Mikrotik RADIUS Server default WLAN
Hallo,
Ich habe aktuell einen freeradius Docker Container der mir meine WLAN Geräte in die entsprechenden VLANS zuweist.
Ich möchte diesen jetzt auf Kubernetes umziehen und dort ist es dann relativ kompliziert die User per Filesystem zu verwalten.
Daher suche ich jetzt Ersatz mit Web GUI für kubernetes oder aber am besten würde ich gern den internen Radius Server von Mikrotik nutzen.
Das letzte Mal bin ich beim Versuch den Mikrotik Radius Server zu verwenden, dass ich keinen default erstellen konnte dass unbekannte MAC Adressen automatisch das VLAN vom Gastnetz bekommen.
Geht das mittlerweile bzw war ich da einfach zu blöd dazu das einzurichten?
Danke!
Ich habe aktuell einen freeradius Docker Container der mir meine WLAN Geräte in die entsprechenden VLANS zuweist.
Ich möchte diesen jetzt auf Kubernetes umziehen und dort ist es dann relativ kompliziert die User per Filesystem zu verwalten.
Daher suche ich jetzt Ersatz mit Web GUI für kubernetes oder aber am besten würde ich gern den internen Radius Server von Mikrotik nutzen.
Das letzte Mal bin ich beim Versuch den Mikrotik Radius Server zu verwenden, dass ich keinen default erstellen konnte dass unbekannte MAC Adressen automatisch das VLAN vom Gastnetz bekommen.
Geht das mittlerweile bzw war ich da einfach zu blöd dazu das einzurichten?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671790
Url: https://administrator.de/forum/mikrotik-radius-server-default-wlan-671790.html
Ausgedruckt am: 08.04.2025 um 14:04 Uhr
10 Kommentare
Neuester Kommentar
kompliziert die User per Filesystem zu verwalten.
Warum machst du es dann nicht ganz einfach per Web GUI KlickiBunti?!Freeradius Management mit WebGUI
Alternativ findest du HIER eine detaillierte Anleitung wie du den Mikrotik Radius aufsetzt. Ebenso das Tutorial von @colinardo. Alles zu finden in den weiterführenden Links des o.a. Tutorials.
Einfach mal die Suchfunktion benutzen! 😉
Aber ich möchte kein Captive Portal sondern direkte Zuweisung des Vlan.
Wie kommst du jetzt auf ein CP?? 🤔Die o.a. Tutorials beschreiben doch lediglich die von dir angefragte korrekte Radius Einrichtung. Ein CP Setup ist weit und breit nicht zu sehen…?! Hast du sie denn überhaupt einmal gelesen oder zumindestens überflogen?
Wenn du kein MSSID Setup hast lässt du die VLAN ID halt weg. Ist ja nun kein Hexenwerk.
Oben schreibst du allerdings (Zitat) „..sondern direkte Zuweisung des VLANs.“ Also nun doch dynamische VLANs??!
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Mmmhhh… Was genau willst du uns mit diesem kryptischen Satz sagen??- Default ist beim Freeradius die Verwaltung mit Textdateien. Es sei denn man setzt das o.a. Tutorial um dann klappt es auch ganz einfach mit KlickiBunti via Webbrowser.
- Mikrotik erlaubt schon immer beides. Entweder nutzt du das CLI mit SSH oder Telnet (z.B. PuTTY) oder du nimmst das GUI via bekanntem Winbox Konfig Tool oder Webbrowser. Mikrotik bietet ja immer die freie Auswahl.
Zitat von @Thor2605:
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Servus @Thor2605,
diese Beschränkung des UserManagers im Mikrotik gilt weiterhin, wie ich auch hier bereits geschrieben habe. Ein Workaround mittels AccessList des Mikrotik habe ich hier gepostet. Aber das ist eben nur eine Krücke da man quasi eine doppelt Buchführung hat, einmal in der AccessList und im UserManager selbst, wenn du damit kein Problem hast dann wäre es aber zumindest eine Möglichkeit das mit dem Router direkt umzusetzen.
Ein Freeradius ist bei der Anforderung zur Zeit jedoch immer noch die beste Wahl, da flexibler konfigurierbar. Wenn du eine GUI brauchst, siehe das o.g. Tutorial von @aqui (mittels Daloradius WebIF).
Alternativ kann man den Freeradius auch als Docker-Container auf dem Router selbst laufen lassen (sofern dieser über ausreichend Ressourcen verfügt).
Gruß @colinardo
Ich muss dann aber alle Vlans die meine WLAN Geräte bekommen können tagged zwischen Switch und CRS309 eintragen oder?
Nein, das wäre nicht gut und erschwert das Management. Auf Trunk Ports wird immer das PVID VLAN UNtagged übertragen und die APs senden beim Booten einen DHCP Request immer über ihr Default VLAN 1 untagged raus. Das PVID VLAN sollte also niemals getagged werden. Im Default ist das das VLAN 1 sofern du es nicht änderstHap lite - > untagged - > switch - > tagged mit vlan 2,20,30,... - > CRS309
Nein, auch das ist falsch sofern du eine MSSID Konfig umsetzt. Die entsprechend gemappten MSSID auf die VLANs werden vom AP ja immer mit einem Tag versehen. Wenn du den hAP lediglich nur untagged mit einem reinen Accessport anbindest können die nicht übertragen werden wenn der Switch kein Tagging an dem Port konfiguriert hat.Der Switchport muss als Trunkport ausgelegt sein (Frame Type = Admit All) und das PVID VLAN muss auf die VLAN ID gesetzt sein wo du das AP Management machst und die Management IP ziehst.
Siehe dazu die VLAN Schnellschulung und das Praxisbeispiel dazu.
Admit all lässt das PVID VLAN untagged zu und die MSSIDs und ihre dazu korrepondierenden VLAN IDs tagged.
MSSIDs nutze ich nicht.
Ahhsoo...sorry missverstanden! 🙈Dann musst du natürlich auch nicht taggen und der Frametype kann auf untagged prio tagged stehen (Access Port) mit der PVID in dem du dein WLAN betreiben willst.
Nur nebenbei weil du von Radius redest. Auch eine dynamische VLAN Zuweisung verwendet Taggings durch den AP!
Der User wird dann am AP dem entsprechenden VLAN zugeordnet und dessen Frames verlassen dann den AP natürlich tagged und der Switchport muss den Tag wieder verstehen. Dafür gibst du ja am Radius eine VLAN ID mit. Womit wir dann wieder oben bei der Trunk Konfig sind!
Andernfalls wäre eine identifizierbare Zuordnung der User zu den VLANs gar nicht möglich.
Nicht das das wieder ein Missverständnis gibt.
Der hap holt sich selbst über den Radius dann das Vlan tagging und übergibt dann die Datenpakete inklusive der Vlan ID raus?
Korrekt. Der Radius-Client des hAP fragt für den Client den Radius-Server, dieser gibt in der Antwort die VLAN-ID (Mikrotik-Wireless-VLANID - Attribut) für den Client mit und der hAP schaltet dann den Client für dieses VLAN frei und tagged dann die entsprechenden Pakete des Clients. Ausgehend zum Client werden die Tags natürlich wieder entfernt denn der Client kann damit ja nichts anfangen.Üblicherweise sollte man niemals MGMT Netz und Client-Netze mischen, denn sonst geht einem die Kontrolle flöten, normale Clients haben i.d.R. nichts im MGMT zu suchen. Also MGMT Netz zum AP untagged (PVID am Switch-Port = VLAN1) und alle anderen Netze die am AP anliegen tagged auf dem Link übertragen. Wenn man will (und der AP es zulässt), kann man aber auch das MGMT auf dem Link zum AP taggen, das bleibt einem selbst überlassen wie man dies bei sich handhabt.