geraldxx
Goto Top

Mikrotik mac-based-auth

Hallo zusammen,

ich habe einen Mikrotik hEx Router und diesen bisher mit statischen Ports für versch VLANs konfiguriert. Soweit so gut, nun habe ich die dynamische VLAN Zuweisung über MAC-auth eingerichtet mittles dot1x, Radius-Server und User-Manager. Funktioniert auch nur dauert es ca. 2 Minuten bis der Client authentifiziert ist und dann seine IP-Adresse über den DHCP bekommt. Manchmal zieht sich der Client (Windows 10) allerdings eine 169.XXX Adresse, ist aber laut Mikrotik dot1x Service authorized und auch immer im richtigen VLAN:


Nehme ich den Port down, up dann dauert es wieder 2-3 Minuten bis der Port den Status authorized bekommt und der Windows Client eine IP-Adresse aus dem DHCP Pool bekommt. Hat jemand eine Idee?
dot1x_active_session

Content-Key: 23386385983

Url: https://administrator.de/contentid/23386385983

Printed on: June 12, 2024 at 19:06 o'clock

Member: hempel
hempel May 27, 2024 updated at 06:01:29 (UTC)
Goto Top
Ist normal bei MAC Auth, da hängt das vom Client ab. Für eine Auth muss Traffic mit der MAC am Mikrotik auf dem Port ankommen. Provozieren kanst du das etwa durch de- und wieder aktivieren der LAN-Verbindung am Client oder mittels ipconfig /release und ipconfig /renew. Sobald der Client also einen L2 Frame auf dem Adapter verschickt, wird das die Freischaltung triggern. Ohne init. Traffic keine Freischaltung.

Da ein Client den Adapter beim Boot oder Einschalten aktiviert und ein DHCP-Frame verschickt ist das i.d.R. kein Problem. Wenn du natürlich den Port manuell wieder deautorisierst bekommt das der Client nicht mit und es dauert halt so lange bis der Client wieder ein Frame auf dem Port sendet, z.B. einen DHCP Request oder ARP Frames.
Hat der Client sich nur eine APIPA zugewiesen wiederholt Windows die DHCP Requests erst wieder alle 2-3 Minuten.

Besser läuft das wenn du stattdessen echtes 802.1x am Client einrichtest (z.B. mit EAP-MSChapv2, oder EAP-TLS). Hier werden dann EAPOL Frames vom Mikrotik auf der Leitung verschickt die dem Client signalisieren das er sich zuerst anmelden muss, das geschieht dann instant durch den Client wenn du den Port testweise deautorisierst. Wireshark zeigts dir.

Gruß
Member: aqui
aqui May 27, 2024 updated at 08:40:19 (UTC)
Goto Top
Dennoch sind 2 Minuten auch bei MAB deutlich zuviel.
Bei einem Windows Client oder überhaupt bei einem einem DHCP basierten Client dauert es in der Regel nicht mehr als 5 Sekunden und allerhöchsten 10 Sekunden bis der Port authentisiert ist bei einer MAB Authentisierung. Es ist also zu vermuten das da noch etwas anderes im Argen liegt bei deinem Setup?!
Allerdings kann man mit den spärlichen Infos von oben auch nur kristallkugeln. face-sad
Ggf. hilft dieser Thread zum weiteren Troubleshooting:
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2
Member: hempel
hempel May 27, 2024 updated at 09:23:57 (UTC)
Goto Top
Das liegt unter Windows meistens an der IPAutoConfiguration. Dann weist der sich eine APIPA zu und fährt das DHCP Intervall runter. Die würde ich als erstes abschalten ...
Member: aqui
Solution aqui May 27, 2024 updated at 10:43:36 (UTC)
Goto Top
Was häufig auch nicht beachtet wird ist das MAB beim Mikrotik mit PAP arbeitet. Sofern man eine dedizierte User Group eingerichtet hat für MAB muss das angehakt sein oder entsprechend im Default angehakt sein:
mtmab
Ein Kurztest an einem hAP-ax2 mit aktueller 7.14.3 ergab erwartungsgemäß eine Authentisierungszeit von 2 Sekunden! bei RJ-45 an einem Kupferport bei je einem Windows 10, MacOS 14.5 und Linux Debian Bookworm Client!
Fazit:
Works as designed!! 👍 😉
Member: geraldxx
geraldxx May 27, 2024 at 09:55:01 (UTC)
Goto Top
Vielen Dank für die Antworten.

Welche Infos Screenshots braucht ihr denn?

Vielleicht liegt das Problem hier:
user_group_mac_auth
Member: hempel
hempel May 27, 2024 updated at 11:08:56 (UTC)
Goto Top
Vielleicht liegt das Problem hier:
Nein, deine Auth funktioniert ja schon korrekt wenn der Port freigeschaltet wird. Wie gesagt die Verzögerung liegt unter Windows i.d.R. am APIPA, wenn dein Windows nicht in einer gewissen Zeit eine IP erhält setzt es sich über die IP-AutoConfiguration eine APIPA Adresse und fährt dann das weitere DHCP-Discover-Interval runter, dann hilft damit nur Warten oder ein ipconfig /release und ipconfig /renew um es zu beschleunigen.

Deaktivere mal APIPA dann geht es dort fixer, das braucht ein Netzwerker ja eh nicht:

Neuer DWORD unter : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<Adapter GUID>
Name: IPAutoconfigurationEnabled
Wert: 0

Danach Reboot oder NIC neu starten. Das würde ich als erstes mal probieren.

https://learn.microsoft.com/en-us/windows-server/troubleshoot/how-to-use ...
The Windows-based computer tries to re-establish the lease of the IP address. If the Windows computer does not find a DCHP server, it assigns itself an IP address after generating an error message. The computer then broadcasts four discover messages, and after every 5 minutes it repeats the whole procedure until a DHCP server comes on line. A message is then generated stating that communications have been re-established with the DHCP Server.
Member: geraldxx
geraldxx May 27, 2024 updated at 11:21:52 (UTC)
Goto Top
APIPA habe ich deaktiviert, hat nichts geändert leider.

Aber das wars wohl:


Ich habe aquis Screenshots mit meinen Settings verglichen und bei mir hatte ich dot1x gesetzt. Nachdem es deaktiviert wurde geht der auth und die IP-Adressvergabe in jetzt ca. 5 Sekunden face-smile
dot1x_mac_auth
Member: hempel
Solution hempel May 27, 2024 updated at 11:23:17 (UTC)
Goto Top
OK das erklärt das Verhalten dann:
Used authentication type on a server interface. When both options are selected at the same time, the server will prefer dot1x authentication type and only after 3 retrans-timeout periods, the authentication type will fall back to mac-auth. In order for mac-auth authentication type to work, the server interface should receive at least one frame containing a client's device source MAC address.
https://help.mikrotik.com/docs/display/ROS/Dot1X
Member: aqui
aqui May 27, 2024 updated at 11:31:48 (UTC)
Goto Top
geht der auth und die IP-Adressvergabe in jetzt ca. 5 Sekunden
Tja, wenn man die 👓 vergisst dann hilft auch das beste Forum nix!! face-wink
Case closed...
Member: commodity
commodity May 27, 2024 at 11:51:30 (UTC)
Goto Top
Wozu auch das Handbuch lesen, wenn die Kollegen einem das Denken hier abnehmen face-big-smile
Habt Ihr aber wieder sehr fein hin bekommen face-smile

Viele Grüße, commodity
Member: geraldxx
geraldxx May 27, 2024 updated at 14:34:04 (UTC)
Goto Top
Ich will nicht meckern aber bei Mikrotik sucht man sich dumm und dämlich, trotzdem finde ich die Geräte richtig gut und man lernt viel damit.
Member: commodity
commodity May 27, 2024 at 16:00:20 (UTC)
Goto Top
Es gibt ganz genau eine Seite zu dot1x. Wenn man den Haken dafür setzt, kann und sollte man die auch mal angucken. Aber hat ja auch so geklappt. face-smile

Viele Grüße, commodity