Mikrotik mac-based-auth

Hallo zusammen,

ich habe einen Mikrotik hEx Router und diesen bisher mit statischen Ports für versch VLANs konfiguriert. Soweit so gut, nun habe ich die dynamische VLAN Zuweisung über MAC-auth eingerichtet mittles dot1x, Radius-Server und User-Manager. Funktioniert auch nur dauert es ca. 2 Minuten bis der Client authentifiziert ist und dann seine IP-Adresse über den DHCP bekommt. Manchmal zieht sich der Client (Windows 10) allerdings eine 169.XXX Adresse, ist aber laut Mikrotik dot1x Service authorized und auch immer im richtigen VLAN:

Nehme ich den Port down, up dann dauert es wieder 2-3 Minuten bis der Port den Status authorized bekommt und der Windows Client eine IP-Adresse aus dem DHCP Pool bekommt. Hat jemand eine Idee?

Please also mark the comments that contributed to the solution of the article

Content-Key: 23386385983

Url: https://administrator.de/contentid/23386385983

Printed on: June 17, 2024 at 16:06 o'clock

12 Comments

Latest comment

Ist normal bei MAC Auth, da hängt das vom Client ab. Für eine Auth muss Traffic mit der MAC am Mikrotik auf dem Port ankommen. Provozieren kanst du das etwa durch de- und wieder aktivieren der LAN-Verbindung am Client oder mittels ipconfig /release und ipconfig /renew. Sobald der Client also einen L2 Frame auf dem Adapter verschickt, wird das die Freischaltung triggern. Ohne init. Traffic keine Freischaltung.

Da ein Client den Adapter beim Boot oder Einschalten aktiviert und ein DHCP-Frame verschickt ist das i.d.R. kein Problem. Wenn du natürlich den Port manuell wieder deautorisierst bekommt das der Client nicht mit und es dauert halt so lange bis der Client wieder ein Frame auf dem Port sendet, z.B. einen DHCP Request oder ARP Frames.
Hat der Client sich nur eine APIPA zugewiesen wiederholt Windows die DHCP Requests erst wieder alle 2-3 Minuten.

Besser läuft das wenn du stattdessen echtes 802.1x am Client einrichtest (z.B. mit EAP-MSChapv2, oder EAP-TLS). Hier werden dann EAPOL Frames vom Mikrotik auf der Leitung verschickt die dem Client signalisieren das er sich zuerst anmelden muss, das geschieht dann instant durch den Client wenn du den Port testweise deautorisierst. Wireshark zeigts dir.

Gruß

Dennoch sind 2 Minuten auch bei MAB deutlich zuviel.
Bei einem Windows Client oder überhaupt bei einem einem DHCP basierten Client dauert es in der Regel nicht mehr als 5 Sekunden und allerhöchsten 10 Sekunden bis der Port authentisiert ist bei einer MAB Authentisierung. Es ist also zu vermuten das da noch etwas anderes im Argen liegt bei deinem Setup?!
Allerdings kann man mit den spärlichen Infos von oben auch nur kristallkugeln.

Ggf. hilft dieser Thread zum weiteren Troubleshooting:
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2

Das liegt unter Windows meistens an der IPAutoConfiguration. Dann weist der sich eine APIPA zu und fährt das DHCP Intervall runter. Die würde ich als erstes abschalten ...

Was häufig auch nicht beachtet wird ist das MAB beim Mikrotik mit PAP arbeitet. Sofern man eine dedizierte User Group eingerichtet hat für MAB muss das angehakt sein oder entsprechend im Default angehakt sein:

Ein Kurztest an einem hAP-ax2 mit aktueller 7.14.3 ergab erwartungsgemäß eine Authentisierungszeit von 2 Sekunden! bei RJ-45 an einem Kupferport bei je einem Windows 10, MacOS 14.5 und Linux Debian Bookworm Client!
Fazit:
Works as designed!! 👍 😉

Vielen Dank für die Antworten.

Welche Infos Screenshots braucht ihr denn?

Vielleicht liegt das Problem hier:

Vielleicht liegt das Problem hier:

Nein, deine Auth funktioniert ja schon korrekt wenn der Port freigeschaltet wird. Wie gesagt die Verzögerung liegt unter Windows i.d.R. am APIPA, wenn dein Windows nicht in einer gewissen Zeit eine IP erhält setzt es sich über die IP-AutoConfiguration eine APIPA Adresse und fährt dann das weitere DHCP-Discover-Interval runter, dann hilft damit nur Warten oder ein ipconfig /release und ipconfig /renew um es zu beschleunigen.

Deaktivere mal APIPA dann geht es dort fixer, das braucht ein Netzwerker ja eh nicht:

Neuer DWORD unter : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\<Adapter GUID>
Name: IPAutoconfigurationEnabled
Wert: 0

Danach Reboot oder NIC neu starten. Das würde ich als erstes mal probieren.

https://learn.microsoft.com/en-us/windows-server/troubleshoot/how-to-use ...

The Windows-based computer tries to re-establish the lease of the IP address. If the Windows computer does not find a DCHP server, it assigns itself an IP address after generating an error message. The computer then broadcasts four discover messages, and after every 5 minutes it repeats the whole procedure until a DHCP server comes on line. A message is then generated stating that communications have been re-established with the DHCP Server.

APIPA habe ich deaktiviert, hat nichts geändert leider.

Aber das wars wohl:

Ich habe aquis Screenshots mit meinen Settings verglichen und bei mir hatte ich dot1x gesetzt. Nachdem es deaktiviert wurde geht der auth und die IP-Adressvergabe in jetzt ca. 5 Sekunden

OK das erklärt das Verhalten dann:

Used authentication type on a server interface. When both options are selected at the same time, the server will prefer dot1x authentication type and only after 3 retrans-timeout periods, the authentication type will fall back to mac-auth. In order for mac-auth authentication type to work, the server interface should receive at least one frame containing a client's device source MAC address.

https://help.mikrotik.com/docs/display/ROS/Dot1X