19
Dynamische VLAN LAN Zuweisung Radius Trunk Port Mikrotik
Hallo zusammen,
ich bin neu hier und habe gleich mal die 1. Frage. Bevor ich aber Frage..... Erstmal vielen Dank für die wirklich guten Anleitungen von z.B. @aqui / @colinardo und natürlich den vielen Anderen.
Ich habe die Dynamische VLAN Zuweisung gem. der Anleitung von aqui umgesetzt:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das funktioniert alles super. Mein Radius sitzt in einer OPNsense und "schubst" die WLAN und LAN Geräte in die richtigen VLANs. Bei meinen MikroTik Switches ist als Radius Server die OPNsense eingetragen.
Ich habe allerdings das Problem bei den getaggten Trunk Ports. Ich habe z.B. einen kleineren Mikrotik Switch an meinem Haupt Switch hängen. Der Uplink ist natürlich mit den ganzen VLANS getaggt. Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.
Im Radius habe ich VLAN Zuweisung für den kleineren Switch das Management VLAN (=1) eingetragen. In der Dot1X Übersicht des Haupt Switches stehen dann aber nach der Aktivierung oft komplett unterschiedliche MAC Adressen mit unterschiedlichen VLAN von den angeschlossenen Geräten.
Anliegend mal die Bilder der beiden Bridges. Evtl. könnt ihr mir ja helfen.
Grüße
Rafael
ich bin neu hier und habe gleich mal die 1. Frage. Bevor ich aber Frage..... Erstmal vielen Dank für die wirklich guten Anleitungen von z.B. @aqui / @colinardo und natürlich den vielen Anderen.
Ich habe die Dynamische VLAN Zuweisung gem. der Anleitung von aqui umgesetzt:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Das funktioniert alles super. Mein Radius sitzt in einer OPNsense und "schubst" die WLAN und LAN Geräte in die richtigen VLANs. Bei meinen MikroTik Switches ist als Radius Server die OPNsense eingetragen.
Ich habe allerdings das Problem bei den getaggten Trunk Ports. Ich habe z.B. einen kleineren Mikrotik Switch an meinem Haupt Switch hängen. Der Uplink ist natürlich mit den ganzen VLANS getaggt. Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.
Im Radius habe ich VLAN Zuweisung für den kleineren Switch das Management VLAN (=1) eingetragen. In der Dot1X Übersicht des Haupt Switches stehen dann aber nach der Aktivierung oft komplett unterschiedliche MAC Adressen mit unterschiedlichen VLAN von den angeschlossenen Geräten.
Anliegend mal die Bilder der beiden Bridges. Evtl. könnt ihr mir ja helfen.
Grüße
Rafael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8128020826
Url: https://administrator.de/contentid/8128020826
Printed on: May 9, 2024 at 14:05 o'clock
19 Comments
Latest comment
Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.
Was ja auch völlig klar und erwartbar ist, denn wenn du Port Authentisierung auf dem Port aktivierst wird sofort sämtlicher Traffic geblockt solange der eben nicht via Radius authorisiert wird. Works as designed...! 😉Im Radius habe ich...
Was meinst du damit genau? Der kleine Switch agiert an dem Port als Dot1x Client (Supplicant) und soll sich am Hauptswitch Port (Authenticator) an dem er angeschlossen ist authentisieren?Wenn ja, gilt dann dort die Mac Adresse des VLAN 1 IP Ports. Wir hatten diese Thematik hier erst kürzlich...
Mikrotik 802.1x Infos
Der Thread ist lesenswert zu der Thematik und damit du dir keinen Wolf suchst...
Zitat von @aqui:
Wenn ich bei meinem Hauptswitch DOT1X (mit MAC Auth) aktiviere funktioniert die Netzwerkverbindung zum kleineren Switch nicht mehr.
Was ja auch völlig klar und erwartbar ist, denn wenn du Port Authentisierung auf dem Port aktivierst wird sofort sämtlicher Traffic geblockt solange der eben nicht via Radius authorisiert wird. Works as designed...! 😉Die MAC der Bridge ist natürlich im Radius (Vlan 1) drin. Der Switch authentifiziert sich auch. In der Übersicht ist dann aber irgendeine PVID mit irgendeiner MAC von einem angeschlossenen Gerät zu sehen (z.B. PVID 50 MAC = xxxx)
Im Radius habe ich...
Was meinst du damit genau? Der kleine Switch agiert an dem Port als Dot1x Client (Supplicant) und soll sich am Hauptswitch Port (Authenticator) an dem er angeschlossen ist authentisieren?Wenn ja, gilt dann dort die Mac Adresse des VLAN 1 IP Ports. Wir hatten diese Thematik hier erst kürzlich...
Mikrotik 802.1x Infos
Der Thread ist lesenswert zu der Thematik und damit du dir keinen Wolf suchst...
Ja genau der kleine Switch soll sich beim großen Authentifzieren. Das gleiche Problem habe ich z.B. auch dem Access Points, die werden bei mir auch getaggt.
Aktiviere das Neighbor-Discovery auf dem physikalischen Interface am Client-Mikrotik. Dieser schickt dann regelmäßig Pakete auf dem Interface raus welche ja für eine MAC-Auth zwingend nötig sind damit sich der Port Authentifiziert.
Am Radius dann die MAC des physikalische Ports hinterlegen nicht das der Bridge.
Gruß siddius
Am Radius dann die MAC des physikalische Ports hinterlegen nicht das der Bridge.
Gruß siddius
1der kleine Switch soll sich beim großen Authentifzieren.
Nur noch einmal zur Sicherheit nachgefragt? Die Ausführungen von @colinardo zum Mikrotik .1x Client im oben zitierten Thread hast du wirklich gelesen??Zitat von @aqui:
der kleine Switch soll sich beim großen Authentifzieren.
Nur noch einmal zur Sicherheit nachgefragt? Die Ausführungen von @colinardo zum Mikrotik .1x Client im oben zitierten Thread hast du wirklich gelesen??Er macht doch reine MAC-Auth des Client-Mikrotiks kein 802.1x am Port und MAC-Auth funktioniert doch ?!
Zitat des TO:
Sorry, stimmt. 🤦♂️
Ich nehme alles zurück und behaupte das Gegenteil...
Ich nehme alles zurück und behaupte das Gegenteil...
So, die Herren. Ich habe versucht mit allen möglichen MAC Adressen die MAC Auth hinzubekommen:
Leider vergeblich. Er authentifiziert sich zwar und steht auf aktiv. Ich bekommen dann aber keine Verbindung mehr zum Switch hin und die Verbindungen werden gekappt. Ich werde heute einen kleinen Switch mal komplett neu konfigurieren und mal schauen. Irgendwo habe ich aber auch gelesen (ich glaube bei Cisco), dass eine MAC Auth bei Trunk Ports gar nicht möglich ist. Kann das evtl. sein??
Ich habe immer das gleich Problem dass der Radius das Management Netzwerk 1 schickt, aber im Switch unter DOT1X immer ein anderen VLAN (z.B. 50) und die Mac Adresse eines Clients drinsteht. Authentifziert ist allerdings der Switch.
Grüße
Rafael
- MAC des physischen Ports
- MAC der Bridge
Leider vergeblich. Er authentifiziert sich zwar und steht auf aktiv. Ich bekommen dann aber keine Verbindung mehr zum Switch hin und die Verbindungen werden gekappt. Ich werde heute einen kleinen Switch mal komplett neu konfigurieren und mal schauen. Irgendwo habe ich aber auch gelesen (ich glaube bei Cisco), dass eine MAC Auth bei Trunk Ports gar nicht möglich ist. Kann das evtl. sein??
Ich habe immer das gleich Problem dass der Radius das Management Netzwerk 1 schickt, aber im Switch unter DOT1X immer ein anderen VLAN (z.B. 50) und die Mac Adresse eines Clients drinsteht. Authentifziert ist allerdings der Switch.
Grüße
Rafael
dass eine MAC Auth bei Trunk Ports gar nicht möglich ist. Kann das evtl. sein??
Normalerweise sollte das klappen. Bei einfachen Switches ist es dann meistens so das der erste Authentisierungs Request auf dem PVID VLAN (untagged) den Port komplett öffnet auch für alle anderen Macs.Es ist in der Tat etwas tricky auf Trunks, denn du müsstest Macs ein Tagging mitgeben über ein Radius Attribut. Viele Hersteller supporten das nicht.
Ruckus ICX Switches können das z.B. indem man ein „T:<vlan_id>“ oder „U:<vlan_id>“ (T=tagged, U=untagged) im Radius Reply mitgibt. Die meisten Switches supporten das aber nicht u.a. auch Cisco, weshalb es dort dann auch nicht klappt auf Trunks.
Das aber eine erfolgreiche Port Authentisierung den gesamten (Trunk) Port freischaltet ist generell üblich.
Wichtig und essentiell ist aber das diese Mac immer vom ungetaggten PVID VLAN (default oder native VLAN) kommt! Auf getaggte Frames reagiert der 802.1x Port nicht!! Möglich das das dein o.a. Fehler ist?!
Funktioniert hier im Lab mal aufgebaut einwandfrei. Meine Vermutung du hast untagged Traffic auf dem Port verboten.
1Zitat von @7907292512:
Funktioniert hier im Lab mal aufgebaut einwandfrei. Meine Vermutung du hast untagged Traffic auf dem Port verboten.
Funktioniert hier im Lab mal aufgebaut einwandfrei. Meine Vermutung du hast untagged Traffic auf dem Port verboten.
So, ich habe das Ganze jetzt mal mit dem User Manager von MikroTik ausprobiert. Funktioniert ohne Probleme. Das scheint irgendwie am Radius der OPNsense zu hängen.
Zitat von @Dilldappe:
So, ich habe das Ganze jetzt mal mit dem User Manager von MikroTik ausprobiert. Funktioniert ohne Probleme. Das scheint irgendwie am Radius der OPNsense zu hängen.
So, ich habe das Ganze jetzt mal mit dem User Manager von MikroTik ausprobiert. Funktioniert ohne Probleme. Das scheint irgendwie am Radius der OPNsense zu hängen.
Sollte sich ja über die Debug-Logs auf der Sense und aktivieren des Dot1x Logging Tags am Mikrotik schnell aufklären lassen, dann musst du nicht in der Gegend rum raten.
1
Da ich mit Eurer Hilfe festgestellt habe, dass es am OPNsense Radius liegt, stelle ich den Beitrag jetzt erstmal auf gelöst.
Grüße
Rafael
Grüße
Rafael
1Das scheint irgendwie am Radius der OPNsense zu hängen.
Hast du die entsprechenden Hinweise beachtet auch was den tunneled Reply und die TLS Verwendung im OPNsense Setup anbetrifft?OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Cisco Port Security
Zitat von @aqui:
OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Cisco Port Security
Das scheint irgendwie am Radius der OPNsense zu hängen.
Hast du die entsprechenden Hinweise beachtet auch was den tunneled Reply und die TLS Verwendung im OPNsense Setup anbetrifft?OPNSense FreeRadius Server-MAC Authentication-dynamische VLAN Zuweisung
Cisco Port Security
Bei mir läuft Peap. Grundsätzlich funktioniert ja die Authentifizierung problemlos, sowohl mit Capsman als auch mit den Kuperports. Nur bei den Trunkports funktioniert es nicht. Er authentifiziert mit der MAC Adresse des Trunkports (Vlan1). Wenn man anschließend aktualisiert sieht man allerdings eine andere PVID und die MAC Adresse eines angeschlossenen Geräts (immer noch authentifiziert). Wenn ich das Ganze über den User Manager mache wird das Gerät authentifiziert mit der Vlan1 und alles funktioniert.
MAC Auth passiert hier nicht über PEAP, das geschieht über PAP/CHAP das muss also auch am Radius-Server aktiviert sein (Ist beim Usermanager per Default in der Group "Default" aktiviert).
Offensichtlich ein Verständnisproblem auf deiner Seite. Siehe bitte auch den essentiellen Hinweis oben zu untagged Traffic und dem Neighbor Discovery auf dem Trunk-Port!!
wird das Gerät authentifiziert
Es wird hier kein Gerät authentifiziert sondern der Trunk-Port durch den anderen Mikrotik freigeschaltet und das sollte die MAC des physischen Interfaces des Mikrotik-Clients sein! Kann ich hier im Test auch einwandfrei verifizieren.Offensichtlich ein Verständnisproblem auf deiner Seite. Siehe bitte auch den essentiellen Hinweis oben zu untagged Traffic und dem Neighbor Discovery auf dem Trunk-Port!!
Er authentifiziert mit der MAC Adresse des Trunkports
Du meinst damit den (Uplink) Client der an diesem Port angeschlossen ist, oder?Alles andere wäre auch sinnfrei! (Siehe Anmerkung Kollege @7907292512 !)
Bedenke das der angeschlossene MT der als Client dort fungiert diese, seine Mac nur dann nutzt, wenn er selber irgendwelchen Management Traffic sendet z.B. NTP Frames oder CDP. Und das auch nur in dem native (PVID) VLAN. Liegt die Management IP in einem tagged VLAN klappt das natürlich nicht.
Einzig nur dann wird diese Mac Adresse auch genutzt wenn PVID VLAN und MT eigener Traffic! Ansonsten kommen über den Port nur Mac Adressen von anderen Clients. Nicht das du hier eine Denkfehler begehst??
Am allereinfachsten und absolut wasserdicht wäre es wenn du auf der OPNsense den Freeradius stoppst (ps ax und dann mit kill xyz den Radius Prozess stoppen) und danach mit freeradius -X (oder radiusd -X) ihn im Debug Mode startest.
Dort kannst du dann sehr genau sehen mit welcher Mac der angeschlossene Client sich meldet und wie der Freeradius darauf reagiert bzw. welche Fehler es gibt! <ctrl c> stoppt den Debug Mode.
Zitat von @aqui:
Alles andere wäre auch sinnfrei! (Siehe Anmerkung Kollege @7907292512 !)
Bedenke das der angeschlossene MT der als Client dort fungiert diese, seine Mac nur dann nutzt, wenn er selber irgendwelchen Management Traffic sendet z.B. NTP Frames oder CDP. Und das auch nur in dem native (PVID) VLAN. Liegt die Management IP in einem tagged VLAN klappt das natürlich nicht.
Einzig nur dann wird diese Mac Adresse auch genutzt wenn PVID VLAN und MT eigener Traffic! Ansonsten kommen über den Port nur Mac Adressen von anderen Clients. Nicht das du hier eine Denkfehler begehst??
Am allereinfachsten und absolut wasserdicht wäre es wenn du auf der OPNsense den Freeradius stoppst (ps ax und dann mit kill xyz den Radius Prozess stoppen) und danach mit freeradius -X (oder radiusd -X) ihn im Debug Mode startest.
Dort kannst du dann sehr genau sehen mit welcher Mac der angeschlossene Client sich meldet und wie der Freeradius darauf reagiert bzw. welche Fehler es gibt! <ctrl c> stoppt den Debug Mode.
Er authentifiziert mit der MAC Adresse des Trunkports
Du meinst damit den (Uplink) Client der an diesem Port angeschlossen ist, oder?Alles andere wäre auch sinnfrei! (Siehe Anmerkung Kollege @7907292512 !)
Bedenke das der angeschlossene MT der als Client dort fungiert diese, seine Mac nur dann nutzt, wenn er selber irgendwelchen Management Traffic sendet z.B. NTP Frames oder CDP. Und das auch nur in dem native (PVID) VLAN. Liegt die Management IP in einem tagged VLAN klappt das natürlich nicht.
Einzig nur dann wird diese Mac Adresse auch genutzt wenn PVID VLAN und MT eigener Traffic! Ansonsten kommen über den Port nur Mac Adressen von anderen Clients. Nicht das du hier eine Denkfehler begehst??
Am allereinfachsten und absolut wasserdicht wäre es wenn du auf der OPNsense den Freeradius stoppst (ps ax und dann mit kill xyz den Radius Prozess stoppen) und danach mit freeradius -X (oder radiusd -X) ihn im Debug Mode startest.
Dort kannst du dann sehr genau sehen mit welcher Mac der angeschlossene Client sich meldet und wie der Freeradius darauf reagiert bzw. welche Fehler es gibt! <ctrl c> stoppt den Debug Mode.
Das Management LAN hat bei mir keine PVID bzw. hat die PVID1. Authentifiziert werden natürlich die MAC des „kleineren“ Switchs. Auf beiden Ports der beiden Switches liegen alle VLANs getaggt drauf + die PVID1 vom Managment LAN. Wie schon gesagt im User Manager funktioniert das auch alles. Ich werde den Radius in der OPNsense mal debuggen.
Nochmal eine andere Frage: Kann ich auch ohne Routing (d.h. nur Layer2) den Mikrotik Switch als DHCP Server verwenden anstatt der OPNsense? Ich überlege gerade ob ich den User Manager nutze und die IPS dann auch vom Mikrotik vergeben lasse. Die VLans würden aber von der OPNsense verwaltet werden.
den Mikrotik Switch als DHCP Server verwenden anstatt der OPNsense?
Klar der braucht nur ein Interface im jeweiligen VLAN.2Das Management LAN hat bei mir keine PVID bzw. hat die PVID1.
Widerspruch im gleichen Satz. 
Immer fatal bei einer technischen Beschreibung und man hier nicht präzise ist damit andere folgen können... Ich werde den Radius mal debuggen
Der richtige Weg! 👍🏻der braucht nur ein Interface im jeweiligen VLAN.
Dann ist aber Vorsicht geboten, denn OHNE ein entsprechendes Regelwerk in der Firewall routet der Mikrotik dann auch sofort wenn er mehr als 1 IP Interface hat. Vorsicht also das du dir hier kein böses Sicherheitsproblem schaffst was dir durch die Hintertür deine Firewall aushebelt!!