Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
aqui (Level 5) - Jetzt verbinden
08.11.2019, aktualisiert 30.12.2020, 14439 Aufrufe, 31 Kommentare, 16 Danke
Inhaltsverzeichnis
1. Allgemeine Einleitung:
Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients in Abhängigkeit ihrer Hardware Mac Adresse. Damit ist es möglich in einem einzigen WLAN mit nur einer SSID, Clients in unterschiedliche vorhandene IP Netze (VLANs) zu segmentieren.Für Firmennetze und ambitionierte Heim WLANs ist diese Option eine verlässliche und Geräte bezogene Absicherung des WLAN Zugangs. Diese ist verbunden mit einem zentralen Management was die oft umständliche Einrichtung von WLAN Zertifikaten und einer damit verbundenen CA überflüssig macht. Das macht das Umsetzen von einfachen BYOD Konzepten ("Bring your own device") in Firmen mit privaten WLAN Endgeräten (Smartphones etc.) sehr leicht und schnell umsetzbar, weil man so BYOD Usern ein dediziertes Netzwerk Segment mit entsprechenden Sicherheitsregeln zum Firmennetzwerk zuweisen kann.
Damit wird das WLAN über eine gemeinsame WLAN SSID ohne die Verwendung von MSSIDs, also dem Aufspannen von mehreren WLANs, auf einer gemeinsamen Hardware strukturiert. (Ein statisches MSSID Design beschreibt ein separates Forentutorial (siehe weiterführende Links) und das hiesige Mikrotik_VLAN_Tutorial.)
Die VLAN Information zum Client erhalten die Accesspoints von einem zentralen Radius Server über 802.1x Mac Passthrough, so das damit gleichzeitig eine zentrale Authentisierung und Management aller WLAN Clients stattfindet.
Dieses Konzept ist nicht nur auf WLANs beschränkt sondern kann gleichzeitig im Netzwerk auch für die Authentisierung von LAN Ports (Kupfer) genutzt werden (Port Security) Z.B. in mobilen Büros oder anderen Sicherheits relevanten Umfeldern wo wechselnde und auch fremde User Hardware für den Netzwerk Zugang authentisiert werden muss.
2. Beispiel Konfiguration:
Das Beispiel Setup für die dynamische VLAN Zuweisung ist bewusst einfach gehalten und eine klassische Standard Konfiguration mit Router und VLAN Switch. Diese gilt natürlich analog auch und gerade für größere Netze mit mehreren (redundanten) Switches und Accesspoints.Da die Radius und Mac Passthrough Verfahren durchgehend standartisiert sind, kann man die einzelnen Konfigurations Schritte auch leicht auf andere WLAN und LAN Hardware übertragen.
Es geht im Tutorial primär um die Einrichtung des zentralen WLAN Managements, und des Radius Servers mit optionaler SQL Anbindung an eine Datenbank. VLAN Konfigurationen, DHCP usw. werden nur grob angerissen um den Fokus des Tutorials nicht zu weit zu machen. Sie sind auch Teil weiterer Beschreibungen die man unten in den weiterführenden Links findet.
Mikrotik Hardware wurde bewusst gewählt, weil die Wireless Komponenten von sich aus eine integrierte Controller Funktion mitbringen die einen externen WLAN Controller überflüssig machen. Eine Captive Portal Funktion (Hotspot Webseite) für Gastnetze ist ebenfalls gleich mit an Bord. Dazu später mehr im Radius Setup des Tutorials.
Letztendlich stellt sie so eine performante und damit attraktive Hardware dar, die solche gehobenen Security Funktionen auch für Netzwerke kleiner und mittlerer Größe oder den Heimanwender mit einfachen Mitteln, kostengünstig realisierbar macht.
Als Radius Server findet der Einfacheit halber ein klassischer, kostenloser FreeRadius Verwendung, den man schnell und bequem auf einem Raspberry Pi oder Orange Pi Zero oder anderen Minirechnern bzw. einer VM Umgebung aufsetzen kann.
Aufgrund der Standartisierung von Radius können natürlich auch Windows Radius Server (NPS) oder entsprechende Radius Server Packages auf Firewalls (pfSense/OpnSense) oder Router wie z.B. OpenWRT zum Einsatz kommen. Letztere basieren in der Regel ebenfalls auf FreeRadius.
Das Tutorial Setup repräsentiert, wie eingangs erwähnt, ein klassisches Design aus Router und (PoE) Switch:
Ein besseres Detailbild sieht man HIER
Der Mikrotik Router beherbergt hier das zentrale WLAN Management (CapsMan), ist also der Controller für die Access Points. Die Accesspoints arbeiten im CapsMan Modus und melden sich automatisch am Controller von wo aus sie dann zentral provisioniert und gemanaged werden.
Der Mikrotik ist parallel Router und Firewall zwischen den VLANs.
Diese Konstallation ist nicht zwingend. Da die CapsMan Funktion zentraler Bestandteil von Router OS ist, kann der Manager bei Verwendung fremder Router Hardware auch auf einem der beteiligten Access Points liegen. Ebenso kann eine alternative Firewall oder Layer 3 Switch die VLANs verbinden.
Für das dynamische Zuweisen der Client VLANs spielt diese Routing Infrastruktur keine Rolle, so das dieses Setup sehr flexibel auch mit anderer Netzwerk Hardware eingesetzt werden kann.
Los gehts mit der Technik und man startet mit dem Mikrotik Router...
3. Setup Mikrotik Router:
Als Erstes konfiguriert man hier die Grundlagen für das VLAN Umfeld, sprich VLAN IDs, IP Adressen dazu, VLAN Bridge usw. Details findet man dazu im Mikrotik_VLAN_Tutorial.(Achtung: Der Mikrotik wird hier im Router Mode betrieben ! Er routet also zentral die VLANs auf einen davor kaskadierten Router. Wer den Mikrotik im VLAN Switch Mode betreiben will, um alle VLANs auf einen davor kaskadierten Router oder Firewall zu terminieren der schon VLANs supportet, der muss die Konfig etwas abändern (kein Routing, nur reines Switching mit einfachem VLAN Switch !). Ein_Link in den weiterführenden Links am Ende des Tutorials erklärt auch für so ein reines Switch Setup die genaue Konfiguration.)
3.1 VLAN Bridge einrichten:
Bridge hinzufügen und VLAN Filtering aktivieren:
3.2 VLAN Interfaces einrichten:
Einrichtung der VLAN Router IP Interfaces und Anbindung mit dem entsprechenden VLAN Tags an die Bridge.(Beispiel fürs Default/Management VLAN und das VLAN 10. Identisch für die weiteren VLANs)
3.3 Tagging der Routerports setzen:
Der Router Port ether10 ist der Uplink zum VLAN (PoE) Switch. Die Ports ether8 und ether9 sind optionale VLAN Switchports oder können zum Anschluss weiterer Accesspoints dienen.Wichtig:
Alle Uplink Ports auf einen oder mehrere Switches und/oder Access Points müssen immer Tagged gesetzt sein. Klar, denn der AP tagged ja jeden WLAN User gemäß seiner Zugehörigkeit mit einem VLAN Tag und das muss der empfangende Switch Port ja entsprechend lesen können ! (Siehe Bild 1 oben !)
Der Routing Port ether1 darf nicht (Port) Mitglied der VLAN Bridge sein ! Dieser Port ist direkt geroutet, hat die IP direkt auf dem Port und ist nicht Member der Bridgeports).
(Wer hier keinen Router Mode wünscht findet eine Konfiguration des Mikrotik als reinen VLAN Switch unten in den weiterführenden Links.)
Als Beispiel für eine Switch VLAN Konfiguration zeigt der folgende Screenshot ein VLAN Setup eines Zyxel GS-1200 Switches (Uplink Port 5 auf Port 10 des o.a. Mikrotik)
3.4 DHCP Server für die VLAN Segmente einrichten (optional):
Dieser Part ist optional und kann auch entfallen wenn man einen zentralen DHCP Server einsetzt.(Auch wieder nur beispielhaft für die VLANs 1 und 10. Weitere sind identisch)
3.5 Radius Server IP Adresse konfigurieren:
Links im Hauptmenü über den Button "Radius". Der Radius Server befindet sich im Management VLAN 1.
Das waren alle Settings für die VLAN und IP Address Infrastruktur.
Sie entsprechen dem Standard VLAN Setup von Mikrotik Routern und Switches gemäß dem oben genannten, hiesigen Tutorial.
Weiter geht es mit dem zentralen WLAN Manager für die Accesspoints (CapsMan).
4. WLAN Management Setup (WLAN Controller, CapsMan):
Die CapsMan Konfiguration ist nicht zwingend. Man kann die APs auch einzeln mit einer statischen Konfiguration betreiben ohne ein zentrales Management. (Siehe weiterführende Links).Betreibt man allerdings eine höhere Anzahl an APs in seinem WLAN, ist ein zentralisiertes Management mehr als sinnvoll. Es reduziert mögliche Fehler und schafft einen zentralen Punkt zum einfachen Management des gesamten WLANs und seiner AP. Erweiterungen sind so sehr einfach, denn man kann APs einfach "out of the box" ans Netz anklemmen und diese ziehen sich dann automatisch sämtliche Konfigurationen zentral vom onboard WLAN Controller CapsMan.
Daraus resultiert der große Vorteil das das Management Tool auf jeder Router OS Hardware gleich mit an Bord ist. Auch wenn man keinen Mikrotik Router betreibt muss man dennoch nicht auf ein zentralisiertes WLAN Management verzichten, denn das kann z.B. auch ein Mikrotik Switch oder einer der Accesspoints übernehmen. Es erspart weitere ggf. fehleranfällige und zu separat zu managende Controller Hardware und minimiert so das Ausfallrisiko.
4.1 CapsMan Manager (onboard WLAN Controller) aktivieren:
Hier ist es sinnvoll (aber nicht zwingend) mit Verschlüsselung zu arbeiten im Management Netz um die Konfig Daten zu schützen. Deshalb klickt man die Zertifikats Generierung auf auto, damit erzeugt der MT automatisch Zertifikate zur Verschlüsselung der AP Management Kommunikation.
4.2 Konfigurations Profil für das gesamte WLAN setzen:
Das Setup erstellt ein Basis Konfigurations Profil für alle Accesspoints, das diese sich automatisch beim Anmelden an den Manager ziehen. Es folgt einer baumartigen Hierarchie. Generelle Grundeinstellungen --> Einstellungen pro Profil --> Einstellungen pro AP. So kann man ein Finetuning jeder Ebene erreichen.Das Grundprofil bestimmt die 4 wichtigen Punkte:
- Wireless = WLAN Profil SSID, AP Mode, Länder Setting, usw.
- Channel = Funkkanal Profil, bestimmt die Funkfrequenz (WLAN Kanal des AP),
- Datapath = bestimmt wie die WLAN Daten vom Accesspoint in das Netzwerk geforwardet werden. Dabei gibt es 2 Modi: Tunnel = Traffic wird zentral vom AP zum Manager getunnelt von allen APs und dann dort in die VLANs ausgekoppelt. Local Forwarding = Der AP forwardet die Daten direkt am AP auf die Netzwerk Infrastruktur.
- Security = Sicherheits Profil, bestimmt die Verschlüsselung und Passwort (WPA2 und Radius)
- Da außer den statischen WPA2 Preshared Keys noch die VLAN Zuweisung der einzelnen Benutzerhardware im WLAN via Radius erfolgt, muss diese im Karteireiter Access List zwingend zusätzlich mit dem Action Feld query radius aktiviert werden !
- Zum unterbrechungsfreien Roaming bei Multimedia Daten unbedingt den Multicast Helper auf full setzen in allen CapsMan WLAN Profilen.
- Local Forwarding direkt am AP skaliert natürlich besser (Performance) folglich ist diese Option zu wählen ! (Ein Tunnel kann in Ausnahmen aber auch sinnvoll sein wenn der AP Traffic z.B. über ein öffentliches Netz gehen muss. Hier muss der Admin individuell nach Anforderung entscheiden.)
- Die Funkkanal Profile sollte man nach aktuellen lokalen Belegungen der AP Frequenzen einstellen auf denen die APs arbeiten (Beispiel hier mit 2 APs) und das diese sich nicht überschneiden (4kanaliger Abstand !). Grundlagen zur AP Frequenz Planung findet man HIER. Idealerweise erstellt man sich die 4 Funkkanal Profile 1, 5, 9 und 13 und verteilt diese je nach lokalen Gegebenheiten auf seine APs.
Im WLAN Profil muss abschliessend nur noch das entsprechende Datapath Profil aktiviert werden:
Damit sind alle Schritte zur Einrichtung des WLAN Management erledigt und es geht an die Access Points.
5. Access Point Setup:
Da die Accesspoints zentral über den CapsMan gemanagt werden und diese auch von dort ihre Konfig beziehen, ist deren Setup sehr einfach. Es gibt schlicht keins, denn die APs werden ja zentral gemanagt.Man verbindet sich mit dem WinBox Tool und macht schlicht und einfach einen System Reset wobei man gleichzeitig den CapsMan Mode aktiviert.
Hat alles geklappt sieht man im WLAN Manager die WLAN Interfaces der automatisch registrierten APs mit den übernommenen Profileinstellungen (ausgegraut):
Durch die Möglichkeit im Management verschiedene Profile zu erstellen kann man hier z.B. auch für andere Gebäude oder Firmenteile usw. abweichende Setups (SSIDs, VLANs usw) auf APs mit einem einfachen Mausklick zentral zuweisen. Dies stellt eine sehr große Management Erleichterung dar in größeren und strukturierten WLAN Umgebungen.
5.1 Weitere AP Einstellungen:
Die APs ziehen sich im Management Netz per DHCP Server eine IP Adresse und einen NTP Server. Letzterer ist wichtig wegen der Gültigkeit der Zertifikate (Datum) und z.B. auch für das Log zum Troubleshooting (Uhrzeit). Die NTP Aktivierung geschieht im SNTP Client Setup.Wichtig ist jetzt nur noch den APs nicht überlappenden Funkkanäle zuzuweisen. Dazu sollte man mit einem WLAN_Scanner immer individuell die jeweilige Situation am Aufenthaltsort der Clients (nicht der APs !) messen und entsprechend die APs einstellen. Das geschieht im ersten Schritt mit dem Einrichten eines Funkkanalprofils im CapsMan:
Mit diesem Schritt ist die Konfiguration des Routers, WLAN Management und der APs abgeschlossen.
6. Radius Server Setup:
Wie Eingangs erwähnt, verwendet das Tutorial ein FreeRadius als Radius Server. Das ist kein Zwang, es kann genausogut ein Windows NPS in einem AD Umfeld sein oder ein embeddeter Radius Server in Firewall (z.B. pfSense) oder Router oder auch auf dem NAS (QNAP und Synology bieten entsprechende Radius Apps dafür).Mit dem FreeRadius lässt sich aber auch für Heimuser schnell und einfach ein Radius Server auf einem Raspberry Pi, Orange Pi Zero oder anderen Kleinrechnern oder VMs preiswert aufsetzen.
Die weiterführenden Links gehen detailierter auf die Radius Server Installation und das einfache Setup ein.
Beispiel hier ist ein Debian basiertes Linux wie Ubuntu, Raspian, Armbian usw. auf dem der Server vorher mit einem apt install freeradius installiert wurde.
Die Konfigurations Dateien befinden sich im Verzeichnis: /etc/freeradius/3.0/ .
Die entsprechenden Geräte Hardware Adressen (Mac Adressen) enthüllen die Kommandos ipconfig -all (Windows) oder ifconfig (unixoide OS) sowie die entsprechenden Anzeigen in Smartphones und Pads.
Danach editiert man die clients.conf Datei um sie an die eigene IP Adressierung anzupassen. Diese Datei regelt den Zugang der Radius Clients (APs) auf den Server. Da alle Clients (APs) im Management VLAN (Beispiel hier 192.168.88.0 /24) liegen, passt man dies entsprechend mit einem Editor (z.B. nano) an:
# You can now specify one secret for a network of clients.
# When a client request comes in, the BEST match is chosen.
# i.e. The entry from the smallest possible network.
#
client home-network {
ipaddr = 192.168.88.0/24
secret = testing123
} # Mikrotik Mac Auth and dyn. VLAN
#
0022:FA7B:1234 Cleartext-Password := "0022:FA7B:1234"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 10,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "HP"
#
0021:857E:5678 Cleartext-Password := "0021:857E:5678"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 20,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "Lenovo"
#
0041:C57E:ABCD Cleartext-Password := "0041:C57E:ABCD", Login-Time := "Any0800-2000"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 20,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "iPhone"
#
# Zuweisung eines Default VLANs (Captive Portal) bei unbekannten Usern
#
#DEFAULT Cleartext-Password := "%{User-Name}", Login-Time := "Wk0800-1800"
# Tunnel-Type = VLAN,
# Tunnel-Medium-Type = IEEE-802,
# Mikrotik-Wireless-VLANID := 99,
# Mikrotik-Wireless-VLANID-Type := 0,
# Mikrotik-Wireless-Comment = "unknown" - Login-Time := "Wk0800-1800" = Nur Werktags von 8 bis 18 Uhr
- Login-Time := "Sa-Su1000-2000" = Nur Sa. bis So. von 10 bis 20 Uhr
- Login-Time := "Wk0900-1800,Sa,Su1200-1500" Nur Werktags 8-18 Uhr, Sa. ganztägig und So. 12-15 Uhr.
Weitere Steuerungen und auch ein Accounting der Zugangs Daten lässt der Radius Server ebenfalls zu.
Es sei hier nochmals an das Mac Adress Format erinnert das zuvor im AAA Setting des CapsMan vorgegeben wurde !
Natürlich kann man diese Datei auch vorher mit einem einfachen Texteditor wie Notepad++ usw. editieren und dann mit einem grafischen Drag and Drop Kopiertool wie z.B. dem Klassiker WinSCP auf den Server kopieren. Auch eine Freigabe des Verzeichnisses der User Konfig Datei mit SMB ist denkbar erfordert aber dann erhöhte Zugriffsicherheit.
Zum Schluss ist es sinnvoll die PEAP Konfiguration des FreeRadius anzupassen wer später einmal mit WPA2 Enterprise und Username/Passwort Kombinationen auf den Clients arbeiten möchte statt der Hardware Adressen.
Hierzu wechselt man ins Verzeichnis /etc/freeradius/3.0/mods-available und editiert dort die Datei eap mit dem nano Editor.
Im Abschnitt "peap" sucht man die Einstellung "use_tunneled_reply" und ändert diese auf yes.
Um die Radius Funktion abschliessend zu testen sollte man den Radius Server erst einmal manuell starten. Das zeigt etwaige Tippfehler in den Konfig Dateien sofort an ohne langwierige Suche.
Dazu stoppt man mit dem Kommando systemctl stop freeradius den im Hintergrund laufenden Radius Dienst und startet den Radius Server mit freeradius -X im Debug Modus.
Nun kann man eingehende Radius Requests mitverfolgen und prüfen ob diese fehlerfrei abgearbeitet werden. Ist das der Fall stoppt man mit <ctrl> c den Debug Modus und startet mit systemctl start freeradius den Radius Server wieder als Dienst im Hintergrund.
Ein weiteres hilfreiches Windows Tool zum Radius Server Test ist NTRadPing.
Damit ist das Setup abgeschlossen und einem ersten Test der dynamischen VLAN Zuweisung der Clients steht nun nichts mehr im Wege !
6.1 Radius mit Default VLAN für unregistrierte (Gast) Benutzer und Captive Portal (Hotspot) erweitern:
Nicht im Radius Server registrierte User bzw. Mac Adressen würden mit dieser WLAN Authorisierung keinerlei Chance haben auf das WLAN oder LAN Netz zuzugreifen was ja explizit gewollt ist. Der Radius Server lässt nur Endgeräte in den VLANs zu die ausdrücklich erlaubt sind.Oft ist diese strikte Regelung nicht gewollt und man möchte auch nicht registrierten Nutzern wie Gästen oder externen Service Mitarbeitern usw. den Zugang in einem isolierten und abgesicherten "Auffang" VLAN (auch "Gummizellen" VLAN genannt) erlauben.
Hier werden sie dann über ein sog. Captive_Portal geblockt und bekommen dann automatisch per Browser Informationen für einen registrierten Zugang. (klassische Hotspot Funktion) So behält man zudem gleichzeitig einen sicheren Überblick wer Zugang zum Netz erhält.
Diese Funktion ist mit einigen geringen Änderungen der Radius Konfig sehr einfach umsetzbar.
Dazu entkommentiert man (Entfernen der "#" Zeichen) die DEFAULT Konfiguration in der obigen Radius User Datei. Der Abschnitt DEFAULT bewirkt das nicht authentisierten Benutzern zwangsweise das isolierte VLAN 99 zugewiesen wird. Dieses VLAN ist natürlich VORHER zusätzlich identisch zu den anderen VLANs 10 bis 30 einzurichten und über die Router Firewall mit entsprechenden Regeln zu isolieren.
Die Aktivierung der Hotspot Funktion auf dem Mikrotik ist über den Einrichtungs Assistent im Menü Hotspot mit ein paar Mausklicks erledigt:
6.1.2 Firewall anpassen um Gastnetz von allen lokalen Netzen zu trennen:
Der folgende Screenshot zeigt eine einfache Firewall Regel um die lokalen VLANs vor dem Zugriff durch Gast Benutzer abzusichern:- Zugriff vom Gastnetz auf den Router (Input Chain) nur erlaubt zur DNS Namensauflösung (TCP/UDP 53, Router ist hier DNS Proxy !)
- Zugriff auf alle lokalen VLANs (gesamtes 10er IP Netz) verboten. (Forward Chain)
- Zugriff auf das Management Netz verboten. (Forward Chain)
6.2 Radius Anbindung an Microsoft AD (LDAP) oder SQL Datenbank:
(Speicherung der Mac Adressen in einer SQL Datenbank (NAS, MS-SQL etc.) ist Teil einer Fortzetzung.)Wird fortgesetzt... !
Weiterführende Links:
Mikrotik Beispielkonfig zu obigem Tutorial für RB2011 Modell:(Bitte PM senden)
Statt Mac Adresse die User mit 802.1x Username und Passwort authentisieren (WPA2 Enterprise):
https://administrator.de/content/detail.php?id=605422&token=126#comm ...
Mikrotik als Switch im L2 Mode statt als Router konfigurieren (externer Router bzw. Firewall macht das VLAN Routing !):
https://administrator.de/forum/mikrotik-mehrere-vlans-cap-ac-capsman-378 ...
Dynamische VLANs mit Mikrotik Accesspoints ohne CapsMan Manager (APs im Standalone Mode):
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
(Konfig ist identisch zum o.a. Tutorial, nutzt aber kein zentrales Management mit CapsMan. APs müssen einzeln konfiguriert werden. (Standalone Konfig))
Lösung mit Windows NPS Radius Server NPS und CA:
https://mum.mikrotik.com/presentations/EU18/presentation_5159_1523293520 ...
Mikrotik eigenen,onboard Radius Server benutzen (Beta):
https://administrator.de/wissen/mikrotik-802-1x-port-basierte-authentifi ...
Radius Server in Kombination auf einer (vorhandenen) pfSense / OPNsense Firewall betreiben:
https://administrator.de/content/detail.php?id=378188&token=202#comm ...
https://administrator.de/forum/pfsense-2-3-2-freeradius-317943.html
Grundlegende VLAN Konfiguration und Handling bei Mikrotik:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
https://forum.mikrotik.com/viewtopic.php?t=143620&sid=b0ab57322ee101 ...
WLAN Konfigurationsfehler im Mikrotik WiFi Setup vermeiden !:
https://www.youtube.com/watch?v=JRbAqie1_AM
MSSID basierte Aufteilung von WLAN Clients in separate VLANs:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Fernwartungs Zugriff mit L2TP VPN auf den Mikrotik:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
802.1x Radius Authentisierung Setup für WLAN und LAN Grundlagen:
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
https://www.administrator.de/index.php?content=154402
Dynamische VLAN Zuweisung LAN für Ruckus ICX Switch und Cisco Catalyst 2960:
https://administrator.de/content/detail.php?id=500006&token=166#comm ...
https://administrator.de/content/detail.php?id=621930&token=781#comm ...
Statische WLAN Radius User Authorisierung mit TP-Link Accesspoint:
https://administrator.de/content/detail.php?id=503461&token=446#comm ...
VLAN Setup Übersicht der gängigen Switch Modelle:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
IPv6 Dual Stack auf dem Mikrotik einrichten:
https://administrator.de/content/detail.php?id=632633&token=315
Übersicht Mikrotik Accesspoint Hardware:
https://mikrotik.com/products/group/wireless-for-home-and-office
Heise ct' Artikel zum Thema Dynamische VLANs:
https://www.heise.de/select/ct/2020/7/2000809132711309683
Raspberry Pi, Orange Pi Zero FreeRadius Setup:
https://www.administrator.de/contentid/191718
Raspberry, Orange Pi Zero Hardware:
https://www.reichelt.de/raspberry-pi-4-b-4x-1-5-ghz-1-gb-ram-wlan-bt-ras ...
https://www.ebay.de/itm/3-in-1-Orange-Pi-Zero-512MB-Development-Board-Ex ...
https://www.amazon.de/Cheng-Orange-Quad-Core-Schutzhülle-Entwicklun ...
https://www.armbian.com/orange-pi-zero/
Kommentieren
- Mehr
Auf Facebook teilen
Auf Twitter teilen31 Kommentare
- LÖSUNG snoert schreibt am 12.11.2019 um 12:13:57 Uhr
- LÖSUNG aqui schreibt am 12.11.2019 um 14:38:06 Uhr
- LÖSUNG kartoffelesser schreibt am 13.11.2019 um 23:12:53 Uhr
- LÖSUNG aqui schreibt am 15.11.2019 um 15:02:56 Uhr
- LÖSUNG kartoffelesser schreibt am 16.11.2019 um 14:17:18 Uhr
- LÖSUNG aqui schreibt am 15.11.2019 um 15:02:56 Uhr
- LÖSUNG jlct021 schreibt am 29.12.2019 um 00:30:04 Uhr
- LÖSUNG aqui schreibt am 29.12.2019 um 11:35:42 Uhr
- LÖSUNG svenpaush schreibt am 18.05.2020 um 16:31:26 Uhr
- LÖSUNG aqui schreibt am 19.05.2020 um 18:17:49 Uhr
- LÖSUNG svenpaush schreibt am 18.05.2020 um 16:31:26 Uhr
- LÖSUNG aqui schreibt am 29.12.2019 um 11:35:42 Uhr
- LÖSUNG keule3000 schreibt am 01.06.2020 um 13:53:28 Uhr
- LÖSUNG aqui schreibt am 01.06.2020 um 14:36:10 Uhr
- LÖSUNG keule3000 schreibt am 01.06.2020 um 15:18:57 Uhr
- LÖSUNG aqui schreibt am 01.06.2020 um 17:09:24 Uhr
- LÖSUNG keule3000 schreibt am 01.06.2020 um 18:44:07 Uhr
- LÖSUNG konkret schreibt am 09.09.2020 um 09:07:18 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 09.09.2020 um 09:08:52 Uhr
- LÖSUNG aqui schreibt am 09.09.2020 um 10:32:35 Uhr
- LÖSUNG konkret schreibt am 09.09.2020 um 13:15:02 Uhr
- LÖSUNG aqui schreibt am 09.09.2020 um 13:30:22 Uhr
- LÖSUNG konkret schreibt am 12.09.2020 um 11:36:21 Uhr
- LÖSUNG aqui schreibt am 12.09.2020 um 12:16:12 Uhr
- LÖSUNG konkret schreibt am 12.09.2020 um 18:16:16 Uhr
- LÖSUNG aqui schreibt am 13.09.2020 um 10:17:02 Uhr
- LÖSUNG konkret schreibt am 12.09.2020 um 18:16:16 Uhr
- LÖSUNG aqui schreibt am 12.09.2020 um 12:16:12 Uhr
- LÖSUNG konkret schreibt am 12.09.2020 um 11:36:21 Uhr
- LÖSUNG aqui schreibt am 09.09.2020 um 13:30:22 Uhr
- LÖSUNG konkret schreibt am 09.09.2020 um 13:15:02 Uhr
- LÖSUNG aqui schreibt am 09.09.2020 um 10:32:35 Uhr
- LÖSUNG Lochkartenstanzer schreibt am 09.09.2020 um 09:08:52 Uhr
- LÖSUNG konkret schreibt am 09.09.2020 um 09:07:18 Uhr
- LÖSUNG keule3000 schreibt am 01.06.2020 um 18:44:07 Uhr
- LÖSUNG aqui schreibt am 01.06.2020 um 17:09:24 Uhr
- LÖSUNG keule3000 schreibt am 01.06.2020 um 15:18:57 Uhr
- LÖSUNG aqui schreibt am 01.06.2020 um 14:36:10 Uhr
- LÖSUNG Firstfreak schreibt am 29.12.2020 um 17:34:34 Uhr
- LÖSUNG aqui schreibt am 29.12.2020 um 19:36:26 Uhr
- LÖSUNG Firstfreak schreibt am 29.12.2020 um 20:29:00 Uhr
- LÖSUNG aqui schreibt am 30.12.2020 um 12:45:41 Uhr
- LÖSUNG Firstfreak schreibt am 30.12.2020 um 13:18:36 Uhr
- LÖSUNG aqui schreibt am 30.12.2020 um 15:07:34 Uhr
- LÖSUNG Firstfreak schreibt am 30.12.2020 um 18:49:54 Uhr
- LÖSUNG aqui schreibt am 30.12.2020 um 19:07:30 Uhr
- LÖSUNG Firstfreak schreibt am 30.12.2020 um 18:49:54 Uhr
- LÖSUNG aqui schreibt am 30.12.2020 um 15:07:34 Uhr
- LÖSUNG Firstfreak schreibt am 30.12.2020 um 13:18:36 Uhr
- LÖSUNG aqui schreibt am 30.12.2020 um 12:45:41 Uhr
- LÖSUNG Firstfreak schreibt am 29.12.2020 um 20:29:00 Uhr
- LÖSUNG aqui schreibt am 29.12.2020 um 19:36:26 Uhr
LÖSUNG 12.11.2019 um 12:13 Uhr
LÖSUNG 12.11.2019, aktualisiert um 14:38 Uhr
Ja natürlich !
Steht aber auch oben explizit so im Tutorial und in den weiterführenden Links ! Lesen hilft...
Das ist dann die statische AP Konfig wo du jeden AP individuell einrichtest. Die Konfig ist sehr ähnlich nur das man dann CapsMan nicht aktiviert auf Router und AP und quasi die Konfig der CapsMan Interfaces individuell auf jedem AP macht. Diese ist dort so gut wie identisch.
Guckst du hier:
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
Steht aber auch oben explizit so im Tutorial und in den weiterführenden Links ! Lesen hilft...
Das ist dann die statische AP Konfig wo du jeden AP individuell einrichtest. Die Konfig ist sehr ähnlich nur das man dann CapsMan nicht aktiviert auf Router und AP und quasi die Konfig der CapsMan Interfaces individuell auf jedem AP macht. Diese ist dort so gut wie identisch.
Guckst du hier:
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
LÖSUNG 13.11.2019, aktualisiert um 23:24 Uhr
LÖSUNG 15.11.2019, aktualisiert 16.11.2019
Reicht für Deine Anleitung auch der abgespeckte Userman von Mikrotik als Radiusserver?
Nein, das ist leider nur eine statische Userverwaltung. Mit der kannst du die VLAN Attribute nicht übergeben an den AP !Kannst Du mir bitte sagen warum Du als Service "Wireless" und nicht "Hotspot" bei der RadiusServer / Client Einstellung benutzt?
Sorry, die Frage verstehe ich jetzt irgendwie nicht...?!Wireless ist im o.a. Beispiel auf dem RB2011 zwingend weil CapsMan aktiv ist. Ohne Wireless Package kein CapsMan.
Wireless kannst du weglassen wenn du die statische AP Konfig OHNE CapsMan nutzt (Siehe weiterführende Links).
Hotspot brauchst du nur wenn du nicht registrierte User auch annehmen willst auf dem WLAN und diese dann in ein Gummizellen VLAN bringst mit einem Captive Portal (Zwangs Webseite mit Infos und ggf. Login). Das Hotsport Package ist nur die zusätzliche Captive Portal Funktion.
Wie gesagt bei statischer AP Konfig und ohne CP kannst du diese beiden Packages natürlich weglassen auf dem Router !
LÖSUNG 16.11.2019, aktualisiert um 14:19 Uhr
LÖSUNG 29.12.2019, aktualisiert um 00:41 Uhr
Thanks for the tutorial. Will the above work with Mikrotik’s UserManager (UM) as RADIUS server?
I note you mention FR is not a requirement, and that it could just as well be a Windows NPS in an AD environment or an embedded radius server in a firewall or router. But am curious as to whether you omitted mentioning UM for a specific reason?
I understand UM does not allow the degree of customization FR does, however It would save on the need for extra hardware. (FreeRadius (FR) on Raspbery or Desktop).
We are looking to move to RADIUS from WPA2 PSK’s alone for better user management and security. Our networks are small, 10-20 users each.
I note you mention FR is not a requirement, and that it could just as well be a Windows NPS in an AD environment or an embedded radius server in a firewall or router. But am curious as to whether you omitted mentioning UM for a specific reason?
I understand UM does not allow the degree of customization FR does, however It would save on the need for extra hardware. (FreeRadius (FR) on Raspbery or Desktop).
We are looking to move to RADIUS from WPA2 PSK’s alone for better user management and security. Our networks are small, 10-20 users each.
LÖSUNG 29.12.2019, aktualisiert 08.06.2020
Update (06/2020):
This will be solved in Future Releases: Check here:https://administrator.de/wissen/mikrotik-802-1x-port-basierte-authentifi ...
Will the above work with Mikrotik’s UserManager (UM) as RADIUS server?
I'm not sure. <edit>
Reading the corresponding manual:
https://wiki.mikrotik.com/wiki/Manual:User_Manager
says clearly "User Manager is a RADIUS server application." ! So its definitely an embedded Radius server app. Thanks for pinpointing us to that feature. Don't had it on the radar...
Drawback and maybe a showstopper here is the lack of WPA2 PEAP in the Usermanager. See discussion HERE.
The second point is the need of vendor specific attributes for VLAN IDs. In the User Manager WebGUI is no point to set these. So it looks like the MT Radius implementation is only a very small subset of a full Radius Server like FreeRadius. Mostly for accounting hotspots etc. The lack of these 2 mandatory features might be (or is) actually an obstacle to use it here with dynamic VLANs and most likely requests a full radius server.
It definitely needs some additional testing of course and if there is a possible solution a User Manager chapter in this tutorial will be added. Its interesting because it can make an external Radius obsolete and hence reduce a possible point of failure. But most likely it did not support those 2 essential features which then makes the external Radius mandatory here.
Very often these WLAN setups are accompanied with a firewall like pfSense or OPNsense to provide Internet access. With their integrated package manager they have the opportunity to integrate a full FreeRadius server into their software which then makes an external radius server obsolete.
So this is a very nice workaround.
</edit>
LÖSUNG 18.05.2020, aktualisiert um 16:32 Uhr
Hallo, wer sein Wlan Netzwerk nach der Konfiguration Online hat und feststellt das die Kanalbreite in einem Wlan Scanner bei 2.4 GHz nicht wie eingestellt eine Breite von 20Mhz sondern 40Mhz hat sollte auch unbedingt "Extension Channel" auf disabled stellen.
Anschließend ist die Kanalbreite im Wlan Scanner auch wie gewünscht auf 20Mhz.
Als Script für Kanal 1 sieht das so aus:
Oder wer lieber Bilder mag:
Gruß
Sven
Anschließend ist die Kanalbreite im Wlan Scanner auch wie gewünscht auf 20Mhz.
Als Script für Kanal 1 sieht das so aus:
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2ghz-Ch1Gruß
Sven
LÖSUNG 01.06.2020, aktualisiert um 14:17 Uhr
Hallo,
das zeitabhängige Login funktioniert bei mir (Radius 3.0.21 als Docker-Container) nur in der folgenden, leicht geänderten Konfiguration:
Mit der Konfiguration über mehrere Zeilen
bekomme ich den Hinweis: In der Folge wird das Attribut ignoriert und ein Login ist immer möglich.
Ohne Komma nach dem Attribut für die Login-Time in der Konfiguration über mehrere Zeilen startet Radius gar nicht:
Ohne den Zusatz "Any" bei der Zeitangabe wird die Authentifizierung immer abgelehnt. Eine Tagesangabe scheint unverzichtbar (s. FreeradiusWiki).
Imho muss also die Login-time in einer Zeile mit dem Benutzernamen stehen und eine Tagesangabe ist zwingend erforderlich. Dann funktioniert das zeitabhängige login und nach Ablauf der login-time wird der angemeldete Benutzer automatisch rausgeschmissen. So soll es sein
Beste Grüße
das zeitabhängige Login funktioniert bei mir (Radius 3.0.21 als Docker-Container) nur in der folgenden, leicht geänderten Konfiguration:
0041:C57E:ABCD Cleartext-Password := "0041:C57E:ABCD", Login-Time := "Any0800-2000"0041:C57E:ABCD Cleartext-Password := "0041:C57E:ABCD"
Login-Time := "Any0800-2000",
[...][/etc/freeradius/mods-config/files/authorize]:1 Check item "Login-Time" found in reply item list for user "testing". This attribute MUST go on the first line with the other check itemsOhne Komma nach dem Attribut für die Login-Time in der Konfiguration über mehrere Zeilen startet Radius gar nicht:
/etc/freeradius/mods-config/files/authorize[16]: Entry does not begin with a user name
Failed reading /etc/freeradius/mods-config/files/authorize
/etc/freeradius/mods-enabled/files[9]: Instantiation failed for module "files"Imho muss also die Login-time in einer Zeile mit dem Benutzernamen stehen und eine Tagesangabe ist zwingend erforderlich. Dann funktioniert das zeitabhängige login und nach Ablauf der login-time wird der angemeldete Benutzer automatisch rausgeschmissen. So soll es sein
Beste Grüße
LÖSUNG 01.06.2020, aktualisiert um 14:37 Uhr
Danke für das Feedback !
Was den Tag anbetrifft ist die Syntax Angabe aber eindeutig:
"A day is Mo, Tu, We, Th, Fr, Sa or Su, or Wk for Mo-Fr. "Any" or "Al" means all days. "
Es ist aber gut möglich das das "Any" mittlerweile veraltet ist und entfernt wurde und so nur noch Al gültig ist, das müsste man mal probieren. Zumal die Beschreibung auch nur noch dieses Kommando erwähnt. Siehe:
"So if Login-Time is set to "Al0800-1800" and a user logs in at 17:30, Session-Timeout is set to 1800 seconds so that the user is kicked off at 18:00."
Hast du das statt Any einmal Al probiert ? Ich habe den Parameter aktuell nicht genutzt sondern nur "Wk" usw. werde das aber asap einmal checken. Auch was die Zeilen Anordnung anbetrifft
Ohne Komma nach dem Attribut für die Login-Time in der Konfiguration über mehrere Zeilen startet Radius gar nicht:
Das ist auch normal, denn das Komma signalisiert in der User Konfig Datei das da noch weitere User Attribute folgen. Nur nach dem letzten Attribut pro User darf kein Komma mehr stehen. Da muss mal also aufpassen !Was den Tag anbetrifft ist die Syntax Angabe aber eindeutig:
"A day is Mo, Tu, We, Th, Fr, Sa or Su, or Wk for Mo-Fr. "Any" or "Al" means all days. "
Es ist aber gut möglich das das "Any" mittlerweile veraltet ist und entfernt wurde und so nur noch Al gültig ist, das müsste man mal probieren. Zumal die Beschreibung auch nur noch dieses Kommando erwähnt. Siehe:
"So if Login-Time is set to "Al0800-1800" and a user logs in at 17:30, Session-Timeout is set to 1800 seconds so that the user is kicked off at 18:00."
Hast du das statt Any einmal Al probiert ? Ich habe den Parameter aktuell nicht genutzt sondern nur "Wk" usw. werde das aber asap einmal checken. Auch was die Zeilen Anordnung anbetrifft
LÖSUNG 01.06.2020, aktualisiert um 15:19 Uhr
LÖSUNG 01.06.2020, aktualisiert um 17:27 Uhr
Du hast Recht ! Interessanterweise gibt es keinen Syntax Error der Konfig Datei wenn das Login-Time Attribut in einer eigenen Zeile steht, es wird dann aber vollständig ignoriert und nicht ausgeführt. 
Es ist scheinbar nicht möglich das Attribut nach einen <Return> in eine andere Zeile zu schreiben. Es muss tatsächlich in der gleichen Zeile das Usernamens mit einem Komma getrennt stehen aber am Zeilenende ohne Komma !
Dann funktioniert es wie es soll und es ist dann auch egal ob "Any" oder "Al" davor. Man kann das sogar komplett weglassen, was dann vermutlich den gleichen Effekt wie Any oder Al hat.
Interessant ist auch der dortige Simultaneous-Use Parameter. Mit Simultaneous-Use := 1 kann man ein mehrfach Login mit gefakter Mac Adresse oder auch bei 802.1x Mit Usernamen und Passwort sicher verhindern. Vermutlich muss das dann auch in die gleiche Zeile.
Das Tutorial ist oben auf diese korrekte Syntax angepasst !
Danke nochmal für diesen wichtigen Hinweis !!
Es ist scheinbar nicht möglich das Attribut nach einen <Return> in eine andere Zeile zu schreiben. Es muss tatsächlich in der gleichen Zeile das Usernamens mit einem Komma getrennt stehen aber am Zeilenende ohne Komma !
Dann funktioniert es wie es soll und es ist dann auch egal ob "Any" oder "Al" davor. Man kann das sogar komplett weglassen, was dann vermutlich den gleichen Effekt wie Any oder Al hat.
Interessant ist auch der dortige Simultaneous-Use Parameter. Mit Simultaneous-Use := 1 kann man ein mehrfach Login mit gefakter Mac Adresse oder auch bei 802.1x Mit Usernamen und Passwort sicher verhindern. Vermutlich muss das dann auch in die gleiche Zeile.
Das Tutorial ist oben auf diese korrekte Syntax angepasst !
Danke nochmal für diesen wichtigen Hinweis !!
LÖSUNG 01.06.2020 um 18:44 Uhr
LÖSUNG 09.09.2020 um 09:07 Uhr
Hallo,
Hab eine Frage zum Tutorial:
In Pkt. 3.3 werden ja die VLANs den Ports zugewiesen. Das VLAN 1 ist hier ja das MgmT VLAN, wenn ich das richtig verstanden habe. Es wird an den AP Ports also auf untagged gesetzt. Die APs zeihen sich dann darüber die IP Adressen per DHCP. Alle anderen VLANs der werden tagged übertragen und über die RADIUS Authehtifizierung den Usern zugewiesen.
Wie ist es aber nun wenn ich am AP Port einfach ein anderes Gerät einstecke? Dann ist dieses ja direkt im Mgmt VLAN, da ja einfach die IPs per DHCP zugewiesen werden.
Wie sichert man hier dann den Zugang ab?
Danke schon mal für die Infos. Vllt. hab ich hier was falsch verstanden.
Grüße konkret
Hab eine Frage zum Tutorial:
In Pkt. 3.3 werden ja die VLANs den Ports zugewiesen. Das VLAN 1 ist hier ja das MgmT VLAN, wenn ich das richtig verstanden habe. Es wird an den AP Ports also auf untagged gesetzt. Die APs zeihen sich dann darüber die IP Adressen per DHCP. Alle anderen VLANs der werden tagged übertragen und über die RADIUS Authehtifizierung den Usern zugewiesen.
Wie ist es aber nun wenn ich am AP Port einfach ein anderes Gerät einstecke? Dann ist dieses ja direkt im Mgmt VLAN, da ja einfach die IPs per DHCP zugewiesen werden.
Wie sichert man hier dann den Zugang ab?
Danke schon mal für die Infos. Vllt. hab ich hier was falsch verstanden.
Grüße konkret
LÖSUNG 09.09.2020, aktualisiert um 09:13 Uhr
Zitat von konkret:
Wie ist es aber nun wenn ich am AP Port einfach ein anderes Gerät einstecke? Dann ist dieses ja direkt im Mgmt VLAN, da ja einfach die IPs per DHCP zugewiesen werden.
Wie sichert man hier dann den Zugang ab?
Wie ist es aber nun wenn ich am AP Port einfach ein anderes Gerät einstecke? Dann ist dieses ja direkt im Mgmt VLAN, da ja einfach die IPs per DHCP zugewiesen werden.
Wie sichert man hier dann den Zugang ab?
Port Security
Siehe auch den Link oben im Tutorial von aqui
Praxisbeispiel FreeRadius mit 802.1x Port Authentisierung (Cisco Catalyst Switch, Ruckus ICX Switch)
lks
LÖSUNG 09.09.2020, aktualisiert um 10:33 Uhr
Das VLAN 1 ist hier ja das MgmT VLAN, wenn ich das richtig verstanden habe.
Ja das hast du richtig verstanden.Generell kann man das Management immer in ein VLAN der Wahl legen, 1 ist nicht zwingend. Es wurde hier aber deshalb gemacht das bei vielen SoHo Komponenten (Switches, APs usw.) die Default Management IP Adresse immer im Default VLAN 1 ist.
Damit erreicht man also immer problemlos das Management Interface dieser Komponenten mit ihrer Default Konfig.
Aber du bist wie gesagt frei in der Wahl des Management VLANs.
Die APs zeihen sich dann darüber die IP Adressen per DHCP.
Richtig !Deshalb sollte im Default VLAN auch immer ein DHCP Server laufen.
Alle anderen VLANs der werden tagged übertragen und über die RADIUS Authehtifizierung den Usern zugewiesen.
Absolut richtig wenn du ein Design mit dynamischen VLANs hier meinst !Ohne Radius und dynamischen VLANs musst du sie logischerweise immer statisch definieren was natürlich auch geht !
Dann ist dieses ja direkt im Mgmt VLAN, da ja einfach die IPs per DHCP zugewiesen werden.
Ja, das ist richtig erkannt und nicht optimal. Da hast du Recht. Man muss hier im Forum aber immer einen Kompromiss zwischen Einfachheit und Sicherheit machen. Viele User sind Laien oder arbeiten in einem SoHo Umfeld so das man das hier nicht allzu kompliziert machen sollte... Wie sichert man hier dann den Zugang ab?
Das kann man mit mehreren einfachen Maßnahmen machen. Kollege "Lochkarte" hat sie ja auch oben schon aufgezählt.LÖSUNG 09.09.2020 um 13:15 Uhr
Ok, danke für die raschen Antworten.
Mittlerweile habe ich schon sehr viel aus den Tutorials und Links hier lernen können.
Wirklich sehr informativ.
Habe einen Mikrotik Router/Switch wie folgt aufgesetzt:
- Bridge, VLAN10 (als Mgmt VLAN), ether1 als Trunk board mit PVID=10 und „admit VLAN tagged only“
- Ether1 mit allen VLANs tagged
- Ether2 bis ether6 als AP-Ports mit PVID=10 untagged und alle anderen VLANs tagged (20, 30, 40)
- Ether7 mit PVID=20 untagged und „untagged only or..”
- Ether8 mit PVID=10 untagged und “untagged only or…”
- DHCP am Router eingerichtet
- VLAN10 als Interface einrichten und IP zuweisen
- Default Route auf den Router/Firewall setzen
- WLAN APs wie oben beschrieben eingerichtet und mit Caps Mode gestartet
Folgendes wäre jetzt noch zu tun:
- Radius Server an der Firewall einrichten
- Radius Server am Mikrotik wie oben beschrieben einrichten (Pkt 3.5)
- User in der User Liste hinterlegen mit VLAN ID
- Captive Portal wie in Pkt. 6.1 einrichten (in diesem Fall mit IP des CP VLANs am Router)
- Port based Security der AP Ports (und eventuell ether8 als Mgmt Port) wie hier beschrieben einstellen:
Mikrotik - Limit MAC Address per Port
Hier noch ein paar Fragen dazu:
- In der User Liste sind hier ja nur MAC-Adressen als User/PW hinterlegt. Im WLAN Setup wurde ja WPA-PSK eingestellt mit Radius-Auth. Heißt das nun, daß sich ein Nutzer nur mit pre-shared Key und richtiger MAC einloggen kann?
- Kann man nun zusätzlich auch User mit Nutzernamen und Passwort anlegen (also Authentifizierung per WPA-EAP) und CA/Zertifikate vergeben?
- Oder geht nur entweder oder (also WPA-PSK oder WPA-EAP)
Mittlerweile habe ich schon sehr viel aus den Tutorials und Links hier lernen können.
Wirklich sehr informativ.
Habe einen Mikrotik Router/Switch wie folgt aufgesetzt:
- Bridge, VLAN10 (als Mgmt VLAN), ether1 als Trunk board mit PVID=10 und „admit VLAN tagged only“
- Ether1 mit allen VLANs tagged
- Ether2 bis ether6 als AP-Ports mit PVID=10 untagged und alle anderen VLANs tagged (20, 30, 40)
- Ether7 mit PVID=20 untagged und „untagged only or..”
- Ether8 mit PVID=10 untagged und “untagged only or…”
- DHCP am Router eingerichtet
- VLAN10 als Interface einrichten und IP zuweisen
- Default Route auf den Router/Firewall setzen
- WLAN APs wie oben beschrieben eingerichtet und mit Caps Mode gestartet
Folgendes wäre jetzt noch zu tun:
- Radius Server an der Firewall einrichten
- Radius Server am Mikrotik wie oben beschrieben einrichten (Pkt 3.5)
- User in der User Liste hinterlegen mit VLAN ID
- Captive Portal wie in Pkt. 6.1 einrichten (in diesem Fall mit IP des CP VLANs am Router)
- Port based Security der AP Ports (und eventuell ether8 als Mgmt Port) wie hier beschrieben einstellen:
Mikrotik - Limit MAC Address per Port
Hier noch ein paar Fragen dazu:
- In der User Liste sind hier ja nur MAC-Adressen als User/PW hinterlegt. Im WLAN Setup wurde ja WPA-PSK eingestellt mit Radius-Auth. Heißt das nun, daß sich ein Nutzer nur mit pre-shared Key und richtiger MAC einloggen kann?
- Kann man nun zusätzlich auch User mit Nutzernamen und Passwort anlegen (also Authentifizierung per WPA-EAP) und CA/Zertifikate vergeben?
- Oder geht nur entweder oder (also WPA-PSK oder WPA-EAP)
LÖSUNG 09.09.2020 um 13:30 Uhr
Radius Server an der Firewall einrichten
Wenn es eine pfSense ist ist das kinderleicht. Guckst du hier:https://administrator.de/content/detail.php?id=378188&token=202#comm ...
https://administrator.de/forum/pfsense-2-3-2-freeradius-317943.html
Radius Server am Mikrotik wie oben beschrieben einrichten
Der supportet derzeit mit der aktuellen Stable und Long Term Firmnware kein 802.1x mit dynamischen VLANs !Das geht nur mit einer Beta Firmware. Ob du sowas in Produktion betreiben willst musst du selber entscheiden.
User in der User Liste hinterlegen mit VLAN ID
Steht ja oben wie es geht...Captive Portal wie in Pkt. 6.1 einrichten (in diesem Fall mit IP des CP VLANs am Router)
Steht hier wie es geht am Beispiel der pfSense.https://administrator.de/tutorial/wlan-lan-gastnetz-einrichten-captive-p ...
Wenn du also eine pfSense als Firewall verwendest kannst du 2 Fliegen mit einer Klappe schlagen: Radius Server und Captive Portal und das sogar mit Einmalpasswörtern.
Zu deinen Fragen:
Heißt das nun, daß sich ein Nutzer nur mit pre-shared Key und richtiger MAC einloggen kann?
Ja !Alle anderen landen automatisch im Gummizellen VLAN mit dem Captive Portal. Sofern man das will.
Ohne CP fliegen nicht registrierte User schlicht raus, was ja der Sinn der Sache ist.
Kann man nun zusätzlich auch User mit Nutzernamen und Passwort anlegen
Das geht natürlich auch. Man kann auch die PC Credentials verwenden oder rein nur mit Zertifikaten arbeiten. Letzeres erfordert dann aber eine CA Umgebung.Oder geht nur entweder oder
Pro WLAN SSID kann man das frei einstellen.LÖSUNG 12.09.2020 um 11:36 Uhr
Habe es mittlerweile geschafft, denn Freeradius auf einer pfsense einzurichten und eine WPA-EAP Authentifizierung durchzuführen.
Die Anmeldung funktioniert also. Mit NTRadPing bekomme ich folgendes zurück:
Nur leider wird bei der Anmeldung der Benutzer die VLAN-ID nicht übernommen. Die Nutzer landen immer im Mgmt VLAN IP-Bereich.
Wenn ich"use tag" in den Datapths Einstellungen aktiviere und eine VLAN ID vergebe geht es, ansonsten kann ich mich entweder gar nicht anmelden (wenn nur "use tag" verwendet wird") oder eben es wird keine VLANID übernommen:
Habe auf der pfsense unter EAP folgendes konfiguriert, da ich mal gelesen habe man muß für die dynam. VLAN Zuweisung "tunneld-reply" auf "Yes" setzen:
Das einzige, daß mir dazu noch einfällt sind die verwendeten Attribute des Freeradius. Folgendes steht inder "users" Datei:
Im Beispiel oben sieht das ja so aus:
Hab mal versucht die "users" Datei händisch über die Konsole abzuändern auf "Mikrotik-Wireless-VLANID", hat aber nicht wirklich waas gebracht. Das "mikrotik.dictionary" ist ja am Freeradius installiert. Wie bringe ich ihn dazu die Mikrotik Attribute auch zu verwenden? Oder geschieht das im Hintergrund sowieso?
Ansonsten wird ja bei jedem Neustart der pfsense oder Neuanlage eines Users alles wieder mit den default Werten überschrieben.
Vllt.hat ja von euch noch einer eine Idee.
Die Anmeldung funktioniert also. Mit NTRadPing bekomme ich folgendes zurück:
Nur leider wird bei der Anmeldung der Benutzer die VLAN-ID nicht übernommen. Die Nutzer landen immer im Mgmt VLAN IP-Bereich.
Wenn ich"use tag" in den Datapths Einstellungen aktiviere und eine VLAN ID vergebe geht es, ansonsten kann ich mich entweder gar nicht anmelden (wenn nur "use tag" verwendet wird") oder eben es wird keine VLANID übernommen:
Habe auf der pfsense unter EAP folgendes konfiguriert, da ich mal gelesen habe man muß für die dynam. VLAN Zuweisung "tunneld-reply" auf "Yes" setzen:
Das einzige, daß mir dazu noch einfällt sind die verwendeten Attribute des Freeradius. Folgendes steht inder "users" Datei:
Im Beispiel oben sieht das ja so aus:
Hab mal versucht die "users" Datei händisch über die Konsole abzuändern auf "Mikrotik-Wireless-VLANID", hat aber nicht wirklich waas gebracht. Das "mikrotik.dictionary" ist ja am Freeradius installiert. Wie bringe ich ihn dazu die Mikrotik Attribute auch zu verwenden? Oder geschieht das im Hintergrund sowieso?
Ansonsten wird ja bei jedem Neustart der pfsense oder Neuanlage eines Users alles wieder mit den default Werten überschrieben.
Vllt.hat ja von euch noch einer eine Idee.
LÖSUNG 12.09.2020, aktualisiert 13.09.2020
Wie bringe ich ihn dazu die Mikrotik Attribute auch zu verwenden? Oder geschieht das im Hintergrund sowieso?
Nein, das geschieht natürlich nicht im Hindergrund und du musst natürlich die MT Attribute vom Radius übergeben damit es klappt, keine Frage.Dafür musst du zwingend die users.conf Datei auf der pfSense manuell über den Shell Zugang (serielles Terminal oder von extern über den SSH Zugang mit z.B PuTTY) anpassen !
Diese Datei befindet sich im Verzeichnis /usr/local/etc/raddb.
Zuvor editierst du dir eine eigene separate User Datei im Texteditor deiner Wahl (z.B. Notepad++) nach folgendem Muster
# Mikrotik Mac Auth and dyn. VLAN
# Mac Format XXXX:XXXX:XXXX
#
0022:FA7B:1234 Cleartext-Password := "0022:FA7B:1234"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 10,
Mikrotik-Wireless-Comment = "Laptop"
#
0021:857E:5678 Cleartext-Password := "0021:857E:5678"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 20,
Mikrotik-Wireless-Comment = "iPhone"
#
DEFAULT Cleartext-Password := "%{User-Name}"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 99,
Mikrotik-Wireless-Comment = "Unbekannt" Dann legst du dort in dem Verzeichnis /usr/local/etc/raddb mit dem vi Editor eine ganz neue Datei mit anderem Namen an z.B. meineuser.conf, sprich also vi meineuser.conf und Cut and Pastest den Inhalt deiner editierten Vorlage dort rein. "ESC i" wie insert und dann reinpasten. Der vi Editor ist die Pest aber so geht es am einfachsten...
https://www.fehcom.de/pub/viref.pdf
Mit ":wq" sicherst du das ganze.
Dann checkst du mit cat meineuser.conf das diese Datei auch fehlerfrei ist.
Danach gehst du in die FreeRadius Admin GUI Oberfläche und legst lediglich einen einfachen Dummy User an der unter "Additional attributes" über das "$INCLUDE" Kommando deine eigene erstellte Konfig Datei nachlädt.
Mit diesem Trick hebelst du das Problem des Überschreibens elegant aus !!
Im GUI änderst du also später gar nichts mehr nachdem der Dummy User eingerichtet ist sondern du überschreibst oder erneuerst immer nur manuell deine meineuser.conf Datei über die Shell. Das FreeRadius GUI ist Tabu.
Das hast du vermutlich nicht gemacht sodas die MT Parameter immer fehlen und dann die VPN Zuordnung scheitert, oder ?!
Man kann die Datei auch z.B. auf einem kleinen_Mini_USB_Stick kopieren um die Datei dann immer extern ohne Shell und Fummelei mit dem gruseligen vi zu editieren und anzupassen. Dann muss natürlich nur der Pfad in der $INCLUDE... Anweisung entsprechend angepasst werden.
So könnte man das bequem immer extern machen.
Diese Konfig Kröte muss man bei der pfSense leider schlucken um das Überschreiben im GUI auszuhebeln.
Passe das also so an, dann klappt das auch fehlerlos auf Anhieb. (Steht übrigens auch ganz genau so in den "Weiterführenden Links" oben !! Lesen hilft...
)Tips: zum Troubleshooting
- Mit cat users.conf in der Shell checken das das "$INCLUDE" Kommando enthalten ist und die eigene Konfig Datei meineuser.conf nachlädt. cat meineuser.conf zeigt auch nochmal die eigene Datei.
- Um zu checken das deine eigene Datei syntaktisch OK ist kannst du über das pfSense GUI unter Status --> Services den Freeradius Prozess stoppen und dann via Shell einmal manuell mit dem Debugging Parameter -X aufrufen ala radiusd -X Dann startet der Freeradius auf der Konsole mit Debugging Output und sollte fehlerfrei starten. Ansonsten sagt er dir genau in welcher Zeile der Konfig Datei ggf. ein Fehler ist.
- Startet er fehlerfrei, kannst du ihn mit <ctrl> c wieder stoppen und startest dann den Dienst wieder über das "Services" GUI. Damit rennt der Freeradius dann sicher fehlerfrei und du musst dann wie oben gesagt lediglich deine eigene meineuser.conf ändern und NICHTS mehr über das FreeRadius GUI !
LÖSUNG 12.09.2020, aktualisiert um 18:16 Uhr
Danke für deine Hilfe, nun funktioniert alles!
Deshalb hab ich mit pkg install nano mir den Nano Editor installiert, das macht das Leben leichter
Zitat von aqui:
Das hast du vermutlich nicht gemacht sodas die MT Parameter immer fehlen und dann die VPN Zuordnung scheitert, oder ?!
Ja, das habe ich nicht bedacht!Das hast du vermutlich nicht gemacht sodas die MT Parameter immer fehlen und dann die VPN Zuordnung scheitert, oder ?!
Zitat von aqui:
Diese Konfig Kröte muss man bei der pfSense leider schlucken um das Überschreiben im GUI auszuhebeln.
Passe das also so an, dann klappt das auch fehlerlos auf Anhieb. (Steht übrigens auch ganz genau so in den "Weiterführenden Links" oben !! Lesen hilft... )
Dachte man kann hier irgendiwe noch das default dictionary überschreiben, aber anscheinend nicht so einfach.Diese Konfig Kröte muss man bei der pfSense leider schlucken um das Überschreiben im GUI auszuhebeln.
Passe das also so an, dann klappt das auch fehlerlos auf Anhieb. (Steht übrigens auch ganz genau so in den "Weiterführenden Links" oben !! Lesen hilft...
)Zitat von aqui:
Hab ihn mit radiusd -X gestartet, das funktioniert auf der pfsense.- Um zu checken das deine eigene Datei syntaktisch OK ist kannst du über das pfSense GUI unter Status --> Services den Freeradius Prozess stoppen und dann via Shell einmal manuell mit dem Debugging Parameter -X aufrufen ala freeradius -X Dann startet der Freeradius auf der Konsole mit Debugging Output und sollte fehlerfrei starten. Ansonsten sagt er dir genau in welcher Zeile der Konfig Datei ggf. ein Fehler ist.
Deshalb hab ich mit pkg install nano mir den Nano Editor installiert, das macht das Leben leichter
LÖSUNG 13.09.2020, aktualisiert um 10:19 Uhr
Danke für deine Hilfe, nun funktioniert alles!
👍Hab ihn mit radiusd -X gestartet, das funktioniert auf der pfsense.
War auch das richtige Kommando...sorry. Ist korrigiert oben.Deshalb hab ich mit pkg install nano mir den Nano Editor installiert, das macht das Leben leichter
Sehr pfiffig !! Der vi ist wie gesagt die reinste Pest... LÖSUNG 29.12.2020 um 17:34 Uhr
Hallo,
ich habe nach langem, mich mal wieder ans Netzwerk gemacht.
Mikrotik 3011 + 3x AP AC2 (Mikrotik) + Cisco SG 300 MP
Ich bin soweit zufrieden, muss nur noch IPTV und Fon von der Fritzbox auf Draytek/Mikrotik umziehen.
Jetzt sollte aber erstmal der Radius Server in Einsatz.
Ich habe eine Debian VM mit Freeradius installiert.
Die Kommunikation steht, aber wenn ich den request query starte dann fliegen alle aus dem Wlan. Stehen dann im DHCP wieder als connected aber nicht "bound" sondern "offered" und ich bekomme keine IP zugewiesen.
Ich habe diese Anleitung sehr oft wiederholt und finde keinen Fehler.
Im Test-Tool ergibt sich das:
Ich muss auch sagen, das ich nach dem Tutorial versucht habe den Mikrotik Router einzurichten, aber das hat nichts gebracht, ich habe in den Vlans nie Internet bekommen. Danach habe ich den Quick-Assistenten genommen und angepasst, dann ging es alles soweit.
Vielleicht hat jemand mal Zeit und kann mir helfen. Vielen Dank.
ich habe nach langem, mich mal wieder ans Netzwerk gemacht.
Mikrotik 3011 + 3x AP AC2 (Mikrotik) + Cisco SG 300 MP
Ich bin soweit zufrieden, muss nur noch IPTV und Fon von der Fritzbox auf Draytek/Mikrotik umziehen.
Jetzt sollte aber erstmal der Radius Server in Einsatz.
Ich habe eine Debian VM mit Freeradius installiert.
Die Kommunikation steht, aber wenn ich den request query starte dann fliegen alle aus dem Wlan. Stehen dann im DHCP wieder als connected aber nicht "bound" sondern "offered" und ich bekomme keine IP zugewiesen.
Ich habe diese Anleitung sehr oft wiederholt und finde keinen Fehler.
Im Test-Tool ergibt sich das:
Ich muss auch sagen, das ich nach dem Tutorial versucht habe den Mikrotik Router einzurichten, aber das hat nichts gebracht, ich habe in den Vlans nie Internet bekommen. Danach habe ich den Quick-Assistenten genommen und angepasst, dann ging es alles soweit.
Vielleicht hat jemand mal Zeit und kann mir helfen. Vielen Dank.
LÖSUNG 29.12.2020 um 19:36 Uhr
Du siehst ja das du einen "unknown" vendor Error bekommst. Irgendwas ist also noch faul in deiner FreeRadius Konfig.
Eine zielführende Hilfe ist jetzt sehr schwer, denn man kennt deine Radius User Konfig nicht. Leider auch die des MT nicht. Da bleibt dann nur die Kristallkugel.
Die o.a. Konfig zu den dynamischen VLANs ist absolut wasserdicht und zigfach im Einsatz. Wenn das bei dir nicht rennt kann man nur davon ausgehen das du einen Konfig Fehler im Setup des Mikrotik gemacht hast.
Wie bereits gesagt...ohne Konfig Infos deines Setups wird das schwierig bis unmöglich.
Eine zielführende Hilfe ist jetzt sehr schwer, denn man kennt deine Radius User Konfig nicht. Leider auch die des MT nicht. Da bleibt dann nur die Kristallkugel.
Die o.a. Konfig zu den dynamischen VLANs ist absolut wasserdicht und zigfach im Einsatz. Wenn das bei dir nicht rennt kann man nur davon ausgehen das du einen Konfig Fehler im Setup des Mikrotik gemacht hast.
Wie bereits gesagt...ohne Konfig Infos deines Setups wird das schwierig bis unmöglich.
LÖSUNG 29.12.2020, aktualisiert um 21:54 Uhr
Danke für die Info.
kann ich dir ev mal die Konfig schicken?
Achso wenn ich "bob" im test mache dann ist kein unknown vorhanden, erst wenn ich nach Mac-Adressen auflösen will.
So wie hier:
7811:DCDE:F851 Cleartext-Password := "7811:DCDE:F851"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 40,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "Xiaomi-Gateway"
ist da was falsch, was ich nicht sehe?
hier mal der Log vom freeradius (-X)
Listening on auth address * port 1812 bound to server default
Listening on acct address * port 1813 bound to server default
Listening on auth address :: port 1812 bound to server default
Listening on acct address :: port 1813 bound to server default
Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel
Listening on proxy address * port 56907
Listening on proxy address :: port 34710
Ready to process requests
(0) Received Access-Request Id 138 from 10.10.1.7:55573 to 10.10.10.5:1812 length 73
(0) User-Name = "A0:C5:xx:xx:3F:F8"
(0) User-Password = "A0:C5:xx:xx:3F:F8"
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0) authorize {
(0) policy filter_username {
(0) if (&User-Name) {
(0) if (&User-Name) -> TRUE
(0) if (&User-Name) {
(0) if (&User-Name =~ / /) {
(0) if (&User-Name =~ / /) -> FALSE
(0) if (&User-Name =~ /@[^@]*@/ ) {
(0) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(0) if (&User-Name =~ /\.\./ ) {
(0) if (&User-Name =~ /\.\./ ) -> FALSE
(0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(0) if (&User-Name =~ /\.$/) {
(0) if (&User-Name =~ /\.$/) -> FALSE
(0) if (&User-Name =~ /@\./) {
(0) if (&User-Name =~ /@\./) -> FALSE
(0) } # if (&User-Name) = notfound
(0) } # policy filter_username = notfound
(0) [preprocess] = ok
(0) [chap] = noop
(0) [mschap] = noop
(0) [digest] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "A0:C5:xx:xx:3F:F8", looking up realm NULL
(0) suffix: No such realm "NULL"
(0) [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0) [eap] = noop
(0) files: users: Matched entry A0:C5:xx:xx:3F:F8 at line 1
(0) [files] = ok
(0) [expiration] = noop
(0) [logintime] = noop
(0) [pap] = updated
(0) } # authorize = updated
(0) Found Auth-Type = PAP
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0) Auth-Type PAP {
(0) pap: Login attempt with password
(0) pap: Comparing with "known good" Cleartext-Password
(0) pap: User authenticated successfully
(0) [pap] = ok
(0) } # Auth-Type PAP = ok
(0) # Executing section post-auth from file /etc/freeradius/3.0/sites-enabled/default
(0) post-auth {
(0) update {
(0) No attributes updated
(0) } # update = noop
(0) [exec] = noop
(0) policy remove_reply_message_if_eap {
(0) if (&reply:EAP-Message && &reply:Reply-Message) {
(0) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(0) else {
(0) [noop] = noop
(0) } # else = noop
(0) } # policy remove_reply_message_if_eap = noop
(0) } # post-auth = noop
(0) Sent Access-Accept Id 138 from 10.10.10.5:1812 to 10.10.1.7:55573 length 0
(0) Mikrotik-Wireless-VLANID = 20
(0) Mikrotik-Wireless-VLANID-Type = 0
(0) Mikrotik-Wireless-Comment = "Laptop"
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 138 with timestamp +4
Ready to process requests
kann ich dir ev mal die Konfig schicken?
Achso wenn ich "bob" im test mache dann ist kein unknown vorhanden, erst wenn ich nach Mac-Adressen auflösen will.
So wie hier:
7811:DCDE:F851 Cleartext-Password := "7811:DCDE:F851"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 40,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "Xiaomi-Gateway"
ist da was falsch, was ich nicht sehe?
hier mal der Log vom freeradius (-X)
Listening on auth address * port 1812 bound to server default
Listening on acct address * port 1813 bound to server default
Listening on auth address :: port 1812 bound to server default
Listening on acct address :: port 1813 bound to server default
Listening on auth address 127.0.0.1 port 18120 bound to server inner-tunnel
Listening on proxy address * port 56907
Listening on proxy address :: port 34710
Ready to process requests
(0) Received Access-Request Id 138 from 10.10.1.7:55573 to 10.10.10.5:1812 length 73
(0) User-Name = "A0:C5:xx:xx:3F:F8"
(0) User-Password = "A0:C5:xx:xx:3F:F8"
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(0) authorize {
(0) policy filter_username {
(0) if (&User-Name) {
(0) if (&User-Name) -> TRUE
(0) if (&User-Name) {
(0) if (&User-Name =~ / /) {
(0) if (&User-Name =~ / /) -> FALSE
(0) if (&User-Name =~ /@[^@]*@/ ) {
(0) if (&User-Name =~ /@[^@]*@/ ) -> FALSE
(0) if (&User-Name =~ /\.\./ ) {
(0) if (&User-Name =~ /\.\./ ) -> FALSE
(0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) {
(0) if ((&User-Name =~ /@/) && (&User-Name !~ /@(.+)\.(.+)$/)) -> FALSE
(0) if (&User-Name =~ /\.$/) {
(0) if (&User-Name =~ /\.$/) -> FALSE
(0) if (&User-Name =~ /@\./) {
(0) if (&User-Name =~ /@\./) -> FALSE
(0) } # if (&User-Name) = notfound
(0) } # policy filter_username = notfound
(0) [preprocess] = ok
(0) [chap] = noop
(0) [mschap] = noop
(0) [digest] = noop
(0) suffix: Checking for suffix after "@"
(0) suffix: No '@' in User-Name = "A0:C5:xx:xx:3F:F8", looking up realm NULL
(0) suffix: No such realm "NULL"
(0) [suffix] = noop
(0) eap: No EAP-Message, not doing EAP
(0) [eap] = noop
(0) files: users: Matched entry A0:C5:xx:xx:3F:F8 at line 1
(0) [files] = ok
(0) [expiration] = noop
(0) [logintime] = noop
(0) [pap] = updated
(0) } # authorize = updated
(0) Found Auth-Type = PAP
(0) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(0) Auth-Type PAP {
(0) pap: Login attempt with password
(0) pap: Comparing with "known good" Cleartext-Password
(0) pap: User authenticated successfully
(0) [pap] = ok
(0) } # Auth-Type PAP = ok
(0) # Executing section post-auth from file /etc/freeradius/3.0/sites-enabled/default
(0) post-auth {
(0) update {
(0) No attributes updated
(0) } # update = noop
(0) [exec] = noop
(0) policy remove_reply_message_if_eap {
(0) if (&reply:EAP-Message && &reply:Reply-Message) {
(0) if (&reply:EAP-Message && &reply:Reply-Message) -> FALSE
(0) else {
(0) [noop] = noop
(0) } # else = noop
(0) } # policy remove_reply_message_if_eap = noop
(0) } # post-auth = noop
(0) Sent Access-Accept Id 138 from 10.10.10.5:1812 to 10.10.1.7:55573 length 0
(0) Mikrotik-Wireless-VLANID = 20
(0) Mikrotik-Wireless-VLANID-Type = 0
(0) Mikrotik-Wireless-Comment = "Laptop"
(0) Finished request
Waking up in 4.9 seconds.
(0) Cleaning up request packet ID 138 with timestamp +4
Ready to process requests
LÖSUNG 30.12.2020, aktualisiert um 12:50 Uhr
Dein Kardinalsfehler ist vermutlich das Mac Adress Format. Sieh dir einmal das genau das Mac Adress Format an was der AP an deinen Radius Server schickt und vergleiche das mit deiner Users Datei im Radius !!
Der Output zeigt:
(0) Received Access-Request Id 138 from 10.10.1.7:55573 to 10.10.10.5:1812 length 73
(0) User-Name = "A0:C5:xx:xx:3F:F8"
(0) User-Password = "A0:C5:xx:xx:3F:F8"
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
Du aber hast in deinem Radius Setup als User folgendes eingegeben:
A0C5:xxxx:3FF8 Cleartext-Password := "A0C5:xxxx:3FF8"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 40,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "XYZ"
Für den Radius Server sind natürlich die User A0C5:xxxx:3FF8 und A0:C5:xx:xx:3F:F8 zwei vollkommen verschiedene User ! Das geht dann in die Hose.
Du hast wahrscheinlich vergessen das Mac Adress Format in deinem Mikrotik Setup entsprechend auch auf das Format anzupassen was du im Radius Server konfiguriert hast.
Der Output zeigt:
(0) Received Access-Request Id 138 from 10.10.1.7:55573 to 10.10.10.5:1812 length 73
(0) User-Name = "A0:C5:xx:xx:3F:F8"
(0) User-Password = "A0:C5:xx:xx:3F:F8"
(0) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
Du aber hast in deinem Radius Setup als User folgendes eingegeben:
A0C5:xxxx:3FF8 Cleartext-Password := "A0C5:xxxx:3FF8"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Mikrotik-Wireless-VLANID := 40,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "XYZ"
Für den Radius Server sind natürlich die User A0C5:xxxx:3FF8 und A0:C5:xx:xx:3F:F8 zwei vollkommen verschiedene User ! Das geht dann in die Hose.
Du hast wahrscheinlich vergessen das Mac Adress Format in deinem Mikrotik Setup entsprechend auch auf das Format anzupassen was du im Radius Server konfiguriert hast.
LÖSUNG 30.12.2020 um 13:18 Uhr
LÖSUNG 30.12.2020, aktualisiert um 15:08 Uhr
Hab es gerade nochmal mit der aktuellen 6.48.Stable getestet und klappt fehlerlos.
Du bekommst ja auch ein "Sent Access-Accept Id 138 from 10.10.10.5:1812 to 10.10.1.7:55573 length 0" Sprich also der Client wird sauber authentisieriert und auch die VLAN ID korrekt mitgegeben.
Kann es vielleicht sein das du am Switchport an dem der AP angeschlossen ist vergessen hast das VLAN 40 da Tagged zu konfigurieren ??
Ist das der Fall ignoriert der Switchport diese Vlan 40 getaggten Frames des APs und leitet sie nicht weiter, was dann in einer Nichtereichbarkeit des VLAN 40 endet ?
Du bekommst ja auch ein "Sent Access-Accept Id 138 from 10.10.10.5:1812 to 10.10.1.7:55573 length 0" Sprich also der Client wird sauber authentisieriert und auch die VLAN ID korrekt mitgegeben.
Kann es vielleicht sein das du am Switchport an dem der AP angeschlossen ist vergessen hast das VLAN 40 da Tagged zu konfigurieren ??
Ist das der Fall ignoriert der Switchport diese Vlan 40 getaggten Frames des APs und leitet sie nicht weiter, was dann in einer Nichtereichbarkeit des VLAN 40 endet ?
LÖSUNG 30.12.2020 um 18:49 Uhr
Danke für den Hinweis,
ich hab es gerade nochmal kontrolliert, aber das geht.
Ich hab nochmal ein Slave SSID mit Vlan 40 erstellt und kann mich direkt darauf verbinden.
Ich hab nochmal ein Screenshot gemacht vom Switch.
Ich glaube, ich muss das nochmal alles neu machen. Ev liegt es am Quicksetup vom MT.
Oder macht es die Debian VM? Vielleicht liegt da, das Problem?
Danke für die Hilfe.
ich hab es gerade nochmal kontrolliert, aber das geht.
Ich hab nochmal ein Slave SSID mit Vlan 40 erstellt und kann mich direkt darauf verbinden.
Ich hab nochmal ein Screenshot gemacht vom Switch.
Ich glaube, ich muss das nochmal alles neu machen. Ev liegt es am Quicksetup vom MT.
Oder macht es die Debian VM? Vielleicht liegt da, das Problem?
Danke für die Hilfe.
LÖSUNG 30.12.2020, aktualisiert um 19:08 Uhr
Oder macht es die Debian VM?
Nein, kann ja nicht, denn der Radius Request kommt doch dort fehlerlos an und es wird ja auch von dort ein Access accept an den AP mit der IP 10.10.10.7 zurückgesendet.Das einzige was man noch vermuten könnte ist das dieses Access accept Antwort Paket irgendwo in einem Firwall oder Access Listen Regelwerk hängenbleibt und nicht am AP ankommt.
Ein Ping vom Debian Server (10.10.1.5) auf den AP (10.10.1.7) muss natürlich möglich sein und wenn du keine FW oder ACLs dazwischen hast scheidet das auch aus.
Sollte es nach der Neukonfiguration wider Erwarten doch nicht klappen, dann solltest du einen separaten Thread aufmachen um das Tutorial hier nicht unnötig mit Troubleshooting zu überfrachten !
