11
WLAN: dynamische VLAN Zuweisung innerhalb einer SSID in Verbindung mit IPv6
Hallo zusammen,
ich versuche hier kurz den Aufbau und das Problem zu schildern, wenn jemand genauere Fragen hat einfach stellen. Ich hoffe mal das hier irgend jemand eine Lösung für das Problem hat.
Mein Aufbau ist folgender:
- eine SSID
- dynamische VLAN Zuweisung via NPS
- IPv4 und IPv6
Das Problem:
Ein Client meldet sich am WLAN an, er wird dem richtigen VLAN zugeordnet und kann auch ins Netz. Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Frage:
Kennt jemand dieses Problem und hat es im besten Fall schon irgendwie gelöst? Alternativ, welche Lösungen sind bei euch im Einsatz um Clients innerhalb einer SSID zu trennen bzw. in VLANs zuzuordnen?
Vielen Dank und viele Grüße
Patrick
ich versuche hier kurz den Aufbau und das Problem zu schildern, wenn jemand genauere Fragen hat einfach stellen. Ich hoffe mal das hier irgend jemand eine Lösung für das Problem hat.
Mein Aufbau ist folgender:
- eine SSID
- dynamische VLAN Zuweisung via NPS
- IPv4 und IPv6
Das Problem:
Ein Client meldet sich am WLAN an, er wird dem richtigen VLAN zugeordnet und kann auch ins Netz. Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Frage:
Kennt jemand dieses Problem und hat es im besten Fall schon irgendwie gelöst? Alternativ, welche Lösungen sind bei euch im Einsatz um Clients innerhalb einer SSID zu trennen bzw. in VLANs zuzuordnen?
Vielen Dank und viele Grüße
Patrick
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 444837
Url: https://administrator.de/contentid/444837
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
11 Kommentare
Neuester Kommentar
Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Dann bekomme deinen Router in den Griff. Der muss sowohl für IPv4 als auch IPv6 für die Trennung sorgen. Ich schätze das wurde einfach vollkommen vergessen. Der Router muss hier für IPv6 separate Netze aufspannen und auch die ACLs/Firewall müssen hier natürlich neben der IPv4 Variante gepflegt sein.Was für ein Router kommt zum Einsatz? Ich hoffe jetzt mal nicht irgend ein PlasteRouter aus dem Baumarkt oder ne Fritte?!
Ein orgentlicher Cisco/Mikrotik/pfSense&Co erledigen das im Handumdrehen.
Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Zitat von @PatrickHoeft:
Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Offensichtlich nicht denn sonst würde der Client keine RAs von anderen VLANs erhalten.Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Ohne deine NPS-, AP-Config und Router-Config auf IPv6 Seite, stochern im Dunkeln, verstehst du sicherlich selbst.
Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).
Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Zitat von @PatrickHoeft:
Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).
Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Ja habe ich. Nur wenn du unsere Fragen hier noch nicht mal mit Fakten beantwortest wie soll dir da jemand helfen? Es gibt hunderte unterschiedliche Aufbauarten, wie sollen unsere Glaskugeln da deinen spezifischen Netzwerkaufbau erraten??Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).
Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Du sagst immer nur "ohne Probleme" das hilft hier aber keinem dir zu helfen, sorry. Etwas mehr Fakten zur Umgebung und verwendeten Hardware und deren Konfiguration und schon können wir dir verraten wo der Fehler liegt.
Wie Du eine Frage richtig stellst
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
- Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)
- RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Zitat von @aqui:
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
Danke für den Hinweis, nach Rücksprache mit LANCOM ist das ein bekanntes Problem: "man kann bis zu drei VLANs mittels Gruppenschlüssel-Indizes voneinander trennen" (anscheinend gibt es das Problem mit dem Gleichen Lösungsansatz auch bei Cisco).
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
- Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)
Bringt wirklich nichts, vorallem schränkt es die Funktionalität ein.
* RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Letzteres sollte man so oder so immer machen wenn man mit DHCPv6 arbeitet um RAs und SLAAC zu unterdrücken an den WLAN Clients.
Letzteres sollte man so oder so immer machen wenn man mit DHCPv6 arbeitet um RAs und SLAAC zu unterdrücken an den WLAN Clients.
Warum sollte man RAs unterdrücken?
Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.
Jeder Billigswitch bietet mittlerweile diese Option.
Zitat von @aqui:
Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.
Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.
Da hast du glaube ich einen kleinen Denkfehler: Router Advertisement-Nachrichten enthalten eine Liste der Teilnetzpräfixe, mit der festgestellt wird, ob sich ein Host auf dem gleichen Link (on-Link) wie der Router befindet. Die Präfixliste dient auch zur autonomen Adresskonfiguration. Ebenso kann ein Host mit Router Advertisement-Nachrichten eine Liste der Standard-Router innerhalb eines Netzwerks erstellen.
Die Präfixliste dient auch zur autonomen Adresskonfiguration.
Genau das will man ja in sichereren v6 Segmenten nicht, denn so könnte ein Angreifer einem das ganze Segment kapern.Auch um den DNS Resolver an die Clients zu übertragen nimmt man in der Regel immer DHCPv6 dafür und kein SLAAC was das auch gar nicht kann.
Das kann aber natürlich letztlich jeder machen wie er will...
Jetzt verstehe ich was du meinst 
