patrickhoeft
Goto Top

WLAN: dynamische VLAN Zuweisung innerhalb einer SSID in Verbindung mit IPv6

Hallo zusammen,

ich versuche hier kurz den Aufbau und das Problem zu schildern, wenn jemand genauere Fragen hat einfach stellen. Ich hoffe mal das hier irgend jemand eine Lösung für das Problem hat.

Mein Aufbau ist folgender:
- eine SSID
- dynamische VLAN Zuweisung via NPS
- IPv4 und IPv6

Das Problem:
Ein Client meldet sich am WLAN an, er wird dem richtigen VLAN zugeordnet und kann auch ins Netz. Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.

Frage:
Kennt jemand dieses Problem und hat es im besten Fall schon irgendwie gelöst? Alternativ, welche Lösungen sind bei euch im Einsatz um Clients innerhalb einer SSID zu trennen bzw. in VLANs zuzuordnen?

Vielen Dank und viele Grüße
Patrick

Content-ID: 444837

Url: https://administrator.de/forum/wlan-dynamische-vlan-zuweisung-innerhalb-einer-ssid-in-verbindung-mit-ipv6-444837.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

139374
139374 27.04.2019 aktualisiert um 10:53:48 Uhr
Goto Top
Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Dann bekomme deinen Router in den Griff. Der muss sowohl für IPv4 als auch IPv6 für die Trennung sorgen. Ich schätze das wurde einfach vollkommen vergessen. Der Router muss hier für IPv6 separate Netze aufspannen und auch die ACLs/Firewall müssen hier natürlich neben der IPv4 Variante gepflegt sein.
Was für ein Router kommt zum Einsatz? Ich hoffe jetzt mal nicht irgend ein PlasteRouter aus dem Baumarkt oder ne Fritte?!
Ein orgentlicher Cisco/Mikrotik/pfSense&Co erledigen das im Handumdrehen.
PatrickHoeft
PatrickHoeft 27.04.2019 um 11:56:54 Uhr
Goto Top
Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.

Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
139374
139374 27.04.2019 aktualisiert um 13:08:30 Uhr
Goto Top
Zitat von @PatrickHoeft:

Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Offensichtlich nicht denn sonst würde der Client keine RAs von anderen VLANs erhalten.
Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Ohne deine NPS-, AP-Config und Router-Config auf IPv6 Seite, stochern im Dunkeln, verstehst du sicherlich selbst.
PatrickHoeft
PatrickHoeft 27.04.2019 um 14:00:09 Uhr
Goto Top
Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).

Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
139374
139374 27.04.2019 aktualisiert um 14:39:13 Uhr
Goto Top
Zitat von @PatrickHoeft:

Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).

Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Ja habe ich. Nur wenn du unsere Fragen hier noch nicht mal mit Fakten beantwortest wie soll dir da jemand helfen? Es gibt hunderte unterschiedliche Aufbauarten, wie sollen unsere Glaskugeln da deinen spezifischen Netzwerkaufbau erraten??
Du sagst immer nur "ohne Probleme" das hilft hier aber keinem dir zu helfen, sorry. Etwas mehr Fakten zur Umgebung und verwendeten Hardware und deren Konfiguration und schon können wir dir verraten wo der Fehler liegt.
Wie Du eine Frage richtig stellst
aqui
Lösung aqui 27.04.2019 aktualisiert um 14:36:23 Uhr
Goto Top
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
  • Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)
  • RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Letzteres sollte man so oder so immer machen wenn man mit DHCPv6 arbeitet um RAs und SLAAC zu unterdrücken an den WLAN Clients.
PatrickHoeft
PatrickHoeft 29.04.2019 um 07:53:07 Uhr
Goto Top
Zitat von @aqui:
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.

Danke für den Hinweis, nach Rücksprache mit LANCOM ist das ein bekanntes Problem: "man kann bis zu drei VLANs mittels Gruppenschlüssel-Indizes voneinander trennen" (anscheinend gibt es das Problem mit dem Gleichen Lösungsansatz auch bei Cisco).

2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
  • Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)

Bringt wirklich nichts, vorallem schränkt es die Funktionalität ein.

* RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Letzteres sollte man so oder so immer machen wenn man mit DHCPv6 arbeitet um RAs und SLAAC zu unterdrücken an den WLAN Clients.

Warum sollte man RAs unterdrücken?
aqui
aqui 29.04.2019 um 08:18:19 Uhr
Goto Top
Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.
PatrickHoeft
PatrickHoeft 29.04.2019 um 09:12:23 Uhr
Goto Top
Zitat von @aqui:

Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.

Da hast du glaube ich einen kleinen Denkfehler: Router Advertisement-Nachrichten enthalten eine Liste der Teilnetzpräfixe, mit der festgestellt wird, ob sich ein Host auf dem gleichen Link (on-Link) wie der Router befindet. Die Präfixliste dient auch zur autonomen Adresskonfiguration. Ebenso kann ein Host mit Router Advertisement-Nachrichten eine Liste der Standard-Router innerhalb eines Netzwerks erstellen.
aqui
aqui 29.04.2019 aktualisiert um 12:04:39 Uhr
Goto Top
Die Präfixliste dient auch zur autonomen Adresskonfiguration.
Genau das will man ja in sichereren v6 Segmenten nicht, denn so könnte ein Angreifer einem das ganze Segment kapern.
Auch um den DNS Resolver an die Clients zu übertragen nimmt man in der Regel immer DHCPv6 dafür und kein SLAAC was das auch gar nicht kann.
Das kann aber natürlich letztlich jeder machen wie er will...
PatrickHoeft
PatrickHoeft 29.04.2019 um 10:04:36 Uhr
Goto Top
Jetzt verstehe ich was du meinst face-wink