Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst WLAN: dynamische VLAN Zuweisung innerhalb einer SSID in Verbindung mit IPv6

Mitglied: PatrickHoeft

PatrickHoeft (Level 1) - Jetzt verbinden

26.04.2019 um 13:22 Uhr, 369 Aufrufe, 11 Kommentare

Hallo zusammen,

ich versuche hier kurz den Aufbau und das Problem zu schildern, wenn jemand genauere Fragen hat einfach stellen. Ich hoffe mal das hier irgend jemand eine Lösung für das Problem hat.

Mein Aufbau ist folgender:
- eine SSID
- dynamische VLAN Zuweisung via NPS
- IPv4 und IPv6

Das Problem:
Ein Client meldet sich am WLAN an, er wird dem richtigen VLAN zugeordnet und kann auch ins Netz. Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.

Frage:
Kennt jemand dieses Problem und hat es im besten Fall schon irgendwie gelöst? Alternativ, welche Lösungen sind bei euch im Einsatz um Clients innerhalb einer SSID zu trennen bzw. in VLANs zuzuordnen?

Vielen Dank und viele Grüße
Patrick
Mitglied: 139374
27.04.2019, aktualisiert um 10:53 Uhr
Wenn ich nun IPv6 aktiviere erhält der Client aus jedem der möglichen VLANs eine Adresse (Router Advertisement) ebenso findet keine Broadcast Trennung statt (ich erhalte alle Broadcasts aus jedem VLAN.
Dann bekomme deinen Router in den Griff. Der muss sowohl für IPv4 als auch IPv6 für die Trennung sorgen. Ich schätze das wurde einfach vollkommen vergessen. Der Router muss hier für IPv6 separate Netze aufspannen und auch die ACLs/Firewall müssen hier natürlich neben der IPv4 Variante gepflegt sein.
Was für ein Router kommt zum Einsatz? Ich hoffe jetzt mal nicht irgend ein PlasteRouter aus dem Baumarkt oder ne Fritte?!
Ein orgentlicher Cisco/Mikrotik/pfSense&Co erledigen das im Handumdrehen.
Bitte warten ..
Mitglied: PatrickHoeft
27.04.2019 um 11:56 Uhr
Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.

Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Bitte warten ..
Mitglied: 139374
27.04.2019, aktualisiert um 13:08 Uhr
Zitat von PatrickHoeft:

Der Router macht eine ordentliche Trennung, es kommt PF auf OpenBSD zum Einsatz.
Offensichtlich nicht denn sonst würde der Client keine RAs von anderen VLANs erhalten.
Im LAN funktioniert es auch ohne Probleme, das Problem liegt im WLAN. VLAN Trennung innerhalb einer SSID.
Ohne deine NPS-, AP-Config und Router-Config auf IPv6 Seite, stochern im Dunkeln, verstehst du sicherlich selbst.
Bitte warten ..
Mitglied: PatrickHoeft
27.04.2019 um 14:00 Uhr
Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).

Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Bitte warten ..
Mitglied: 139374
27.04.2019, aktualisiert um 14:39 Uhr
Zitat von PatrickHoeft:

Also ich versuche es noch einmal zu erklären: VLANs im LAN funktionieren ohne Probleme (incl. IPv6 mit RAs), die VLANs werden den Clients zugeordnet (auch das ohne Probleme).

Hat noch jemand so einen ähnlichen Aufbau und damit Erfahrung?
Ja habe ich. Nur wenn du unsere Fragen hier noch nicht mal mit Fakten beantwortest wie soll dir da jemand helfen? Es gibt hunderte unterschiedliche Aufbauarten, wie sollen unsere Glaskugeln da deinen spezifischen Netzwerkaufbau erraten??
Du sagst immer nur "ohne Probleme" das hilft hier aber keinem dir zu helfen, sorry. Etwas mehr Fakten zur Umgebung und verwendeten Hardware und deren Konfiguration und schon können wir dir verraten wo der Fehler liegt.
https://administrator.de/faq/19
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.04.2019, aktualisiert um 14:36 Uhr
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.
2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
  • Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)
  • RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Letzteres sollte man so oder so immer machen wenn man mit DHCPv6 arbeitet um RAs und SLAAC zu unterdrücken an den WLAN Clients.
Bitte warten ..
Mitglied: PatrickHoeft
29.04.2019 um 07:53 Uhr
Zitat von aqui:
Das ist vermutlich ein Bug oder eine schlechte Implementierung auf deinen APs. Dort wird dann die authentisierte Mac des Clients dediziert in das entsprechende VLAN geforwardet aber Broad- und Multicasts fluten diese APs.
Sowas kommt auch bei billigen Switches oft vor wenn die eine sog. Mac based VLAN Funktion supporten die unsaber implementiert ist.

Danke für den Hinweis, nach Rücksprache mit LANCOM ist das ein bekanntes Problem: "man kann bis zu drei VLANs mittels Gruppenschlüssel-Indizes voneinander trennen" (anscheinend gibt es das Problem mit dem Gleichen Lösungsansatz auch bei Cisco).

2 Sachen könntest du versuchen, neueste Firmware auf den APs vorausgesetzt !
  • Client Isolation auf dem AP zu aktivieren. (Wird aber vermutlich nichts bringen)

Bringt wirklich nichts, vorallem schränkt es die Funktionalität ein.

* RAs auf dem 802.1q tagged Trunk zum AP am Switch filtern.
Letzteres sollte man so oder so immer machen wenn man mit DHCPv6 arbeitet um RAs und SLAAC zu unterdrücken an den WLAN Clients.

Warum sollte man RAs unterdrücken?
Bitte warten ..
Mitglied: aqui
29.04.2019 um 08:18 Uhr
Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.
Bitte warten ..
Mitglied: PatrickHoeft
29.04.2019 um 09:12 Uhr
Zitat von aqui:

Router Advertisements sollten logischerweise einzig nur Router bekommen aber niemals Client Endgeräte !
Jeder Billigswitch bietet mittlerweile diese Option.

Da hast du glaube ich einen kleinen Denkfehler: Router Advertisement-Nachrichten enthalten eine Liste der Teilnetzpräfixe, mit der festgestellt wird, ob sich ein Host auf dem gleichen Link (on-Link) wie der Router befindet. Die Präfixliste dient auch zur autonomen Adresskonfiguration. Ebenso kann ein Host mit Router Advertisement-Nachrichten eine Liste der Standard-Router innerhalb eines Netzwerks erstellen.
Bitte warten ..
Mitglied: aqui
29.04.2019, aktualisiert um 12:04 Uhr
Die Präfixliste dient auch zur autonomen Adresskonfiguration.
Genau das will man ja in sichereren v6 Segmenten nicht, denn so könnte ein Angreifer einem das ganze Segment kapern.
Auch um den DNS Resolver an die Clients zu übertragen nimmt man in der Regel immer DHCPv6 dafür und kein SLAAC was das auch gar nicht kann.
Das kann aber natürlich letztlich jeder machen wie er will...
Bitte warten ..
Mitglied: PatrickHoeft
29.04.2019 um 10:04 Uhr
Jetzt verstehe ich was du meinst
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

Multi-SSID WLAN für Firmennetz über VLAN. Verständnisfrage

Frage von oliver84LAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich WLAN einstellungen. Ich habe mich zwar schon intensiv damit beschäftigt, habe aber ...

LAN, WAN, Wireless

WLAN Verbindung zur bestimmten SSID nicht mehr möglich

gelöst Frage von LockjawLAN, WAN, Wireless6 Kommentare

Einer unserer Kunden hat das Problem, sich nicht mehr am WLAN anmelden zu können. Ich habe das WLAN von ...

LAN, WAN, Wireless

Kaufempfehlung WLAN-AP? (Multi SSID, VLAN Tagging und Roaming)

gelöst Frage von 117455LAN, WAN, Wireless5 Kommentare

Hallöchen, hat jemand für mich grade eine Kaufempfehlung für einen WLAN Accespoint? Er sollte - Multi SSID unterstützen - ...

Netzwerkgrundlagen

IPv6 Inter-VLAN Routing

gelöst Frage von clSchakNetzwerkgrundlagen14 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Neue Wissensbeiträge
Internet
Big Brother is Watching You
Information von transocean vor 2 StundenInternet

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Datenschutz
TeamViewer gehackt !
Information von aqui vor 4 StundenDatenschutz1 Kommentar

Hat schon einen Grund warum verantwortungsvolle Admins diese Software nicht einsetzen und sie in den meisten größeren Firmen aus ...

Netzwerke

Cisco Security Warnung für SoHo Switches der SG Serie

Information von aqui vor 1 TagNetzwerke3 Kommentare

Update auf eine aktuelle Version wäre also eine gute Idee ! ;-)

Sicherheit

Der TeamViewer-Entwickler war 2016 Opfer eines Cyber-Angriffs

Information von kgborn vor 1 TagSicherheit1 Kommentar

Ich denke, nur wenige dürften die kleine Firma TeamViewer aus Göppingen kennen - und einsetzen wird die Produkte von ...

Heiß diskutierte Inhalte
Router & Routing
Reverse Proxy - Anfängerfragen
Frage von NixVerstehenRouter & Routing15 Kommentare

Servus zusammen, endlich Freitag und ich darf wieder meine Anfängerfragen stellen :-) Ich bereite gerade einen Testaufbau für ein ...

Verschlüsselung & Zertifikate
Verschlüsselungsmethoden für Netzwerkdateien im Firmennetzwerk
Frage von kafipauseVerschlüsselung & Zertifikate7 Kommentare

Hallo, ich suche für meine Firma eine Verschlüsselungssoftware, um einige Ordner auf einem Fileserver zu verschlüsseln und verschiedenen Gruppen ...

Windows Netzwerk
Clients finden Domäne nicht mehr (Server 2008 R2)
Frage von bitshopWindows Netzwerk6 Kommentare

Hallo, habe das Problem, dass sich kein PC mehr an der Domäne anmelden lässt. Vor kurzer Zeit ist das ...

Festplatten, SSD, Raid
Intel C612 AHCI SATA Raid ohne Warnungen?
gelöst Frage von NordicMikeFestplatten, SSD, Raid6 Kommentare

Moin zusammen, ich suche mir gerade einen Wolf. Ich habe einen Server 2016 core auf ein Supermicro X10DRi mit ...