michi1983
Goto Top

Mikrotik: Wifi clients in anderes VLAN schieben?

Hallo admins,

ich habe aktuell 3 VLANs auf meinem Mikrotik Router angelegt.
1 - Management
10 - Guests
20 - IoT

An dem Router hängen auch 2 cAPs welche ich über CAPSMAN manage.

An beiden cAPs liegen 2 SSIDs an:
- privat
- guest (vlan10)

Bevor ich jetzt eine eigene SSID mit VLAN20 anlege und die an die cAPs provisioniere wollte ich fragen ob ich Devices die in meinem privaten Wifi hängen, irgendwie automatisch in das VLAN20 "schubsen" kann?
Der Grund der Frage ist lediglich meine Faulheit, da es doch einige Devices mittlerweile sind und ich die sonst von Hand ins neue Netz umhängen müsste.

Danke für euren Input.

Gruß
michi

Content-ID: 3040913731

Url: https://administrator.de/contentid/3040913731

Ausgedruckt am: 03.12.2024 um 17:12 Uhr

aqui
Lösung aqui 10.06.2022, aktualisiert am 22.10.2023 um 17:40:07 Uhr
Goto Top
Ja, das geht mittlerweile problemlos mit MT Bordmitteln und der dynamischen VLAN Funktion die mittlerweile inklusive Radius Server in der Stable 7.3 funktionsfähig angekommen ist.
Alles nähere hier:
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2
802.1x mit Mikrotik Radius und Cisco WLAN APs (Dito per Mac Adress Authentisierung)

Grundlagen zum WLAN Setup auch hier.
Die ganze Zertifikatsgeschichte kannst du dir bei einfacher Mac Auth wegdenken und benötigst du nicht.
michi1983
michi1983 10.06.2022 um 20:58:20 Uhr
Goto Top
Hi aqui,

vielen Dank für die Hilfe.
Die Authentifizierung mittels MAC klappt jetzt über den Radius.
Was allerdings nicht klappt, ist das automatische Verschieben in ein vordefiniertes VLAN falls ich die MAC nicht explizit als User angelegt habe.
Aktuell ist es so, dass die Clients einfach gar keine IP bekommen.

Habe ich etwas übersehen?

Gruß
michi
aqui
Lösung aqui 10.06.2022 um 21:21:56 Uhr
Goto Top
ist das automatische Verschieben in ein vordefiniertes VLAN falls ich die MAC nicht explizit als User angelegt habe.
Hast du denn auch die Mikrotik spezifischen VLAN Attribute im Radius Profil gesetzt?

Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Mikrotik-Wireless-VLANID := 20

MT benötigt im WLAN Bereich ein MT spezifische Attribut statt des Standard Attributes für das VLAN. Das Tutorial vom Kollegen @colinardo beschreibt das leider nur für LAN Ports.
Das hast du vermutlich übersehen... face-wink
michi1983
michi1983 10.06.2022 aktualisiert um 22:22:44 Uhr
Goto Top
Hi aqui,

du hast recht, das hatte ich tatsächlich übersehen face-smile

Jetzt klappt das zumindest auch, echt klasse.

Das einzige Problem was ich jetzt noch habe:
Mit der Authentifizierung klappt etwas nicht.
Ich habe 2 User angelegt:
users

Und wenn ich den usernamen sowie passwort eingebe, bekomme ich am Device einen Fehler, dass das Netzwerk nicht erreichbar ist.

Hier ist ein Log Auszug:
screenshot

Irgendwie sieht das danach aus, als ob er weiterhin versucht die MAC Adresse als Usernamen zu verwenden und nicht den definierten Usernamen + Passwort oder?

Gruß
michi

EDIT:
Ich hatte noch die Access-Liste gesetzt im CAPSMAN, das war das Problem.
Danke dir für die Hilfe!
michi1983
michi1983 10.06.2022 aktualisiert um 22:57:27 Uhr
Goto Top
Hm, ich habe mich leider etwas zu früh gefreut.

Was klappt:
Wenn ich Username + Passwort für das VLAN10 eingebe, dann klappt alles und ich bekomme sofort eine IP aus dem VLAN10.

Was nicht klappt:
Wenn ich Username + Passwort für mein Management VLAN mit der ID 1 eingebe, bekomme ich einfach keine IP Adresse zugewiesen. Egal ob am iPhone oder am Lenovo Thinkpad X1.
Im Log steht immer:
dhcp_lan offering lease 172.16.16.97 for 22:F5:9A:CF:0C:0B without success

Habe ich hier etwas falsch gemacht mit der VLAN ID 1?
Oder woran kann das liegen?

Gruß
michi
aqui
aqui 11.06.2022, aktualisiert am 21.06.2022 um 14:55:35 Uhr
Goto Top
1 ist ja immer das Default VLAN und da ist jetzt die Frage WIE das am AP anliegt. Wir gehen mal davon aus das du im CapsMan kein Tunneling zum Controller machst sondern local Forwarding? Ist das richtig?
Normal ohne customizing ist VLAN1 ja untagged (PVID 1) und es muss keine dynamische VLAN Zuweisung erfolgen. Im Radius steht dann lediglich nur Usernamen und Passwort ohne VLAN Credentials.
Generell ist es aber keine gute Idee eine WLAN SSID in das Management zu hängen aber das ist wie immer Geschmackssache. face-wink
vlneu2.
dyn1

Wenn man den u.a. Mac Filter weglässt macht der MT einen kombinierte Mac plus Dot1x Abfrage. Mit einem zusätzlichen Radius Attribut "Mikrotik-Wireless-Skip-Dot1x" kann man dann die Dot1x Prüfung überspringen wenn man z.B. Drucker, IoT oder andere Endgeräte ohne .1x Client in WPA Enterprise WLAN Netzen authentisieren muss.
acl
michi1983
michi1983 12.06.2022 aktualisiert um 22:21:04 Uhr
Goto Top
So, mittlerweile klappt es dank deinen Hinweisen wie es soll.
VLAN 1 habe ich für WIFI jetzt aktuell auch außen vor gelassen und einfach ein eigenes internes WIFI VLAN (20) angelegt.

Reine MAC Authentication mit WPA2-PSK (kein EAP in meinem Fall).

Was ich allerdings nicht gebacken bekomme:
Dass sich Clients die das WIFI Passwort richtig eingeben, ich aber nicht manuell angelegt habe im User Manager des MT, automatisch in mein Gäste VLAN 10 geschoben werden und die Hot Spot Website geöffnet wird.

Das VLAN existiert (ident zu allen anderen).

Aber irgendwie fehlt mir noch der verbindende Punkt wo genau das Setting ist welches sagt:
Wenn du nicht authentifiziert bist, ab ins VLAN10 mit dir.

Ich denke es liegt daran, dass ich hier nicht weiß, wie ich diesen "Default" User anlegen soll im User Manager:
2022-06-12 22_09_29-dynamische vlan zuweisung für wlan (u. lan) clients mit mikrotik - administrator

Meine angelegten User sehen so aus z.B:
screenshot

Achja und unter IP > Hotspot gibt es noch einen Radius Reiter/Tab. Muss dort etwas eingestellt sein?

Kannst du mir hier ev. beim letzten Puzzlestück auf die Sprünge helfen mit ev. einem Screenshot?

Vielen Dank und Gruß
michi
aqui
Lösung aqui 13.06.2022, aktualisiert am 21.06.2022 um 14:59:56 Uhr
Goto Top
Als Erstes:
Du hast einen Fehler in den Tunnel Type und Tunnel Medium Type Attributen, die hast du oben vertauscht!! Richtig ist:
  • Tunnel-Type = 13
  • Tunnel-Medium-Type = 6
Auch im FreeRadius sind diese Attribute so gesetzt:
00:78:fa:7b:d9:b2       Cleartext-Password := "00:78:fa:7b:d9:b2"
                        Tunnel-Type = 13,
                        Tunnel-Medium-Type = 6,
                        Tunnel-Private-Group-Id = 11 
Achja und unter IP > Hotspot gibt es noch einen Radius Reiter/Tab. Muss dort etwas eingestellt sein?
Jein. Das bezieht sich nur auf die Authentisierung im Hotspot/Captive Portal selber und wie sich dort die User authentisieren sollen. Du kannst die Captive Portal Credentials natürlich auch über den User Manager (Radius) bedienen. Nur dafür ist das da. Ansonsten geht das über die lokale User Datenbank. Im User Manager/Radius kann man aber auch einmal Vocher vergeben so das diese Lösung sicher besser wäre.

Was die nicht authentisierten Default User anbetrifft hast du absolut Recht. Da müsste man dem User Manager sagen das er per Default alle nichtauthorisierten ins Gast VLAN packt so wie in der Default Definition beim FreeRadius.
Die Doku sagt da was von der "guest vlan id" aber ob man damit sowas stricken kann müsste man mal checken. Grundsätzlich auch ob die dot1x Funktionen auch auf einem WLAN Interface greifen oder nur für Kupfer sind.
Ist also etwas forschen angesagt...oder dem Kollegen @colinardo als Tutorial Verfasser fällt noch etwas dazu ein?! 😉
michi1983
michi1983 13.06.2022 um 11:41:58 Uhr
Goto Top
hm, okay, dann bleibe ich derweil einfach bei einem dezidierten gast wifi netz in einem anderen vlan.

Danke wie immer für die Hilfe aqui!

Gruß
aqui
aqui 13.06.2022 um 12:30:03 Uhr
Goto Top
Du kannst ja auch einen Allerwelts Gastuser: gast, Pass: gast einrichten den du dann in das Captive Portal VLAN bringst.
So hast du als "Hürde" immer noch diese Zugangsdaten aber auch wenn die jemand weitergibt landen die dann ja eh immer im Captive Portal wo es ja nur mit deinem Zutun weitergeht.
michi1983
michi1983 13.06.2022 aktualisiert um 15:54:36 Uhr
Goto Top
Ich bin grad drauf gekommen, ich hab ja noch immer das gleiche Problem.
Ich dachte wenn ich ein 2. GAST Wifi aufspanne, dass sich dann da jeder einloggen kann und er sich in meinem definierten VLAN befindet.
Aber die MAC Authentication zieht ja jetzt bei ALLEN WIFIs, das heißt ich krieg überhaupt kein Device auf irgendein VLAN wenn ich es nicht manuell mache, richtig?

EDIT:
Habe jetzt doch eine Option gefunden, nämlich hier:
screenshot

Alles was nicht SSID "home" hat, wird ganz normal ohne Radius authentifziert (sprich über das security profile im CAPSMan) womit ich mit boardmitteln eine saubere Lösung für mich gefunden habe.
aqui
aqui 13.06.2022 um 16:39:28 Uhr
Goto Top
zieht ja jetzt bei ALLEN WIFIs
Eigentlich nicht. Du kannst ja jeder SSID immer ein separates Security Profil zuordnen. Wenn du die 2te SSID nun offen lässt als Gastnetz und sie mit dem GastVLAN taggst so das sie immer im Captive Portal VLAN landet bekommst du es einfacher und auch ohne die o.a. Klimmzüge hin.
Aber du wolltest es doch gerade ohne MSSIDs machen die dir deine netto Airtime auffressen?! face-wink
michi1983
michi1983 13.06.2022 um 17:45:43 Uhr
Goto Top
Aber selbst wenn ich ein eigenes offenes Security Profile erstelle, arbeite ich immer noch mit einem Gast WLAN (sprich eine weitere SSID).

Natürlich wäre es mir lieber das völlig dynamisch zu gestalten mit nur einer SSID, aber das scheint - zumindest der eingebaute RADIUS Server von MT - nicht hin zu kriegen. Oder ich bin einfach zu doof, das will ich gar nicht ausschließen face-smile
aqui
aqui 13.06.2022 um 18:09:04 Uhr
Goto Top
arbeite ich immer noch mit einem Gast WLAN (sprich eine weitere SSID).
Ja, und widersprichst dir und deinem Threadthema damit dann selber. face-wink
Du selber hast das aber in die Waagschale geschmissen... (Zitat)" Ich dachte wenn ich ein 2. GAST Wifi aufspanne.."
mit nur einer SSID...
Das sieht fürs Erste so aus...aber was spricht gegen die o.a. Dummy Kombination gast/gast ?
michi1983
michi1983 13.06.2022 um 20:55:17 Uhr
Goto Top
Zitat von @aqui:
mit nur einer SSID...
Das sieht fürs Erste so aus...aber was spricht gegen die o.a. Dummy Kombination gast/gast ?

Naja, vielleicht reden wir jetzt auch aneinander vorbei face-smile
Ich halte fest: mit nur einer einzigen SSID klappt es nicht mit Boardmitteln eine reine MAC Authentication zu machen, da dem MT Radius diese Default-Einstellung "fehlt" die du beim Freeradius in deinem Tutorial erläuterst.
Sind wir bis hierher noch d'accord?

Bleibt also nur noch die Lösung einer 2. SSID meines Erachtens.
Und hier spielt es dann keine Rolle ob ich ein freies WIFI mache und die User dann auf das Captive Portal weiterleite wo sie dann wieder Gast/Gast eingeben müssen oder ob ich einfach eine SSID namens Gast hochfahre, welche sich automatisch im VLAN10 (für Gäste befindet) und dort einfach das WPA2-PSK shared secret auf Gast1234 setzte. Oder übersehe ich tatsächlich noch etwas?
aqui
aqui 14.06.2022, aktualisiert am 21.06.2022 um 14:41:41 Uhr
Goto Top
Ich halte fest: mit nur einer einzigen SSID klappt es nicht mit Boardmitteln eine reine MAC Authentication zu machen
Nein! Diese Feststellung ist schlicht falsch. Du kannst natürlich eine reine Mac Adress Authentisierung einstellen die de facto kein Dot1x macht. Diese Einstellung fehlt keineswegs und hat im übrigen auch rein gar nichts mit dem User Manager/Radius zu tun sondern rein nur mit dem CapsMan Setup. Du hast hier vermutlich statt reine Mac Auth versehentlich Dot1x aktiviert, kann das sein?
Sind wir bis hierher noch d'accord?
Nein, leider nicht, denn dein Feststellung basiert auf falschen Tatsachen weil du vermutlich etwas im Security Setup deiner SSID falsch gemacht hast. (Security Profil im CapsMan) face-sad
Damit sind dann auch deine daraus resultierenden Lösungsansätze alle falsch.

back-to-topReine Mac Auth Settings CapsMan

offen1
offen3
offen2

back-to-topSettings User Manager (Mac in VLAN 20)

vl_nez.
michi1983
michi1983 14.06.2022 aktualisiert um 12:09:36 Uhr
Goto Top
Okay, ich habe oben tatsächlich die hälfte des Satzes vergessen sehe ich gerade.

Ich korrigiere:

mit nur einer einzigen SSID klappt es nicht mit Boardmitteln eine reine MAC Authentication zu machen, welche mir nicht authentifizierte Devices automatisch in ein definiertes VLAN schiebt, da dem MT Radius diese Default-Einstellung "fehlt" die du beim Freeradius in deinem Tutorial erläuterst.
aqui
aqui 14.06.2022 aktualisiert um 13:20:06 Uhr
Goto Top
So passt es dann wieder. face-wink
Sieht so aus als ob es derzeit mit dem onboard Radius nicht möglich ist. Es gibt keinen Default User und auch kein Radius Attribut was man da setzen kann. Auch keinen Workaround mit einer Negierung ala "alles was NICHT User xyz ist in VLAN x".
Hilft wohl nur ein Feature Request an Mikrotik...
und dort einfach das WPA2-PSK shared secret auf Gast1234 setzte.
OK, aber wenn das dann doch eine Lösungsoption für dich wäre, dann nochmals die Frage warum dann nicht doch Dot1x only und als Dummy Zugang gast/gast ?
Damit schägst du 3 Fliegen mit einer Klappe:
  • Dynamisches VLAN für Gäste mit nur einer SSID
  • Umgehung der dynamischen Mac Adress pro SSID Problematik bei Smartphones
  • Generelle Verschlüsselung auch des Gast Zugangs
michi1983
michi1983 14.06.2022 aktualisiert um 13:32:41 Uhr
Goto Top
Zitat von @aqui:
OK, aber wenn das dann doch eine Lösungsoption für dich wäre, dann nochmals die Frage warum dann nicht doch Dot1x only und als Dummy Zugang gast/gast ?
Damit schägst du 3 Fliegen mit einer Klappe:
  • Dynamisches VLAN für Gäste mit nur einer SSID
  • Umgehung der dynamischen Mac Adress pro SSID Problematik bei Smartphones
  • Generelle Verschlüsselung auch des Gast Zugangs

Weil ich auch „dumme“ Devices im Netz habe die nicht mit WPA2-EAP umgehen können. Für die würde ich dann wieder eine eigene SSID benötigen 😔
aqui
aqui 14.06.2022 aktualisiert um 13:43:50 Uhr
Goto Top
Diese Devices packst du dann in eine Usergruppe mit dem zusätzlichen Radius Attribut Mikrotik-Wireless-Skip-Dot1x. Wie oben schon gesagt, wenn das auf "1" gesetzt ist wird die Dot1x Auth übersprungen. face-wink
michi1983
michi1983 17.06.2022 aktualisiert um 10:51:59 Uhr
Goto Top
So, damit hier auch die Mitlesenden ein finales Update bekommen:

Mein Ziel war es ein reines Setup für mein Wifi (nicht für Kupfer Ports) aufzusetzen.
Ich möchte nur eine SSID verwenden und mit WPA2-PSK arbeiten, da ich auch ein paar "dumme" Clients im Netz habe welche mit WPA2-EAP nicht umgehen können.

Da ich keine Möglichkeit gefunden habe, dem Mikrotik internen User-Manager einen DEFAULT User zu verpassen, welcher mir alle nicht mittels MAC Authentication authorisierten Clients in eine default VLAN schiebt, habe ich eine VM mit freeradius aufgesetzt womit das problemlos mit aqui's Anleitung möglich ist.

Thread closed/solved
aqui
aqui 21.06.2022, aktualisiert am 09.03.2024 um 13:26:52 Uhr
Goto Top
Und weil's so schön ist zum Schluß auch nochmal ein Radius Test mit einem Cisco AP und dynamischen VLANs via User Manager.
Eine weitere Doku zu diesem Setup mit Gäste Captive Portal aber 802.1x Authentisierung statt Mac Adresse findest du zusätzlich auch HIER


Einmal mit reiner Mac Authentisierung und einmal mit WPA-Enterprise (802.x)

back-to-top1.) Mac Adress Authentisierung (MAB)


back-to-topRadius Client

radclient

back-to-topUser Group mit VLAN Zuweisung

usergroup

back-to-topUser

user

back-to-topCisco AP Konfig

3 VLANs = 10, 20 und 99 (Gast)
service timestamps debug datetime localtime
service timestamps log datetime localtime year
service password-encryption
!
hostname cisco-ap
!
aaa new-model
!
aaa group server radius rad_mac
 server name Mikrotik
!
aaa authentication login mac_auth group rad_mac
aaa authorization exec default local
aaa authorization network default group rad_mac
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
no ip source-route
!
dot11 vlan-name VLAN-10 vlan 10
dot11 vlan-name VLAN-20 vlan 20
dot11 vlan-name VLAN-99 vlan 99
!
dot11 ssid Bitschleuder
   vlan 10
   band-select
   authentication open mac-address mac_auth
   guest-mode
!
lldp run
!
interface Dot11Radio0
 description 2.4 GHz Radio
 !
 ssid Bitschleuder
 !
 speed only-ofdm
 dot11 dot11r pre-authentication over-air
 dot11 dot11r reassociation-time value 300
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio0.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface Dot11Radio0.99
 encapsulation dot1Q 99
 bridge-group 99
 bridge-group 99 subscriber-loop-control
 bridge-group 99 spanning-disabled
 bridge-group 99 block-unknown-source
 no bridge-group 99 source-learning
 no bridge-group 99 unicast-flooding
!
interface Dot11Radio1
 description 5 GHz Radio
 speed throughput
 !
 ssid Bitschleuder
 !
 channel width 80
 dot11 dot11r pre-authentication over-air
 dot11 dot11r reassociation-time value 300
 world-mode dot11d country-code DE both
 bridge-group 1
 bridge-group 1 subscriber-loop-control
 bridge-group 1 spanning-disabled
 bridge-group 1 block-unknown-source
 no bridge-group 1 source-learning
 no bridge-group 1 unicast-flooding
!
interface Dot11Radio1.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 subscriber-loop-control
 bridge-group 10 spanning-disabled
 bridge-group 10 block-unknown-source
 no bridge-group 10 source-learning
 no bridge-group 10 unicast-flooding
!
interface Dot11Radio1.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 subscriber-loop-control
 bridge-group 20 spanning-disabled
 bridge-group 20 block-unknown-source
 no bridge-group 20 source-learning
 no bridge-group 20 unicast-flooding
!
interface Dot11Radio1.99
 encapsulation dot1Q 99
 bridge-group 99
 bridge-group 99 subscriber-loop-control
 bridge-group 99 spanning-disabled
 bridge-group 99 block-unknown-source
 no bridge-group 99 source-learning
 no bridge-group 99 unicast-flooding
!
interface GigabitEthernet0
description LAN Port
 no ip address
 bridge-group 1
 bridge-group 1 spanning-disabled
 no bridge-group 1 source-learning
!
interface GigabitEthernet0.10
 encapsulation dot1Q 10
 bridge-group 10
 bridge-group 10 spanning-disabled
 no bridge-group 10 source-learning
!
interface GigabitEthernet0.20
 encapsulation dot1Q 20
 bridge-group 20
 bridge-group 20 spanning-disabled
 no bridge-group 20 source-learning
!
interface GigabitEthernet0.99
 encapsulation dot1Q 99
 bridge-group 99
 bridge-group 99 spanning-disabled
 no bridge-group 99 source-learning
!
interface BVI1
 ip address dhcp client-id GigabitEthernet0
 ipv6 address dhcp
 ipv6 address autoconfig
 ipv6 enable
!
no cdp run
!
radius-server attribute 32 include-in-access-req format %h
!
radius server Mikrotik
 address ipv4 192.168.88.1 auth-port 1812 acct-port 1813
 key 7 131112011F050A2D7A767B
!
sntp server de.pool.ntp.org
end 

back-to-top2.) WPA-Enterprise Authentisierung (802.1x)


Wichtige ToDos bei WPA-Enterprise im WLAN!:
  • Der Windows WLAN Client erzwingt die Verwendung eines Zertifikats. Ohne bekommt er zwar ein Accept vom Radius aber der Win WLAN Client bleibt inaktiv und zieht keine DHCP IP.
  • Ein Export des Radius CA Zertifikats unter Windows in die "vertrauenswürdigen Stammzertifikate" ist NICHT unbedingt erforderlich! Es reicht wenn dem Client lediglich ein Zertifikat "präsentiert" wird! (Getestet mit Win 10 und 11 Client). Sicherer ist aber immer der Export des CA Zertifikats.
  • Fazit: In jedem Falle eine CA und ein Server Zertifikat generieren wie Kollege @colinardo es auch in Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server seinem Tutorial] beschrieben hat um die sichere Radius Funktion zu gewährleisten!
wpa-ent_cert

back-to-topCisco AP Konfig (WPA-Enterprise only)

Konfig ist identisch zu oben nur die SSID Konfig muss auf WPA-Enterprise umgestellt werden, deshalb der Übersicht halber nur die veränderten Konfig Zeilen:
!
dot11 ssid Bitschleuder
   vlan 10
   band-select
   authentication open eap mac_auth
   authentication network-eap mac_auth
   authentication key-management wpa version 2
   guest-mode
!
interface Dot11Radio0
 description 2.4 GHz Radio
 !
 encryption vlan 10 mode ciphers aes-ccm
 encryption vlan 20 mode ciphers aes-ccm
 encryption vlan 99 mode ciphers aes-ccm
 !
 ssid Bitschleuder
 !
interface Dot11Radio1
 description 5 GHz Radio
 !
 encryption vlan 10 mode ciphers aes-ccm
 encryption vlan 20 mode ciphers aes-ccm
 encryption vlan 99 mode ciphers aes-ccm
 !
 ssid Bitschleuder
 ! 
Authentisierung getestet mit reiner Mac Auth., reiner Dot1x und Kombination MacAuth plus Dot1x.

Fazit: Works as designed ! 👍