thor2605
Goto Top

Mikrotik RADIUS Server default WLAN

Hallo,

Ich habe aktuell einen freeradius Docker Container der mir meine WLAN Geräte in die entsprechenden VLANS zuweist.
Ich möchte diesen jetzt auf Kubernetes umziehen und dort ist es dann relativ kompliziert die User per Filesystem zu verwalten.

Daher suche ich jetzt Ersatz mit Web GUI für kubernetes oder aber am besten würde ich gern den internen Radius Server von Mikrotik nutzen.

Das letzte Mal bin ich beim Versuch den Mikrotik Radius Server zu verwenden, dass ich keinen default erstellen konnte dass unbekannte MAC Adressen automatisch das VLAN vom Gastnetz bekommen.

Geht das mittlerweile bzw war ich da einfach zu blöd dazu das einzurichten?

Danke!

Content-ID: 671790

Url: https://administrator.de/forum/mikrotik-radius-server-default-wlan-671790.html

Ausgedruckt am: 08.04.2025 um 14:04 Uhr

aqui
aqui 07.03.2025 aktualisiert um 09:27:25 Uhr
Goto Top
kompliziert die User per Filesystem zu verwalten.
Warum machst du es dann nicht ganz einfach per Web GUI KlickiBunti?!
Freeradius Management mit WebGUI

Alternativ findest du HIER eine detaillierte Anleitung wie du den Mikrotik Radius aufsetzt. Ebenso das Tutorial von @colinardo. Alles zu finden in den weiterführenden Links des o.a. Tutorials.
Einfach mal die Suchfunktion benutzen! 😉
Thor2605
Thor2605 07.03.2025 um 10:02:10 Uhr
Goto Top
Danke!

Die Suchfunktion hatte ich schon benutzt.
Aber ich möchte kein Captive Portal sondern direkte Zuweisung des Vlan.
Ich nutze auch keine MSSIDs dafür.
Sondern meine Besucher melden sich im normalen WLAN an und bekommen dann halt das Gast VLAN zugewiesen.

Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
aqui
Lösung aqui 07.03.2025 aktualisiert um 10:20:58 Uhr
Goto Top
Aber ich möchte kein Captive Portal sondern direkte Zuweisung des Vlan.
Wie kommst du jetzt auf ein CP?? 🤔
Die o.a. Tutorials beschreiben doch lediglich die von dir angefragte korrekte Radius Einrichtung. Ein CP Setup ist weit und breit nicht zu sehen…?! Hast du sie denn überhaupt einmal gelesen oder zumindestens überflogen?
Wenn du kein MSSID Setup hast lässt du die VLAN ID halt weg. Ist ja nun kein Hexenwerk.
Oben schreibst du allerdings (Zitat) „..sondern direkte Zuweisung des VLANs.“ Also nun doch dynamische VLANs??!
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Mmmhhh… Was genau willst du uns mit diesem kryptischen Satz sagen??
  • Default ist beim Freeradius die Verwaltung mit Textdateien. Es sei denn man setzt das o.a. Tutorial um dann klappt es auch ganz einfach mit KlickiBunti via Webbrowser.
  • Mikrotik erlaubt schon immer beides. Entweder nutzt du das CLI mit SSH oder Telnet (z.B. PuTTY) oder du nimmst das GUI via bekanntem Winbox Konfig Tool oder Webbrowser. Mikrotik bietet ja immer die freie Auswahl.
Wie du hier darauf kommst das es das nicht gab bleibt schleierhaft…aber nundenn. Vielleicht hast du dich auch nur gedrückt aus falsch?!
colinardo
Lösung colinardo 07.03.2025, aktualisiert am 08.03.2025 um 11:18:18 Uhr
Goto Top
Zitat von @Thor2605:
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...

Servus @Thor2605,
diese Beschränkung des UserManagers im Mikrotik gilt weiterhin, wie ich auch hier bereits geschrieben habe. Ein Workaround mittels AccessList des Mikrotik habe ich hier gepostet. Aber das ist eben nur eine Krücke da man quasi eine doppelt Buchführung hat, einmal in der AccessList und im UserManager selbst, wenn du damit kein Problem hast dann wäre es aber zumindest eine Möglichkeit das mit dem Router direkt umzusetzen.

Ein Freeradius ist bei der Anforderung zur Zeit jedoch immer noch die beste Wahl, da flexibler konfigurierbar. Wenn du eine GUI brauchst, siehe das o.g. Tutorial von @aqui (mittels Daloradius WebIF).

Alternativ kann man den Freeradius auch als Docker-Container auf dem Router selbst laufen lassen (sofern dieser über ausreichend Ressourcen verfügt).

Gruß @colinardo
Thor2605
Thor2605 14.03.2025 um 22:57:34 Uhr
Goto Top
Jetzt habe ich doch noch eine Frage zu meinem Setup.
Hab irgendwie einen Knoten im Kopf.

Mein Mikrotik hap ax lite soll über einen Managed Switch als Accesspoint konfiguriert werden.
Der Radius Client läuft auf dem CRS309.

Ich muss dann aber alle Vlans die meine WLAN Geräte bekommen können tagged zwischen Switch und CRS309 eintragen oder?

Also
Hap lite - > untagged - > switch - > tagged mit vlan 2,20,30,... - > CRS309

Passt das?
aqui
aqui 14.03.2025 aktualisiert um 23:20:30 Uhr
Goto Top
Ich muss dann aber alle Vlans die meine WLAN Geräte bekommen können tagged zwischen Switch und CRS309 eintragen oder?
Nein, das wäre nicht gut und erschwert das Management. Auf Trunk Ports wird immer das PVID VLAN UNtagged übertragen und die APs senden beim Booten einen DHCP Request immer über ihr Default VLAN 1 untagged raus. Das PVID VLAN sollte also niemals getagged werden. Im Default ist das das VLAN 1 sofern du es nicht änderst
Hap lite - > untagged - > switch - > tagged mit vlan 2,20,30,... - > CRS309
Nein, auch das ist falsch sofern du eine MSSID Konfig umsetzt. Die entsprechend gemappten MSSID auf die VLANs werden vom AP ja immer mit einem Tag versehen. Wenn du den hAP lediglich nur untagged mit einem reinen Accessport anbindest können die nicht übertragen werden wenn der Switch kein Tagging an dem Port konfiguriert hat.
Der Switchport muss als Trunkport ausgelegt sein (Frame Type = Admit All) und das PVID VLAN muss auf die VLAN ID gesetzt sein wo du das AP Management machst und die Management IP ziehst.
Siehe dazu die VLAN Schnellschulung und das Praxisbeispiel dazu.
Admit all lässt das PVID VLAN untagged zu und die MSSIDs und ihre dazu korrepondierenden VLAN IDs tagged.
Thor2605
Thor2605 14.03.2025 um 23:33:25 Uhr
Goto Top
MSSIDs nutze ich nicht.
Alle Geräte haben die selbe SSID und werden dann vom CRS309 auf die Vlans getagged.

Hab ich das falsch verstanden, dass der hap dann per L2 mit dem CRS kommuniziert und erst der das tagging durchführt?

Der hap ist doch dann untagged an den switch und dort als trunk zum CRS309?
aqui
aqui 14.03.2025 aktualisiert um 23:49:35 Uhr
Goto Top
MSSIDs nutze ich nicht.
Ahhsoo...sorry missverstanden! 🙈
Dann musst du natürlich auch nicht taggen und der Frametype kann auf untagged prio tagged stehen (Access Port) mit der PVID in dem du dein WLAN betreiben willst.

Nur nebenbei weil du von Radius redest. Auch eine dynamische VLAN Zuweisung verwendet Taggings durch den AP!
Der User wird dann am AP dem entsprechenden VLAN zugeordnet und dessen Frames verlassen dann den AP natürlich tagged und der Switchport muss den Tag wieder verstehen. Dafür gibst du ja am Radius eine VLAN ID mit. Womit wir dann wieder oben bei der Trunk Konfig sind!
Andernfalls wäre eine identifizierbare Zuordnung der User zu den VLANs gar nicht möglich.
Nicht das das wieder ein Missverständnis gibt. face-wink
Thor2605
Thor2605 15.03.2025 um 09:32:21 Uhr
Goto Top
Ach ich glaube jetzt hab ich meinen Denkfehler gefunden.

Der hap holt sich selbst über den Radius dann das Vlan tagging und übergibt dann die Datenpakete inklusive der Vlan ID raus?

Bisher hatte ich gedacht das läuft dann alles über L2 und der CRS309 macht dann erst das tagging...
colinardo
Lösung colinardo 15.03.2025, aktualisiert am 16.03.2025 um 06:56:12 Uhr
Goto Top
Der hap holt sich selbst über den Radius dann das Vlan tagging und übergibt dann die Datenpakete inklusive der Vlan ID raus?
Korrekt. Der Radius-Client des hAP fragt für den Client den Radius-Server, dieser gibt in der Antwort die VLAN-ID (Mikrotik-Wireless-VLANID - Attribut) für den Client mit und der hAP schaltet dann den Client für dieses VLAN frei und tagged dann die entsprechenden Pakete des Clients. Ausgehend zum Client werden die Tags natürlich wieder entfernt denn der Client kann damit ja nichts anfangen.
Üblicherweise sollte man niemals MGMT Netz und Client-Netze mischen, denn sonst geht einem die Kontrolle flöten, normale Clients haben i.d.R. nichts im MGMT zu suchen. Also MGMT Netz zum AP untagged (PVID am Switch-Port = VLAN1) und alle anderen Netze die am AP anliegen tagged auf dem Link übertragen. Wenn man will (und der AP es zulässt), kann man aber auch das MGMT auf dem Link zum AP taggen, das bleibt einem selbst überlassen wie man dies bei sich handhabt.