Router Advertisements in falschen Vlans/SSIDs

Forum für allgemeinen Fragen zum Thema IPv6 mit LANCOM Routern

Moderator: Lancom-Systems Moderatoren

Antworten
flycam
Beiträge: 6
Registriert: 20 Mai 2015, 20:37

Router Advertisements in falschen Vlans/SSIDs

Beitrag von flycam »

Ich betreibe mehrere L54G und ein paar L310agn Access Points in einem IPv4/v6 Netzwerk mit vielen Vlans und 802.1X.
Die IPv6 Adressen werden hier durch stateless autoconfiguration vergeben. Alle APs werden als reine APs verwendet, es findet dort kein routing statt.

Leider ergibt sich folgendes Problem:

Hosts erhalten IPv6 Router Advertisements (RAs) aus anderen Vlans, die auch am AP anliegen (teilweise auf anderen SSIDs, oder durch den Radius-server zugewiesen). Die RAs des korrekten Vlans sind zwar auch vorhanden, jedoch sorgen die RAs anderer Vlans dafür, dass Hosts zwar IPv6 Adressen und default routen haben, die jedoch nicht funktionieren da jeweils das zuletzt eingetroffene RA die (oft aus einem anderen Vlan stammende) default-route setzt.
IPv4 funktioniert einwandfrei. Es wurden per Wireshark auch keine IPv4 Pakete fremder VLANs gefunden. Nur die IPv6 RAs.

Einstellungen Vlan-Tabelle:

Vlan 1: LAN-1 (Management)
Vlan 11: LAN-1,WLAN-1,WLAN-1-2
Vlan 12: LAN-1,WLAN-1
Vlan 13: LAN-1,WLAN-1
...


Port-Tabelle:
LAN-1: Mode Mixed, Alle Ja, port-id 1
WLAN-1: Mode Never, Alle nein, port-id 11
WLAN-1-2: Mode Never, Alle nein, port-id 11

WLAN-1 nutzt WPA2-Enterprise und erhält vom Radius-server die entsprechenden VLAN-ID.
WLAN-1-2 nutzt WPA2-PSK und ist

Dies ist ein großes Problem, da wir hier schon voll IPv6-fähig sind und besonders Google-Dienste sehr lange benötigen, um initial zu laden, bis der Browser erkennt dass IPv6 kaputt ist.
Eine Abschaltung von IPv6 auf den Vlans ist auch keine Option.


Vielen Dank bereits im Voraus für Hinweise.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von alf29 »

Moin,

das ist ein bekanntes Problem, wenn man einzelnen Clients auf der gleichen SSID unterschiedliche VLANs gibt - solange man keine per-Client-VLAN-Zuweisungen benutzt, d.h. alle Clients in einer SSID im gleichen VLAN stecken, tritt das Problem nicht auf.

Es gibt unter Setup/WLAN/VLAN-Groupkey-Mapping eine Möglichkeit, pro SSID und VLAN einen separaten Gruppenschlüssel-Index zu vergeben. Clients bekommen bei der WPA-Verhandlung dann jeweils nur den Gruppenschlüssel mitgeteilt, der ihrem VLAN entspricht, und können die Broad/Multicasts in VLANs mit einem anderen Gruppenschlüssel nicht entschlüsseln.

Von diesen Gruppenschlüsseln gibt es aktuell nur leider maximal drei verschiedene pro SSID. Wer mehr VLANs hat, bekommt diese leider auf einer SSID nicht getrennt. Das Feature, dort mehr Gruppenschlüssel zuzulassen, liegt seit Jahren wegen wichtigerer anderer Themen auf Eis. Da für L-310 und L-54 keine neueren LCOS-Versionen mehr gemacht werden, würden diese Geräte ohnehin nicht in den Genuß so einer Erweiterung kommen.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
flycam
Beiträge: 6
Registriert: 20 Mai 2015, 20:37

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von flycam »

Danke für die Infos
alf29 hat geschrieben:das ist ein bekanntes Problem, wenn man einzelnen Clients auf der gleichen SSID unterschiedliche VLANs gibt - solange man keine per-Client-VLAN-Zuweisungen benutzt, d.h. alle Clients in einer SSID im gleichen VLAN stecken, tritt das Problem nicht auf.
Selbst ohne dynamische Vlan-Zuweisung ist das Problem bereits aufgetreten, wenn in der VLAN-Tabelle beispielsweise für zwei Vlans *-* oder LAN-1,WLAN-* steht. So habe ich das Problem erst endeckt, schon bevor ich die dynamische Vlan-Zuweisung eingeführt habe.
alf29 hat geschrieben: Es gibt unter Setup/WLAN/VLAN-Groupkey-Mapping eine Möglichkeit, pro SSID und VLAN einen separaten Gruppenschlüssel-Index zu vergeben. Clients bekommen bei der WPA-Verhandlung dann jeweils nur den Gruppenschlüssel mitgeteilt, der ihrem VLAN entspricht, und können die Broad/Multicasts in VLANs mit einem anderen Gruppenschlüssel nicht entschlüsseln.

Von diesen Gruppenschlüsseln gibt es aktuell nur leider maximal drei verschiedene pro SSID. Wer mehr VLANs hat, bekommt diese leider auf einer SSID nicht getrennt. Das Feature, dort mehr Gruppenschlüssel zuzulassen, liegt seit Jahren wegen wichtigerer anderer Themen auf Eis. Da für L-310 und L-54 keine neueren LCOS-Versionen mehr gemacht werden, würden diese Geräte ohnehin nicht in den Genuß so einer Erweiterung kommen.
Dies ist natürlich ein K.O. Kriterium, da teilweise bis zu 650 Vlans per Radius zugewiesen werden müssen. Wenn es keine andere Lösung gibt (sei es auch nur bei neueren Geräten) ist Lancom leider keine Option mehr.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von alf29 »

Moin,
Selbst ohne dynamische Vlan-Zuweisung ist das Problem bereits aufgetreten, wenn in der VLAN-Tabelle beispielsweise für zwei Vlans *-* oder LAN-1,WLAN-* steht. So habe ich das Problem erst endeckt, schon bevor ich die dynamische Vlan-Zuweisung eingeführt habe.
Es ist nicht nötig, die WLANs explizit in der statischen Konfig als Member aller potentiellen VLANs aufzuführen. Sobald ein Client auf einer SSID
an ein VLAN gebunden wird, wird intern automatisch ein 'dynamisches Join' der SSID auf dieses VLAN gemacht, das so lange besteht, wie der Client verbunden ist. Das sollte man unter Status/VLAN/Networks sehen können, wo die effektive VLAN-Konfig angezeigt wird.
Dies ist natürlich ein K.O. Kriterium, da teilweise bis zu 650 Vlans per Radius zugewiesen werden müssen.
Ouch, wer hat denn so viele VLANs...
Wenn es keine andere Lösung gibt (sei es auch nur bei neueren Geräten) ist Lancom leider keine Option mehr.
Tja, da kann ich leider nichts dran ändern, und ich werde die Priorisierungen durch das Produkt-Management bei LANCOM hier auch nicht verteidigen oder diskutieren - ich bin nur Entwickler. Wende Dich an den Vertrieb oder den Support und mache deutlich, daß ein Business Case für soundsoviel Geräte ohne das Feature nicht zustande kommt. Aktuell ist die Situation wohl so, daß die 'Schnittmenge' der LANCOM-Kunden, die 802.1X, VLAN-Zuweisung per RADIUS *und* auch noch IPv6 benutzen und in das Problem ernsthaft reinlaufen, wohl so klein, daß eine Erweiterung an der Stelle als nicht essentiell für den Gesamterfolg der Geräte angesehen wird...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
flycam
Beiträge: 6
Registriert: 20 Mai 2015, 20:37

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von flycam »

alf29 hat geschrieben: Es ist nicht nötig, die WLANs explizit in der statischen Konfig als Member aller potentiellen VLANs aufzuführen. Sobald ein Client auf einer SSID
an ein VLAN gebunden wird, wird intern automatisch ein 'dynamisches Join' der SSID auf dieses VLAN gemacht, das so lange besteht, wie der Client verbunden ist. Das sollte man unter Status/VLAN/Networks sehen können, wo die effektive VLAN-Konfig angezeigt wird.
Danke für die Infos, das wusste ich nicht. Das vereinfacht mir die Konfiguration deutlich.
alf29 hat geschrieben: Ouch, wer hat denn so viele VLANs...
Studentenwohnheime, 1 Vlan pro Bewohner. Zurzeit kommt jeder Bewohner nur per Kabel in sein Vlan, aber es soll in Zukunft auch per Wlan möglich sein. Wir wollen langfristig nicht alle Drahtlosen Nutzer in einem flachen Netz haben - aber drahtlosen Zugriff auch nicht auf einzelne APs beschränken. Ein Wohnheim eines anderen Trägers (<200 Vlans/Bewohner) hat dieses Konzept schon mit HP Geräten realisiert, aber diese kommen für uns auf Grund zu vieler anderer Probleme und schlechter Erfahrungen definitiv nicht in Frage.
alf29 hat geschrieben: Tja, da kann ich leider nichts dran ändern, und ich werde die Priorisierungen durch das Produkt-Management bei LANCOM hier auch nicht verteidigen oder diskutieren - ich bin nur Entwickler. Wende Dich an den Vertrieb oder den Support und mache deutlich, daß ein Business Case für soundsoviel Geräte ohne das Feature nicht zustande kommt. Aktuell ist die Situation wohl so, daß die 'Schnittmenge' der LANCOM-Kunden, die 802.1X, VLAN-Zuweisung per RADIUS *und* auch noch IPv6 benutzen und in das Problem ernsthaft reinlaufen, wohl so klein, daß eine Erweiterung an der Stelle als nicht essentiell für den Gesamterfolg der Geräte angesehen wird...
"nur Entwickler" - Eine qualifizierte Antwort von einem Entwickler ist für mich viel mehr Wert als die eines Support-Mitarbeiters oder Vertrieblers. Das wir nicht die Hauptzielgruppe von Lancom sind, und mit unserem Vlan Konzept schon öfters Limits gesprengt haben ist mir klar.

Vielen Dank für die Infos und klaren Aussagen.

Gruß Stephan
Avalanche
Beiträge: 182
Registriert: 19 Mai 2012, 23:53

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von Avalanche »

Code: Alles auswählen

Studentenwohnheime, 1 Vlan pro Bewohner. Zurzeit kommt jeder Bewohner nur per Kabel in sein Vlan, aber es soll in Zukunft auch per Wlan möglich sein. Wir wollen langfristig nicht alle Drahtlosen Nutzer in einem flachen Netz haben - aber drahtlosen Zugriff auch nicht auf einzelne APs beschränken. Ein Wohnheim eines anderen Trägers (<200 Vlans/Bewohner) hat dieses Konzept schon mit HP Geräten realisiert, aber diese kommen für uns auf Grund zu vieler anderer Probleme und schlechter Erfahrungen definitiv nicht in Frage. 
Auch wenn es nicht zur ursprünglichen Frage passt: Mit Cisco Geräten (z.B. SG300) kann man LAN-Ports als Private deklarieren. Dadurch müsste man dann nicht für jeden Nutzer ein eigenes VLAN anlegen. Kommunikation ist auf Layer 2 mit anderen Ports nicht möglich, nur mit den entsprechenden Uplink-Ports. Das müsste man dann natürlich noch mit dem WLAN zusammen bringen.
Protected Port—Select to make this a protected port. (A protected port is also referred as a Private VLAN Edge (PVE).) The features of a protected port are as follows:

- Protected Ports provide Layer 2 isolation between interfaces (Ethernet ports and LAGs) that share the same VLAN.

- Packets received from protected ports can be forwarded only to unprotected egress ports. Protected port filtering rules are also applied to packets that are forwarded by software, such as snooping applications.

- Port protection is not subject to VLAN membership. Devices connected to protected ports are not allowed to communicate with each other, even if they are members of the same VLAN.
Nur so als Idee. Vielleicht hilft es ja weiter!
flycam
Beiträge: 6
Registriert: 20 Mai 2015, 20:37

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von flycam »

Die Vlans im wired-lan haben noch einen anderen Vorteil: Broadcasts sind auf das jeweilige Zimmer beschränkt, Kommunikation zwischen Bewohnern ist nur per routing möglich (ist auch gewünscht). Falsch angeschlossene Router können keinen Schaden im Netz anrichten und es ist ein sehr einfacher Einsatz von DHCP möglich, mit Zuordnung welcher Bewohner welche IPs hat, d.h. Bwohner können einstecken und loslegen, ohne irgendwelche Authentifizierung, statischen Konfigurationen oder angabe ihrer MAC-Adresse. Ein Zimmer erhält so 5 Adressen (/29er Netz IPv4, /64 IPv6) Bisher habe ich noch keine Elegantere Lösung gefunden. Der Supportaufwand seit Einführung ist erheblich gesunken - es gab noch keinen einzigen Fall in den letzten Jahren, in denen ein Bewohner den Netzbetrieb durch Fehlkonfigurationen an seinen Geruaten stören konnte.
Warum will ich das auch über WLAN? Dann kann jeder Bewohner im gesamten Wohnheim (z.B. andere WGs, Gemeinschaftsräume) in seinem Zimmernetz sein, und auch recht leicht auf seine Geräte zugreifen (Windows sharing, Bonjour etc...) ohne sich mit IPs auseinander setzen zu müssen.
Wir setzen HP 5406, 2620 und 2520 Switche ein. Ein Hardwarewechsel hier ist in den nächsten Jahren nicht vorgesehen.
flycam
Beiträge: 6
Registriert: 20 Mai 2015, 20:37

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von flycam »

alf29 hat geschrieben:Es ist nicht nötig, die WLANs explizit in der statischen Konfig als Member aller potentiellen VLANs aufzuführen. Sobald ein Client auf einer SSID
an ein VLAN gebunden wird, wird intern automatisch ein 'dynamisches Join' der SSID auf dieses VLAN gemacht, das so lange besteht, wie der Client verbunden ist. Das sollte man unter Status/VLAN/Networks sehen können, wo die effektive VLAN-Konfig angezeigt wird.
Ich habe es soeben ausprobiert, allerdings funktioniert dann keine Kommunikation mehr in dieses Vlan. Kein DHCP, keine Ping Antwort bei statische IP Konfiguration am Rechner. Nach mehreren Minuten kam erst ein RA des Korrekten Vlans, dann wieder RAs der falschen.
Die dynamische Zuweisung des Vlans zum WLAN-Port sehe ich in der Tabelle.

Update: Auf einem OAP-310 mit LCOS 9.00.0154RC1 ist es genauso. statische VLAN-zuweisung => funktioniert, ohne diese nicht.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von alf29 »

Moin,

wieso setzt Du auf dem OAP310 noch einen alten Release Candidate ein? Für den gibt's auf ftp.lancom.de problemlos eine 9.00RU4. Ich habe zwar nicht im Kopf, ob sich vom RC1 zum RU4 im VLAN etwas getan hat, kann aber gut sein...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von alf29 »

Moin,

ich habe gerade mal in der History nachgeschaut und es gab bezüglich dynamischer VLAN-Zuweisungen noch mindestens einen wichtigen Bugfix, der in einer 9.00 RC1 nicht enthalten ist - frühestens in einer 9.00RU2 bzw. 8.84RU5. Könntest Du das bitte auf dem OAP310 noch einmal mit einer der genannten RUs oder einem neueren ausprobieren?

Gruß & Dank

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
flycam
Beiträge: 6
Registriert: 20 Mai 2015, 20:37

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von flycam »

wieso setzt Du auf dem OAP310 noch einen alten Release Candidate ein?
Weil ein schnelles Update nicht funktionierte (benötigt eine Minimalfirmware), und ich nur kurz prüfen wollte, ob es bei LCOS9 auch so ist. Dieser OAP ist nicht im regulären Einsatz.

Leider kann ich die passende Minimalfirmware auf der Webseite nicht finden, um das Update einspielen zu können.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: Router Advertisements in falschen Vlans/SSIDs

Beitrag von LoUiS »

Hi,

schau mal auf dem FTP-Server im Archiv Ordner, da liegt die MiniFirmware fuer das OPA310. :D


Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Antworten