WLAN: dynamische VLAN Zuweisung innerhalb einer SSID in Verbindung mit IPv6
Hallo zusammen,
ich versuche hier kurz den Aufbau und das Problem zu schildern, wenn jemand genauere Fragen hat einfach stellen. Ich hoffe mal das hier irgend jemand eine Lösung für das Problem hat.
Mein Aufbau ist folgender:
- eine SSID
- dynamische VLAN Zuweisung via NPS
- IPv4 und IPv6
Das Problem:
Ein Client meldet sich am WLAN an, er wird dem richtigen VLAN zugeordnet und kann auch ins Netz. Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Frage:
Kennt jemand dieses Problem und hat es im besten Fall schon irgendwie gelöst? Alternativ, welche Lösungen sind bei euch im Einsatz um Clients innerhalb einer SSID zu trennen bzw. in VLANs zuzuordnen?
Vielen Dank und viele Grüße
Patrick
ich versuche hier kurz den Aufbau und das Problem zu schildern, wenn jemand genauere Fragen hat einfach stellen. Ich hoffe mal das hier irgend jemand eine Lösung für das Problem hat.
Mein Aufbau ist folgender:
- eine SSID
- dynamische VLAN Zuweisung via NPS
- IPv4 und IPv6
Das Problem:
Ein Client meldet sich am WLAN an, er wird dem richtigen VLAN zugeordnet und kann auch ins Netz. Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Frage:
Kennt jemand dieses Problem und hat es im besten Fall schon irgendwie gelöst? Alternativ, welche Lösungen sind bei euch im Einsatz um Clients innerhalb einer SSID zu trennen bzw. in VLANs zuzuordnen?
Vielen Dank und viele Grüße
Patrick
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 444837
Url: https://administrator.de/forum/wlan-dynamische-vlan-zuweisung-innerhalb-einer-ssid-in-verbindung-mit-ipv6-444837.html
Ausgedruckt am: 23.12.2024 um 02:12 Uhr
11 Kommentare
Neuester Kommentar
Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Dann bekomme deinen Router in den Griff. Der muss sowohl für IPv4 als auch IPv6 für die Trennung sorgen. Ich schätze das wurde einfach vollkommen vergessen. Der Router muss hier für IPv6 separate Netze aufspannen und auch die ACLs/Firewall müssen hier natürlich neben der IPv4 Variante gepflegt sein.Was für ein Router kommt zum Einsatz? Ich hoffe jetzt mal nicht irgend ein PlasteRouter aus dem Baumarkt oder ne Fritte?!
Ein orgentlicher Cisco/Mikrotik/pfSense&Co erledigen das im Handumdrehen.
Zitat von @PatrickHoeft:
Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Offensichtlich nicht denn sonst würde der Client keine RAs von anderen VLANs erhalten.Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Ohne deine NPS-, AP-Config und Router-Config auf IPv6 Seite, stochern im Dunkeln, verstehst du sicherlich selbst.Zitat von @PatrickHoeft:
Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).
Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Ja habe ich. Nur wenn du unsere Fragen hier noch nicht mal mit Fakten beantwortest wie soll dir da jemand helfen? Es gibt hunderte unterschiedliche Aufbauarten, wie sollen unsere Glaskugeln da deinen spezifischen Netzwerkaufbau erraten??Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).
Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Du sagst immer nur "ohne Probleme" das hilft hier aber keinem dir zu helfen, sorry. Etwas mehr Fakten zur Umgebung und verwendeten Hardware und deren Konfiguration und schon können wir dir verraten wo der Fehler liegt.
Wie Du eine Frage richtig stellst
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
- Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)
- RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Die Präfixliste dient auch zur autonomen Adresskonfiguration.
Genau das will man ja in sichereren v6 Segmenten nicht, denn so könnte ein Angreifer einem das ganze Segment kapern.Auch um den DNS Resolver an die Clients zu übertragen nimmt man in der Regel immer DHCPv6 dafür und kein SLAAC was das auch gar nicht kann.
Das kann aber natürlich letztlich jeder machen wie er will...