14
Dynamische VLAN Zuweisung für WLAN nur anhand PPSK
Hallo Admins,
aufgrund einer Diskussion mit @149569 in Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik und dem Hinweis auf Private-Passphrase in der access-list habe ich das Internet hoch und runter gesucht.
Ich finde aber leider nichts, was darauf hinweist, dass es mir erlaubt bei einer einzigen SSID einen WLAN-Benutzer allein anhand seines Private-Passphrase (PPSK) einem VLAN zuzuweisen.
Laut DPSK Dynamic WPA2 PSK support - MikroTik und [Proof of Concept Private PSK / Personal PSK (PPSK) with dynamic VLAN via RADIUS MAC-auth | Ubiquiti Community werden dem RADIUS aber keine Informationen diesbzgl. weitergeben beim Access-Request und Accounting-Request.
aufgrund einer Diskussion mit @149569 in Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik und dem Hinweis auf Private-Passphrase in der access-list habe ich das Internet hoch und runter gesucht.
Ich finde aber leider nichts, was darauf hinweist, dass es mir erlaubt bei einer einzigen SSID einen WLAN-Benutzer allein anhand seines Private-Passphrase (PPSK) einem VLAN zuzuweisen.
Laut DPSK Dynamic WPA2 PSK support - MikroTik und [Proof of Concept Private PSK / Personal PSK (PPSK) with dynamic VLAN via RADIUS MAC-auth | Ubiquiti Community werden dem RADIUS aber keine Informationen diesbzgl. weitergeben beim Access-Request und Accounting-Request.
- Hat sich in den letzten Jahren da etwas getan /verbessert?
- Lässt sich da irgendwie per Skript nachhelfen, so das eine dynamische VLAN Zuweisung ermöglicht wird, bei deren man die MAC Adressen der Geräte nicht im voraus kennt?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1682948740
Url: https://administrator.de/contentid/1682948740
Printed on: April 25, 2024 at 16:04 o'clock
14 Comments
Latest comment
Ich finde aber leider nichts, was darauf hinweist, dass es mir erlaubt bei einer einzigen SSID einen WLAN-Benutzer allein anhand seines Private-Passphrase (PPSK) einem VLAN zuzuweisen.
Das wird aber doch auch nciht behaupetet?! Stell Dir das eher wie einen AD vor. Der MA hat Zugangscredentials, die automatisch bestimmen, was er darf, was er nichdt darf und in welchem vLAN er damit landet. Und die Credentials darf er halt auf allen seinen Geräten eingeben.
Du meinst so einfach mit WPA2-PSK ohne Radius ?
Das funktioniert nicht zumindestens nicht bei Mikrotik. Wie auch, denn diedynamische, User bezogene VLAN Information kommt ja immer vom Radius Server. Folglich muss also ein Radius Verfahren im Hintergrund liegen. (WPA-Enterprise).
Es gibt Hersteller die das können wie z.B. Ruckus mit seinen Dynamic Preshared Keys (DPSK)
https://docs.commscope.com/bundle/zd-10.2-userguide/page/GUID-A218D05D-4 ...
Dort kannst du problemlos einzelnen Usern oder auch einer Gruppe von Usern ganz ohne jeglichen Radius Server einfache PSKs zuteilen die dann jedem Nutzer ein Ablaufdatum, Nutzungszeit und natürlich auch eine VLAN Information mitgeben.
Mikrotik supportet sowas aber (noch) nicht.
Das funktioniert nicht zumindestens nicht bei Mikrotik. Wie auch, denn diedynamische, User bezogene VLAN Information kommt ja immer vom Radius Server. Folglich muss also ein Radius Verfahren im Hintergrund liegen. (WPA-Enterprise).
Es gibt Hersteller die das können wie z.B. Ruckus mit seinen Dynamic Preshared Keys (DPSK)
https://docs.commscope.com/bundle/zd-10.2-userguide/page/GUID-A218D05D-4 ...
Dort kannst du problemlos einzelnen Usern oder auch einer Gruppe von Usern ganz ohne jeglichen Radius Server einfache PSKs zuteilen die dann jedem Nutzer ein Ablaufdatum, Nutzungszeit und natürlich auch eine VLAN Information mitgeben.
Mikrotik supportet sowas aber (noch) nicht.
Zitat von @aqui:
> Du meinst so einfach mit WPA2-PSK ohne Radius ?
Das funktioniert nicht zumindestens nicht bei Mikrotik. Wie auch, denn diedynamische, User bezogene VLAN Information kommt ja immer vom Radius Server. Folglich muss also ein Radius Verfahren im Hintergrund liegen. (WPA-Enterprise).
die Variante ist mir schlussendlich egal.> Du meinst so einfach mit WPA2-PSK ohne Radius ?
Das funktioniert nicht zumindestens nicht bei Mikrotik. Wie auch, denn diedynamische, User bezogene VLAN Information kommt ja immer vom Radius Server. Folglich muss also ein Radius Verfahren im Hintergrund liegen. (WPA-Enterprise).
Entweder mit RADIUS aber bisher habe keine Weg gefunden, dass der RADIUS-Access-Request um dem ein RADIUS-Attribute (der PPSK) hinzufügen
Gerne würde ich auch nur folgende Regeln (evtl. sogar ohne mac-address=00:00:00:00:00:00) verwenden:
/caps-man access-list
add action=accept mac-address=00:00:00:00:00:00 private-passphrase= PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=00:00:00:00:00:00 private-passphrase= PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept mac-address=00:00:00:00:00:00 private-passphrase= PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag comment=User2in https://forum.mikrotik.com/viewtopic.php?p=902328#p764483 ist ein Skript referenziert, welches es zumindest für HOTSPOT ermöglicht aber Geräte wie der olle Chromecast können mit Captive Portal nicht umgehen.
aber bisher habe keine Weg gefunden, dass der RADIUS-Access-Request
Vermutlich machst du hier einen fatalen Denkfehler was die Authentisierung anbetrifft. Wenn du WPA2-Enterprise benutzt gibt es keine PSKs mehr. Die Authentisierung kommt rein vom Radius mit PSKs im eigentlichen Sinne wie bei einer klassischen WPA2 Authentisierung hat das nichts mehr zu tun. Der Radius liefert dann auch die VLAN Information zum User sofern man das möchte.PSK und Enterprise sind ja 2 völlig unterschiedliche Verfahren und vollkommen getrennt zu sehen.
Gerne würde ich auch nur folgende Regeln....
Das ist eine Schrottschuss Regel die alle Macs erlaubt. Wenn du den FreeRadius einmal im Debugging Mode laufen lässt (mit -X) dann kannst du sehen das bei 802.1x (User/Pass) er immer auch vorher eine Mac Authentisierung macht. Es ist also immer eine Kombination aus beidem Mac und User/Pass wenn man rein .1x macht und nicht MBP (Mac Bypass) only !Das mac-address=00:00:00:00:00:00 bedeutet nur das er alle Macs passieren lässt und nur die .1x Credentials validiert.
so kann ich es nicht meinem System testen
Tip: Einen 20 Euro hAP Lite beschaffen, damit kann man egal wo IMMER testen. 😉aber Geräte wie der olle Chromecast können mit Captive Portal nicht umgehen.
Alle diese Geräte die keinen aktiven .1x Client haben musst du dann immer über die Mac Adresse authentisieren wenn du mit dynamischen VLANs arbeitest.
Ich habe gerade nur ein Telefon greifbar, daher ist der folgende Text eher schlicht.
Unterschied zwischen nicht-EAP und EAP ist mir groben klar, es ist im Prinzip auf AP passierende Authentifizierung vs. auf Server passierende Authentifizierung.
Was ich meinte ist WPA2 EAP-PSK, meine damit https://security.stackexchange.com/questions/68351/what-are-the-differen ....
Ich hoffe zumindest das dies zumindest vonso doofen Geräten wie chromecast unterstützt wird auch wenn sie EAP offiziell nicht unterstützten.
Muss mich entschuldigen für die durch meine Ungenauigkeit entstandene Chaos.
Mit 00.00.00.... ist freier Eintritt, wenn der PSK bekannt ist ist so gewollt, möchte nur eine automatische VLAN Zuweisung erreichen, abhängig von der verwendeten passphrase.
Eine Beschränkung auf MAC und/oder Zertifikat ist unwichtig (zumindest momentan).
First of all I would offer a second (Guest) WiFi, WPA2-EAP-PSK would be preferred, to allow very non-smart devices (not EAP nor Captive Protal capable) to go online.
Now, if such a device would be a smart device such as TV-Box of a user, who is located in its own VLAN but needs access to it. Currently I would have to migrate it manually from the Guest (untrusted devices) VLAN to its VLAN by modifying the Client-List in the RADIUS Server or adding this device to access-list each time this happens.
I would like to get rid of this manual workflow. Either by allowing self-enrollment of such devices in FreeRADIUS or adding it to access-list by the user itself through a super simple UI.
Unterschied zwischen nicht-EAP und EAP ist mir groben klar, es ist im Prinzip auf AP passierende Authentifizierung vs. auf Server passierende Authentifizierung.
Was ich meinte ist WPA2 EAP-PSK, meine damit https://security.stackexchange.com/questions/68351/what-are-the-differen ....
Ich hoffe zumindest das dies zumindest vonso doofen Geräten wie chromecast unterstützt wird auch wenn sie EAP offiziell nicht unterstützten.
Muss mich entschuldigen für die durch meine Ungenauigkeit entstandene Chaos.
Mit 00.00.00.... ist freier Eintritt, wenn der PSK bekannt ist ist so gewollt, möchte nur eine automatische VLAN Zuweisung erreichen, abhängig von der verwendeten passphrase.
Eine Beschränkung auf MAC und/oder Zertifikat ist unwichtig (zumindest momentan).
- Mein Anwendungsfall ist wie folgt
First of all I would offer a second (Guest) WiFi, WPA2-EAP-PSK would be preferred, to allow very non-smart devices (not EAP nor Captive Protal capable) to go online.
Now, if such a device would be a smart device such as TV-Box of a user, who is located in its own VLAN but needs access to it. Currently I would have to migrate it manually from the Guest (untrusted devices) VLAN to its VLAN by modifying the Client-List in the RADIUS Server or adding this device to access-list each time this happens.
I would like to get rid of this manual workflow. Either by allowing self-enrollment of such devices in FreeRADIUS or adding it to access-list by the user itself through a super simple UI.
Access List....
so wieder nen PC vor der Nase
habe so gar noch nen hEX S und cAP ac über aber bei zuhause liegen lassen.
wenn rein auf MT-Seite folgendes über CAPsMAN machbar wäre, würde schon reichen.
Es wurde aber berichtet dass es in <v6.49 geht es nicht. evtl geht es in v7.x?
habe so gar noch nen hEX S und cAP ac über aber bei zuhause liegen lassen.
wenn rein auf MT-Seite folgendes über CAPsMAN machbar wäre, würde schon reichen.
/caps-man access-list
add action=accept private-passphrase=PPSK_User1 vlan-id=VLAN_User1 vlan-mode=use-tag comment=User1
add action=accept private-passphrase=PPSK_User2 vlan-id=VLAN_User2 vlan-mode=use-tag omment=User2
Versuch macht klug... 7.1.1 Stable ist ja released. 
1
Also ich hab es auch mit Radius-Server am Laufen...
Kann aber sagen, daß ein Kumpel es so eingerichtet hat,
CAPSMAN > WPA2 personal > und dann über AccessList eine jeweilige PSK+VLAN für einzelne Clients.
Läuft stabil und seit v6.x, also v7.x braucht man nicht unbedingt dazu.
Kann aber sagen, daß ein Kumpel es so eingerichtet hat,
CAPSMAN > WPA2 personal > und dann über AccessList eine jeweilige PSK+VLAN für einzelne Clients.
Läuft stabil und seit v6.x, also v7.x braucht man nicht unbedingt dazu.
Wenn der Kumpel mal ein export hide-sensitive seiner Konfig macht würde das sicher dem Kollegen @PackElend massiv helfen...
Zitat von @aqui:
Wenn der Kumpel mal ein export hide-sensitive seiner Konfig macht würde das sicher dem Kollegen @PackElend massiv helfen...
Wenn der Kumpel mal ein export hide-sensitive seiner Konfig macht würde das sicher dem Kollegen @PackElend massiv helfen...
danke brauche ich aber nicht mehr, es geht leider nicht so.
Es ist gibt nochmal einen anderen Wiki-Eintrag der das sauber trennt: https://wiki.mikrotik.com/wiki/Manual:CAPsMAN#Access_List
--> private-passphrase ist kein client matching parameter
Eine andere Lösung baut gerade https://forum.mikrotik.com/memberlist.php?mode=viewprofile&u=75040 mit einem Skript, er hatte es mir gestern gezeigt.
Anhand des Hotspot-Konto (Anmeldung) wird das Gerät, welches sich gerade am HS anmeldet in das zum Konto hinterlegten VLAN hinzugefügt. Die Zuordnung geht dann über die Access-List. Ist super charmant, dann bleiben nur noch so Kandidaten wie Chromecast zu lösen.
Ich hatte auch nicht gesagt, daß die private-passphrase ein Paramenter ist.
Ich habs bei meinem Kumpel gesehen, da geht das Ganze.
Die Authentifizierung kommt dann per MAC.
Und die kann eigentlich jeder auslesen und dir vorher nennen.
Ich habs bei meinem Kumpel gesehen, da geht das Ganze.
Die Authentifizierung kommt dann per MAC.
Und die kann eigentlich jeder auslesen und dir vorher nennen.
Ich meinte damit, daß diese dir mitgeteilt werden kann und du die Eintragung im Tik machen kannst.
2