MAC Authentifizierung via AP (Mikrotik cAP ac) - Switch (ZyXEL GS1910) - Radiusserver (Mikrotik RB1100 AHx2) inkl. Userman, DHCP-Server und aufgesetzte VLANs
Hallo Netzwerkspezialisten,
könnt Ihr mir bitte bei einem Testaufbau ein paar Tipps geben (draußen regnet es ja sowieso )
Wie im Betreff schon geschrieben möchte ich eine reine MAC Freischaltung testen. Das diese äußerst unsicher ist, ist mir bekannt und ich möchte sie auch nur testen.
Zum Aufbau:
auf dem Radiusserver habe ich eine Reihe von MAC Adressen (Notebooks, Android-Smartphones...) eingetragen.
auf dem RB1100 AHx2 laufen 5 DHCP-Server die 5 VLANs mit IPs versorgen.
auf dem AP CAP-AC sind zwei Hardware WLANs (außerdem KEIN Hotspot oder Capsman) mit unterschiedlichen VLANs (ID 10 und 20) aktiv. Zusätzlich liegt auf dem zweiten Ethernetport (LAN) ein eigenes VLAN (ID 30). Der Ethernetport 1 dient als Trunkline und geht zum Switch.
Dank der guten Anleitungen von aqui - VIELEN DANK!!! an dieser Stelle, konnte ich folgendes erfolgreich testen:
1. auf dem LAN Port des CAP-AC bekommen die Clients, nach Überprüfung der MAC-Adresse durch den Radiusserver Userman die richtige IP Adresse von ihrem DHCP Server (VLAN 30 IP Range 192.168.30.X - Y) zugewiesen.
2. erfolgt die Anmeldung der Clients in das jeweilige WLAN über eine Passwortabfrage funktioniert auch hier die richtige IP Zuweisung (WLAN1 - 2,4 GHz 192.168.10.X // WLAN2 - 5 GHz 192.168.20.X) Die Anmeldung erfolgt nicht via 802.1x.
Aber, sobald ich die WLAN Anmeldung auch über den Radiusserver via MAC-Adresse freischalten möchte kommt der Hinweis das die Netze nicht erreichbar sind (sinngemäß).
Alle mir bekannten Einstellungen habe ich ausprobiert:
neuen Router im Radiusserver mit der IP des APs eingetragen (inkl. Ownernamen und shared secret). Auf dem AP die richtige IP des Radiusserver eingetragen inkl. Ownernamen und shared secret. Desweiteren auf dem AP unter Radius als Service DHCP und wireless ausgewählt plus Incomming auf Port 1700 gesetzt.
Bei den beiden "Hardware Wireless-Elementen" die reguläre Anmeldung deaktiviert und unter Karteireiter Security Profile die MAC Authentication aktiviert und den MAC-Mode auf "username" und/oder "usename and password" gesetzt. Die DHCP Server auf dem RB1100 AHx2 haben natürlich "Use Radius" aktiviert.
Was könnte hier falsch laufen?
Muss ich auf dem dazwischen befindlichen Switch so etwas wie eine MAC-Adressen Weitergabe zum Radiusserver freischalten?
Wenn ja, warum funktioniert die LAN Anbindung problemlos?
Alle Geräte haben natürlich die aktuelle Firmware.
Bin über JEDEN Tipp dankbar!!
Gruß Kartoffelesser
könnt Ihr mir bitte bei einem Testaufbau ein paar Tipps geben (draußen regnet es ja sowieso )
Wie im Betreff schon geschrieben möchte ich eine reine MAC Freischaltung testen. Das diese äußerst unsicher ist, ist mir bekannt und ich möchte sie auch nur testen.
Zum Aufbau:
auf dem Radiusserver habe ich eine Reihe von MAC Adressen (Notebooks, Android-Smartphones...) eingetragen.
auf dem RB1100 AHx2 laufen 5 DHCP-Server die 5 VLANs mit IPs versorgen.
auf dem AP CAP-AC sind zwei Hardware WLANs (außerdem KEIN Hotspot oder Capsman) mit unterschiedlichen VLANs (ID 10 und 20) aktiv. Zusätzlich liegt auf dem zweiten Ethernetport (LAN) ein eigenes VLAN (ID 30). Der Ethernetport 1 dient als Trunkline und geht zum Switch.
Dank der guten Anleitungen von aqui - VIELEN DANK!!! an dieser Stelle, konnte ich folgendes erfolgreich testen:
1. auf dem LAN Port des CAP-AC bekommen die Clients, nach Überprüfung der MAC-Adresse durch den Radiusserver Userman die richtige IP Adresse von ihrem DHCP Server (VLAN 30 IP Range 192.168.30.X - Y) zugewiesen.
2. erfolgt die Anmeldung der Clients in das jeweilige WLAN über eine Passwortabfrage funktioniert auch hier die richtige IP Zuweisung (WLAN1 - 2,4 GHz 192.168.10.X // WLAN2 - 5 GHz 192.168.20.X) Die Anmeldung erfolgt nicht via 802.1x.
Aber, sobald ich die WLAN Anmeldung auch über den Radiusserver via MAC-Adresse freischalten möchte kommt der Hinweis das die Netze nicht erreichbar sind (sinngemäß).
Alle mir bekannten Einstellungen habe ich ausprobiert:
neuen Router im Radiusserver mit der IP des APs eingetragen (inkl. Ownernamen und shared secret). Auf dem AP die richtige IP des Radiusserver eingetragen inkl. Ownernamen und shared secret. Desweiteren auf dem AP unter Radius als Service DHCP und wireless ausgewählt plus Incomming auf Port 1700 gesetzt.
Bei den beiden "Hardware Wireless-Elementen" die reguläre Anmeldung deaktiviert und unter Karteireiter Security Profile die MAC Authentication aktiviert und den MAC-Mode auf "username" und/oder "usename and password" gesetzt. Die DHCP Server auf dem RB1100 AHx2 haben natürlich "Use Radius" aktiviert.
Was könnte hier falsch laufen?
Muss ich auf dem dazwischen befindlichen Switch so etwas wie eine MAC-Adressen Weitergabe zum Radiusserver freischalten?
Wenn ja, warum funktioniert die LAN Anbindung problemlos?
Alle Geräte haben natürlich die aktuelle Firmware.
Bin über JEDEN Tipp dankbar!!
Gruß Kartoffelesser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 499913
Url: https://administrator.de/contentid/499913
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
1 Kommentar
Die Anmeldung erfolgt nicht via 802.1x.
Wie denn sonst ??? Eine andere Option das umzusetzen gibt es doch überhaupt nicht ?kommt der Hinweis das die Netze nicht erreichbar sind (sinngemäß).
Werden diese Mac Adressen denn überhaupt richtig authentisiert ?! Radius (sefern das FreeRadius ist) mal im Debug Mode mit -X starten.Das musst du dem Authenticator Endgerät was die Authentisierung vornimmt (Switch oder AP) auch sagen das es es dann statt .1x dann .1x Mac Passthrough benutzt. Beides sind unterschiedliche Verfahren und müssen auch von der Authenticator Seite (Switch oder AP) in der Hardware (und Konfig) supportet sein.
eingetragen inkl. Ownernamen und shared secret.
Einen Ownernamen gibt es gar nicht. Du meinst damit die IP Adresse oder den Hostnamen, oder ? Was anderes kennt die Radius Authentisierung gar nicht.plus Incomming auf Port 1700 gesetzt.
Was soll das sein ?? Was bitte ist Port 1700 ?? 1700 ist überhaupt gar nicht spezifiziert !!https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports#Registrie ...
Was soll dieser Port also für einen tieferen Sinn haben ?
Switch so etwas wie eine MAC-Adressen Weitergabe zum Radiusserver freischalten?
Nur wenn du die Mac Aithentisierung auf dem Switch machst ?! Wo soll die denn stattfinden auf dem AP oder auf dem Switch ?!Was könnte hier falsch laufen?
Nimm einen Wireshark und sieh dir genau an WAS der Authenticator an den Radius sendet. Der Inhalt des Radius Paketes sagt dir sofort alles.Eine weitere große Hilfe ist der Debug Mode des FreeRadius (-X) ! Hier schwächelt deine Beschreibung leider sehr, denn für eine zielführende Hilfe wären diese beiden Infos (Wirehark und Debug Mode) sehr wichtig.
Zu vermuten ist aber das du in der Authenticator Konfig irgendwas verbaselt hast. Port 1700 und der Rest oben usw. das klingt sehr wirr und eher nach trial and error ohne das du weisst was du da tust...
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch