jannik2018
Goto Top

Native VLAN TP-Link

Hallo zusammen,

ich würde gerne meinen TP-Link SG-2008 Switch so konfigurieren dass man bei Anschließend an den Port Automatisch einem "untrusted" VLAN zugewiesen wird.

Bei Authentifizierung via Radius soll man automatisch in ein anderes VLAN verschoben werden.

Ist das möglich?

Ich habe bisher in deren Dokumentation dazu nicht gefunden.

Vielleicht habt ihr ja gute Ideen face-smile

Viele Grüße

Jannik

Content-ID: 52384641259

Url: https://administrator.de/contentid/52384641259

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Globetrotter
Globetrotter 26.03.2024 um 21:56:18 Uhr
Goto Top
Hi..
Hast mal beim Support nachgefragt ?
Normalerweise sind die da sehr "geschmeidig" - wollen ja verkaufen.. und die anderen erheblich unterbieten!

Gruss Globe!
aqui
aqui 26.03.2024 aktualisiert um 22:40:40 Uhr
Goto Top
Komisch, steht doch alles in der Doku...?! Seite 560 https://static.tp-link.com/upload/manual/2024/202403/20240305/1910013605 ...
Das löst du mit der Funktion dot1x guest-vlan.
Unauthorisierte Ports haben damit Zugang zur VLAN ID die mit dem Gast VLAN definiert ist. Authorisierten Ports gibst du dann ein entsprechendes VLAN vom Radius mit.
Jannik2018
Jannik2018 27.03.2024 um 16:26:16 Uhr
Goto Top
Hi

ich finde unter dem Link leider keinen Inhalt.

siehe:

unbenannttp

Wie muss die Konfiguration unter VLAN aussehen Trunk Port oder beide Ports in beiden VLANS untagged?
aqui
aqui 27.03.2024 aktualisiert um 16:50:29 Uhr
Goto Top
Die Chinesen kopieren da heimlich ein .static mit rein und dann geht nix mehr. Na ja bei den Produkten muss einen nix wundern... face-sad
Versuch mal das:
https://www.tp-link.com/de/support/download/tl-sg2008/
...und unten auf Managed Switch CLI Guide klicken.

Als Administrator solltest du aber eigentlich auch selber in der Lage sein dein Handbuch auf der Herstellerseite zu finden. face-wink
Jannik2018
Jannik2018 27.03.2024 aktualisiert um 17:27:07 Uhr
Goto Top
ja da hatte ich auch schon geschaut face-smile

da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?

#
willi Auth-Type := EAP, User-Password == "geheim"    
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
#

Derzeit verwendetes SQL Statement

insert into radcheck (username,attribute,op,value) values("jannik", "Cleartext-Password", ":=", "ABC");  

Tabellenstruktur

+-----------+------------------+------+-----+---------+----------------+
| Field | Type | Null | Key | Default | Extra |
+-----------+------------------+------+-----+---------+----------------+
| id | int(11) unsigned | NO | PRI | NULL | auto_increment |
| username | varchar(64) | NO | MUL | | |
| attribute | varchar(64) | NO | | | |
| op | char(2) | NO | | == | |
| value | varchar(253) | NO | | | |
+-----------+------------------+------+-----+---------+----------------+

Und die Info

Wie muss die Konfiguration unter VLAN aussehen Trunk Port oder beide Ports in beiden VLANS untagged? habe ich in der Doku Jetzt auch nicht gefunden
aqui
aqui 27.03.2024 um 18:15:05 Uhr
Goto Top
da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?
Guckst du hier:
Freeradius Management mit WebGUI

Da geht das mit einem simplen Mausklick! 😉
Jannik2018
Jannik2018 29.03.2024 um 14:24:23 Uhr
Goto Top
Zitat von @aqui:

da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?
Guckst du hier:
Freeradius Management mit WebGUI

Da geht das mit einem simplen Mausklick! 😉

Da bräuchte ich aber die GUI würde das eigentlich gerne über ein einfaches SQL Statement ohne GUI machen.
aqui
aqui 29.03.2024 aktualisiert um 19:29:36 Uhr
Goto Top
Im Textformat (users Datei) sieht es so aus:
#       Dell Laptop LAN
00235A3F0122    Cleartext-Password := "00235A3F0122"    
                Tunnel-Type = 13,
                Tunnel-Medium-Type = 6,
                Tunnel-Private-Group-Id = 10
#       F.Müller Desktop LAN
fmueller        Cleartext-Password := "Geheim123!"    
                Tunnel-Type = 13,
                Tunnel-Medium-Type = 6,
                Tunnel-Private-Group-Id = 10 
Ersteres ist MAB mit der Mac Adresse und Letzteres ein 802.1x. Beide verfrachten den Nutzer bzw. Endgerät ins VLAN 10.
Wie du das dann auf die harte Tour ohne GUI per SQL Statement in deine Datenbank geklöppelt bekommst musst du dann selber sehen.
Jannik2018
Jannik2018 30.03.2024 um 16:19:23 Uhr
Goto Top
ok, ich hab jetzt die GUI doch aufgesetzt face-smile

aber nochmal die Frage muss der Radius in beiden VLANs sein?

Grüße

Jannik
aqui
aqui 31.03.2024 um 12:47:25 Uhr
Goto Top
aber nochmal die Frage muss der Radius in beiden VLANs sein?
Nein natürlich nicht. Der Radius Server befindet sich immer im Management Netz (VLAN) auf den dann sämtliche Authenticators (Switch, WLAN-AP, etc.) zentral zugreifen.
Ist jetzt auch etwas unklar was du genau mit "...in beiden VLANs sein?" meinst?
Dem Port wird ja die Gast VLAN ID fest, statisch zugewiesen ansonsten gilt eine 802.1x Authentisierung.
Folglich gilt dann: Kann der angeschlossene Client NICHT per 802.1x authentisiert werden fällt er automatisch in das statisch definierte Gast VLAN. Wird er authentisiert, dann landet er in dem VLAN das seinem Usernamen über den Radius Server dynamisch zugewiesen wird.
Eigentlich doch eine simple und sehr einfach zu verstehende Logik, oder? 🤔
Jannik2018
Jannik2018 31.03.2024 aktualisiert um 19:30:37 Uhr
Goto Top
ja ist eine einfache Logik face-smile
Allerdings mag es noch nicht ganz klemmt wohl noch am TP-Link und dessen VLAN Config
aqui
aqui 01.04.2024 um 12:30:00 Uhr
Goto Top
klemmt wohl noch am TP-Link und dessen VLAN Config
Das ist sehr gut möglich und auch sehr wahrscheinlich. Ohne entsprechende Info kann man aber von hier aus auch nur kristallkugeln... face-wink
Jannik2018
Jannik2018 02.04.2024 aktualisiert um 18:17:01 Uhr
Goto Top
Also die VLAN Config

Eigenes Vlan für den Port

vlanrad2

vlanrad3

Valn Tag in Trusted und Untrusted Netzwerk

VLAN AAA Config

vlanrad1

Port 4 ist der Relevante face-smile
aqui
aqui 02.04.2024 aktualisiert um 18:54:08 Uhr
Goto Top
Ja, da sieht man auch das Elend schon. face-sad Ports die eine dynamische VLAN Zuweisung per Radius bekommen dürfen NICHT konfiguriert sein. Das müssen ganz stinknormal default Accessports im VLAN 1 sein wie sie es nach einem Werksreset auch alle sind. Alles was da VLAN technisch über eine statische Konfig gemacht wird tötet die Gast VLAN und dynamische VLAN Konfig via Radius.
Beachte auch das der Radius Server selber natürlich an einem Port stecken muss der NICHT für die Port Authentisierung aktiv ist ansonsten sägst du dir selber den Ast ab auf dem du sitzt!

Fazit:
Alle Ports mit Radius Authentisierung so lassen wie sie im Werksreset Zustand sind. (PVID 1)
Es wird dort lediglich die Port Authentisierung im "Auto" Mode aktiviert (dot1x port-control auto) und bei den Ports die Clients bei fehlender oder falscher Authentisierung ins Gast VLAN schmeissen sollen die Gast VLAN ID Zuweisung mit dot1x guest-vlan x.

Ein show running-config bzw. show dot1x interface gigabitEthernet 1/0/4 wäre sehr hilfreich um deine Port Konfig einmal wirklich überprüfen zu können wenn du es nicht kannst!
Zugang mit Telnet direkt von der Windows Eingabeaufforderung:
telnet
Oder alternativ mit PuTTY und Telnet, SSH via Management IP des Switches!

Da sollte sowas wie das hier stehen:
dot1x system-auth-control
!
interface gigabitEthernet 1/0/4
description Dot1x-Clientport
dot1x
dot1x port-control auto
dot1x guest-vlan <Gast_vlan_id> 
Idealerweise stopt man den Freeradius und startet ihn danach mit freeradius -X manuell auf dem CLI um dann live eingehende Authentisierungs Anforderungen vom Switch zu sehen. Dort kann man dann ggf. auch sofort mögliche Fehler sehen!
Klappt alles startet man mit systemctl restart freeradius den Daemon wieder.
aqui
aqui 08.04.2024 um 15:44:01 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?