dilldappe
Goto Top

Dynamische VLAN LAN Zuweisung Radius Trunk Port Mikrotik

Hallo zusammen,

ich bin neu hier und habe gleich mal die 1. Frage. Bevor ich aber Frage..... Erstmal vielen Dank für die wirklich guten Anleitungen von z.B. @aqui / @colinardo und natürlich den vielen Anderen.

Ich habe die Dynamische VLAN Zuweisung gem. der Anleitung von aqui umgesetzt:

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Das funktioniert alles super. Mein Radius sitzt in einer OPNsense und "schubst" die WLAN und LAN Geräte in die richtigen VLANs. Bei meinen MikroTik Switches ist als Radius Server die OPNsense eingetragen.

Ich habe allerdings das Problem bei den getaggten Trunk Ports. Ich habe z.B. einen kleineren Mikrotik Switch an meinem Haupt Switch hängen. Der Uplink ist natürlich mit den ganzen VLANS getaggt. Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.

Im Radius habe ich VLAN Zuweisung für den kleineren Switch das Management VLAN (=1) eingetragen. In der Dot1X Übersicht des Haupt Switches stehen dann aber nach der Aktivierung oft komplett unterschiedliche MAC Adressen mit unterschiedlichen VLAN von den angeschlossenen Geräten.

Anliegend mal die Bilder der beiden Bridges. Evtl. könnt ihr mir ja helfen.

Grüße
Rafael
neben switch
haupt switch

Content-ID: 8128020826

Url: https://administrator.de/forum/dynamische-vlan-lan-zuweisung-radius-trunk-port-mikrotik-8128020826.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

aqui
aqui 13.08.2023 aktualisiert um 14:38:20 Uhr
Goto Top
Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.
Was ja auch völlig klar und erwartbar ist, denn wenn du Port Authentisierung auf dem Port aktivierst wird sofort sämtlicher Traffic geblockt solange der eben nicht via Radius authorisiert wird. Works as designed...! 😉
Im Radius habe ich...
Was meinst du damit genau? Der kleine Switch agiert an dem Port als Dot1x Client (Supplicant) und soll sich am Hauptswitch Port (Authenticator) an dem er angeschlossen ist authentisieren?
Wenn ja, gilt dann dort die Mac Adresse des VLAN 1 IP Ports. Wir hatten diese Thematik hier erst kürzlich...
Mikrotik 802.1x Infos
Der Thread ist lesenswert zu der Thematik und damit du dir keinen Wolf suchst... face-wink
Dilldappe
Dilldappe 13.08.2023 um 15:54:12 Uhr
Goto Top
Zitat von @aqui:

Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.
Was ja auch völlig klar und erwartbar ist, denn wenn du Port Authentisierung auf dem Port aktivierst wird sofort sämtlicher Traffic geblockt solange der eben nicht via Radius authorisiert wird. Works as designed...! 😉

Die MAC der Bridge ist natürlich im Radius (Vlan 1) drin. Der Switch authentifiziert sich auch. In der Übersicht ist dann aber irgendeine PVID mit irgendeiner MAC von einem angeschlossenen Gerät zu sehen (z.B. PVID 50 MAC = xxxx)

Im Radius habe ich...
Was meinst du damit genau? Der kleine Switch agiert an dem Port als Dot1x Client (Supplicant) und soll sich am Hauptswitch Port (Authenticator) an dem er angeschlossen ist authentisieren?
Wenn ja, gilt dann dort die Mac Adresse des VLAN 1 IP Ports. Wir hatten diese Thematik hier erst kürzlich...
Mikrotik 802.1x Infos
Der Thread ist lesenswert zu der Thematik und damit du dir keinen Wolf suchst... face-wink

Ja genau der kleine Switch soll sich beim großen Authentifzieren. Das gleiche Problem habe ich z.B. auch dem Access Points, die werden bei mir auch getaggt.
7907292512
7907292512 13.08.2023 aktualisiert um 17:42:41 Uhr
Goto Top
Aktiviere das Neighbor-Discovery auf dem physikalischen Interface am Client-Mikrotik. Dieser schickt dann regelmäßig Pakete auf dem Interface raus welche ja für eine MAC-Auth zwingend nötig sind damit sich der Port Authentifiziert.
Am Radius dann die MAC des physikalische Ports hinterlegen nicht das der Bridge.

Gruß siddius
aqui
aqui 13.08.2023 um 17:53:56 Uhr
Goto Top
der kleine Switch soll sich beim großen Authentifzieren.
Nur noch einmal zur Sicherheit nachgefragt? Die Ausführungen von @colinardo zum Mikrotik .1x Client im oben zitierten Thread hast du wirklich gelesen??
7907292512
7907292512 13.08.2023 aktualisiert um 18:32:29 Uhr
Goto Top
Zitat von @aqui:

der kleine Switch soll sich beim großen Authentifzieren.
Nur noch einmal zur Sicherheit nachgefragt? Die Ausführungen von @colinardo zum Mikrotik .1x Client im oben zitierten Thread hast du wirklich gelesen??

Er macht doch reine MAC-Auth des Client-Mikrotiks kein 802.1x am Port und MAC-Auth funktioniert doch ?!

Zitat des TO:
Zitat von @Dilldappe:
DOT1X (mit MAC Auth)
aqui
aqui 13.08.2023 um 19:31:31 Uhr
Goto Top
Sorry, stimmt. 🤦‍♂️
Ich nehme alles zurück und behaupte das Gegenteil...
Dilldappe
Dilldappe 14.08.2023 um 17:45:21 Uhr
Goto Top
So, die Herren. Ich habe versucht mit allen möglichen MAC Adressen die MAC Auth hinzubekommen:

  • MAC des physischen Ports
  • MAC der Bridge

Leider vergeblich. Er authentifiziert sich zwar und steht auf aktiv. Ich bekommen dann aber keine Verbindung mehr zum Switch hin und die Verbindungen werden gekappt. Ich werde heute einen kleinen Switch mal komplett neu konfigurieren und mal schauen. Irgendwo habe ich aber auch gelesen (ich glaube bei Cisco), dass eine MAC Auth bei Trunk Ports gar nicht möglich ist. Kann das evtl. sein??

Ich habe immer das gleich Problem dass der Radius das Management Netzwerk 1 schickt, aber im Switch unter DOT1X immer ein anderen VLAN (z.B. 50) und die Mac Adresse eines Clients drinsteht. Authentifziert ist allerdings der Switch.

Grüße
Rafael
aqui
aqui 14.08.2023 aktualisiert um 20:26:25 Uhr
Goto Top
dass eine MAC Auth bei Trunk Ports gar nicht möglich ist. Kann das evtl. sein??
Normalerweise sollte das klappen. Bei einfachen Switches ist es dann meistens so das der erste Authentisierungs Request auf dem PVID VLAN (untagged) den Port komplett öffnet auch für alle anderen Macs.
Es ist in der Tat etwas tricky auf Trunks, denn du müsstest Macs ein Tagging mitgeben über ein Radius Attribut. Viele Hersteller supporten das nicht.
Ruckus ICX Switches können das z.B. indem man ein „T:<vlan_id>“ oder „U:<vlan_id>“ (T=tagged, U=untagged) im Radius Reply mitgibt. Die meisten Switches supporten das aber nicht u.a. auch Cisco, weshalb es dort dann auch nicht klappt auf Trunks.
Das aber eine erfolgreiche Port Authentisierung den gesamten (Trunk) Port freischaltet ist generell üblich.
Wichtig und essentiell ist aber das diese Mac immer vom ungetaggten PVID VLAN (default oder native VLAN) kommt! Auf getaggte Frames reagiert der 802.1x Port nicht!! Möglich das das dein o.a. Fehler ist?!
7907292512
Lösung 7907292512 14.08.2023 aktualisiert um 22:05:23 Uhr
Goto Top
Funktioniert hier im Lab mal aufgebaut einwandfrei. Meine Vermutung du hast untagged Traffic auf dem Port verboten.
Dilldappe
Dilldappe 14.08.2023 um 23:17:50 Uhr
Goto Top
Zitat von @7907292512:

Funktioniert hier im Lab mal aufgebaut einwandfrei. Meine Vermutung du hast untagged Traffic auf dem Port verboten.

So, ich habe das Ganze jetzt mal mit dem User Manager von MikroTik ausprobiert. Funktioniert ohne Probleme. Das scheint irgendwie am Radius der OPNsense zu hängen.
7907292512
7907292512 14.08.2023 aktualisiert um 23:25:30 Uhr
Goto Top
Zitat von @Dilldappe:
So, ich habe das Ganze jetzt mal mit dem User Manager von MikroTik ausprobiert. Funktioniert ohne Probleme. Das scheint irgendwie am Radius der OPNsense zu hängen.

Sollte sich ja über die Debug-Logs auf der Sense und aktivieren des Dot1x Logging Tags am Mikrotik schnell aufklären lassen, dann musst du nicht in der Gegend rum raten.
Dilldappe
Dilldappe 15.08.2023 um 13:22:26 Uhr
Goto Top
Da ich mit Eurer Hilfe festgestellt habe, dass es am OPNsense Radius liegt, stelle ich den Beitrag jetzt erstmal auf gelöst.

Grüße
Rafael
aqui
aqui 15.08.2023 aktualisiert um 13:27:00 Uhr
Goto Top
Das scheint irgendwie am Radius der OPNsense zu hängen.
Hast du die entsprechenden Hinweise beachtet auch was den tunneled Reply und die TLS Verwendung im OPNsense Setup anbetrifft?
OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Cisco Port Security
Dilldappe
Dilldappe 15.08.2023 um 13:47:11 Uhr
Goto Top
Zitat von @aqui:

Das scheint irgendwie am Radius der OPNsense zu hängen.
Hast du die entsprechenden Hinweise beachtet auch was den tunneled Reply und die TLS Verwendung im OPNsense Setup anbetrifft?
OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Cisco Port Security


Bei mir läuft Peap. Grundsätzlich funktioniert ja die Authentifizierung problemlos, sowohl mit Capsman als auch mit den Kuperports. Nur bei den Trunkports funktioniert es nicht. Er authentifiziert mit der MAC Adresse des Trunkports (Vlan1). Wenn man anschließend aktualisiert sieht man allerdings eine andere PVID und die MAC Adresse eines angeschlossenen Geräts (immer noch authentifiziert). Wenn ich das Ganze über den User Manager mache wird das Gerät authentifiziert mit der Vlan1 und alles funktioniert.
7907292512
7907292512 15.08.2023 aktualisiert um 14:02:12 Uhr
Goto Top
MAC Auth passiert hier nicht über PEAP, das geschieht über PAP/CHAP das muss also auch am Radius-Server aktiviert sein (Ist beim Usermanager per Default in der Group "Default" aktiviert).
wird das Gerät authentifiziert
Es wird hier kein Gerät authentifiziert sondern der Trunk-Port durch den anderen Mikrotik freigeschaltet und das sollte die MAC des physischen Interfaces des Mikrotik-Clients sein! Kann ich hier im Test auch einwandfrei verifizieren.
Offensichtlich ein Verständnisproblem auf deiner Seite. Siehe bitte auch den essentiellen Hinweis oben zu untagged Traffic und dem Neighbor Discovery auf dem Trunk-Port!!
aqui
aqui 15.08.2023 aktualisiert um 14:05:10 Uhr
Goto Top
Er authentifiziert mit der MAC Adresse des Trunkports
Du meinst damit den (Uplink) Client der an diesem Port angeschlossen ist, oder?
Alles andere wäre auch sinnfrei! (Siehe Anmerkung Kollege @7907292512 !)
Bedenke das der angeschlossene MT der als Client dort fungiert diese, seine Mac nur dann nutzt, wenn er selber irgendwelchen Management Traffic sendet z.B. NTP Frames oder CDP. Und das auch nur in dem native (PVID) VLAN. Liegt die Management IP in einem tagged VLAN klappt das natürlich nicht.
Einzig nur dann wird diese Mac Adresse auch genutzt wenn PVID VLAN und MT eigener Traffic! Ansonsten kommen über den Port nur Mac Adressen von anderen Clients. Nicht das du hier eine Denkfehler begehst??

Am allereinfachsten und absolut wasserdicht wäre es wenn du auf der OPNsense den Freeradius stoppst (ps ax und dann mit kill xyz den Radius Prozess stoppen) und danach mit freeradius -X (oder radiusd -X) ihn im Debug Mode startest.
Dort kannst du dann sehr genau sehen mit welcher Mac der angeschlossene Client sich meldet und wie der Freeradius darauf reagiert bzw. welche Fehler es gibt! <ctrl c> stoppt den Debug Mode.
Dilldappe
Dilldappe 15.08.2023 um 14:37:56 Uhr
Goto Top
Zitat von @aqui:

Er authentifiziert mit der MAC Adresse des Trunkports
Du meinst damit den (Uplink) Client der an diesem Port angeschlossen ist, oder?
Alles andere wäre auch sinnfrei! (Siehe Anmerkung Kollege @7907292512 !)
Bedenke das der angeschlossene MT der als Client dort fungiert diese, seine Mac nur dann nutzt, wenn er selber irgendwelchen Management Traffic sendet z.B. NTP Frames oder CDP. Und das auch nur in dem native (PVID) VLAN. Liegt die Management IP in einem tagged VLAN klappt das natürlich nicht.
Einzig nur dann wird diese Mac Adresse auch genutzt wenn PVID VLAN und MT eigener Traffic! Ansonsten kommen über den Port nur Mac Adressen von anderen Clients. Nicht das du hier eine Denkfehler begehst??

Am allereinfachsten und absolut wasserdicht wäre es wenn du auf der OPNsense den Freeradius stoppst (ps ax und dann mit kill xyz den Radius Prozess stoppen) und danach mit freeradius -X (oder radiusd -X) ihn im Debug Mode startest.
Dort kannst du dann sehr genau sehen mit welcher Mac der angeschlossene Client sich meldet und wie der Freeradius darauf reagiert bzw. welche Fehler es gibt! <ctrl c> stoppt den Debug Mode.

Das Management LAN hat bei mir keine PVID bzw. hat die PVID1. Authentifiziert werden natürlich die MAC des „kleineren“ Switchs. Auf beiden Ports der beiden Switches liegen alle VLANs getaggt drauf + die PVID1 vom Managment LAN. Wie schon gesagt im User Manager funktioniert das auch alles. Ich werde den Radius in der OPNsense mal debuggen.

Nochmal eine andere Frage: Kann ich auch ohne Routing (d.h. nur Layer2) den Mikrotik Switch als DHCP Server verwenden anstatt der OPNsense? Ich überlege gerade ob ich den User Manager nutze und die IPS dann auch vom Mikrotik vergeben lasse. Die VLans würden aber von der OPNsense verwaltet werden.
7907292512
7907292512 15.08.2023 um 14:48:24 Uhr
Goto Top
den Mikrotik Switch als DHCP Server verwenden anstatt der OPNsense?
Klar der braucht nur ein Interface im jeweiligen VLAN.
aqui
aqui 16.08.2023 um 11:59:59 Uhr
Goto Top
Das Management LAN hat bei mir keine PVID bzw. hat die PVID1.
Widerspruch im gleichen Satz. face-sad Immer fatal bei einer technischen Beschreibung und man hier nicht präzise ist damit andere folgen können... face-sad
Ich werde den Radius mal debuggen
Der richtige Weg! 👍🏻
der braucht nur ein Interface im jeweiligen VLAN.
Dann ist aber Vorsicht geboten, denn OHNE ein entsprechendes Regelwerk in der Firewall routet der Mikrotik dann auch sofort wenn er mehr als 1 IP Interface hat. Vorsicht also das du dir hier kein böses Sicherheitsproblem schaffst was dir durch die Hintertür deine Firewall aushebelt!!