Hallo,
nach längerem Hin und Her ist es mir gelungen, den interne Radius Server vom L-322 zur Authentifizierung meiner WLAN Clients über PEAP/MSCHAPv2 zu bewegen.
Das Ganze habe ich veranstaltet, um die Clients je nach Benutzerkennung in unterschiedliche VLANs zu verfrachten. Wenn ich allerdings einem Benutzer eine vom Management-VLAN (1) abweichendes VLAN, z.B. 200, zuweise, so hat der WLAN Client zwar eine Verbindung zum AP, kann aber auf keine Netzwerk-Resource zugreifen. Das VLAN selbst ist korrekt konfiguriert: Bei statischer Zuordnung des WLAN-Interfaces (SSID) ins VLAN 200 funktioniert alles einwandfrei.
Hat jemand von euch eine Idee, was da schief geht? Hat vielleicht der LANCOM AP einfach nur einen Fehler und das Ganze kann gar nicht so wie beschrieben funktionieren? Ich weiss leider nicht mehr weiter...
Viele Grüße
Frank
Lancom L-322: Radius-Server und VLAN
Moderator: Lancom-Systems Moderatoren
Moin,
jemand beurteilen. Wenn Du einem Client ein anderes
VLAN zuweist, dann ist das auch erstmal genau nur
das: die Pakete vom Client sind einem anderen VLAN
zugeordnet. Ob und wenn ja wie jemand anders (z.B. die
LAN-Bridge oder der Router im LANCOM) damit etwas
anfangen kann, ist eine andere Sache. Wie und woher
bekommt so ein Client im VLAN 200 z.B. seine IP-Adresse
samt Gateway her?
Beachte des weiteren, daß bei mehreren VLANs auf einer
WLAN-SSID keine vollständige Trennung der VLANs
möglich ist - Multicasts, die in eines der VLANs gehen,
werden von allen Clients 'gehört', egal in welches VLAN
sie auf dieser SSID gestellt wurden. Das kann insbesondere
bei IPv6 unangenehme Effekte haben. Eine Lösung ist
in Arbeit, für LCOS 8.50 wird das aber so bleiben.
Gruß Alfred
So mit der dürren Beschreibung kann das erstmal kaumHat jemand von euch eine Idee, was da schief geht? Hat vielleicht der LANCOM AP einfach nur einen Fehler und das Ganze kann gar nicht so wie beschrieben funktionieren? Ich weiss leider nicht mehr weiter...
jemand beurteilen. Wenn Du einem Client ein anderes
VLAN zuweist, dann ist das auch erstmal genau nur
das: die Pakete vom Client sind einem anderen VLAN
zugeordnet. Ob und wenn ja wie jemand anders (z.B. die
LAN-Bridge oder der Router im LANCOM) damit etwas
anfangen kann, ist eine andere Sache. Wie und woher
bekommt so ein Client im VLAN 200 z.B. seine IP-Adresse
samt Gateway her?
Beachte des weiteren, daß bei mehreren VLANs auf einer
WLAN-SSID keine vollständige Trennung der VLANs
möglich ist - Multicasts, die in eines der VLANs gehen,
werden von allen Clients 'gehört', egal in welches VLAN
sie auf dieser SSID gestellt wurden. Das kann insbesondere
bei IPv6 unangenehme Effekte haben. Eine Lösung ist
in Arbeit, für LCOS 8.50 wird das aber so bleiben.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Danke Alfred, recht hast Du: Das mit der "exakten" Beschreibung ist immer problematisch...
Die VLAN Konfiguration ohne Radius Authentifizierung ist funktionstüchtig. Das VLAN ist "asymetrisch" aufgesetzt: der LAN-1 Port, an dem der DHCP Server und der Rest meiner Netzwerkwelt hängt (LAN-1 Lancom, DHCP auf BINTEC Router), ist Mitglied im 200er VLAN (untaggt) und die (untaggt) Antworten vom BINTEC werden an LAN-1 vom Lancom mit VLAN 1 getaggt (PVID LAN-1 = 1). Der WLAN Port wiederum ist Mitglied im VLAN 1 (und 200), bekommt so also alle (untaggt) Antworten von LAN-1 (auch DHCP).
Ich vergass zu erwähnen, dass der Client mit IP/DNS/Default Router richtig versorgt wird, d.h. das DHCP funktioniert noch, erst danach ist Schluss.
Die "statische" PVID des WLAN Ports ist 200. Wenn über die Benutzer Authentifizierung einen VLAN Id gesetzt wird, was wird da eigentlich verändert? Ich dachte, nur die PVID für den WLAN Port, aber jetzt ahne ich, dass die VLAN Portzugehörigkeit für den WLAN Client geändert wird, d.h. dieser wäre dann nicht mehr Mitglied in VLAN 1 und bekommt in meiner VLAN Konfig. keine Antwortpakete mehr. Kann das sein?
Viele Grüße
Frank
Die VLAN Konfiguration ohne Radius Authentifizierung ist funktionstüchtig. Das VLAN ist "asymetrisch" aufgesetzt: der LAN-1 Port, an dem der DHCP Server und der Rest meiner Netzwerkwelt hängt (LAN-1 Lancom, DHCP auf BINTEC Router), ist Mitglied im 200er VLAN (untaggt) und die (untaggt) Antworten vom BINTEC werden an LAN-1 vom Lancom mit VLAN 1 getaggt (PVID LAN-1 = 1). Der WLAN Port wiederum ist Mitglied im VLAN 1 (und 200), bekommt so also alle (untaggt) Antworten von LAN-1 (auch DHCP).
Ich vergass zu erwähnen, dass der Client mit IP/DNS/Default Router richtig versorgt wird, d.h. das DHCP funktioniert noch, erst danach ist Schluss.
Die "statische" PVID des WLAN Ports ist 200. Wenn über die Benutzer Authentifizierung einen VLAN Id gesetzt wird, was wird da eigentlich verändert? Ich dachte, nur die PVID für den WLAN Port, aber jetzt ahne ich, dass die VLAN Portzugehörigkeit für den WLAN Client geändert wird, d.h. dieser wäre dann nicht mehr Mitglied in VLAN 1 und bekommt in meiner VLAN Konfig. keine Antwortpakete mehr. Kann das sein?
Viele Grüße
Frank
Moin,
VLAN ist auf der LAN-Seite jetzt ungetaggt (es kann immer
nur eines ungetaggt sein)?
Des weiteren sollte man mit dem Begriff 'getaggt' vorsichtig
umgehen. Zumindest für mich heißt 'getaggt' erstmal nur,
daß ein Paket irgendwo *auf der Leitung* mit VLAN-Tag
läuft. Beim Empfang von Paketen strippt das LANCOM
jedoch als eine der ersten Handlungen ein eventuell vorhandenes
VLAN-Tag ab und merkt sich das VLAN quasi als
'Attribut' des Paketes - im LANCOM laufen alle Pakete
immer ungetaggt, und ob dieses Attribut 'VLAN-Nummer'
durch ein empfangenes VLAN-Tag oder durch eine PVID
zustandegekommen ist, ist für die Weiterleitung an andere
Ports egal. Wenn das Paket auf irgendeinem Port wieder
herausgeht, dann wird anhand seines VLANs und der PVID
des Ports entschieden, ob in das Paket ein Tag eingesetzt
wird oder nicht.
Eine 'asymmetrische' VLAN-Konfig kann es in dem Sinne
im VLAN-Modul des LCOS niemals geben, denn Du kannst
für einkommende und ausgehende Pakete ja gar keine
unterschiedliche PVID definieren. Wenn Du an LAN-1
die PVID auf 200 gestellt hast, dann werden einkommende,
ungetaggte Pakete dem VLAN 200 zugeschlagen und
umgekehrt erhalten ausgehende Pakete ein VLAN-Tag, wenn
ihr VLAN ungleich 200 ist. Das alles natürlich gesetzt den
Fall, daß der Tagging-Modus von LAN-1 auf 'gemischt' steht.
einzelnen Clients, die sich an dieser SSID anmelden, eine
VLAN-Id zuweist - wenn man mehreren Clients an einer
SSID unterschiedliche VLANs zuweist, wüßte man ja gar
nicht, welches VLAN man denn nun nehmen soll.
Grob gesagt ist dieses pro-Client-VLAN eine weitere
Bedingung, die in das VLAN-Ingress-Filter eingeht, wenn
für empfangene ungetaggte Pakete das VLAN festgelegt wird.
Ist dem Client ein spezielles VLAN zugewiesen worden
(kann man in der WLAN-Stationstabelle in der Spalte
'VLAN-Id' sehen), dann wird dieses VLAN dem Paket
zugewiesen, ist dem Client kein spezielles VLAN zugewiesen
(die Spalte 'VLAN-Id' ist Null), dann greift die konfigurierte
PVID des WLAN-SSID.
verständlich (vermutlich habe ich den Aufbau aber auch
noch nicht ganz verstanden...). Am einfachsten ist es, sich
mal unter Status->VLAN die effektive VLAN-Konfig
anzuschauen (wenn einem WLAN-Client ein VLAN zu-
gewiesen wird, dann erzeugt der WLAN-Stack nämlich z.T.
automatisch die erforderlichen Memberships) und mit einem
Bridge-Trace sich anzusehen, welche Pakete welches
VLAN haben und wohin sie weitergeleitet werden.
Gruß Alfred
Das verstehe ich ehrlich gesagt noch nicht ganz. WelchesDas VLAN ist "asymetrisch" aufgesetzt: der LAN-1 Port, an dem der DHCP Server und der Rest meiner Netzwerkwelt hängt (LAN-1 Lancom, DHCP auf BINTEC Router), ist Mitglied im 200er VLAN (untaggt) und die (untaggt) Antworten vom BINTEC werden an LAN-1 vom Lancom mit VLAN 1 getaggt (PVID LAN-1 = 1). Der WLAN Port wiederum ist Mitglied im VLAN 1 (und 200), bekommt so also alle (untaggt) Antworten von LAN-1 (auch DHCP).
VLAN ist auf der LAN-Seite jetzt ungetaggt (es kann immer
nur eines ungetaggt sein)?
Des weiteren sollte man mit dem Begriff 'getaggt' vorsichtig
umgehen. Zumindest für mich heißt 'getaggt' erstmal nur,
daß ein Paket irgendwo *auf der Leitung* mit VLAN-Tag
läuft. Beim Empfang von Paketen strippt das LANCOM
jedoch als eine der ersten Handlungen ein eventuell vorhandenes
VLAN-Tag ab und merkt sich das VLAN quasi als
'Attribut' des Paketes - im LANCOM laufen alle Pakete
immer ungetaggt, und ob dieses Attribut 'VLAN-Nummer'
durch ein empfangenes VLAN-Tag oder durch eine PVID
zustandegekommen ist, ist für die Weiterleitung an andere
Ports egal. Wenn das Paket auf irgendeinem Port wieder
herausgeht, dann wird anhand seines VLANs und der PVID
des Ports entschieden, ob in das Paket ein Tag eingesetzt
wird oder nicht.
Eine 'asymmetrische' VLAN-Konfig kann es in dem Sinne
im VLAN-Modul des LCOS niemals geben, denn Du kannst
für einkommende und ausgehende Pakete ja gar keine
unterschiedliche PVID definieren. Wenn Du an LAN-1
die PVID auf 200 gestellt hast, dann werden einkommende,
ungetaggte Pakete dem VLAN 200 zugeschlagen und
umgekehrt erhalten ausgehende Pakete ein VLAN-Tag, wenn
ihr VLAN ungleich 200 ist. Das alles natürlich gesetzt den
Fall, daß der Tagging-Modus von LAN-1 auf 'gemischt' steht.
Korrekt, die PVID der SSID bleibt unverändert, wenn manDie "statische" PVID des WLAN Ports ist 200. Wenn über die Benutzer Authentifizierung einen VLAN Id gesetzt wird, was wird da eigentlich verändert? Ich dachte, nur die PVID für den WLAN Port, aber jetzt ahne ich, dass die VLAN Portzugehörigkeit für den WLAN Client geändert wird, d.h. dieser wäre dann nicht mehr Mitglied in VLAN 1 und bekommt in meiner VLAN Konfig. keine Antwortpakete mehr. Kann das sein?
einzelnen Clients, die sich an dieser SSID anmelden, eine
VLAN-Id zuweist - wenn man mehreren Clients an einer
SSID unterschiedliche VLANs zuweist, wüßte man ja gar
nicht, welches VLAN man denn nun nehmen soll.
Grob gesagt ist dieses pro-Client-VLAN eine weitere
Bedingung, die in das VLAN-Ingress-Filter eingeht, wenn
für empfangene ungetaggte Pakete das VLAN festgelegt wird.
Ist dem Client ein spezielles VLAN zugewiesen worden
(kann man in der WLAN-Stationstabelle in der Spalte
'VLAN-Id' sehen), dann wird dieses VLAN dem Paket
zugewiesen, ist dem Client kein spezielles VLAN zugewiesen
(die Spalte 'VLAN-Id' ist Null), dann greift die konfigurierte
PVID des WLAN-SSID.
Das erscheint mir nach der bisherigen Beschreibung nichtIch vergass zu erwähnen, dass der Client mit IP/DNS/Default Router richtig versorgt wird, d.h. das DHCP funktioniert noch, erst danach ist Schluss.
verständlich (vermutlich habe ich den Aufbau aber auch
noch nicht ganz verstanden...). Am einfachsten ist es, sich
mal unter Status->VLAN die effektive VLAN-Konfig
anzuschauen (wenn einem WLAN-Client ein VLAN zu-
gewiesen wird, dann erzeugt der WLAN-Stack nämlich z.T.
automatisch die erforderlichen Memberships) und mit einem
Bridge-Trace sich anzusehen, welche Pakete welches
VLAN haben und wohin sie weitergeleitet werden.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hi Alfred, danke für deine nützlichen Kommentare.
Ich habe mir mal die Traces angeschaut, und es scheint mir wirklich so wie vermutet zu sein, dass bei der von mir gewünschten "dynamischen" VLAN Zuordnung die Antwortpakete (DHCP, Internet), die in meiner Konfig. immer dem VLAN 1 zugeordnet sind, nicht am WLAN-Port des Clients ankommen.
Schlussfolgerung: Ungetaggte ingress Pakete auf dem WLAN Port werden im LANCOM dem (dynamisch gesetzten) VLAN 200 zugeordnet (das wünsche ich mir auch). Der WLAN Port gehört allerdings auch nur noch dem VLAN 200 an - die statische, zusätziche Mitgliedschaft in VLAN 1 existiert nicht mehr, was ich ganz und gar nicht möchte. Das konnte ich dadurch verifizieren, dass ich alle ingress Pakete auf LAN-1 mit VLAN 200 getaggt habe und dann die Verbindung zum WLAN-Client funktionierte.
Die dynamische VLAN Zuordnung über RADIUS funktioniert also nach meinem Kenntnisstand und Verständnis nur dann, wenn die VLAN strikt getrennt sind und keinerlei gemeinsamen Netzwerk-Resourcen genutzt werden sollen - kein gemeinsamer DHCP Server, kein gemeinsames Internet und auch kein gemeinsamer Server -, was den Einsatz einigermassen sinnlos macht. Oder gibt es noch eine andere Methode, Resourcen gemeinsam in allen VLANs zu benutzen und Antwortpakete deshalb über eine "genrische" VLAN-ID - bei mir 1 - laufen zu lassen und alle Ports zusätzlich zum Mitglied dieses generischen VLANs zu machen?
Gruß
Frank
PS: Du hast natürlich recht, dass schon das DHCP nicht funktioniert. Da habe ich mich irgenwie verwirren lassen. Ich meine mit assymetrischem VLAN die Konfig, die Antwortpakete von gemeinsam-genutzten Ressourcen immer über eine generische VLAN-ID schickt. Vielleicht ist das nicht der richtige Ausdruck dafür.
Ich habe mir mal die Traces angeschaut, und es scheint mir wirklich so wie vermutet zu sein, dass bei der von mir gewünschten "dynamischen" VLAN Zuordnung die Antwortpakete (DHCP, Internet), die in meiner Konfig. immer dem VLAN 1 zugeordnet sind, nicht am WLAN-Port des Clients ankommen.
Schlussfolgerung: Ungetaggte ingress Pakete auf dem WLAN Port werden im LANCOM dem (dynamisch gesetzten) VLAN 200 zugeordnet (das wünsche ich mir auch). Der WLAN Port gehört allerdings auch nur noch dem VLAN 200 an - die statische, zusätziche Mitgliedschaft in VLAN 1 existiert nicht mehr, was ich ganz und gar nicht möchte. Das konnte ich dadurch verifizieren, dass ich alle ingress Pakete auf LAN-1 mit VLAN 200 getaggt habe und dann die Verbindung zum WLAN-Client funktionierte.
Die dynamische VLAN Zuordnung über RADIUS funktioniert also nach meinem Kenntnisstand und Verständnis nur dann, wenn die VLAN strikt getrennt sind und keinerlei gemeinsamen Netzwerk-Resourcen genutzt werden sollen - kein gemeinsamer DHCP Server, kein gemeinsames Internet und auch kein gemeinsamer Server -, was den Einsatz einigermassen sinnlos macht. Oder gibt es noch eine andere Methode, Resourcen gemeinsam in allen VLANs zu benutzen und Antwortpakete deshalb über eine "genrische" VLAN-ID - bei mir 1 - laufen zu lassen und alle Ports zusätzlich zum Mitglied dieses generischen VLANs zu machen?
Gruß
Frank
PS: Du hast natürlich recht, dass schon das DHCP nicht funktioniert. Da habe ich mich irgenwie verwirren lassen. Ich meine mit assymetrischem VLAN die Konfig, die Antwortpakete von gemeinsam-genutzten Ressourcen immer über eine generische VLAN-ID schickt. Vielleicht ist das nicht der richtige Ausdruck dafür.
Moin,
die Tabelle "Status/VLAN/Networks" anzeigt?
strikte Trennung auf Layer 2 erreichen, und alles, was auf
diesem Layer 2 aufsetzt, ist damit auch erstmal getrennt,
Bridges, APs, und Switches, die Pakete anhand von
VLAN (nicht) weiterleiten, schauen ja überhaupt nicht in die
höheren Protokollschichten von Paketen rein.
Wenn man diese VLANs irgendwo wieder verbinden will,
dann setzt man z.B. irgendwo einem Router auf, der jeweils
ein Bein in beiden VLANs stehen hat,
Gruß Alfred
Könntest Du bitte mal posten, was in dem Fall bei DirSchlussfolgerung: Ungetaggte ingress Pakete auf dem WLAN Port werden im LANCOM dem (dynamisch gesetzten) VLAN 200 zugeordnet (das wünsche ich mir auch). Der WLAN Port gehört allerdings auch nur noch dem VLAN 200 an - die statische, zusätziche Mitgliedschaft in VLAN 1 existiert nicht mehr, was ich ganz und gar nicht möchte. Das konnte ich dadurch verifizieren, dass ich alle ingress Pakete auf LAN-1 mit VLAN 200 getaggt habe und dann die Verbindung zum WLAN-Client funktionierte.
die Tabelle "Status/VLAN/Networks" anzeigt?
Tja, so sind VLANs nun einmal gedacht - man will damit eineDie dynamische VLAN Zuordnung über RADIUS funktioniert also nach meinem Kenntnisstand und Verständnis nur dann, wenn die VLAN strikt getrennt sind und keinerlei gemeinsamen Netzwerk-Resourcen genutzt werden sollen - kein gemeinsamer DHCP Server, kein gemeinsames Internet und auch kein gemeinsamer Server -, was den Einsatz einigermassen sinnlos macht.
strikte Trennung auf Layer 2 erreichen, und alles, was auf
diesem Layer 2 aufsetzt, ist damit auch erstmal getrennt,
Bridges, APs, und Switches, die Pakete anhand von
VLAN (nicht) weiterleiten, schauen ja überhaupt nicht in die
höheren Protokollschichten von Paketen rein.
Wenn man diese VLANs irgendwo wieder verbinden will,
dann setzt man z.B. irgendwo einem Router auf, der jeweils
ein Bein in beiden VLANs stehen hat,
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015