Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

08.11.2019, aktualisiert 11.05.2020, 7032 Aufrufe, 9 Kommentare, 13 Danke


1. Allgemeine Einleitung:

Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients in Abhängigkeit ihrer Hardware Mac Adresse. Damit ist es möglich in einem einzigen WLAN mit nur einer SSID, Clients in unterschiedliche vorhandene IP Netze (VLANs) zu segmentieren.
Für Firmennetze und ambitionierte Heim WLANs ist diese Option eine verlässliche und Geräte bezogene Absicherung des WLAN Zugangs. Diese ist verbunden mit einem zentralen Management was die oft umständliche Einrichtung von WLAN Zertifikaten und einer damit verbundenen CA überflüssig macht. Das macht das Umsetzen von einfachen BYOD Konzepten in Firmen sehr einfach, weil man so BYOD Usern ein dediziertes Netzwerk Segment mit entsprechenden Sicherheitsregeln zuweisen kann.
Damit wird das WLAN über eine gemeinsame WLAN SSID ohne die Verwendung von MSSIDs, also dem Aufspannen von mehreren WLANs auf einer gemeinsamen Hardware strukturiert. Ein statisches MSSID Design beschreibt ein separates Forentutorial (siehe weiterführende Links) und das hiesige Mikrotik_VLAN_Tutorial.
Die VLAN Information zum Client erhalten die Accesspoints von einem Radius Server über 802.1x Mac Passthrough, so das damit gleichzeitig eine zentrale Authentisierung und Management der Clients stattfindet.
Dieses Konzept ist nicht nur auf WLANs beschränkt sondern kann gleichzeitig im Netz auch für die Authentisierung von LAN Ports (Kupfer) genutzt werden (Port Security) Z.B. in mobilen Büros oder anderen Sicherheits relevanten Umfeldern wo wechselnde User Hardware für den Netzwerk Zugang authentisiert werden muss.

2. Beispiel Konfiguration:

Das Beispiel Setup für die dynamische VLAN Zuweisung ist bewusst einfach gehalten und eine klassische Standard Konfiguration mit Router und VLAN Switch. Diese gilt natürlich analog auch und gerade für größere Netze mit mehreren (redundanten) Switches und Accesspoints.
Da die Radius und Mac Passthrough Verfahren durchgehend standartisiert sind, kann man die einzelnen Konfigurations Schritte auch leicht auf andere WLAN und LAN Hardware übertragen.
Es geht im Tutorial primär um die Einrichtung des zentralen WLAN Managements, und des Radius Servers mit optionaler SQL Anbindung an eine Datenbank. VLAN Konfigurationen, DHCP usw. werden nur grob angerissen um den Fokus des Tutorials nicht zu weit zu machen. Sie sind auch Teil weiterer Beschreibungen die man unten in den weiterführenden Links findet.
Mikrotik Hardware wurde bewusst gewählt, weil die Wireless Komponenten von sich aus eine integrierte Controller Funktion mitbringen die einen externen WLAN Controller überflüssig machen. Eine Captive Portal Funktion (Hotspot Webseite) für Gastnetze ist ebenfalls gleich mit an Bord. Dazu später mehr im Radius Setup des Tutorials.
Letztendlich stellt sie so eine performante und damit attraktive Hardware dar, die solche gehobenen Security Funktionen auch für Netzwerke kleiner und mittlerer Größe oder den Heimanwender mit einfachen Mitteln, kostengünstig realisierbar macht.
Als Radius Server findet der Einfacheit halber ein klassischer, kostenloser FreeRadius Verwendung, den man schnell und bequem auf einem Raspberry Pi oder Orange Pi Zero oder anderen Minirechnern bzw. einer VM Umgebung aufsetzen kann.
Aufgrund der Standartisierung von Radius können natürlich auch Windows Radius Server (NPS) oder entsprechende Radius Server Packages auf Firewalls (pfSense/OpnSense) oder Router wie z.B. OpenWRT zum Einsatz kommen. Letztere basieren in der Regel ebenfalls auf FreeRadius.
Das Tutorial Setup repräsentiert, wie eingangs erwähnt, ein klassisches Design aus Router und (PoE) Switch:

netzdesign - Klicke auf das Bild, um es zu vergrößern

Der Mikrotik Router beherbergt hier das zentrale WLAN Management (CapsMan), ist also der Controller für die Access Points. Die Accesspoints arbeiten im CapsMan Modus und melden sich automatisch am Controller von wo aus sie dann zentral provisioniert und gemanaged werden.
Der Mikrotik ist parallel Router und Firewall zwischen den VLANs.
Diese Konstallation ist nicht zwingend. Da die CapsMan Funktion zentraler Bestandteil von Router OS ist, kann der Manager bei Verwendung fremder Router Hardware auch auf einem der beteiligten Access Points liegen. Ebenso kann eine alternative Firewall oder Layer 3 Switch die VLANs verbinden.
Für das dynamische Zuweisen der Client VLANs spielt diese Routing Infrastruktur keine Rolle, so das dieses Setup sehr flexibel auch mit anderer Netzwerk Hardware eingesetzt werden kann.
Los gehts mit der Technik und man startet mit dem Mikrotik Router...

3. Setup Mikrotik Router:

Als Erstes konfiguriert man hier die Grundlagen für das VLAN Umfeld, sprich VLAN IDs, IP Adressen dazu, VLAN Bridge usw. Details findet man dazu im Mikrotik_VLAN_Tutorial.

3.1 VLAN Bridge einrichten:

Bridge hinzufügen und VLAN Filtering aktivieren:
dv2-bridge1 - Klicke auf das Bild, um es zu vergrößern

3.2 VLAN Interfaces einrichten:

Einrichtung der VLAN Router IP Interfaces und Anbindung mit dem entsprechenden VLAN Tags an die Bridge.
(Beispiel fürs Default/Management VLAN und das VLAN 10. Identisch für die weiteren VLANs)
dv1vlanint - Klicke auf das Bild, um es zu vergrößern
Gleichzeitig konfiguriert man die VLAN IP Adressen:
dv2-ip - Klicke auf das Bild, um es zu vergrößern

3.3 Tagging der Routerports setzen:

Der Router Port ether10 ist der Uplink zum VLAN (PoE) Switch. Die Ports ether8 und ether9 sind optionale VLAN Switchports oder können zum Anschluss weiterer Accesspoints dienen.
dv2-bridge2 - Klicke auf das Bild, um es zu vergrößern
(ACHTUNG: Der Routing Port ether1 darf nicht (Port) Mitglied der VLAN Bridge sein ! Dieser Port ist direkt geroutet, hat die IP direkt auf dem Port und ist nicht Member der Bridgeports).

Als Beispiel für eine Switch VLAN Konfiguration zeigt der folgende Screenshot ein VLAN Setup eines Zyxel GS-1200 Switches (Uplink Port 5 auf Port 10 des o.a. Mikrotik)
zyxelsw - Klicke auf das Bild, um es zu vergrößern
Weitere Switch VLAN Setup Beispiele zeigen das hiesige allgemeine VLAN_Tutorial und das spezifische Mikrotik_VLAN_Tutorial.

3.4 DHCP Server für die VLAN Segmente einrichten (optional):

Dieser Part ist optional und kann auch entfallen wenn man einen zentralen DHCP Server einsetzt.
(Auch wieder nur beispielhaft für die VLANs 1 und 10. Weitere sind identisch)
dvdhcp - Klicke auf das Bild, um es zu vergrößern
Für die korrekte Uhrzeit in allen Komponenten (Logs, Zertifikate usw.) sollte unbedingt die Option 42 (NTP Server) im DHCP gesetzt sein:
ntpoption - Klicke auf das Bild, um es zu vergrößern

3.5 Radius Server IP Adresse konfigurieren:

Links im Hauptmenü über den Button "Radius". Der Radius Server befindet sich im Management VLAN 1.
dv1radius - Klicke auf das Bild, um es zu vergrößern
Zusätzlich ist in der CapsMan Konfiguration im Button "AAA" das Mac Adress Format der Clients zu setzen wie es an den Radius Server gemeldet werden soll:
dynaaa - Klicke auf das Bild, um es zu vergrößern

Das waren alle Settings für die VLAN und IP Address Infrastruktur.
Sie entsprechen dem Standard VLAN Setup von Mikrotik Routern und Switches gemäß dem oben genannten, hiesigen Tutorial.
Weiter geht es mit dem zentralen WLAN Manager für die Accesspoints (CapsMan).

4. WLAN Management Setup (WLAN Controller, CapsMan):

Die CapsMan Konfiguration ist nicht zwingend. Man kann die APs auch einzeln mit einer statischen Konfiguration betreiben ohne ein zentrales Management. (Siehe weiterführende Links).
Betreibt man allerdings eine höhere Anzahl an APs in seinem WLAN, ist ein zentralisiertes Management mehr als sinnvoll. Es reduziert mögliche Fehler und schafft einen zentralen Punkt zum einfachen Management des gesamten WLANs und seiner AP. Erweiterungen sind so sehr einfach, denn man kann APs einfach "out of the box" ans Netz anklemmen und diese ziehen sich dann automatisch sämtliche Konfigurationen zentral vom onboard WLAN Controller CapsMan.
Daraus resultiert der große Vorteil das das Management Tool auf jeder Router OS Hardware gleich mit an Bord ist. Auch wenn man keinen Mikrotik Router betreibt muss man dennoch nicht auf ein zentralisiertes WLAN Management verzichten, denn das kann z.B. auch ein Mikrotik Switch oder einer der Accesspoints übernehmen. Es erspart weitere ggf. fehleranfällige und zu separat zu managende Controller Hardware und minimiert so das Ausfallrisiko.

4.1 CapsMan Manager (onboard WLAN Controller) aktivieren:

Hier ist es sinnvoll (aber nicht zwingend) mit Verschlüsselung zu arbeiten im Management Netz um die Konfig Daten zu schützen. Deshalb klickt man die Zertifikats Generierung auf auto, damit erzeugt der MT automatisch Zertifikate zur Verschlüsselung der AP Management Kommunikation.
dv2-capman - Klicke auf das Bild, um es zu vergrößern

4.2 Konfigurations Profil für das gesamte WLAN setzen:

Das Setup erstellt ein Basis Konfigurations Profil für alle Accesspoints, das diese sich automatisch beim Anmelden an den Manager ziehen. Es folgt einer baumartigen Hierarchie. Generelle Grundeinstellungen --> Einstellungen pro Profil --> Einstellungen pro AP. So kann man ein Finetuning jeder Ebene erreichen.
Das Grundprofil bestimmt die 4 wichtigen Punkte:
  • Wireless = WLAN Profil SSID, AP Mode, Länder Setting, usw.
  • Channel = Funkkanal Profil, bestimmt die Funkfrequenz (WLAN Kanal des AP),
  • Datapath = bestimmt wie die WLAN Daten vom Accesspoint in das Netzwerk geforwardet werden. Dabei gibt es 2 Modi: Tunnel = Traffic wird zentral vom AP zum Manager getunnelt von allen APs und dann dort in die VLANs ausgekoppelt. Local Forwarding = Der AP forwardet die Daten direkt am AP auf die Netzwerk Infrastruktur.
  • Security = Sicherheits Profil, bestimmt die Verschlüsselung und Passwort (WPA2 und Radius)
dynvl1 - Klicke auf das Bild, um es zu vergrößern
  • Da außer den statischen WPA2 Preshared Keys noch die VLAN Zuweisung der einzelnen Benutzerhardware im WLAN via Radius erfolgt, muss diese im Karteireiter Access List zwingend zusätzlich mit dem Action Feld query radius aktiviert werden !
  • Zum unterbrechungsfreien Roaming bei Multimedia Daten unbedingt den Multicast Helper auf full setzen in allen CapsMan WLAN Profilen.
dynvl2 - Klicke auf das Bild, um es zu vergrößern
  • Local Forwarding direkt am AP skaliert natürlich besser (Performance) folglich ist diese Option zu wählen ! (Ein Tunnel kann in Ausnahmen aber auch sinnvoll sein wenn der AP Traffic z.B. über ein öffentliches Netz gehen muss. Hier muss der Admin individuell nach Anforderung entscheiden.)
  • Die Funkkanal Profile sollte man nach aktuellen lokalen Belegungen der AP Frequenzen einstellen auf denen die APs arbeiten (Beispiel hier mit 2 APs) und das diese sich nicht überschneiden (4kanaliger Abstand !). Grundlagen zur AP Frequenz Planung findet man HIER. Idealerweise erstellt man sich die 4 Funkkanal Profile 1, 5, 9 und 13 und verteilt diese je nach lokalen Gegebenheiten auf seine APs.

Im WLAN Profil muss abschliessend nur noch das entsprechende Datapath Profil aktiviert werden:
dynvl3 - Klicke auf das Bild, um es zu vergrößern
Channel, Security usw. werden vom übergeordneten Grundprofil übernommen.

Damit sind alle Schritte zur Einrichtung des WLAN Management erledigt und es geht an die Access Points.

5. Access Point Setup:

Da die Accesspoints zentral über den CapsMan gemanagt werden und diese auch von dort ihre Konfig beziehen, ist deren Setup sehr einfach. Es gibt schlicht keins, denn die APs werden ja zentral gemanagt.
Man verbindet sich mit dem WinBox Tool und macht schlicht und einfach einen System Reset wobei man gleichzeitig den CapsMan Mode aktiviert.
dv2-capmode - Klicke auf das Bild, um es zu vergrößern
Damit haben die APs eine saubere Grundkonfig, melden sich am Manager an und können nun dem zuvor erstellen Konfig Profil zugewiesen werden.
Hat alles geklappt sieht man im WLAN Manager die WLAN Interfaces der automatisch registrierten APs mit den übernommenen Profileinstellungen (ausgegraut):
cmanshow - Klicke auf das Bild, um es zu vergrößern
capsmanshowneu - Klicke auf das Bild, um es zu vergrößern

Durch die Möglichkeit im Management verschiedene Profile zu erstellen kann man hier z.B. auch für andere Gebäude oder Firmenteile usw. abweichende Setups (SSIDs, VLANs usw) auf APs mit einem einfachen Mausklick zentral zuweisen. Dies stellt eine sehr große Management Erleichterung dar in größeren und strukturierten WLAN Umgebungen.

5.1 Weitere AP Einstellungen:

Die APs ziehen sich im Management Netz per DHCP Server eine IP Adresse und einen NTP Server. Letzterer ist wichtig wegen der Gültigkeit der Zertifikate (Datum) und z.B. auch für das Log zum Troubleshooting (Uhrzeit). Die NTP Aktivierung geschieht im SNTP Client Setup.
Wichtig ist jetzt nur noch den APs nicht überlappenden Funkkanäle zuzuweisen. Dazu sollte man mit einem WLAN_Scanner immer individuell die jeweilige Situation am Aufenthaltsort der Clients (nicht der APs !) messen und entsprechend die APs einstellen:
dynvl4 - Klicke auf das Bild, um es zu vergrößern
Desweiteren sollte man dem AP einen eindeutigen Namen geben um später im Management den Namen und Aufstellungsort einfacher identifizieren zu können.
dynvl5 - Klicke auf das Bild, um es zu vergrößern

Mit diesem Schritt ist die Konfiguration des Routers, WLAN Management und der APs abgeschlossen.

6. Radius Server Setup:

Wie Eingangs erwähnt, verwendet das Tutorial ein FreeRadius als Radius Server. Das ist kein Zwang, es kann genausogut ein Windows NPS in einem AD Umfeld sein oder ein embeddeter Radius Server in Firewall oder Router oder auch auf dem NAS (QNAP und Synology bieten entsprechende Radius Apps dafür).
Mit dem FreeRadius lässt sich aber auch für Heimuser schnell und einfach ein Radius Server auf einem Raspberry Pi oder Orange Pi Zero preiswert aufsetzen.
Die weiterführenden Links gehen detailierter auf die Radius Server Installation und das einfache Setup ein.
Beispiel hier ist ein Debian basiertes Linux wie Ubuntu, Raspian, Armbian usw. auf dem der Server vorher mit einem apt install freeradius installiert wurde.
Die Konfigurations Dateien befinden sich im Verzeichnis: /etc/freeradius/3.0/ .
Danach editiert man die clients.conf Datei um sie an die eigene IP Adressierung anzupassen. Diese Datei regelt den Zugang der Radius Clients (APs) auf den Server. Da alle Clients (APs) im Management VLAN (Beispiel hier 192.168.88.0 /24) liegen passt man dies entsprechend mit einem Editor (z.B. nano) an:
Dann definiert man die Mac Adressen der zu authentisierenden Endgeräte und deren zugewiesene VLAN IDs in der Datei users. (Der "Comment" Eintrag ist kosmetisch und dient zur Beschreibung des Clients)
Am letzten Beispiel kann man erkennen das diese Nutzer Authentisierung auch Zeit abhängig gesteuert werden kann (hier täglich zw. 8 und 20 Uhr). Alternativen z.B.:
  • Login-Time := "Wk0800-1800" = Nur Werktags von 8 bis 18 Uhr
  • Login-Time := "Sa-Su1000-2000" = Nur Sa. und So. von 10 bis 20 Uhr
usw.
Weitere Steuerungen und auch ein Accounting der Zugangs Daten lässt der Radius Server ebenfalls zu.
Es sei hier nochmals an das Mac Adress Format erinnert das zuvor im AAA Setting des CapsMan vorgegeben wurde !
aaaformat - Klicke auf das Bild, um es zu vergrößern
Dieses muss mit dem Format der users Datei übereinstimmen ! Wer hier lieber XX:XX:XX:XX:XX:XX oder gar keine Trennungszeichen haben möchte richtet das entsprechend ein !
Um die Radius Funktion zu testen macht es Sinn den Radius Server erst einmal manuell zu starten. Dazu stoppt man mit dem Kommando systemctl stop freeradius den im Hintergrund laufenden Daemon und startet den Radius Server mit freeradius -X im Debug Modus. Nun kann man eingehende Radius Requests sehen und ob diese fehlerfrei abgearbeitet werden. Ist das der Fall stoppt man mit <ctrl> c den Debug Modus und startet mit systemctl start freeradius den Radius Server wie der als Dienst.
Ein weiteres hilfreiches Windows Tool zum Radius Server Test ist NTRadPing.

Damit ist das Setup abgeschlossen und einem ersten Test der dynamischen VLAN Zuweisung der Clients steht nun nichts mehr im Wege !

6.1 Radius mit Default VLAN für unregistrierte (Gast) Benutzer und Captive Portal (Hotspot) erweitern:

Nicht im Radius Server registrierte User bzw. Mac Adressen würden mit dieser WLAN Authorisierung keinerlei Chance haben auf das WLAN oder LAN Netz zuzugreifen was ja explizit gewollt ist. Der Radius Server lässt nur Endgeräte in den VLANs zu die ausdrücklich erlaubt sind.
Oft ist diese strikte Regelung nicht gewollt und man möchte auch nicht registrierten Nutzern wie Gästen oder externen Service Mitarbeitern usw. den Zugang in einem isolierten und abgesicherten "Auffang" VLAN (auch "Gummizellen" VLAN genannt) erlauben.
Hier werden sie dann über ein sog. Captive_Portal geblockt und bekommen dann automatisch per Browser Informationen für einen registrierten Zugang. (klassische Hotspot Funktion) So behält man zudem gleichzeitig einen sicheren Überblick wer Zugang zum Netz erhält.
Diese Funktion ist mit einigen geringen Änderungen der Radius Konfig sehr einfach umsetzbar.
Dazu entkommentiert man (Entfernen der "#" Zeichen) die DEFAULT Konfiguration in der obigen Radius User Datei. Der Abschnitt DEFAULT bewirkt das nicht authentisierten Benutzern zwangsweise das isolierte VLAN 99 zugewiesen wird. Dieses VLAN ist natürlich VORHER zusätzlich identisch zu den anderen VLANs 10 bis 30 einzurichten und über die Router Firewall mit entsprechenden Regeln zu isolieren.
Die Aktivierung der Hotspot Funktion auf dem Mikrotik ist über den Einrichtungs Assistent im Menü Hotspot mit ein paar Mausklicks erledigt:
hs3 - Klicke auf das Bild, um es zu vergrößern
Und die statischen Usernamen für das Captive Portal Login:
hs4 - Klicke auf das Bild, um es zu vergrößern
Unregistrierte User (Mac Adressen) werden so zwangsweise immer in das isolierte VLAN 99 gelenkt und bekommen dann beim Browser Aufruf automatisch eine Captive Portal Webseite zu Gesicht.
mtcp - Klicke auf das Bild, um es zu vergrößern
(Screenshot zeigt das Default onboard Portal. Diese Portal Seite kann bei entsprechenden HTML Kenntnissen nach eigenem Design verschönert werden.)
6.1.2 Firewall anpassen um Gastnetz von allen lokalen Netzen zu trennen:
Der folgende Screenshot zeigt eine einfache Firewall Regel um die lokalen VLANs vor dem Zugriff durch Gast Benutzer abzusichern:
  • Zugriff vom Gastnetz auf den Router (Input Chain) nur erlaubt zur DNS Namensauflösung (TCP/UDP 53, Router ist hier DNS Proxy !)
  • Zugriff auf alle lokalen VLANs (gesamtes 10er IP Netz) verboten. (Forward Chain)
  • Zugriff auf das Management Netz verboten. (Forward Chain)
dyvlfilter - Klicke auf das Bild, um es zu vergrößern
Durch entsprechende Regel Anpassungen kann man hier den Internet Zugang nur auf bestimmte Dienste (Surfen, Mail etc.) nach Bedarf einschränken.

6.2 Radius Anbindung an SQL Datenbank:

(Speicherung der Mac Adressen in einer SQL Datenbank (NAS, MS-SQL etc.) ist Teil einer Fortzetzung.)
Wird fortgesetzt... !


Weiterführende Links:

Mikrotik Beispielkonfig zu obigem Tutorial für RB2011 Modell:
(Bitte PM senden)

Statische dyn. VLAN Radius User Authorisierung mit Mikrotik Accesspoint (ohne CapsMan Manager):
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
(Konfig ist identisch zum o.a. Tutorial, nutzt aber kein zentrales Management mit CapsMan. APs müssen einzeln konfiguriert werden.)


Grundlegende VLAN Konfiguration und Handling bei Mikrotik:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
https://forum.mikrotik.com/viewtopic.php?t=143620&sid=b0ab57322ee101 ...

WLAN Konfigurationsfehler im Mikrotik WiFi Setup vermeiden !:
https://www.youtube.com/watch?v=JRbAqie1_AM

Raspberry Pi, Orange Pi Zero FreeRadius Setup:
https://www.administrator.de/contentid/191718

Radius Server auf pfSense/OPNsense Firewall (Package):
https://administrator.de/forum/pfsense-2-3-2-freeradius-317943.html

MSSID basierte Aufteilung von WLAN Clients in separate VLANs:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

802.1x Radius Authentisierung Setup für WLAN und LAN:
https://administrator.de/wissen/sichere-802-1x-wlan-benutzer-authentisie ...
https://www.administrator.de/index.php?content=154402

Praxisbeispiel FreeRadius mit 802.1x Port Authentisierung (Cisco Catalyst Switch, Ruckus ICX Switch):
https://administrator.de/content/detail.php?id=500006&token=166#comm ...

Statische WLAN Radius User Authorisierung mit TP-Link Accesspoint:
https://administrator.de/content/detail.php?id=503461&token=446#comm ...

VLAN Setup Übersicht der gängigen Switch Modelle:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...

Übersicht Mikrotik Accesspoint Hardware:
https://mikrotik.com/products/group/wireless-for-home-and-office

Heise ct' Artikel zum Thema Dynamische VLANs:
https://www.heise.de/select/ct/2020/7/2000809132711309683

Raspberry, Orange Pi Zero Hardware:
https://www.reichelt.de/raspberry-pi-4-b-4x-1-5-ghz-1-gb-ram-wlan-bt-ras ...
https://www.ebay.de/itm/3-in-1-Orange-Pi-Zero-512MB-Development-Board-Ex ...
https://www.amazon.de/Cheng-Orange-Quad-Core-Schutzhülle-Entwicklun ...
https://www.armbian.com/orange-pi-zero/
Mitglied: snoert
12.11.2019 um 12:13 Uhr
Gibt es eine Möglichkeit die dynamische VLAN-Zuweisung ohne CAPSMAN zu realisieren?
Bitte warten ..
Mitglied: aqui
12.11.2019, aktualisiert um 14:38 Uhr
Ja natürlich !
Steht aber auch oben explizit so im Tutorial und in den weiterführenden Links ! Lesen hilft...

Das ist dann die statische AP Konfig wo du jeden AP individuell einrichtest. Die Konfig ist sehr ähnlich nur das man dann CapsMan nicht aktiviert auf Router und AP und quasi die Konfig der CapsMan Interfaces individuell auf jedem AP macht. Diese ist dort so gut wie identisch.
Guckst du hier:
https://administrator.de/content/detail.php?id=396803&token=716#comm ...
Bitte warten ..
Mitglied: kartoffelesser
13.11.2019, aktualisiert um 23:24 Uhr
Hallo aqui,
VIELEN DANK für die Anleitung!!!!

Reicht für Deine Anleitung auch der abgespeckte Userman von Mikrotik als Radiusserver?
Kannst Du mir bitte sagen warum Du als Service "Wireless" und nicht "Hotspot" bei der RadiusServer / Client Einstellung benutzt?

Danke!
Bitte warten ..
Mitglied: aqui
15.11.2019, aktualisiert 16.11.2019
Reicht für Deine Anleitung auch der abgespeckte Userman von Mikrotik als Radiusserver?
Nein, das ist leider nur eine statische Userverwaltung. Mit der kannst du die VLAN Attribute nicht übergeben an den AP !
Kannst Du mir bitte sagen warum Du als Service "Wireless" und nicht "Hotspot" bei der RadiusServer / Client Einstellung benutzt?
Sorry, die Frage verstehe ich jetzt irgendwie nicht...?!
Wireless ist im o.a. Beispiel auf dem RB2011 zwingend weil CapsMan aktiv ist. Ohne Wireless Package kein CapsMan.
Wireless kannst du weglassen wenn du die statische AP Konfig OHNE CapsMan nutzt (Siehe weiterführende Links).
Hotspot brauchst du nur wenn du nicht registrierte User auch annehmen willst auf dem WLAN und diese dann in ein Gummizellen VLAN bringst mit einem Captive Portal (Zwangs Webseite mit Infos und ggf. Login). Das Hotsport Package ist nur die zusätzliche Captive Portal Funktion.
Wie gesagt bei statischer AP Konfig und ohne CP kannst du diese beiden Packages natürlich weglassen auf dem Router !
Bitte warten ..
Mitglied: kartoffelesser
16.11.2019, aktualisiert um 14:19 Uhr
Danke für die Antwort.
jetzt habe ich endlich den Unterschied / Einsatzbereich der beiden Services (Wireless und Hotspot) verstanden!!
Bitte warten ..
Mitglied: jlct021
29.12.2019, aktualisiert um 00:41 Uhr
Thanks for the tutorial. Will the above work with Mikrotik’s UserManager (UM) as RADIUS server?

I note you mention FR is not a requirement, and that it could just as well be a Windows NPS in an AD environment or an embedded radius server in a firewall or router. But am curious as to whether you omitted mentioning UM for a specific reason?

I understand UM does not allow the degree of customization FR does, however It would save on the need for extra hardware. (FreeRadius (FR) on Raspbery or Desktop).

We are looking to move to RADIUS from WPA2 PSK’s alone for better user management and security. Our networks are small, 10-20 users each.
Bitte warten ..
Mitglied: aqui
29.12.2019, aktualisiert 29.05.2020
Will the above work with Mikrotik’s UserManager (UM) as RADIUS server?
I'm not sure. Afaik the User Manager is just a static database and has no Radius function per se. Which means there is no Radius server function itself inside Router OS. The static definition can only hold username and password but to my knowledge no additional information like the VLAN ID or date/time limitations.
<edit>
Reading the corresponding manual:
https://wiki.mikrotik.com/wiki/Manual:User_Manager
says clearly "User Manager is a RADIUS server application." ! So its definitely an embedded Radius server app. Thanks for pinpointing us to that feature. Don't had it on the radar...
Drawback and maybe a showstopper here is the lack of WPA2 PEAP in the Usermanager. See discussion HERE.
The second point is the need of vendor specific attributes for VLAN IDs. In the User Manager WebGUI is no point to set these. So it looks like the MT Radius implementation is only a very small subset of a full Radius Server like FreeRadius. Mostly for accounting hotspots etc. The lack of these 2 mandatory features might be (or is) actually an obstacle to use it here with dynamic VLANs and most likely requests a full radius server.
It definitely needs some additional testing of course and if there is a possible solution a User Manager chapter in this tutorial will be added. Its interesting because it can make an external Radius obsolete and hence reduce a possible point of failure. But most likely it did not support those 2 essential features which then makes the external Radius mandatory here.
Very often these WLAN setups are accompanied with a firewall like pfSense or OPNsense to provide Internet access. With their integrated package manager they have the opportunity to integrate a full FreeRadius server into their software which then makes an external radius server obsolete.
So this is a very nice workaround.
</edit>
Bitte warten ..
Mitglied: svenpaush
18.05.2020, aktualisiert um 16:32 Uhr
Hallo, wer sein Wlan Netzwerk nach der Konfiguration Online hat und feststellt das die Kanalbreite in einem Wlan Scanner bei 2.4 GHz nicht wie eingestellt eine Breite von 20Mhz sondern 40Mhz hat sollte auch unbedingt "Extension Channel" auf disabled stellen.
Anschließend ist die Kanalbreite im Wlan Scanner auch wie gewünscht auf 20Mhz.

Als Script für Kanal 1 sieht das so aus:
Oder wer lieber Bilder mag:
screenshot - Klicke auf das Bild, um es zu vergrößern

Gruß

Sven
Bitte warten ..
Mitglied: aqui
19.05.2020 um 18:17 Uhr
👍 Danke für das Feedback !
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Anleitung von aquiMikroTik RouterOS41 Kommentare

Grundlagen und Basis Design Dieses Mikrotik orientierte Tutorial ist ein Zusatz zum hiesigen VLAN_Tutorial. Es geht speziell auf die ...

Netzwerkmanagement

AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking

Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

Netzwerkmanagement

How To Mikrotik Netinstall

Anleitung von areanodNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgbornSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Neue Wissensbeiträge
Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 14 StundenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 16 StundenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Hardware
Raspberry mit 8 GB
Information von sabines vor 1 TagHardware

Der Raspberry ist nun nach der 4 GB Variante mit 8 GB verfügbar, und demnächst soll es auch eine ...

Sicherheits-Tools

Erfahrungsbericht - TrendMicro WFBS Advanced v10.0 (aktuelles Patchlevel) und neues Windows 10 2004 als Funktionsupgrade

Information von VGem-e vor 1 TagSicherheits-Tools4 Kommentare

Servus Kollegen, grad bei einer Außenstelle mit TrendMicro WFBS Advanced v10.0 das Funktionsupgrade für Windows 10 2004 testweise in ...

Heiß diskutierte Inhalte
Tipps & Tricks
Kostenlose alternative zu Teamviewer
Frage von andyw5Tipps & Tricks21 Kommentare

Moin an alle, kann mir jemand eine kostenlose einfache alternative zum Teamviewer/Fastviewer nennen? Wie möchten einen PC Win7/10 aus ...

Festplatten, SSD, Raid
WD My Book Platine tauschen?
gelöst Frage von WandaStaabFestplatten, SSD, Raid18 Kommentare

Schönen guten Abend! Eine Bekannte bat mich, ihre externe Festplatte, eine WD My Book 4TB (wdbfjk0040hbk-04), anzuschauen, die sich ...

LAN, WAN, Wireless
Sophos UTM AP Load auslesen
gelöst Frage von Ex0r2k16LAN, WAN, Wireless15 Kommentare

Moin, gibt es (vielleicht per Shell?) irgendwo die Möglichkeit die WLAN AP Load festzustellen? Gruß Ex0r

Windows 10
Win 10 Problem Intergeschwindigkeit aber LAN OK
Frage von helpmikeWindows 1015 Kommentare

Hallo, versuche mal das Problem zu beschreiben. Der PC (i5 9600 / 16 GB / H370M / Intel 1 ...