einfach WPA2 Enterprise (WPA2-EAP) als Modus wählen und fertig ist der Lack !

Neues WPA2 Enterprise Profil einrichten:
wpa-ent1 - Klicke auf das Bild, um es zu vergrößern

Im Security Profil aktivieren:
wpa-ent2 - Klicke auf das Bild, um es zu vergrößern

Fertig !
Die Userkonfig im Radius sieht dann so aus:
Das VLAN 99 ist das Captive Portal WLAN aus dem Tutorial was eine extra Authentisierung erfordert. Hier kann man statt der Default Konfig auch einen User gast/gast setzen so das alle die sich mit diesen Credentials einloggen im CP VLAN landen.
Ist eigene Geschmackssache wie man das umsetzt.

Der gekürzte FreeRadius Debug Output sieht dann so aus:


Der WLAN Clkient Check zeigt den User "user10" als erfolgreich authentisiert:
wpa-ent3 - Klicke auf das Bild, um es zu vergrößern

Et voila.... auch der Client (Windows 10 (2004)) bekommt eine DHCP IP aus VLAN 10
Fazit:
Mit der zentralisierten Konfig über den CapsMan Controller rennt es fehlerlos !
Bitte warten ..
Mitglied: rabaxabel
24.10.2020 um 20:08 Uhr
Danke, aqui für die Anleitung!

Zitat von aqui:

Mmmhhh, es sieht so aus als ob in der Standalone Konfig die dynamische Zuweisung nicht supportet ist. Ich habe alles durchgesehen und obwohl der Radius Server definitv die VLAN Attribute sendet werden di nicht umgesetzt.

Setzt man das allerdings mit einer CapsMan Konfig um funktioniert es sofort und fehlerlos !
Du kannst die Konfig aus dem hiesigen_Dynamischen_VLAN_Tutorial 1:1 übernehmen und musst einzig nur das Security Profil umstellen und dort statt WPA2-PSK einfach WPA2 Enterprise (WPA2-EAP) als Modus wählen und fertig ist der Lack !

Bis auf die Tatsache, dass ich ja keine router, sondern eine switching Konfiguration habe.
Hier noch mal der aktuelle Stand (Auszug):
Bisher habe ich nur einen cAP eingerichtet mit dieser Konfig (cap01).
Ich benötige jetzt als erstes einen CapsMan. Der soll ebenfalls auf so einer Hardware laufen.
Fragen:
Soll ich beide Funktionen (CapsMan und CAP) auf cap01 implementieren oder erstmal getrennt (CapsMan auf cap01 und der CAP auf cap02)?
Kann ich obige Konfig als Basis für beide nehmen und einfach CapsMan bzw CAP-mode andrehen?

Wie soll ich vorgehen?
Bitte warten ..
Mitglied: aqui
25.10.2020 um 11:38 Uhr
Bis auf die Tatsache, dass ich ja keine router, sondern eine switching Konfiguration habe.
OK, aber das ist ja nur kosmetisch. Du hast dann eben nur keine VLAN IP Adressen und DHCPs dazu definiert. Die Grundkonfig ist ja vollkommen identisch.
Bei dir beziehen die Clients die IPs dann vom Router.
Fakt ist aber das man wohl CapsMan zwingend braucht damit das fehlerfrei rennt.
Ich kann dir aber gerne auch noch einmal eine simple nur Switch Konfig hier posten obwohl du die als MT Profi ja eigentlich auch so hinbekommst, oder ?!
Soll ich beide Funktionen (CapsMan und CAP) auf cap01 implementieren
Ich würde den CapsMan zentral dann auf dem Switch arbeiten lassen und die cAPs nur alle als Caps Clients.
Dann kannst du die Konfig zentral auf dem Switch machen und optimieren und die cAPs sind dann nur "dumme" Caps Clients die sich alles vom CapsMan Server ziehen.
Das ist ja auch die Intention eines zentralen CapsMan Managements.
Bitte warten ..
Mitglied: rabaxabel
27.10.2020 um 19:38 Uhr
Wenn ich für meinen CapsMan die bridge wie in der standalone Konfig definieren muss, dann benötige ich auch eine wireles configuration, was eigentlich vom CapsMan übernommen werden sollte:
benötigt diese interface Konfig:
Wird diese /interface wireless witerhin in der Grundconfig für caps und CapsMan benötigt?
Bitte warten ..
Mitglied: aqui
28.10.2020 um 08:24 Uhr
dann benötige ich auch eine wireles configuration
Das ist die Frage WIE du das jetzt genau meinst ??
Ja, du brauchst eine Wireless Konfig wenn du mit CapsMan stst statisch arbeitest.
Nein, sie wird NICHT unter dem Interface gemacht sondern komplett im CapsMan Setup. Guckst du hier:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Wird diese /interface wireless witerhin in der Grundconfig für caps und CapsMan benötigt?
Nein !
Wie oben schon gesagt, die Wireless Konfig wird dann nicht mehr auf dem Interface gemacht sondern vollständig in der CapsMan Konfig.
https://www.youtube.com/watch?v=jUW4DDwWBP4
https://www.youtube.com/watch?v=KhW2BerB-Jo
https://www.youtube.com/watch?v=RJGp03g1xS8
https://www.youtube.com/watch?v=HxWE4NfrSv8
Bitte warten ..
Mitglied: rabaxabel
28.10.2020 um 11:44 Uhr
Zitat von aqui:
> Nein, sie wird NICHT unter dem Interface gemacht sondern komplett im CapsMan Setup.
Keine Ahnung, wie ich WLAN-Attribute, wie wireless-protocol, wmm-support, wps-mode in CapsMan im configuration submenu setze.
Das bedeutet, dass in meiner Grundkonfig (auf die CapsMan und CAP Konfig aufbaut) keine VLAN spezifischen WLAN ports mehr vorhanden sind, sie also so aussieht:
Das ist nicht mein Fall (router statt switch und keine klar definierte Startsituation).
Da schläft man ein, während man das hört, was man schon weiß. (-;
Diese CapsMan Konfig setzt auf obige Grundkonfig auf (derzeitiger Stand):
Master/Slave config habe ich auch noch nicht verstanden. Einerseits lese ich, es gäbe eine Hierarchie der Konfigs (allgemein, speziell, ganz speziell), aber ich weiß nicht, wie ich die in meinem Script ausdrücken soll. Slave erzeugt ja virtuelle CAPs, was eigentlich nicht unbedingt gewollt ist.
Bitte warten ..
Mitglied: aqui
29.10.2020, aktualisiert um 15:40 Uhr
Keine Ahnung, wie ich WLAN-Attribute, wie wireless-protocol, wmm-support, wps-mode in CapsMan im configuration submenu setze.
Aber das ist doch hier alles haarklein erklärt:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Wo ganz genau kneift es dann da bei dir ??
Das ist nicht mein Fall (router statt switch und keine klar definierte Startsituation).
Das ist doch völlig egal ob Router oder Switch ! Speilt keinerlei Rolle weil die Basis Router OS doch bei beiden immer identisch ist.
Die Startsituation ist gena DA wo du den CapsMan aktivierst mit Klick auf den "Manager" Button und dann Haken bei "enable".
Eigentlich doch ganz logisch. Folge der Anleitung einfach Schritt für Schritt !
Da schläft man ein, während man das hört, was man schon weiß.
He he he Ja, das stimmt, deshalb ja auch das Praxis Tutorial oben !
Es ist eine einfache Hierarchie:
  • Alles was im CapsMan selber (Grundeinstellung) definiert ist ist die Basis
  • Wenn du in den Settings der nächsten Hierarchie etwas setz "überstimmt" das quasi das was in den Grundsettings definiert wurde
usw. Es ist sowas wie eine top down Hierarchie.
Normalerweise reicht aber immer fest das was man in der Grundkonfig einstellt. Das einzige was man anpassen sollte ist die Kanalwahl der einzelnen APs, das diese einen 4 oder 5 kanaligen Abstand haben. Ist auch im Tutorial so gemacht. 1, 6, 11 Regel (oder 1, 5, 9, 13 Regel). Passt man das nicht an senden alle APs immer auf der gleichen Frequenz und stören sich bei Überlappung der Bereiche.
Bitte warten ..
Mitglied: rabaxabel
29.10.2020 um 17:27 Uhr
Zitat von aqui:

Keine Ahnung, wie ich WLAN-Attribute, wie wireless-protocol, wmm-support, wps-mode in CapsMan im configuration submenu setze.
Aber das ist doch hier alles haarklein erklärt:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
Wo ganz genau kneift es dann da bei dir ??
Auf der Tutorialseite find ich die Begriffe wmm wps und protocol nicht.

Es ist eine einfache Hierarchie:
  • Alles was im CapsMan selber (Grundeinstellung) definiert ist ist die Basis
  • Wenn du in den Settings der nächsten Hierarchie etwas setz "überstimmt" das quasi das was in den Grundsettings definiert wurde
usw. Es ist sowas wie eine top down Hierarchie.
Normalerweise reicht aber immer fest das was man in der Grundkonfig einstellt. Das einzige was man anpassen sollte ist die Kanalwahl der einzelnen APs, das diese einen 4 oder 5 kanaligen Abstand haben.
Ich habe 2 Stufen, die für alle AÜs gelten:
1. Grundkonfig
2. pro vlan und Band datapath.vlan-id
Dazu käme:
Die channels gelten jeweils nur für einen AP, den könnte ich per identity-regexp matchen.

In meiner Konfig oben sind die Kanäle jeweils gleich eingetragen, zum Ausprobieren mit jeweils 1 AP.
Vielleicht kannst Du ja mal einen Blick drauf werfen. Auf die erste Konfig wird nach reset verabreicht dann die 2. obendrauf .
Seit heute Mittag redet (nach ziemlichem Zertifikatsgefummel) der CapsMan mit seinem lokalen CAP, aber zur Authentifizierung schickt er nichts zum Radiusserver. Im log:
D6:B5:E4:2A:3A:1C@cap46 disconnected, max key exchange retries
Bitte warten ..
Mitglied: aqui
30.10.2020, aktualisiert um 10:08 Uhr
Auf der Tutorialseite find ich die Begriffe wmm wps und Protocol nicht.
Kannst du erstmal ignorieren. Das ist einmal die Medien Traffic Priorisierung und einmal die Passwort Autoconfig per PIN oder Knopfdruck. Beides ist für die Funktion hier irrelevant.
Die channels gelten jeweils nur für einen AP, den könnte ich per identity-regexp matchen.
Du kannst wie im Tutorial zu sehen im Channel Profil weitere Channels definieren und diese dann den einzelnen APs (Caps Interfaces) zuweisen. So kannst du jedem AP einen dedizierten Kanal setzen.
Authentifizierung schickt er nichts zum Radiusserver.
Hier ist die Radius Konfig identisch zum Tutorial mit der einzigen Ausnahme das die Authentisierung nicht Mac bezogen sein darf. (WPA2-EAP Mode) Siehe die geposteten und kommentierten Änderungen oben.
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft21 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing19 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
LAN, WAN, Wireless
Mikrotik Capsman: SSID zu VLAN zuweisen
gelöst BirdyBFrageLAN, WAN, Wireless2 Kommentare

Hallo zusammen, ich brauche bitte eure Hilfe: Folgendes Setting: Ich habe zwei Mikrotik-APs mit Capsman verwaltet im Einsatz. Beide ...

LAN, WAN, Wireless

WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN

gelöst hummusFrageLAN, WAN, Wireless65 Kommentare

Liebe Experten, ich habe eine pfSense als Router und mehrere Zyxel GS1900-Switche im Einsatz. Dort hängen aktuell zwei MikroTik ...

Router & Routing

OpenBSD Routing Verständnisfrage

agowa338FrageRouter & Routing2 Kommentare

Hi, ich arbeite mich gerade etwas in das Thema Networking mit OpenBSD ein. Ich habe hier folgende Routing Tabelle ...

Netzwerkmanagement

Internes wlan1 in CAPsMAN einbinden

gelöst McLionFrageNetzwerkmanagement9 Kommentare

Hallo, ich habe erfolgreich CAPsMAN mit zwei anderen MKs eingerichtet. Nun möchte ich die interne wlan1-Schnetstelle mit in den ...

Router & Routing

Wie CAPs am CAPsMAN updaten?

gelöst McLionFrageRouter & Routing13 Kommentare

Hallo, ich betreibe schon seit einem 0.5 Jahr erfolgreich den CAPsManager. Nun habe ich den Manager upgedatet, weiß aber ...

MikroTik RouterOS

CAPSMAN: Probleme mit getaggten VLANs

snoertFrageMikroTik RouterOS1 Kommentar

Hallo zusammen, ich habe Probleme mit der VLAN-Konfiguration bei folgendem Setup: Ich habe einen RB750gr3 als CAPSMAN Controller konfiguriert. ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT