15
Native VLAN TP-Link
Hallo zusammen,
ich würde gerne meinen TP-Link SG-2008 Switch so konfigurieren dass man bei Anschließend an den Port Automatisch einem "untrusted" VLAN zugewiesen wird.
Bei Authentifizierung via Radius soll man automatisch in ein anderes VLAN verschoben werden.
Ist das möglich?
Ich habe bisher in deren Dokumentation dazu nicht gefunden.
Vielleicht habt ihr ja gute Ideen
Viele Grüße
Jannik
ich würde gerne meinen TP-Link SG-2008 Switch so konfigurieren dass man bei Anschließend an den Port Automatisch einem "untrusted" VLAN zugewiesen wird.
Bei Authentifizierung via Radius soll man automatisch in ein anderes VLAN verschoben werden.
Ist das möglich?
Ich habe bisher in deren Dokumentation dazu nicht gefunden.
Vielleicht habt ihr ja gute Ideen
Viele Grüße
Jannik
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52384641259
Url: https://administrator.de/contentid/52384641259
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
15 Kommentare
Neuester Kommentar
Hi..
Hast mal beim Support nachgefragt ?
Normalerweise sind die da sehr "geschmeidig" - wollen ja verkaufen.. und die anderen erheblich unterbieten!
Gruss Globe!
Hast mal beim Support nachgefragt ?
Normalerweise sind die da sehr "geschmeidig" - wollen ja verkaufen.. und die anderen erheblich unterbieten!
Gruss Globe!
Komisch, steht doch alles in der Doku...?! Seite 560 https://static.tp-link.com/upload/manual/2024/202403/20240305/1910013605 ...
Das löst du mit der Funktion dot1x guest-vlan.
Unauthorisierte Ports haben damit Zugang zur VLAN ID die mit dem Gast VLAN definiert ist. Authorisierten Ports gibst du dann ein entsprechendes VLAN vom Radius mit.
Das löst du mit der Funktion dot1x guest-vlan.
Unauthorisierte Ports haben damit Zugang zur VLAN ID die mit dem Gast VLAN definiert ist. Authorisierten Ports gibst du dann ein entsprechendes VLAN vom Radius mit.
Hi
ich finde unter dem Link leider keinen Inhalt.
siehe:
Wie muss die Konfiguration unter VLAN aussehen Trunk Port oder beide Ports in beiden VLANS untagged?
ich finde unter dem Link leider keinen Inhalt.
siehe:
Wie muss die Konfiguration unter VLAN aussehen Trunk Port oder beide Ports in beiden VLANS untagged?
Die Chinesen kopieren da heimlich ein .static mit rein und dann geht nix mehr. Na ja bei den Produkten muss einen nix wundern... 
Versuch mal das:
https://www.tp-link.com/de/support/download/tl-sg2008/
...und unten auf Managed Switch CLI Guide klicken.
Als Administrator solltest du aber eigentlich auch selber in der Lage sein dein Handbuch auf der Herstellerseite zu finden.
Versuch mal das:
https://www.tp-link.com/de/support/download/tl-sg2008/
...und unten auf Managed Switch CLI Guide klicken.
Als Administrator solltest du aber eigentlich auch selber in der Lage sein dein Handbuch auf der Herstellerseite zu finden.
ja da hatte ich auch schon geschaut
da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?
Derzeit verwendetes SQL Statement
Tabellenstruktur
+-----------+------------------+------+-----+---------+----------------+
| Field | Type | Null | Key | Default | Extra |
+-----------+------------------+------+-----+---------+----------------+
| id | int(11) unsigned | NO | PRI | NULL | auto_increment |
| username | varchar(64) | NO | MUL | | |
| attribute | varchar(64) | NO | | | |
| op | char(2) | NO | | == | |
| value | varchar(253) | NO | | | |
+-----------+------------------+------+-----+---------+----------------+
Und die Info
Wie muss die Konfiguration unter VLAN aussehen Trunk Port oder beide Ports in beiden VLANS untagged? habe ich in der Doku Jetzt auch nicht gefunden
da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?
#
willi Auth-Type := EAP, User-Password == "geheim"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
#Derzeit verwendetes SQL Statement
insert into radcheck (username,attribute,op,value) values("jannik", "Cleartext-Password", ":=", "ABC"); Tabellenstruktur
+-----------+------------------+------+-----+---------+----------------+
| Field | Type | Null | Key | Default | Extra |
+-----------+------------------+------+-----+---------+----------------+
| id | int(11) unsigned | NO | PRI | NULL | auto_increment |
| username | varchar(64) | NO | MUL | | |
| attribute | varchar(64) | NO | | | |
| op | char(2) | NO | | == | |
| value | varchar(253) | NO | | | |
+-----------+------------------+------+-----+---------+----------------+
Und die Info
Wie muss die Konfiguration unter VLAN aussehen Trunk Port oder beide Ports in beiden VLANS untagged? habe ich in der Doku Jetzt auch nicht gefunden
da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?
Guckst du hier:Freeradius Management mit WebGUI
Da geht das mit einem simplen Mausklick! 😉
Zitat von @aqui:
Freeradius Management mit WebGUI
Da geht das mit einem simplen Mausklick! 😉
da ich meinen Radius mit Datenbank nutze wie kann ich das in die Datenbank schieben?
Guckst du hier:Freeradius Management mit WebGUI
Da geht das mit einem simplen Mausklick! 😉
Da bräuchte ich aber die GUI würde das eigentlich gerne über ein einfaches SQL Statement ohne GUI machen.
Im Textformat (users Datei) sieht es so aus:
Ersteres ist MAB mit der Mac Adresse und Letzteres ein 802.1x. Beide verfrachten den Nutzer bzw. Endgerät ins VLAN 10.
Wie du das dann auf die harte Tour ohne GUI per SQL Statement in deine Datenbank geklöppelt bekommst musst du dann selber sehen.
# Dell Laptop LAN
00235A3F0122 Cleartext-Password := "00235A3F0122"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
# F.Müller Desktop LAN
fmueller Cleartext-Password := "Geheim123!"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10 Wie du das dann auf die harte Tour ohne GUI per SQL Statement in deine Datenbank geklöppelt bekommst musst du dann selber sehen.
ok, ich hab jetzt die GUI doch aufgesetzt
aber nochmal die Frage muss der Radius in beiden VLANs sein?
Grüße
Jannik
aber nochmal die Frage muss der Radius in beiden VLANs sein?
Grüße
Jannik
aber nochmal die Frage muss der Radius in beiden VLANs sein?
Nein natürlich nicht. Der Radius Server befindet sich immer im Management Netz (VLAN) auf den dann sämtliche Authenticators (Switch, WLAN-AP, etc.) zentral zugreifen.Ist jetzt auch etwas unklar was du genau mit "...in beiden VLANs sein?" meinst?
Dem Port wird ja die Gast VLAN ID fest, statisch zugewiesen ansonsten gilt eine 802.1x Authentisierung.
Folglich gilt dann: Kann der angeschlossene Client NICHT per 802.1x authentisiert werden fällt er automatisch in das statisch definierte Gast VLAN. Wird er authentisiert, dann landet er in dem VLAN das seinem Usernamen über den Radius Server dynamisch zugewiesen wird.
Eigentlich doch eine simple und sehr einfach zu verstehende Logik, oder? 🤔
ja ist eine einfache Logik
Allerdings mag es noch nicht ganz klemmt wohl noch am TP-Link und dessen VLAN Config
Allerdings mag es noch nicht ganz klemmt wohl noch am TP-Link und dessen VLAN Config
klemmt wohl noch am TP-Link und dessen VLAN Config
Das ist sehr gut möglich und auch sehr wahrscheinlich. Ohne entsprechende Info kann man aber von hier aus auch nur kristallkugeln...
Also die VLAN Config
Eigenes Vlan für den Port
Valn Tag in Trusted und Untrusted Netzwerk
VLAN AAA Config
Port 4 ist der Relevante
Eigenes Vlan für den Port
Valn Tag in Trusted und Untrusted Netzwerk
VLAN AAA Config
Port 4 ist der Relevante
Ja, da sieht man auch das Elend schon. Ports die eine dynamische VLAN Zuweisung per Radius bekommen dürfen NICHT konfiguriert sein. Das müssen ganz stinknormal default Accessports im VLAN 1 sein wie sie es nach einem Werksreset auch alle sind. Alles was da VLAN technisch über eine statische Konfig gemacht wird tötet die Gast VLAN und dynamische VLAN Konfig via Radius.
Beachte auch das der Radius Server selber natürlich an einem Port stecken muss der NICHT für die Port Authentisierung aktiv ist ansonsten sägst du dir selber den Ast ab auf dem du sitzt!
Fazit:
Alle Ports mit Radius Authentisierung so lassen wie sie im Werksreset Zustand sind. (PVID 1)
Es wird dort lediglich die Port Authentisierung im "Auto" Mode aktiviert (dot1x port-control auto) und bei den Ports die Clients bei fehlender oder falscher Authentisierung ins Gast VLAN schmeissen sollen die Gast VLAN ID Zuweisung mit dot1x guest-vlan x.
Ein show running-config bzw. show dot1x interface gigabitEthernet 1/0/4 wäre sehr hilfreich um deine Port Konfig einmal wirklich überprüfen zu können wenn du es nicht kannst!
Zugang mit Telnet direkt von der Windows Eingabeaufforderung:
Oder alternativ mit PuTTY und Telnet, SSH via Management IP des Switches!
Da sollte sowas wie das hier stehen:
Idealerweise stopt man den Freeradius und startet ihn danach mit freeradius -X manuell auf dem CLI um dann live eingehende Authentisierungs Anforderungen vom Switch zu sehen. Dort kann man dann ggf. auch sofort mögliche Fehler sehen!
Klappt alles startet man mit systemctl restart freeradius den Daemon wieder.
Ports die eine dynamische VLAN Zuweisung per Radius bekommen dürfen NICHT konfiguriert sein. Das müssen ganz stinknormal default Accessports im VLAN 1 sein wie sie es nach einem Werksreset auch alle sind. Alles was da VLAN technisch über eine statische Konfig gemacht wird tötet die Gast VLAN und dynamische VLAN Konfig via Radius.Beachte auch das der Radius Server selber natürlich an einem Port stecken muss der NICHT für die Port Authentisierung aktiv ist ansonsten sägst du dir selber den Ast ab auf dem du sitzt!
Fazit:
Alle Ports mit Radius Authentisierung so lassen wie sie im Werksreset Zustand sind. (PVID 1)
Es wird dort lediglich die Port Authentisierung im "Auto" Mode aktiviert (dot1x port-control auto) und bei den Ports die Clients bei fehlender oder falscher Authentisierung ins Gast VLAN schmeissen sollen die Gast VLAN ID Zuweisung mit dot1x guest-vlan x.
Ein show running-config bzw. show dot1x interface gigabitEthernet 1/0/4 wäre sehr hilfreich um deine Port Konfig einmal wirklich überprüfen zu können wenn du es nicht kannst!
Zugang mit Telnet direkt von der Windows Eingabeaufforderung:
Da sollte sowas wie das hier stehen:
dot1x system-auth-control
!
interface gigabitEthernet 1/0/4
description Dot1x-Clientport
dot1x
dot1x port-control auto
dot1x guest-vlan <Gast_vlan_id> Klappt alles startet man mit systemctl restart freeradius den Daemon wieder.
1
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
