Multicasts/Broadcasts aus fremden VLANs im WLAN sichtbar

Forum zu den aktuellen LANCOM Wireless Accesspoint Serien

Moderator: Lancom-Systems Moderatoren

LongmanU
Beiträge: 6
Registriert: 02 Mär 2011, 16:48

Multicasts/Broadcasts aus fremden VLANs im WLAN sichtbar

Beitrag von LongmanU »

Hallo,
das folgende Problem scheint eher etwas grundsätzliches im WLAN zu sein und ist auch bei anderen Herstellern zu beobachten. Jedoch hat Cisco dafür anscheinend einen Workaround eingebaut.

Wir benutzen L54g-Router mit LCOS 8.00 für das universitäre WLAN-Netz "eduroam" (weltweites Roaming zwischen Bildungseinrichtungen). Dafür wird WPA1/2 mit 802.1x Authentifizierung verwendet. Je nach Herkunft des Benutzers (eigene Hochschule, fremde Institutionen) werden per RADIUS-Attribut verschiedene VLANs zugewiesen.

Auf der Funkschnittstelle sieht ein Client nun sämtliche Multicast- und Broadcast-Pakete aller verwendeten VLANs, weil diese alle mit demselben Gruppen-Schlüssel verschlüsselt werden. Das hat jahrelang niemanden gestört, wird aber heutzutage im Zusammenhang mit IPv6 zum Problem: Bei IPv6 werden die Router Advertisements für die Stateless Autoconfiguration per Multicast übertragen. Das führt dazu, dass der Client die Prefix-informationen von mehreren VLANs bekommt, sich also mit mehreren verschiedenen IP-Adressen (aus verschiedenen Netzen) konfiguriert. Benutzt er für ausgehende Verbindungen die falsche Quell-IP (aus einem fremden VLAN), funktioniert jedoch anschließend das Unicast-Routing natürlich nicht.

Von Cisco gibt es dafür eine Lösung (getrennte Gruppenschlüssel je VLAN):
http://www.cisco.com/en/US/products/hw/ ... 444a1.html
Abschnitt 3.2

Im LCOS habe ich ähnliches noch nicht finden können - wird dieses (z.B. im Zusammenhang mit der Einführung von IPv6 in diesem Jahr) noch kommen?
Ansonsten wird SLAAC nicht nutzbar sein, wenn mehrere VLANs in einer SSID verwendet werden.

Gruß
Marc
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Auf der Funkschnittstelle sieht ein Client nun sämtliche Multicast- und Broadcast-Pakete aller verwendeten VLANs, weil diese alle mit demselben Gruppen-Schlüssel verschlüsselt werden.
...und zusätzlich weil die Pakete in der SSID nunmal VLAN-mäßig ungetaggt sein müssen...
Von Cisco gibt es dafür eine Lösung (getrennte Gruppenschlüssel je VLAN):
http://www.cisco.com/en/US/products/hw/wir...444a1.html
Abschnitt 3.2
So etwas hatte ich seinerzeit firmenintern mal vorgeschlagen, es ist seinerzeit jedoch nicht
als besonders wichtig eingestuft worden. Die Sache hat auch ihre Tücken: Zum einen geht
das nur bei Nutzung von WPA (kann man je nach Szenario vielleicht verschmerzen), zum
anderen hat das Schlüssel-ID-Feld bei 802.11 lediglich zwei Bits. Da Schlüssel-Id 0 für
den 'paarweisen Schlüssel' reserviert ist, ist man ab vier verschiedenen VLANs auf einer
SSID gezwungen, eine Schlüssel-ID mehrfach zu benutzen. Selbst wenn man aufpaßt,
auf solchen Schlüsseln mit gleicher ID die Sequenzzähler synchron hochzuzählen (damit's
keine potentiellen Alarme auf dem Clients wegen Replay-Attacken gibt...), hat man immer
noch das Problem, daß auf die Clients eine Menge unentschlüsselbarer Frames (nämlich die
aus einem anderen VLAN mit gleicher ID) einprasseln. Ob ein Client dessentwegen vielleicht
mal beleidigt aus der Funkzelle aussteigt, ist so eine Frage...
Im LCOS habe ich ähnliches noch nicht finden können - wird dieses (z.B. im Zusammenhang mit der Einführung von IPv6 in diesem Jahr) noch kommen?
Ansonsten wird SLAAC nicht nutzbar sein, wenn mehrere VLANs in einer SSID verwendet werden.
Wie gesagt, ich hatte's intern vorgeschlagen, als das Thema in einem anderen Fall hochgekommen
ist. Da fand man's nicht so dringend. Kippe es beim Support oder dem zuständigen Vertriebler ein,
ich vermute, da wird sich nur auf externe Anfrage hin etwas tun.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
LongmanU
Beiträge: 6
Registriert: 02 Mär 2011, 16:48

Beitrag von LongmanU »

Hallo,
vielen Dank für die ausführliche Antwort. Scheint ja doch schwieriger zu sein, als ich dachte. Ich glaube, da kommt auf die WLAN-Welt mit IPv6 und zunehmender Multicast-Nutzung noch einiges zu.

Gruß
Marc
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

naja, man könnte auch einfach die unterschiedlichen Dienste bzw. VLANs in unterschiedliche
Netze packen - dazu ist Multi-SSID ja eigentlich da. Ich habe letztes Wochenende die letzten
Hindernisse aus dem LCOS geräumt, bis zu 16 SSIDs anzubieten. Ob das in einen Nachfolger
des LCOS 8.50 reinkommt, ist aber noch nicht entschieden.

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
LongmanU
Beiträge: 6
Registriert: 02 Mär 2011, 16:48

Beitrag von LongmanU »

Das ist bei "eduroam" nicht so einfach, da das Netz eigentlich in der ganzen Welt gleich heißen soll, aber dennoch lokal die Gäste vielleicht anders behandelt werden müssen/sollen.

Gruß
Marc
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

verstehe ich das richtig, daß man das nicht für zumutbar hält, daß die Anwender in ihrem
WLAN-Client-Manager zwischen zwei Profilen (heim und auswärts) wählen sollen?

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
LongmanU
Beiträge: 6
Registriert: 02 Mär 2011, 16:48

Beitrag von LongmanU »

Hallo,
so könnte man es ausdrücken.
Ich fände es jedenfalls auch nicht sinnvoll. Eduroam ist eduroam, wenn jetzt jeder eine zweite SSID mit mehr Rechten für lokale User einrichtet, finde ich das nicht zweckmäßig. Der Vorteil ist ja gerade, dass man mit einer SSID ohne Verändern von Einstellungen überall online gehen kann.

Bei uns wäre es noch komplizierter: Da wir das Netz für Uni und FH am gleichen Standort (teilweise im selben Gebäude) betreiben, aber die jeweiligen Hochschulangehörigen unterschiedliche IP-Nummernkreise bekommen müssen, damit sie auf bestimmte, von ihrer jeweiligen Hochschulbibliothek angebotene/gebuchte externe Dienste wie z.B. Springer-eBooks oder wissenschaftliche Datenbanken zugreifen können, müssten wir mindestens drei unterschiedliche SSIDs anbieten. Die Bibliotheken sind vertraglich verpflichtet, keine Studenten fremder Hochschulen in das Netz zu lassen, das für diese Zugriffe freigeschaltet ist ...

Gruß
Marc
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

tja, dann wirst Du entweder warten müssen, bis mir jemand
Zeit dafür gewährt, oder auf Cisco-APs wechseln müssen...
es steht Dir wie gesagt frei, das Thema über den
zuständigen Vertriebspartner einzukippen, solange von
außen kein Kunde über diesen Kanal fragt, wird das intern
bei uns nicht höher priorisiert werden.


Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
stefan.winter
Beiträge: 61
Registriert: 21 Mär 2006, 13:34

eduroam

Beitrag von stefan.winter »

Moin,

da möchte ich als eduroam R&D Mensch noch ein klein bisschen Senf dazugeben.

In der Tat promoten wir "eduroam" als einzige SSID. Hauptgrund dafür ist, dass die 802.1X-Einrichtung ein recht komplexer Vorgang ist. Wenn man nun den Nutzern zumutet dass sie dieses Netzwerk erst bei Bedarf in der Fremde einrichten, kann man mit fast Sicherheit davon ausgehen, dass es dann dort schiefgeht. Auch wenn sie "nur" den Netzwerknamen ändern müssen, widerspricht das immer noch dem Konzept, dass es überall genau wie zu Hause funktionieren soll.

Wir haben zwar auch definierte Ausweich-SSIDs - aber nur für den seltenen Fall dass sich zwei administrativ unabhängige eduroam Netze physisch überlagern (z.B. zwei Unis Tür an Tür). Sonst kommt der IP-Stack auf dem Client durcheinander, der seine IP Einstellungen beim Wechsel zwischen APs behält, weil er denkt, es sei das selbe Netz. Übrigens hat Cisco auch dort ne (proprietäre) Lösung, cross-domain LWAPP.

Die dynamische VLAN-Zuweisung ist bei uns "schon immer" (ich erinnere mindestens seit 2005 daran) eine Empfehlung wenn man Nutzergruppen trennen muss. Hat auch eine sehr lange Zeit sehr gut geklappt.

Wir überlegen gerade, was wir nun mit dem IPv6 RA Problem machen. Eine halbwegs gangbare Lösung wäre, stateless-autoconfig nicht zu empfehlen, und statt dessen eduroam Netzen stateful DHCPv6 zu verordnen. Löst immer noch nicht Neighbour Detection; aber immerhin sind dann die RA Probleme weg. Aber sehr schade, stateless autoconfig ist eine sehr bequeme Sache!

Grüße,

Stefan Winter
Weltweites Roaming für Forschung und Bildung
www.eduroam.org
stefan.winter
Beiträge: 61
Registriert: 21 Mär 2006, 13:34

Nutzergruppen

Beitrag von stefan.winter »

alf29 hat geschrieben:verstehe ich das richtig, daß man das nicht für zumutbar hält, daß die Anwender in ihrem
WLAN-Client-Manager zwischen zwei Profilen (heim und auswärts) wählen sollen?
Und hier noch eine Anmerkung: so einfach ist die Trennung bei vielen Unis nicht. Auch für nicht-Gäste gibts oft noch eine feinere Unterteilung: "student" "Lehrer" "Administration" - da kann es beliebig feine Abstufungen geben. Jedem dann seine eigene SSID zu geben ist signifikant umständlicher, als einfach in einem RADIUS Attribut zu Zugehörigkeit festzulegen...

Stefan
Weltweites Roaming für Forschung und Bildung
www.eduroam.org
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

ich weiß ja nicht, ob einer von Euch sich wegen dieses Themas inzwischen an LANCOM
gewandt hat - ein Leserbrief an die c't ist sicher nicht die erfolgversprechendste Methode,
da etwas zu beschleunigen ;-)

Ich finde das Thema selber durchaus reizvoll, aber wenn ich das eher so wochenendmäßig
und nebenher verfolge, dann wird das noch ziemlich lange dauern ;-)

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Beitrag von sixty »

:shock: Wenn das die generelle Arbeitsweise bei Lancom ist, wirds wohl erher nicht mehr lange dauern, dann ist Sense.
Wir haben gerade erst mehr als 100 Geräte (vorwiegend I10+ und 1721) zum Wiederaufarbeiter gegeben, weil Ipv6 bei Lancom immernoch eine Luftnummer ist und wir das seit letztem Jahr in den Ämtern produktiv fahren müssen.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,

könntest Du bitte mal ausführen, was Du mit 'dieser generellen Arbeitsweise meinst'? Ich habe
kein Problem, wenn sachlich über Themen diskutiert wird, auch wenn ich am Ende einfach sagen
muß, tut mir leid, ist kein Thema für LANCOM, wenn Du das brauchst, mußt Du eben etwas von
einem anderen Anbieter kaufen. Aber hier einfach irgendwelche nicht näher ausgeführten
Statements über irgendeine vermutete "generelle Arbeitsweise" in den Raum zu stellen, das
empfinde ich als Frechheit und Unverschämtheit. Das disqualifiziert diese Person für mich als
Gesprächspartner.

Wer mich persönlich kennt, der weiß, daß ich mich reinhänge und bei weitem mehr tue, als ich
eigentlich tun müßte, um mein Gehalt zu rechtfertigen. Darauf hatte ich in meinem letzten
Posting abgehoben. Ich hatte schon letztes Wochenende damit angefangen, den WLAN-Stack
im LCOS in die Richtung zu erweitern, aber das ist nun einmal ein vergleichsweise dickes Brett,
was da zu bohren ist, und wenn ich an dem Thema weiterhin eher halbtagesweise nebenher
arbeite, dann kann es noch eine ganze Weile dauern, bis das implementiert ist.

Derweil gehe ich mal davon aus, daß dem Produktmanagement bei LANCOM das Thema über-
haupt noch nicht bewußt ist, einfach weil noch kein Kunde das an LANCOM herangetragen
hat. Wenn man das einmal gemacht hat, und das PM *dann* sagt, wir machen das nicht oder
schieben's auf die lange Bank, dann darf man - finde ich - meckern, aber nicht vorher. Das
ist so wie mit den Leuten, die nicht Wählen gehen und sich dann über die Politiker beschweren.
Das PM liest dieses Forum nicht und da es kein offizielles LANCOM-Forum ist, braucht es das
auch nicht. Die vorgesehenen Kanäle sind Vertrieb, Presales und Support, und entgegen
anderslautenden Spekulationen kommt das durchaus bei PM und Entwicklung an.
weil Ipv6 bei Lancom immernoch eine Luftnummer ist
IPv6 ist bei LANCOM *keine* Luftnummer. Wenn Du auf der CeBit warst, hättest Du dort eine
erste IPv6-Demo sehen können, und um das hinzubekommen, haben sich einige meiner
Kollegen monatelang den A... aufgerissen. Nur ist das bei weitem noch nicht in dem Zustand,
daß man es den Kunden geben könnte, und wei IPv6 mit allen seinen dreckigen Details ein so
kompliziertes Thema ist, möchte niemand einen harten Termin dafür nennen. Natürlich könnte
man sich irgendeinen Termin ausdenken, und der wird dann nicht eingehalten, oder er liegt
so weit in de Zukunft, daß das nur lächerlich wirkt. Damit ist auch keinem gedient. Es ist
fertig wenn es fertig ist...

Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
sixty
Beiträge: 70
Registriert: 21 Sep 2010, 22:54

Beitrag von sixty »

Ich bezog mich dabei insbesondere auf den letzten Satz:
Ich finde das Thema selber durchaus reizvoll, aber wenn ich das eher so wochenendmäßig und nebenher verfolge, dann wird das noch ziemlich lange dauern
Damit wollte ich ausdrücklich nicht Deine Arbeit diskreditieren - ganz im Gegenteil.

Es ist halt nur bedenklich, wenn sich eine Firma sich so schamlos auf freiwillige Wochenendarbeit ihrer Leistungsträger verläßt, statt ihnen (bezahlte) Arbeitszeit dafür einzuräumen. Soetwas beobachtet man meistens kurz vor dem Zusammenbruch (der Person wegen Burnout, aber auch der Firma).

Bei IPv6 hätte es gereicht, einfach nur ein einfaches Weiterrouten der vom WAN ankommenden Pakete zu implementieren, statt die ganzen "Bells and Whistles" zusätzlicher Funktionen, die vermutlich nur wenige wirklich vollständig nutzen, auch noch mit anzubinden.

Das Thema seit wasweißichvievielen Jahren (ich habe dazu zuletzt 2010 am CeBIT-Stand nachgefragt) auf die lange Bank zu schieben ist jedenfalls keine Lösung. Gebraucht wird es jetzt. Deswegen macht eben Cisco das Geschäft und kein deutscher Anbieter. Den Gebrauchtmarkt wird es freuen.
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Beitrag von alf29 »

Moin,
Damit wollte ich ausdrücklich nicht Deine Arbeit diskreditieren - ganz im Gegenteil.
Das ist dummerweise hier aber so angekommen...
Es ist halt nur bedenklich, wenn sich eine Firma sich so schamlos auf freiwillige Wochenendarbeit ihrer Leistungsträger verläßt, statt ihnen (bezahlte) Arbeitszeit dafür einzuräumen.
Die 'verläßt' sich überhaupt nicht drauf. Wenn ich mir ein Thema privat anschaue, dann
deswegen, weil's mich persönlich interessiert, und aus keinem anderen.

Was mich hier wirklich ärgert, ist daß bisweilen das Forum als offizielle Feature-Wunsch-
Anlaufstelle betrachtet wird, und das ist es nunmal nicht. Solange ein PM nichts von einem
Feature-Wunsch weiß, kann er dafür auch nix einplanen.
Soetwas beobachtet man meistens kurz vor dem Zusammenbruch (der Person wegen Burnout, aber auch der Firma).
Ja, ja, ja...
Bei IPv6 hätte es gereicht, einfach nur ein einfaches Weiterrouten der vom WAN ankommenden Pakete zu implementieren, statt die ganzen "Bells and Whistles" zusätzlicher Funktionen, die vermutlich nur wenige wirklich vollständig nutzen, auch noch mit anzubinden.
Du meinst, daß z.B. nur wenige die Firewall im LCOS nutzen????
Das Thema seit wasweißichvievielen Jahren (ich habe dazu zuletzt 2010 am CeBIT-Stand nachgefragt) auf die lange Bank zu schieben ist jedenfalls keine Lösung. Gebraucht wird es jetzt.
Tja, wenn aber selbst die Mehrzahl der Kunden jahrelang das Thema IPv6 auf die lange Bank
schieben und stattdessen andere Features fordern, dann ist das die einzige Strategie, die wir
fahren können. Selbst von der v6-Demo auf der diesjährigen CeBit habe ich noch gehört, daß
die Mehrzahl der Kunden gesagt haben, sie fänden das ja ganz nett und interessant, aber
hoffentlich müßten sie sich in nächster Zeit noch nicht damit herumschlagen. IPv6 ist an
vielen Stellen anders und komplizierter als v4, und das wird in der Breite ähnlich zäh gehen und
auf ähnlich viel Widerstand stoßen wie Zertifikate, 802.1x oder VLANs.
Deswegen macht eben Cisco das Geschäft und kein deutscher Anbieter.
Also daß Cisco so dominierend auf dem Markt ist, hat ganz andere Gründe, das hat für mich nichts
mit IPv6 zu tun (das gäb's ja auch noch von n-2 anderen Anbietern...).

Cisco ist einfach eine sehr große Firma, mit viel breiterem Portfolio als LANCOM
das je können wird, und sie ist seit Jahren in den Köpfen der Admins und IT-Beschaffer 'verankert'.
Früher gab es mal den Spruch, "nobody ever got fired for buying IBM", das ist bei Cisco
genauso. Und viele Admins sind nun einmal Gewohnheitsmenschen: "Huch, die CLI bedient sich
ja gar nicht so wie bei meinen Ciscos, das will ich nicht, da müßte ich ja etwas neues lernen."

Gruß Alfred
Antworten