[gelöst] Stationen mehrere logische WLANs und LEPS

[slu]

Hallo,

ich hab eine Verständniss Frage:
Bei uns sollen für alle WLAN Clients eigene Passwörter her, wofür sich LEPS hervorragend eignet.

Wireless LAN / Stationen / Stationen

Jetzt kann ich aber bei den Stationen keine SSID mit angeben, sofern ich das verstehe könnten die sich dann immer in allen SSID anmelden wenn der Haken "MAC-Prüfung aktiviert" bei dem jeweils Logischen WLAN Netz gesetzt ist, richtig?

Um das zu unterbinden würde ich den Eintrag der Station einfach direkt auf das entsprechende WLAN festnageln, kann sich der Client dann trotzdem noch bei anderen Logischen WLANs einloggen auch wenn das VLAN nicht passt?

Was passiert dann?

[Bernie137]

Hallo slu,

kann sich der Client dann trotzdem noch bei anderen Logischen WLANs einloggen auch wenn das VLAN nicht passt?

Nein, nur wenn VLAN 0 angegeben ist, dann auf allen logischen WLANs.

vg Bernie

[Jirka]

Hi,

LEPS funktioniert unabhängig vom dem Haken "MAC-Filter aktiviert".

Viele Grüße,
Jirka

[slu]

Nein, nur wenn VLAN 0 angegeben ist, dann auf allen logischen WLANs.

Noch etwas verwirrend für mich und ich Frage mich warum man keine SSID angeben kann?
Weil man so ein VLAN auf mehrere SSIDs verteilen kann...?

LEPS funktioniert unabhängig vom dem Haken "MAC-Filter aktiviert".

Das bedeutet ich kann parallel mit LEPS beginnen und sobald alle Geräte umgestellt sind kann ich mit dem Haken "MAC-Filter aktiviert" nur noch erfasste Stationen zulassen?
Damit wird auch das "normale" Passwort für die SSID ungültig?

[Cytor]

Hi,

über einen Umweg kann man den Filter auf einzelne SSIDs beschränken.

Voraussetzung dafür ist, dass die MAC-Adressen in der Usertabelle des RADIUS-Servers verwaltet werden (RADIUS-Username und -Passwort jeweils gleich MAC-Adresse des Clients, Format aabbcc-ddeeff). Dann kann man bei der Called-Station die SSID im Format *:SSID-Name eintragen. Der RADIUS-Client (also dein AP) wird als Called-Station so etwas wie BSSID:SSID-Name übermitteln, die BSSID kann man dann mit dem Wildcard erschlagen.

[Jirka]

Hi,

Das bedeutet ich kann parallel mit LEPS beginnen und sobald alle Geräte umgestellt sind kann ich mit dem Haken "MAC-Filter aktiviert" nur noch erfasste Stationen zulassen?

ja, das ist möglich.

Damit wird auch das "normale" Passwort für die SSID ungültig?

Nein. Für Stationen, die nicht erfasst sind, bleibt das normale Passwort gültig.
Für erfasste Stationen gilt in jedem Fall das dort hinterlegte Passwort.

Viele Grüße,
Jirka

[slu]

kann sich der Client dann trotzdem noch bei anderen Logischen WLANs einloggen auch wenn das VLAN nicht passt?

Nein, nur wenn VLAN 0 angegeben ist, dann auf allen logischen WLANs.

Ich versuche das nochmal in meine Worte zu fassen, stimmt das so?
WLAN technisch kann sich der Client verbinden bzw. "einloggen" aber die DHCP Anfrage/Netzwerk läuft ins leere weil die VLAN ID der Station eine andere ist als die VLAN ID vom Logischen WLAN/SSID?

[Bernie137]

Wenn in der Stationstabelle für die MAC eine VLAN Id Null hinterlegt ist, darf dieser Clientsich in alle verfügbaren SSIDs mit seiner LEPs Phrasr einloggen und verhält sich so, wie alle anderen Clients in dieser SSID.

Vg Bernie

[slu]

Ich fürchte ich bin auf einen BUG gestossen, inzwischen habe ich alle Stationen aufgenommen und diese können sich auch nur noch mit ihrem Passwort einloggen.

ABER:
Nach dem aktivieren des MAC-Filter auf dem logischen WLAN Netzwerkes können sich weiterhin Stationen welche nicht in der Stationen-Tabelle geführt werden ganz normal mit dem Standard Passwort einloggen.

Sollte das nicht gehen?

Edit:
8.84.0132 / 31.01.2014
Neustart hat nicht geholfen

[alf29]

Moin,

also noch mal für mich zum Mitschreiben: Du hast

(1) Den MAC-Filtermodus auf 'positiv' gestellt'
(2) MAC-Filter auf einer SSID eingeschaltet (bitte das auf der CLI unter Setup/Interfaces/WLAN/Network kontrollieren, es gab LANconfig-Versionen, die das
verkehrt herum setzen)
(3) keinen weitere RADIUS-Server zur Prüfung von MAC-Adresse konfiguriert

und

(4) ein Client, der nicht in der Stationsliste steht, kommt auf der SSID rein (d.h. wird vom AP in der Stationsliste als 'connected' geführt)?

Von dem Anmeldevorgang würde ich gerne mal einen WLAN-Status Trace sehen.

Gruß Alfred

[slu]

(1) Den MAC-Filtermodus auf 'positiv' gestellt'

WLAN -> Stationen -> " Daten von den aufgeführten Stationen ausfiltern, alle anderen Stationen übertragen"

(2) MAC-Filter auf einer SSID eingeschaltet

Logische WLAN Netzerk bei der richtigen SSID "[X] MAC-Filter aktiviert"

(3) keinen weitere RADIUS-Server zur Prüfung von MAC-Adresse konfiguriert

Nein kein Radius, geht alles durch den Lancom.

(4) ein Client, der nicht in der Stationsliste steht, kommt auf der SSID rein (d.h. wird vom AP in der Stationsliste als 'connected' geführt)?

Genau so ist es:

Code: Alles auswählen

2042	2014-05-21 14:01:17	AUTH	Hinweis	[WLAN-2] Local access check for 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c) succeeded
2043	2014-05-21 14:01:17	AUTH	Hinweis	[WLAN-2] Associated WLAN station 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c)
2044	2014-05-21 14:01:17	AUTH	Hinweis	[WLAN-2] Key handshake with peer 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c) successfully completed
2045	2014-05-21 14:01:17	AUTH	Hinweis	[WLAN-2] Connected WLAN station 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c)
2046	2014-05-21 14:01:17	AUTH	Hinweis	[WLAN-2] Determined IPv4 address for station 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c): 192.168.57.121
2047	2014-05-21 14:01:18	AUTH	Hinweis	[WLAN-2] Determined IPv6 address for station 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c): fe80::216:6fff:feba:fd0c
2048	2014-05-21 14:01:34	AUTH	Hinweis	[WLAN-2] Disassociated WLAN station 00:16:6f:ba:fd:0c (Intel-Malaysia ba:fd:0c) due to station request Unspecified Reason

Ich hab gerade noch eine Entdeckung gemacht, alle Stationen die mit MAC Adresse eingetragen sind können sich dafür nicht mehr einloggen:

Code: Alles auswählen

2033	2014-05-21 13:58:11	AUTH	Hinweis	[WLAN-2] Authenticated WLAN station xx:xx:xx:xx:xx:xx (Motorola xx:xx:xx) [Smartphone]
2034	2014-05-21 13:58:11	AUTH	Hinweis	[WLAN-2] Disassociated WLAN station xx:xx:xx:xx:xx:xx (Motorola xx:xx:xx) [Smartphone] due to non-allowed MAC address

Wo liegt mein Fehler, es ist genau anderst herum als ich es wollte
Was mir jedoch gerade auffällt, was meinst Du genau mit "(1) Den MAC-Filtermodus auf 'positiv' gestellt"?

[alf29]

Moin,

WLAN -> Stationen -> " Daten von den aufgeführten Stationen ausfiltern, alle anderen Stationen übertragen"

Das ist genau verkehrt herum und entspricht dem Negativ-Modus - will heißen, die aufgeführten Stationen werden *nicht* herein gelassen. Wie Du ja auch beobachtet hast.

Gruß Alfred

[slu]

Ich brauche also

Code: Alles auswählen

Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern

Und wenn ich kein RADIUS habe dann greift nur die interne Stationen Liste?
Und wenn der Filter auf der SSID aus ist spielt es keine Rolle, dann dürfen alle egal ob Station oder Standard Passwort?

[alf29]

Moin,

Ich brauche also
Code:
Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern

Ja.

Und wenn ich kein RADIUS habe dann greift nur die interne Stationen Liste?

Korrekt, Stationen, die nicht in der Liste stehen, werden abgewiesen.

Und wenn der Filter auf der SSID aus ist spielt es keine Rolle, dann dürfen alle egal ob Station oder Standard Passwort?

Wenn das Filter aus ist, dürfen alle Clients rein, die, die nicht drinstehen, mit der für die SSID hinterlegten Passphrase, die, die drinstehen, mit der für sie in der Liste hinterlegten Passphrase.

Gruß Alfred

[slu]

Ich brauche also
Code:
Daten von den aufgeführten Stationen übertragen, alle anderen über RADIUS authentifizieren oder ausfiltern

Ja.

Wenn ich das Umsetzte werden auch die RADIUS Einstellungen aktiv.
"Server IP-Adresse 0.0.0.0" bedeutet in diesem Fall deaktiviert?

Das es jetzt geht und kei Bug ist, ist wohl belanglos