anlagenbau
Goto Top

Einrichtung Mac Based Vlan mit Lancom Router und D-Link L3 Switches

Hallo liebe Gemeinde,

nach dem ich das Thema VLAN lange vor mir her geschoben habe, will ich mich nun doch endlich ran wagen. Das Ziel sollte in erster Linie sein, das ich alle Firmengeräte, welche mir über die MAC-Adresse bekannt sind, in ein VLAN stecke damit ich diese von anderen Netzwerkgeräten isoliere. Das heißt Geräte die sich zum ersten Mal verbinden sollen automatisch in separates VLAN einwählen, welches Internetzugriff haben soll, aber nicht mit den anderen VLAN kommunizieren darf -->Stichwort Gastnetz.

So bevor ich jetzt unser ganzes Netz abschieße wollte ich mich erstmal an das Thema rantasten und scheitere hier gerade schon bei den ersten Schritten.

Wir nutzen einen LANCOM 884 Voip Router, bei dem ich bereits den VLAN Modus aktiviert habe.
Zum Test habe ich nun erstmal dem Intranet die VLAN ID 1 gegeben und dem Gastnetz VLAN ID2 - der Routing Tag bei beiden Netzen ist die Null. Nun fangen die Probleme an - das Intranet kommt mit diesen Einstellungen normal ins Internet, ein Testrechner im Gastnetz allerdings nicht. Pinge ich von diesen aus zum Beispiel www.administrator.de löst er die IP-Adresse in einen DNS Eintrag auf, aber der Ping hat eine Zeitüberschreitung. Soweit so logisch, denn meinen Gerät habe ich ja noch gar nicht die VID2 zugewiesen - dies mache ich nun über unsere D-Link 3120 Switch.
Hier laufen nun alle Ports untagged auf VID 1 - als Zusatz trage ich nun in die MAC-Based VLAN Tabelle die MAC meines Testrechners ein.

Ab jetzt funktioniert am Testrechner, nichts mehr kein Internet und auch die IP beim Ping wird nicht mehr augelöst.
Was mache ich jetzt falsch?
Die VID 2 müsste doch eigentlich Zugriff auf das Internet haben, weil diese auch den RoutingTag 0 hat oder?

Content-ID: 81997189528

Url: https://administrator.de/contentid/81997189528

Printed on: October 16, 2024 at 02:10 o'clock

user217
user217 Aug 25, 2023 at 08:47:47 (UTC)
Goto Top
radius oder NLS
anlagenbau
anlagenbau Aug 25, 2023 at 09:33:49 (UTC)
Goto Top
Das ein Radiusserver ein sinvoller nächster Schritt ist, ist mir bewusst, jedoch für mein Testszenario doch noch unrelevant oder nicht? Wenn ja wieso nicht?
user217
user217 Aug 25, 2023 at 09:36:07 (UTC)
Goto Top
du musst per Radius authentifizieren und snmp v3 schreibend auf den Switch gehen um die config am switch per script anzustoßen welche den client in das jeweilige vlan verweist.
anlagenbau
anlagenbau Aug 25, 2023 at 09:41:05 (UTC)
Goto Top
Aber das macht doch mein D-Link Switch, in dem ich definiert habe, dass die MAC des Testrechners die VID2 bekommt.
user217
user217 Aug 25, 2023 at 09:50:57 (UTC)
Goto Top
vielleicht spuckt dir da noch ein anderes feature in die Suppe, mir fällt gerade der Name dafür nicht ein.
Cisco hat sowas, die erkennen anhand der MAC auch noch den Gerätetyp. Das geht oft schief, und ein PC wird plötzlich als ein Telefon erkannt usw. Sonst kenne ich mich mit Dlink nicht aus. Sorry
aqui
aqui Aug 25, 2023 updated at 12:23:31 (UTC)
Goto Top
Dieses Tutorial erklärt dir mit diversen Beispielen die Grundlagen von VLANs und wie sie an Routern, Firewalls und auch Switches eingerichtet werden.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Für eine dynamische VLAN Zuweisung wie du sie anstrebst, benötigst du immer einen Radius Server der den Switches zentral sagt in welches VLAN die entsprechende Mac Adresse bzw. Endgerät dynamisch zu verschieben ist.
Nennt sich Mac Authentication Bypass (MAB) und kommt immer im Tandem mit 802.1x Port Authentisierung (Security) daher.
Dieses Forentutorial und seine weiterführenden Links helfen dir das schnell und einfach umzusetzen!
Hier findest du zusätzlich noch ein paar Radius Grundlagen.
Lesen und verstehen... 😉
anlagenbau
anlagenbau Aug 29, 2023 at 08:23:11 (UTC)
Goto Top
Vielen Dank Aqui, ich werde mich mal durchkämpfen. Eine Frage noch: der beschriebene "Free Radius" ist ja ein Linuxprodukt, Linuxgeräte habe ich allerdings nicht im Einsatz. Im Netz habe ich gefunden, dass man einen Windows Server mit NPS als Radius einrichten kann. Funktioniert das auch für diesen Anwendungsfall bzw. habe ich dadurch nennenswerte Nachteile?
aqui
aqui Aug 29, 2023 at 09:32:51 (UTC)
Goto Top
Eine Frage noch: der beschriebene "Free Radius" ist ja ein Linuxprodukt
Naja "Produkt" ist wohl eher der falsche Ausdruck. Es ist eine OpenSource Software die nicht nur auf Linux rennt sondern generell auf allen Unix Betriebssystemen.
Linuxgeräte habe ich allerdings nicht im Einsatz
Das ist ziemlich traurig aber kann man ja schnell und preiswert ändern. Ein kleiner 30 Euro RaspberryPi wäre dann der Gamechanger. Oder wenn du noch einen ollen PC in der Bastelkiste hast den mit Ubuntu, Debian oder jeder Linux Distro deiner Wahl betanken. face-wink
Alternativ, wenn du ein Winblows Knecht bist, kannst du aber natürlich auch den Winblows NPS verwenden, das ist der Radius Server von Windows.
Fazit: Jepp, es klappt natürlich auch mit dem NPS. Radius ist Radius... Ist wie bei Autofahren. Ob du mit einem Porsche oder Dacia (Zappen)Duster auf der Autobahn fährst ist egal...beide fahren. face-wink
anlagenbau
anlagenbau Aug 29, 2023 at 12:27:05 (UTC)
Goto Top
Ich bleibe erstmal ein Windowsknecht :D, dort den NPS zu erstellen ging jetzt wirklich einfach, die Switches konnte ich auch schon erfolgreich als Radius-Clients einbinden. Da ich jetzt hoffentlich kurz vor dem "Durchbruch" stehe, noch die Frage: Was mache ich mit dem LANCOM-Router, ist der jetzt auch ein Radius-Client oder muss das dort nicht definiert werden? Ich habe zumindest keine Maske gefunden in der das möglich ist - nur das ich den LANCOM selbst als Radius betreiben könnte.

Jedoch gebe ich dem Gastnetz am LANCOM ja auch eine VID also müsste er doch dann auch ein RADIUS-Client sein oder?
aqui
aqui Aug 30, 2023 at 08:26:43 (UTC)
Goto Top
ist der jetzt auch ein Radius-Client
Wenn er das mit seinem Featureset supportet kannst du das ganz sicher auch auf dem Lancom einrichten. Wenn er aber gar kein 802.1x oder MAB supportet dann kann er das logischerweise nicht. Das Handbuch oder die Lancom Hotline sollte dir diese Frage beantworten!
anlagenbau
anlagenbau Aug 30, 2023 at 09:35:52 (UTC)
Goto Top
Na meine Frage ist viel mehr: Muss der Router das können? Oder heißt es wenn er es nicht kann, funktioniert das ganze Prinzip nicht, weil die Clients dann nicht ins Internet kommen?
aqui
aqui Aug 30, 2023 at 11:36:53 (UTC)
Goto Top
Das kommt darauf was was du willst?
Mac based VLANs gibt es sowohl auf den Kupferports als auch im WLAN. Frage ist um welche Clients es dir geht??
Wenn der Lancom gar kein WLAN hat dann ist das ja schonmal raus. Ansonsten müsste man ein WPA2-Enterprise WLAN dort einrichten was dann WLAN Clients dynamisch auf VLANs mappt. Gibt hier genug Tutorials die so ein Setup beschreiben.
Das andere sind die Kupferports des Lancom. Wenn du daran Clients mit 802.1x oder Mac authentisieren willst dann muss der Lancom sowas supporten. Thema Port Security.

Supportet er das nicht oder hast du gar keine anderen Clients am Lancom angeschlossen ist die ganze Fragestellung ja obsolet. Dann partizipiert der Lancom ja grundsätzlich gar nicht in irgendwelcher Client Port Authentisierung womit sich das Thema Radius denn dort erledigt hat. Einfache Logik! face-wink
anlagenbau
anlagenbau Sep 07, 2023 at 07:35:45 (UTC)
Goto Top
So mittlerweile verzweifle ich jetzt doch am Windows NPS, ich bekomme einfach keine Authentifizierung von einen Windows PC-Client am Radius hin. Die Eventlogeinträge vom NPS sind bis dato komplett leer. Am Client bekomme ich jedes Mal einen Authentifizierungsfehler. Ein selbst erstelltes Zertifikat ist hinterlegt und meiner Meinung nach auch funktionsfähig oder woran könnte ich sehen, dass dieses das Problem ist? An den Radius-Clients(Switches) bekomme ich auch keinerlei Anhaltspunkt, das eine Authenfizierungsanfrage gestellt wird. Ich weiß gerade nicht so richtig wo ich nach einen Fehler suchen soll bzw. ich log Dateien bekomme die mir bei der Suche weiterhelfen.

Ich habe auch Wireshark auf den Windows Client installiert, aber in dem Moment wo er sich authentifizieren will hat der PC ja noch keine IP Adresse nach der ich filtern kann, gebe ich dem Client händisch eine IP finde ich nichts im Filter.

Die Switches konnte ich übrigens problemlos am NPS registrieren.

Und noch eine grundsätzliche Frage, wenn die Konstellation folgende ist:
Windows-Client --> "dumme" Switch --> Radius-Client(L3 Switch) --> Radius Server
Funktioniert das dann auch?
Bei meinen Tests habe ich natürlich ohne "dumme" Switch dazwischen gestestet.
client radius
aqui
aqui Sep 07, 2023 updated at 08:24:46 (UTC)
Goto Top
Ein selbst erstelltes Zertifikat ist hinterlegt
Das brauchst du bei Windows nicht zwingend, den die Zertifikatsprüfung kann man im 802.1x Client immer deaktivieren. Siehe HIER.

Versteht man deinen Thread hier richtig willst du ja so oder so einzig nur eine dynamische VLAN Zuordnung rein auf Basis der Client Mac Adresse machen, oder??
Ist das der Fall benötigst du generell keinen 802.1x Client und musst diesen auch NICHT aktivieren. Logisch, denn Username und Passwort spielen bei einer reinen Mac Adress Authentisierung mit dyn. VLAN keinerlei Rolle. Damit natürlich auch der 802.1x Client nicht!! Der wäre bei einer reinen Mac Authentisierung auch kontraproduktiv und darf nicht aktiv sein!
Auf dem Radius Server werden dann lediglich NUR die Mac Adresse registriert für Username und Passwort. Es bedarf dazu keines Clients. Im Gegenteil sogar.
Hier reicht ein simples Endgerät ohne irgendwelche Clients plus die entsprechende Mac Adress Port Authentisierung (MAB) auf dem LAN Switch oder WLAN AP.
Ggf. machst du also für eine reine Mac Authentisierung hier einen fatalen Denkfehler, kann das sein?? 🤔
anlagenbau
anlagenbau Sep 08, 2023 at 07:38:56 (UTC)
Goto Top
Erstmal großes Danke an dich aqui für deine Zeit die du dir nimmst um Leuten weiterzuhelfen!

Also Mittlerweile habe ich viele Varianten erfolglos probiert und bin zu letzt nach folgender Anleitung vorgegangen: https://networkguy.de/how-to-use-802-1xmac-auth-and-dynamic-vlan-assignm ...
Diese Kombination gefällt mir gut, also das 802.1x verwendet wird wenn sich Windowsuser anmelden und bei allen anderen Geräten(Drucker etc.) die Mac basierte Authentifizierung verwendet wird.

Nach wie vor bleibt der Eventlog vom NPS aber leer und ich kann mich auch mit keinen Gerät authentifzieren. Auch deine Variante habe ich versucht. Also 802.1x deaktiviert und die Clients rausgeschmissen und auch hier kein Erfolg.

Vielleicht mache ich noch irgendetwas Grundsätzliches falsch, aber was? Aktuell weiß ich nicht wo ich suchen soll.
- Firewall habe ich bereits deaktiviert, obwohl diese richtig konfiguriert sein sollte
- den weiterführenden Link - (NPS Log bleibt leer) habe ich auch schon verfolgt und den Workaround durchgeführt

Falls ich bisher etwas unentschlossen gewirkt hab, liegt es daran das ich bei dem Thema noch am Anfang stehe. Mein Ziel ist einfach nur sichereres Netzwerk zu konfigurieren, wo sich nicht einfach jeder beliebige Gast durch einstecken des Netzwerkkabels mit selben Netz befindet wie die Firmenrechner.
aqui
aqui Sep 08, 2023 updated at 08:40:49 (UTC)
Goto Top
Mein Ziel ist einfach nur sichereres Netzwerk zu konfigurieren
Das ist auch absolut richtig und ein klassischer Weg um Netze vor Fremdzugriff anzusichern. Es wird millionenfach so mit 802.1x oder MAB eingesetzt und ist ein simpler Klassiker. Du bist also auf dem richtigen Weg!

Nach wie vor bleibt der Eventlog vom NPS aber leer
Bedeutet dann ja das von deinen Komponenten keinerlei Radius Anfragen zum Radius Server dort ankommen.
Hast du denn in den entsprechenden Komponenten (Switch, AP usw.) im deren Setup den Radius Server bzw. seine IP und Passwort hinterlegt das die den überhaupt erreichen können??
Checke auch nochmal das Radius Passwort. Ohne oder mit falschem Passwort lehnt der Server den Zugang ab!

Du kannst den Radius Request auch mit einem freien Windows Tool NTRadPing einmal checken. Siehe dazu auch HIER.
Bei 802.1x Nutzern gibtst du da einen gültigen Usernamen/Passwort ein bei MAB ist Username und Passwort die Mac Adresse.
Mit dem Tool MUSS in jedem Falle ein Request bei deinem Radius Server landen!
anlagenbau
anlagenbau Sep 08, 2023 at 09:19:31 (UTC)
Goto Top
Jawohl durch das Tool bekomme ich eine Rückmeldung vom NPS:

"Von der ungültigen RADIUS-Client-IP-Adresse xxx.xxx.xxx.xxx wurde eine RADIUS-Meldung empfangen."

Füge ich als Test den Windows-Client als Radius Client am NPS hinzu wird auch eine Authentifizierung versucht:

Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Hast du denn in den entsprechenden Komponenten im Setup den Radius Server bzw. seine IP und Passwort hinterlegt das die den überhaupt erreichen können??

Ja das habe ich, sowohl an den Switches als auch am Radius-Server. Also was ist jetzt das Problem? Das die Switch die Anfrage nicht weiterleitet an den Radius?
radiusclients
anlagenbau
anlagenbau Sep 08, 2023 at 09:38:28 (UTC)
Goto Top
Könnte es an folgender Switcheinstellungen liegen: "Global 802.1X State disabled"?
face-big-smile - 6 setzen!
aqui
aqui Sep 08, 2023 updated at 10:45:16 (UTC)
Goto Top
Von der ungültigen RADIUS-Client-IP-Adresse xxx.xxx.xxx.xxx wurde eine RADIUS-Meldung empfangen.
OK, besagt das der Radius Server den Request nicht akzeptiert weil er aus einem nicht freigegebenen Absender IP Bereich kommt. Da musst du sicherstellen das deine Komponenten dann natürlich aus einem gültigen IP Bereich mit ihren Requests kommen!!
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert.
Gut, das bedeutet erstmal nur das der Radius diesen User nicht kennt und deshalb auch nicht authentisiert. Hier stimmt also etwas mit deinem User und Passwort Setting nicht und der Zuordnung zum NPS.
Relevant ist aber das zumindestens die Radius Requests schonmal ankommen wenn auch aus dem falschen Absender IP Bereich und der Server das registriert.
Wenn gar keine Requests ankommen, dann senden deine Komponenten auch gar nix.
Könnte es an folgender Switcheinstellungen liegen:
Das liegt nahe. Besagt ja das 802.1x global deaktiviert wurde.
Wenn du also 802.1x machen willst dann sollte man das schon aktivieren!
Wenn du rein nur MAB also nur Mac Authentication machen willst, muss 802.1x NICHT aktiviert sein.
anlagenbau
anlagenbau Sep 08, 2023 at 10:55:10 (UTC)
Goto Top
Das letzte sollte ein Witz, weil es 802.1x natürlich an sein muss, wenn es funktionieren soll. face-wink Die Einstellung war auf einer separaten Seite auf der Switch, welche ich übersehen habe.
Aber ja komisch, dass das mit dem MAB zuvor nicht funktioniert hat. Ich bin erstmal einen Schritt weiter und teste nun noch etwas und gebe dann wieder Rückmeldung.