VLAN: MAC-based Zuordnung mittels Radius im Router?

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

VLAN: MAC-based Zuordnung mittels Radius im Router?

Beitrag von stefanbunzel »

Hallo ihr Lancom-Profis,

im Lancom-Switch GS-23xx gibt es die Möglichkeit einer MAC-based Zuordnung zu VLAN's, so dass alle im Netz bekannten Geräte bestimmten VLAN's zugeordnet werden können, egal an welchem Port das Gerät angeschlossen ist. Bei Lancom habe ich auch eine Anleitung gefunden, dass ich dies im Switch komfortabel über den Radius-Server eines Lancom(-Gateways/Router) lösen kann.

Nun möchte ich aber auch gleichzeitig diese MAC-based Zuordnung zu VLAN's innerhalb von diesem Lancom-Router (1783VA) realisieren, so dass jedes bekannte Gerät, welches an einen beliebigen Port des Routers angesteckt wird, einem bestimmten VLAN zugeordnet wird. Hier finde ich aber nur die Port-basierte Zuordnung zu VLAN's. Der (aktivierte) Radius-Server in diesem Router bietet ja die Möglichkeit der VLAN-Zuordnung, welche aber immer nur für Radius-Anfragen anderer (WLAN-)Router/AP beschrieben wird. Wie kann der Router selbst mittels Radius-Authentifizierung die VLAN-Zuordnung vornehmen? Oder sehe ich den Wald vor Bäumen nicht?

Ja, ich weiß, auch MAC-Adressen lassen sich manipulieren und sind keine wirkliche Hürde bezüglich der Zugriffsbeschränkung. Aber immer noch besser, als offene Ethernet-Schnittstellen im Gebäude! Und dann müsste ein "Fremder" ja auch erst einmal eine berechtigte MAC-Adresse kennen...

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: VLAN: MAC-based Zuordnung mittels Radius im Router?

Beitrag von alf29 »

Moin,

kurze Antwort: nein.

lange Antwort: das hakt an mehreren Stellen:

Erstens müßte im LCOS des Routers der EAPoL-Authenticator auf dem LAN enthalten sein (der enthält einen MAC-basierten Bypass, falls das Endgerät kein 802.1X spricht), und der ist m.W. nur in den Routern drin, die wegen WLAN ohnehin einen 802.1X-Authenticator haben. Schau einfach mal, ob der Pfad Setup/LAN/IEEE802.1x bei Deinem Gerät existiert.

Zweitens müßte der Authenticator für den LAN-Fall ein vom RADIUS-Server übermitteltes VLAN auswerten, was er mindestens für den Fall der MAC-basierten Authentisierung nicht tut. Für den Fall von "echtem" 802.1X auf dem LAN vermutlich auch nicht, aber das müßte ich nachschauen - das Feature wird in der Praxis zu selten verwendet.

Drittens hat man ohne Verschlüsselung der Pakete auf dem Ethernet (Stichwort MACsec) das Problem, daß man bei Broad- und Multicasts die VLANs nicht sauber voneinander trennen kann. Deine Clients würden ja in so einem Fall mit ungetaggten Paketen arbeiten, und wenn an einem Port mehrere Clients hängen, die in unterschiedliche VLANs gelegt wurden, dann müssen ausgehend an diesen Port alle Multicasts geleitet werden, die in einem VLAN liegen, für das mindestens ein Client an diesem Port "hängt". Da die Pakete dann aber auch ausgehend nicht getaggt sind, "sehen" die Clients dann auch Broad- und Multicasts für VLANs, in denen sie gar nicht Member sind. Das gibt spätestens mit IPv6 Ärger, wenn die Clients Router-Advertisements aus VLANs sehen, die sie gar nicht sehen sollen.

Im WLAN löst man dieses Problem dadurch, daß pro VLAN unterschiedliche Schlüssel verwendet werden, und die Clients bekommen nur die Schlüssel "ihres VLANs" vom AP mitgeteilt. Aber wie gesagt, Pakete auf einem Ethernet sind üblicherweise auf Layer 2 unverschlüsselt.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: VLAN: MAC-based Zuordnung mittels Radius im Router?

Beitrag von stefanbunzel »

Hallo Alfred,

vielen Dank für deine ausführliche Antwort - auch wenn ich mal wieder mehrfach lesen muss, bevor ich alles glaube, zu verstehen. :G)

Ja, in meinem Gerät ist der Pfad Setup/LAN/IEEE802.1x enthalten, da auf dem Gerät auch WLC- sowie PublicSpot-Option aktiviert sind.

Und da fällt mir gerade ein, dass ich doch mein Problem ganz einfach über PublicSpot lösen können müsste:
Einfach "Anmeldung mit ... aktivieren" + eigenen Radius-Server (127.0.0.1) bei "Benutzer-Authentifizierung über MAC-Adresse" eintragen -> und fertig.

Allerdings schreibst du ja, dass wohl in diesem Fall das VLAN aus dem Radius-Server nicht ausgewertet wird - was natürlich schade ist :(

Bezüglich der Probleme mit MACsec und IPv6: Ja, bestimmt hast du Recht. Ich verstehe es nicht vollständig und frage mich nur, ob das Einfluss auf den Betrieb hat? Ich will in erster Linie bestimmte Clients/PC's aus meinem internen LAN ausschließen. Also das typische Gast-Netz-Szenario.
Aber wie ist das dann zum Beispiel im GS-23xx mit MAC-based und VLAN gelöst? Da wäre doch dann das gleiche Problem bezüglich MACsec und IPv6 - oder nicht?

Ich werde das ganze einfach mal testen und werde ja sehen, ob ich das so gelöst bekomme.

Vielen Dank und ein schönes Wochenende wünscht
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: VLAN: MAC-based Zuordnung mittels Radius im Router?

Beitrag von stefanbunzel »

...noch eine Ergänzung:

Bei mir gibt es nur den Menü-Punkt
Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup
und nicht den Punkt
Setup/LAN/IEEE802.1x/Authenticator-Ifc-Setup

Und gemäß LCOS-Menüreferenz würde ich ja den fehlenden Menü-Eintrag zur Authentification der Clients benötigen :(
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: VLAN: MAC-based Zuordnung mittels Radius im Router?

Beitrag von alf29 »

Und da fällt mir gerade ein, dass ich doch mein Problem ganz einfach über PublicSpot lösen können müsste:
Einfach "Anmeldung mit ... aktivieren" + eigenen Radius-Server (127.0.0.1) bei "Benutzer-Authentifizierung über MAC-Adresse" eintragen -> und fertig.

Allerdings schreibst du ja, dass wohl in diesem Fall das VLAN aus dem Radius-Server nicht ausgewertet wird - was natürlich schade ist :(
Das bezog sich auf den 1X-Authenticator. Public Spot wertet AFAIK das VLAN vom RADIUS-Server aus.
Bezüglich der Probleme mit MACsec und IPv6: Ja, bestimmt hast du Recht. Ich verstehe es nicht vollständig und frage mich nur, ob das Einfluss auf den Betrieb hat? Ich will in erster Linie bestimmte Clients/PC's aus meinem internen LAN ausschließen. Also das typische Gast-Netz-Szenario.
Kann sein, daß Du damit ein Problem hast, kann auch sein daß nicht. Bei einfachem (IPv4-)Internet-Zugang hat man keine Multicasts.
Aber wie ist das dann zum Beispiel im GS-23xx mit MAC-based und VLAN gelöst? Da wäre doch dann das gleiche Problem bezüglich MACsec und IPv6 - oder nicht?
Ich wüßte nicht, wie sie das lösen sollten. Sobald man an einem Port/Strang mehrere VLANs ungetaggt hat, hat man das Problem. Vielleicht setzen sie aber implizit voraus, daß an jedem Switchport nur ein Client hängt?

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Antworten