packelend
Goto Top

Dynamische VLAN Zuweisung für WLAN nur anhand PPSK

Hallo Admins,
aufgrund einer Diskussion mit @149569 in Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik und dem Hinweis auf Private-Passphrase in der access-list habe ich das Internet hoch und runter gesucht.
Ich finde aber leider nichts, was darauf hinweist, dass es mir erlaubt bei einer einzigen SSID einen WLAN-Benutzer allein anhand seines Private-Passphrase (PPSK) einem VLAN zuzuweisen.
Laut DPSK Dynamic WPA2 PSK support - MikroTik und [Proof of Concept Private PSK / Personal PSK (PPSK) with dynamic VLAN via RADIUS MAC-auth | Ubiquiti Community werden dem RADIUS aber keine Informationen diesbzgl. weitergeben beim Access-Request und Accounting-Request.

  1. Hat sich in den letzten Jahren da etwas getan /verbessert?
  2. Lässt sich da irgendwie per Skript nachhelfen, so das eine dynamische VLAN Zuweisung ermöglicht wird, bei deren man die MAC Adressen der Geräte nicht im voraus kennt?

Content-Key: 1682948740

Url: https://administrator.de/contentid/1682948740

Printed on: September 30, 2023 at 22:09 o'clock

Member: Visucius
Visucius Jan 03, 2022 at 09:12:38 (UTC)
Goto Top
Ich finde aber leider nichts, was darauf hinweist, dass es mir erlaubt bei einer einzigen SSID einen WLAN-Benutzer allein anhand seines Private-Passphrase (PPSK) einem VLAN zuzuweisen.

Das wird aber doch auch nciht behaupetet?! Stell Dir das eher wie einen AD vor. Der MA hat Zugangscredentials, die automatisch bestimmen, was er darf, was er nichdt darf und in welchem vLAN er damit landet. Und die Credentials darf er halt auf allen seinen Geräten eingeben.
Member: aqui
aqui Jan 03, 2022 at 09:20:44 (UTC)
Goto Top
Du meinst so einfach mit WPA2-PSK ohne Radius ?
Das funktioniert nicht zumindestens nicht bei Mikrotik. Wie auch, denn diedynamische, User bezogene VLAN Information kommt ja immer vom Radius Server. Folglich muss also ein Radius Verfahren im Hintergrund liegen. (WPA-Enterprise).

Es gibt Hersteller die das können wie z.B. Ruckus mit seinen Dynamic Preshared Keys (DPSK)
https://docs.commscope.com/bundle/zd-10.2-userguide/page/GUID-A218D05D-4 ...
Dort kannst du problemlos einzelnen Usern oder auch einer Gruppe von Usern ganz ohne jeglichen Radius Server einfache PSKs zuteilen die dann jedem Nutzer ein Ablaufdatum, Nutzungszeit und natürlich auch eine VLAN Information mitgeben.
Mikrotik supportet sowas aber (noch) nicht.
Member: PackElend
PackElend Jan 03, 2022 at 14:21:30 (UTC)
Goto Top
Zitat von @aqui:
> Du meinst so einfach mit WPA2-PSK ohne Radius ?
Das funktioniert nicht zumindestens nicht bei Mikrotik. Wie auch, denn diedynamische, User bezogene VLAN Information kommt ja immer vom Radius Server. Folglich muss also ein Radius Verfahren im Hintergrund liegen. (WPA-Enterprise).
die Variante ist mir schlussendlich egal.
Entweder mit RADIUS aber bisher habe keine Weg gefunden, dass der RADIUS-Access-Request um dem ein RADIUS-Attribute (der PPSK) hinzufügen

Gerne würde ich auch nur folgende Regeln (evtl. sogar ohne mac-address=00:00:00:00:00:00) verwenden:
/caps-man access-list
add action=accept mac-address=00:00:00:00:00:00 private-passphrase= PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=00:00:00:00:00:00 private-passphrase= PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=00:00:00:00:00:00 private-passphrase= PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag comment=User2
(Ich bin noch im Urlaub und weit weg von zu Hause, so kann ich es nicht meinem System testen)


in https://forum.mikrotik.com/viewtopic.php?p=902328#p764483 ist ein Skript referenziert, welches es zumindest für HOTSPOT ermöglicht aber Geräte wie der olle Chromecast können mit Captive Portal nicht umgehen.
Member: aqui
aqui Jan 03, 2022 at 14:40:53 (UTC)
Goto Top
aber bisher habe keine Weg gefunden, dass der RADIUS-Access-Request
Vermutlich machst du hier einen fatalen Denkfehler was die Authentisierung anbetrifft. Wenn du WPA2-Enterprise benutzt gibt es keine PSKs mehr. Die Authentisierung kommt rein vom Radius mit PSKs im eigentlichen Sinne wie bei einer klassischen WPA2 Authentisierung hat das nichts mehr zu tun. Der Radius liefert dann auch die VLAN Information zum User sofern man das möchte.
PSK und Enterprise sind ja 2 völlig unterschiedliche Verfahren und vollkommen getrennt zu sehen.
Gerne würde ich auch nur folgende Regeln....
Das ist eine Schrottschuss Regel die alle Macs erlaubt. Wenn du den FreeRadius einmal im Debugging Mode laufen lässt (mit -X) dann kannst du sehen das bei 802.1x (User/Pass) er immer auch vorher eine Mac Authentisierung macht. Es ist also immer eine Kombination aus beidem Mac und User/Pass wenn man rein .1x macht und nicht MBP (Mac Bypass) only !
Das mac-address=00:00:00:00:00:00 bedeutet nur das er alle Macs passieren lässt und nur die .1x Credentials validiert.
so kann ich es nicht meinem System testen
Tip: Einen 20 Euro hAP Lite beschaffen, damit kann man egal wo IMMER testen. ­čśë
aber Geräte wie der olle Chromecast können mit Captive Portal nicht umgehen.
Alle diese Geräte die keinen aktiven .1x Client haben musst du dann immer über die Mac Adresse authentisieren wenn du mit dynamischen VLANs arbeitest.
Member: PackElend
PackElend Jan 03, 2022 at 15:37:31 (UTC)
Goto Top
Ich habe gerade nur ein Telefon greifbar, daher ist der folgende Text eher schlicht.
Unterschied zwischen nicht-EAP und EAP ist mir groben klar, es ist im Prinzip auf AP passierende Authentifizierung vs. auf Server passierende Authentifizierung.

Was ich meinte ist WPA2 EAP-PSK, meine damit https://security.stackexchange.com/questions/68351/what-are-the-differen ....
Ich hoffe zumindest das dies zumindest vonso doofen Geräten wie chromecast unterstützt wird auch wenn sie EAP offiziell nicht unterstützten.
Muss mich entschuldigen für die durch meine Ungenauigkeit entstandene Chaos.


Mit 00.00.00.... ist freier Eintritt, wenn der PSK bekannt ist ist so gewollt, möchte nur eine automatische VLAN Zuweisung erreichen, abhängig von der verwendeten passphrase.
Eine Beschränkung auf MAC und/oder Zertifikat ist unwichtig (zumindest momentan).


Mein Anwendungsfall ist wie folgt



First of all I would offer a second (Guest) WiFi, WPA2-EAP-PSK would be preferred, to allow very non-smart devices (not EAP nor Captive Protal capable) to go online.

Now, if such a device would be a smart device such as TV-Box of a user, who is located in its own VLAN but needs access to it. Currently I would have to migrate it manually from the Guest (untrusted devices) VLAN to its VLAN by modifying the Client-List in the RADIUS Server or adding this device to access-list each time this happens.

I would like to get rid of this manual workflow. Either by allowing self-enrollment of such devices in FreeRADIUS or adding it to access-list by the user itself through a super simple UI.
Member: PackElend
PackElend Jan 03, 2022 at 15:43:55 (UTC)
Goto Top
Access List....
War allein ohne RADIUS, nur auf dem AP
Member: PackElend
PackElend Jan 03, 2022 updated at 20:38:20 (UTC)
Goto Top
so wieder nen PC vor der Nase
Zitat von @aqui:
Zitat von @PackElend
so kann ich es nicht meinem System testen
Tip: Einen 20 Euro hAP Lite beschaffen, damit kann man egal wo IMMER testen. ­čśë
habe so gar noch nen hEX S und cAP ac über aber bei zuhause liegen lassen.

wenn rein auf MT-Seite folgendes über CAPsMAN machbar wäre, würde schon reichen.
/caps-man access-list
add action=accept private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept private-passphrase=PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag omment=User2
Es wurde aber berichtet dass es in <v6.49 geht es nicht. evtl geht es in v7.x?
Member: aqui
aqui Jan 03, 2022 at 21:33:41 (UTC)
Goto Top
Versuch macht klug... 7.1.1 Stable ist ja released. face-wink
Member: Randy-MC
Randy-MC Jan 04, 2022 at 14:07:40 (UTC)
Goto Top
Also ich hab es auch mit Radius-Server am Laufen...
Kann aber sagen, daß ein Kumpel es so eingerichtet hat,
CAPSMAN > WPA2 personal > und dann über AccessList eine jeweilige PSK+VLAN für einzelne Clients.
Läuft stabil und seit v6.x, also v7.x braucht man nicht unbedingt dazu.
Member: aqui
aqui Jan 04, 2022 at 17:17:19 (UTC)
Goto Top
Wenn der Kumpel mal ein export hide-sensitive seiner Konfig macht würde das sicher dem Kollegen @PackElend massiv helfen... face-wink
Member: PackElend
PackElend Jan 08, 2022 at 20:08:44 (UTC)
Goto Top
Zitat von @aqui:

Wenn der Kumpel mal ein export hide-sensitive seiner Konfig macht würde das sicher dem Kollegen @PackElend massiv helfen... face-wink

danke brauche ich aber nicht mehr, es geht leider nicht so.
Es ist gibt nochmal einen anderen Wiki-Eintrag der das sauber trennt: https://wiki.mikrotik.com/wiki/Manual:CAPsMAN#Access_List
--> private-passphrase ist kein client matching parameter

Eine andere Lösung baut gerade https://forum.mikrotik.com/memberlist.php?mode=viewprofile&u=75040 mit einem Skript, er hatte es mir gestern gezeigt.
Anhand des Hotspot-Konto (Anmeldung) wird das Gerät, welches sich gerade am HS anmeldet in das zum Konto hinterlegten VLAN hinzugefügt. Die Zuordnung geht dann über die Access-List. Ist super charmant, dann bleiben nur noch so Kandidaten wie Chromecast zu lösen.
Member: Randy-MC
Randy-MC Jan 08, 2022 at 21:35:47 (UTC)
Goto Top
Ich hatte auch nicht gesagt, daß die private-passphrase ein Paramenter ist.
Ich habs bei meinem Kumpel gesehen, da geht das Ganze.
Die Authentifizierung kommt dann per MAC.
Und die kann eigentlich jeder auslesen und dir vorher nennen.
Member: PackElend
PackElend Jan 08, 2022 at 23:00:52 (UTC)
Goto Top
Zitat von @Randy-MC:
Und die kann eigentlich jeder auslesen
jeder halte ich für gewagt ;)

Zitat von @Randy-MC:
und dir vorher nennen.
das ziel ist es, solche Aktionen überflüssig zu machen.
Member: Randy-MC
Randy-MC Jan 08, 2022 updated at 23:04:57 (UTC)
Goto Top
Zitat von @PackElend:

Zitat von @Randy-MC:
Und die kann eigentlich jeder auslesen
jeder halte ich für gewagt ;)

Ich meinte damit, daß diese dir mitgeteilt werden kann und du die Eintragung im Tik machen kannst.