Mikrotik: Dynamische VLAN-Zuweisung für WLAN mit Passwort-Authentifizierung

@Kuemmel: Es gab um halb 8 einen Kommentar von MirkoKR, dass es der zu grundeliegende Artikel von aqui wieder unter die Top6 geschafft hat. Aus unerfindlichen Gründen ist dieser Beitrag wieder verschwunden...

@aqui: Vielen Dank für Deine Rückmeldung, habe ich jetzt auch gefunden. Allerdings passt an dieser Stelle die Beschreibung nicht ganz zu meinem Aufbau...

Aktuell habe ich die gesamte Konfiguration auf einem hAPac². Die beiden CAPs für 2,4 GHz und 5 GHz sind damit nicht über Ethernet angeschlossen, sondern werden dynamisch zur Laufzeit, teilweise unter wechselnden Namen angelegt. HW-Ports kann man natürlich als Trunk fest als untagged in der Bridge-VLAN-Konfiguration eintragen. Aber wie mache ich das mit den dynamisch angelegten cap-Schnittstellen. Die werden nur untagged für Trunk-Ports dynamisch eingetragen, nicht aber als tagged bei den Nutzer-VLANs. Wenn ich sie per Hand als untagged konfiguriere, funktioniert das WLAN. Allerdings sind die nach einem Reboot wieder weg.

Unabhängig davon sind mir im Beitrag zwei Kleinigkeiten aufgefallen:

HW-Architektur:
Entsprechend Bild1 werden 3 CAPs betrieben, ein an Ether9 und zwei weitere über einen Switch an Ether5. Entsprechend der Beschreibung der Bridge-VLAN würde ich allerdings erwarten, dass:

• ether 5 ein Access-Port ins Management-Netz ist
• ether10 der Trunc-Port
• nur zwei APs über ether8 und ether9 mit dem Router verbunden sind

CAPsMAN-Konfiguration:
Aus anderen Beschreibungen kenne ich noch einen Eintrag bei Provisioning, der die erstellte Konfiguration zur Nutzung durch CAPsMAN frei gibt. Diese Definition habe ich in der Beschreibung aber nicht gefunden. Geht es auch ohne? Was sind dann die Unterschiede.

VLAN-Steuerung über die Access-List:
Das hatte neipsi hier schon mal mit Dir diskutiert. Das Verhalten ist das Gleiche: Die caps werden bei Anmeldung eines Clients im Trunc-Port als untagged eingetragen, allerdings nicht als tagged beim jeweiligen VLAN. Macht man es per Hand funktioniert es.
Ich habe den Eindruck, dass Access List und Radius-Server praktisch äquivalent sind, nur dass man bei der Access List jedem Nutzer ein eigenes Passwort geben kann. Siehst Du Nachteile?

Dank aqui’s konstruktiver Hinweise habe ich mich mit der Konfiguration des hAPac² sowie den Fragen näher beschäftigt, die das Tutorial leider nicht abdeckt. Provisioning, dynamisch angelegte CAPs und Router, die zwei Geräte vereinigen: den eigentlichen Router und einen Access Point mit zwei Transmittern (2,5 und 5 GHz). Die dazugehörigen Interface sind wlan1 und wlan2, die von CAPsMAN z.B. als cap1 und cap2 eingebunden werden.

Neben der halbautomatischen Konfiguration, wie im Tutorial beschrieben, kann man über das Provisioning die Konfiguration auch vollständig CAPsMAN überlassen. Adressiert über die MAC-Adresse lassen sich erstellte Konfigurationen den CAPs zuweisen. Mit der default-MAC 00:00:00:00:00:00 werden alle CAPs adressiert. Offen gebliebene Einstellungen (z.B. die Kanäle) übernimmt CAPsMAN. Das führt in kleineren Netzen durchaus zu brauchbaren Ergebnissen.

Damit auch die Weiterleitung der Daten in die VLANs funktioniert, müssen die Interface korrekt tagged/untagged in der VLAN-Konfiguration der Bridge eingetragen sein. Je nachdem, ob in der Datapath-Konfiguration „Local Forwarding“ eingeschaltet ist oder nicht, erfolgt die Datenübergabe über wlan1/2 („yes“) bzw. cap1/2 („no“). Diese Interface müssen in den VLANs der Bridge jeweils als tagged eingetragen werden ("untagged" im default-VLAN setzt CAPsMAN). Für wlan1/2 als HW-Interface ist es kein Problem, da ihre Namen statisch sind...

Bei cap1/2 funktioniert das nicht, da sie dynamisch angelegt werden und sich die Nummern sich beim Reboot und auch zur Laufzeit ändern können. Ist man, aus welchen Gründen auch immer, auf "Local Forwarding" = "no" angewiesen, hilft nur die halbautomatische Konfiguration der CAPs über den CAPsMAN entsprechend aqui’s Tutorial. Die CAPs werden dadurch statisch und ändern ihre Namen nicht mehr.

Interessant hierbei ist, dass die Anbindung an die Bridge nur bei dynamisch vergebener VLAN-ID nicht funktioniert. Bei statischen VLANs per MSSID gibt es diese Probleme nicht: Dort werden die cap-Interface zur Laufzeit bei Bedarf bei den VLANs als tagged eingetragen und es funktioniert einfach (getestet mit Version 6.48.1). Außerdem wird bei dynamischer VLAN-ID-Vergabe beim Anmelden eines Nutzers im WLAN das entsprechende cap-Interface untagged im default-VLAN gesetzt (was bei den funktionierenden Konfigurationen nicht notwendig ist). Keine Ahnung, was der Hintergrund dafür ist. Könnte natürlich ein Bug sein und eigentlich sollte das VLAN als tagged gesetzt werden…

Während der Tests hatte ich den Effekt, dass obwohl die caps nicht als tagged im VLAN der Bridge konfiguriert waren, die Verbindung funktionierte. Ein Backup der Konfiguration zeigte dann das Gegenteil: cap1 und cap2 waren im VLAN tagged. Hier hatte die WinBox leider gelogen. Das ist ganz sicher ein Bug.

Das war nicht die Frage. Es ging darum, ob man Provisioning verwenden kann oder die individuelle Konfiguration der CAPs immer per Hand gemacht werden muss. Wie dargestellt geht es auch vollautomatisch, wenn man sich mit den Mechanismen des CAPsMAN zur Vergabe der offenen Parameter zufrieden gibt...

Na ja, bei dynamischer Vergabe gibt es das cap2 nur so lange im VLAN1, wie der Nutzer versucht eine IP-Adresse zu bekommen, danach ist das Interface in der Spalte „untagged“wieder weg...

Das ist bei einem Gerät, dass sowohl den AP als auch den Router enthält nicht ganz so sinnvoll. Allerdings gibt es natürlich auch die Möglichkeit, diesen Teil der Konfiguration manuell einzustellen. Neben der eigentlichen Freigabe muss für den lokalen Zugriff die Firewall angepasst werden:


Auch hier war die eigentliche Frage, ob die beiden Funktionen nicht zum gleichen Ergebnis führen und damit äquivalent sind. Ziel im zitierten Thread war eine einfache Authentication über MAC und Passwort, nicht 802.1x. In beiden Fällen geht der Einstieg über die Access List. Bei der RADIUS-Variante erfolgt die Prüfung extern im RADIUS-Server (UserManager), bei der Access List über die Access List direkt. In beiden Fällen wird bzw. kann der Nutzer per MAC und Passwort authentifiziert werden und über Attribute bzw. über die Parameter der Liste einem VLAN zugeordnet werden. Ich habe es ausprobiert und keinen funktionalen Unterschied gefunden.



Für den Dialog zur Bridge/Ports ist das sicher korrekt. Die VLAN-Konfiguration der Bridge passt allerdings nicht dazu...

Wenn Du das Tutorial anpasst und ich mir was wünschen dürft, könntest Du eventuell:
- auch das Architekturbild entsprechend der Konfiguration anpassen
- "Damit haben die APs eine saubere Grundkonfig, melden sich am Manager an und können nun dem zuvor erstellen Konfig Profil zugewiesen werden." mit einem entsprechenden Bild ergänzen
- ein Hinweis spendieren, dass bei kombinierten Router/APs (z.B. hACac²) die wlanX-Interface als tagged in den VLANs der Bridge einzutragen sind
- bei der CAP-Konfiguration die händische Variante für die Kombi-HW erwähnen (insbesondere der lokale Zugriff scheint häufiger ein Problem zu sein)
Wäre das i-Tüpfelchen für ein super Tutorial...

Mein zuvor genutztes Tutorial hat zu diesem Punkt leider nichts erwähnt und so fehlte in meiner alten Konfiguration das Häkchen und es spielte auch bei 3 Stationen noch keine große Rolle. Wird in der neuen Konfiguration aber umgestellt, schon um den Ärger mit dynamischen Namen der CAPs zu vermeiden.

Ich habe erst mal den UserManger nach einer entsprechenden Variante abgesucht, aber nichts gefunden. Eventuell könnte man aber zwei Einträge in der Access List des CAPsMAN eintragen: Die erste für den RADIUS, die zweite als Rückfall auf das Isolationsnetz mit Angabe der entsprechenden VLAN-ID. Funktioniert natürlich nur, wenn bei negativer Antwort des RADIUS der folgende Eintrag noch abgearbeitet wird. Müsste ich mal in den kommenden Tagen probieren...

Hallo aqui,

in Bezug auf die Isolationszelle habe ich mir die folgenden Varianten angesehen:

Default-Nutzer im User-Manager (so wie in FreeRadius)
So richtig erfolgreich war ich dabei nicht. Auf einen Eintrag wie "DEFAULT" reagiert das gute Stück nicht. Das Internet war auch unergiebig. Ausschließen, dass es einen Nutzer mit Sonderbehandlung gibt, kann ich natürlich nicht...

User-Manager + Access List
Die Access-Liste gab sich leider mit der Ablehnung durch den UserManager zufrieden.

Nur mit Access Liste
Die erste Erkenntnis war, dass die Access List als default-Antwort ein "accept" liefert (hatte ich zuvor noch nicht getestet). Damit ist der folgende Eintrag als letzter Eintrag in der Liste verpflichtend:
Zulässige MACs platziert man darüber, unbekannte Nutzer werden über diese Regel abgewiesen.

Natürlich nur, wenn man action auf "reject" setzt. Man könnte natürlich in dieser Regel auch "accept" eintragen, den vlan-mode auf "use tag" und die vlan-id auf die Isolationszelle / Gästenetz...

So klappt es auch mit den Gästen...

Dot1X ist für mich leider Neuland. Wenn ich den Ansatz richtig verstehe, bindet sich der Dot1X-Server auf das angegebene Interface, greift die Authentifizierungsinformationen ab und übergibt sie dem RADIUS-Client. Der lässt den User-Manager prüfen, ob der User berechtigt ist.

Mit einem Ethernet-Port funktionierte das auch ohne Problem. Für die Zuweisung von VLAN-IDs stehen 3 Einträge in der Dot1X-Konfiguration zur Verfügung:

• Reject VLAN ID: Hier kann man eine ID eintragen, allerdings konnte sich der User nicht anmelden.
• Guest VLAN ID: Geht anscheinend nur mit Dot1X-Authentifizierung, bei "mac auth" gibt es eine Fehlermeldung bei Bestätigung der Konfiguration.
• Server Fail VLAN ID: Hier wird der nicht-autorisierte User in das angegebene VLAN eingebunden.

Pferdefuß: Die WLAN-Interface fehlen bei der Auswahl der zu überwachenden Interface. Ich gehe mal davon aus, dass die über "Wireless" beim RADIUS angebunden werden sollen.

Die Frage ist doch aber, ob der Dot1x-"Server" bei der WLAN-Authentification überhaupt beteiligt ist (und nicht nur der Dot1x-Kern aktiviert über "wpa2-eap"). In der Konfiguration des RADIUS-Clients werden die Quellen ausgewählt, die mit RADIUS geprüft werden sollen. "wireless" wäre aus meiner Sicht der CAPsMAN, "dot1x" der Dot1x-"Server", der sich vordergründig nur um die Ethernet-Ports kümmert. Beim Dot1X gibt es definierte Rückfallebenen, beim CAPsMAN fehlen sie in den Einstellungen zur Access List. Und am zentralen Punkt, dem User-Manager (wo man sie eigentlich erwarten sollte) sind sie, wenn vorhanden, im Manual nicht beschrieben.
Beim Dot1X gibt es noch "virtuelle" Einstellungen beim Interface: "all", "dynamic", "non" und "static". Die beiden letzten Einstellungen halte ich nicht für erfolgversprechend. Mit "all" sperre ich mich vermutlich ganz schnell aus dem System aus, unter "dynamic" könnten allerdings die CAPs fallen, die ja auch bei expliziter Konfiguration erst zur Laufzeit angelegt werden...

Beim Ausprobieren habe ich mich allerdings ganz schnell in den Dot1X-Tiefen verheddert...

Hat mich noch nicht wirklich überzeugt. Im ersten Link geht es um WLAN und hier wird jeweils vom Wireless-Modul der RADIUS direkt abgefragt. Im zweiten geht es um die Ethernet-Schnittstelle, die ja direkt vom Dot1X-Modul verwaltet werden.

Die Konfiguration des RADIUS-Client im MT sieht so aus, dass er für die verschiedenen Module ("wireless", "Dot1X", ...) den Zugang zum RADIUS-Server über spezielle Interface zur Verfügung stellt, die zu oder abgeschaltet werden können.

Daher sieht das für mich so aus, als ob jedes Modul für sich den RADIUS-Server abfragt, CAPsMAN für das WLAN, Dot1X für die Ethernet-Schnittstellen. In diesem Fall obliegt die Reaktion bei Ablehnung nur im jeweiligen Modul: Dot1X stellt dafür spezielle VLAN-Einstellungen zur Verfügung, CAPsMAN leider nicht.

Aber vielleicht leitet CAPsMAN die Abfrage im Fall EAP doch über das Dot1X-Modul um (Interface = dynamic???). Ob das so ist, wird sich wohl nur durch einen Test beweisen lassen. Allerdings wäre die Konfiguration am RADIUS dann schon etwas verwirrend, da ja für WLAN-Nutzer statt "wireless" dann "Dot1X" aktiviert werden müsste...