8
Mikrotik RADIUS Server default WLAN
Hallo,
Ich habe aktuell einen freeradius Docker Container der mir meine WLAN Geräte in die entsprechenden VLANS zuweist.
Ich möchte diesen jetzt auf Kubernetes umziehen und dort ist es dann relativ kompliziert die User per Filesystem zu verwalten.
Daher suche ich jetzt Ersatz mit Web GUI für kubernetes oder aber am besten würde ich gern den internen Radius Server von Mikrotik nutzen.
Das letzte Mal bin ich beim Versuch den Mikrotik Radius Server zu verwenden, dass ich keinen default erstellen konnte dass unbekannte MAC Adressen automatisch das VLAN vom Gastnetz bekommen.
Geht das mittlerweile bzw war ich da einfach zu blöd dazu das einzurichten?
Danke!
Ich habe aktuell einen freeradius Docker Container der mir meine WLAN Geräte in die entsprechenden VLANS zuweist.
Ich möchte diesen jetzt auf Kubernetes umziehen und dort ist es dann relativ kompliziert die User per Filesystem zu verwalten.
Daher suche ich jetzt Ersatz mit Web GUI für kubernetes oder aber am besten würde ich gern den internen Radius Server von Mikrotik nutzen.
Das letzte Mal bin ich beim Versuch den Mikrotik Radius Server zu verwenden, dass ich keinen default erstellen konnte dass unbekannte MAC Adressen automatisch das VLAN vom Gastnetz bekommen.
Geht das mittlerweile bzw war ich da einfach zu blöd dazu das einzurichten?
Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671790
Url: https://administrator.de/forum/mikrotik-radius-server-default-wlan-671790.html
Ausgedruckt am: 15.03.2025 um 07:03 Uhr
8 Kommentare
Neuester Kommentar
kompliziert die User per Filesystem zu verwalten.
Warum machst du es dann nicht ganz einfach per Web GUI KlickiBunti?!Freeradius Management mit WebGUI
Alternativ findest du HIER eine detaillierte Anleitung wie du den Mikrotik Radius aufsetzt. Ebenso das Tutorial von @colinardo. Alles zu finden in den weiterführenden Links des o.a. Tutorials.
Einfach mal die Suchfunktion benutzen! 😉
Danke!
Die Suchfunktion hatte ich schon benutzt.
Aber ich möchte kein Captive Portal sondern direkte Zuweisung des Vlan.
Ich nutze auch keine MSSIDs dafür.
Sondern meine Besucher melden sich im normalen WLAN an und bekommen dann halt das Gast VLAN zugewiesen.
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Die Suchfunktion hatte ich schon benutzt.
Aber ich möchte kein Captive Portal sondern direkte Zuweisung des Vlan.
Ich nutze auch keine MSSIDs dafür.
Sondern meine Besucher melden sich im normalen WLAN an und bekommen dann halt das Gast VLAN zugewiesen.
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Aber ich möchte kein Captive Portal sondern direkte Zuweisung des Vlan.
Wie kommst du jetzt auf ein CP?? 🤔Die o.a. Tutorials beschreiben doch lediglich die von dir angefragte korrekte Radius Einrichtung. Ein CP Setup ist weit und breit nicht zu sehen…?! Hast du sie denn überhaupt einmal gelesen oder zumindestens überflogen?
Wenn du kein MSSID Setup hast lässt du die VLAN ID halt weg. Ist ja nun kein Hexenwerk.
Oben schreibst du allerdings (Zitat) „..sondern direkte Zuweisung des VLANs.“ Also nun doch dynamische VLANs??!
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Mmmhhh… Was genau willst du uns mit diesem kryptischen Satz sagen??- Default ist beim Freeradius die Verwaltung mit Textdateien. Es sei denn man setzt das o.a. Tutorial um dann klappt es auch ganz einfach mit KlickiBunti via Webbrowser.
- Mikrotik erlaubt schon immer beides. Entweder nutzt du das CLI mit SSH oder Telnet (z.B. PuTTY) oder du nimmst das GUI via bekanntem Winbox Konfig Tool oder Webbrowser. Mikrotik bietet ja immer die freie Auswahl.
1
Zitat von @Thor2605:
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Beim freeradius mache ich das über default aber genau das gab es zumindest bisher bei dem integrierten Server von Mikrotik nicht...
Servus @Thor2605,
diese Beschränkung des UserManagers im Mikrotik gilt weiterhin, wie ich auch hier bereits geschrieben habe. Ein Workaround mittels AccessList des Mikrotik habe ich hier gepostet. Aber das ist eben nur eine Krücke da man quasi eine doppelt Buchführung hat, einmal in der AccessList und im UserManager selbst, wenn du damit kein Problem hast dann wäre es aber zumindest eine Möglichkeit das mit dem Router direkt umzusetzen.
Ein Freeradius ist bei der Anforderung zur Zeit jedoch immer noch die beste Wahl, da flexibler konfigurierbar. Wenn du eine GUI brauchst, siehe das o.g. Tutorial von @aqui (mittels Daloradius WebIF).
Alternativ kann man den Freeradius auch als Docker-Container auf dem Router selbst laufen lassen (sofern dieser über ausreichend Ressourcen verfügt).
Gruß @colinardo
2
Jetzt habe ich doch noch eine Frage zu meinem Setup.
Hab irgendwie einen Knoten im Kopf.
Mein Mikrotik hap ax lite soll über einen Managed Switch als Accesspoint konfiguriert werden.
Der Radius Client läuft auf dem CRS309.
Ich muss dann aber alle Vlans die meine WLAN Geräte bekommen können tagged zwischen Switch und CRS309 eintragen oder?
Also
Hap lite - > untagged - > switch - > tagged mit vlan 2,20,30,... - > CRS309
Passt das?
Hab irgendwie einen Knoten im Kopf.
Mein Mikrotik hap ax lite soll über einen Managed Switch als Accesspoint konfiguriert werden.
Der Radius Client läuft auf dem CRS309.
Ich muss dann aber alle Vlans die meine WLAN Geräte bekommen können tagged zwischen Switch und CRS309 eintragen oder?
Also
Hap lite - > untagged - > switch - > tagged mit vlan 2,20,30,... - > CRS309
Passt das?
Ich muss dann aber alle Vlans die meine WLAN Geräte bekommen können tagged zwischen Switch und CRS309 eintragen oder?
Nein, das wäre nicht gut und erschwert das Management. Auf Trunk Ports wird immer das PVID VLAN UNtagged übertragen und die APs senden beim Booten einen DHCP Request immer über ihr Default VLAN 1 untagged raus. Das PVID VLAN sollte also niemals getagged werden. Im Default ist das das VLAN 1 sofern du es nicht änderstHap lite - > untagged - > switch - > tagged mit vlan 2,20,30,... - > CRS309
Nein, auch das ist falsch sofern du eine MSSID Konfig umsetzt. Die entsprechend gemappten MSSID auf die VLANs werden vom AP ja immer mit einem Tag versehen. Wenn du den hAP lediglich nur untagged mit einem reinen Accessport anbindest können die nicht übertragen werden wenn der Switch kein Tagging an dem Port konfiguriert hat.Der Switchport muss als Trunkport ausgelegt sein (Frame Type = Admit All) und das PVID VLAN muss auf die VLAN ID gesetzt sein wo du das AP Management machst und die Management IP ziehst.
Siehe dazu die VLAN Schnellschulung und das Praxisbeispiel dazu.
Admit all lässt das PVID VLAN untagged zu und die MSSIDs und ihre dazu korrepondierenden VLAN IDs tagged.
MSSIDs nutze ich nicht.
Alle Geräte haben die selbe SSID und werden dann vom CRS309 auf die Vlans getagged.
Hab ich das falsch verstanden, dass der hap dann per L2 mit dem CRS kommuniziert und erst der das tagging durchführt?
Der hap ist doch dann untagged an den switch und dort als trunk zum CRS309?
Alle Geräte haben die selbe SSID und werden dann vom CRS309 auf die Vlans getagged.
Hab ich das falsch verstanden, dass der hap dann per L2 mit dem CRS kommuniziert und erst der das tagging durchführt?
Der hap ist doch dann untagged an den switch und dort als trunk zum CRS309?
MSSIDs nutze ich nicht.
Ahhsoo...sorry missverstanden! 🙈Dann musst du natürlich auch nicht taggen und der Frametype kann auf untagged prio tagged stehen (Access Port) mit der PVID in dem du dein WLAN betreiben willst.
Nur nebenbei weil du von Radius redest. Auch eine dynamische VLAN Zuweisung verwendet Taggings durch den AP!
Der User wird dann am AP dem entsprechenden VLAN zugeordnet und dessen Frames verlassen dann den AP natürlich tagged und der Switchport muss den Tag wieder verstehen. Dafür gibst du ja am Radius eine VLAN ID mit. Womit wir dann wieder oben bei der Trunk Konfig sind!
Andernfalls wäre eine identifizierbare Zuordnung der User zu den VLANs gar nicht möglich.
Nicht das das wieder ein Missverständnis gibt.
