802.1x Mac Auth mit dynamischer VLAN Zuweisung auf den USW-Lite-8/16-PoE Switchen funktioniert nicht

Es gibt 10 Antworten in diesem Thema, welches 5.546 mal aufgerufen wurde. Der letzte Beitrag () ist von hoppel118.

    Hallo in die Runde,


    nachdem ich mich mit 802.1x und Mac Auth in meinem Wireless LAN beschäftigt habe, dies soweit eingerichtet ist, läuft und dafür auch folgenden Wiki-Beitrag erstellt habe:


    Radius Server mit 802.1x- und MAC-Authentification im WLAN einrichten


    möchte ich auf einem meiner Switches nun auch 802.1x Mac Auth über den Radius Server der Dream Machine einrichten und dafür dann anschließend einen Wiki Beitrag erstellen. Dafür brauche ich allerdings eure Unterstützung, denn ich bekomme es nicht zum Laufen.


    Meine Umgebung:

    • Unifi Dream Machine: 1.10.4
    • Unifi Network Application: 6.5.55
    • USW-Lite-16-PoE: 6.0.7 (mit einem USW-Lite-8-PoE ist das Verhalten dasselbe)


    • UDM-Pro <---> USW-Enterprise-24-PoE <---> USW-Lite-16-PoE
    • Mein Hauptnetzwerk hat keine VLAN ID, zusätzlich habe ich ein IoT, ein Gäste und ein VLAN für meine Schwiegereltern, die im selben Haus wohnen


    Was ist das Ziel?


    Ich möchte Radius MAC Auth an einem Switch in meiner Scheune aktivieren, um zu vermeiden, dass sich dort jemand anstöpselt und Zugriff in mein Netzwerk erhält. Idealerweise gibt es dort in der finalen Konfiguration auch kein Fallback VLAN. Man soll die mit dem Switch verkabelten Geräte an jedem Port anschließen können. Andere Geräte (ohne Radius User) sollen sich dort nicht anmelden können bzw. eine IP aus irgendeinem VLAN/LAN erhalten.


    Was habe ich also gemacht?


    Beispielhaft möchte ich einen Windows 10 PC per Radius (MAC Auth) in ein spezifisches VLAN bringen, wenn dieser an einem Port des USW-Lite-24-PoE Switches erkannt wird.


    1. Radius Server Einstellungen auf Vollständigkeit geprüft (siehe Kapitel 1 des Wiki Beitrages)


    • Enable Wired (enable RADIUS assigned VLAN for wired network): ist bereits aktiviert gewesen, Profilname "Default"


    2. Radius User angelegt (siehe Kapitel 2 und 2.2 des Wiki Beitrages):


    • Username: <MAC-Addresse des Windows 10 PCs>
    • Password: <MAC-Address des Windows 10 PCs>
    • VLAN ID: <VLAN-ID meines IoT VLANs>
    • Tunnel Type: 13 - Virtual LANs (VLAN)
    • Tunnel Medium Type: 6 - 802 (includes all 802 media plus Ethernet "canonical format")


    3. Switch Port Profil erstellt


    • Momentan habe ich noch zwei USW-Flex-Minis in meinem Netzwerk hängen. Die unterstützen weder 802.1x, noch STP noch LLDP-MED, siehe Screenshot. Diese werden zeitnah aus dem Netz fliegen, da ich gerade am umstrukturieren bin. Anschließend werde ich nur noch Unifi Switche haben, die das unterstützen.
    • Im Menü "Settings - Advanced Features - Switch Ports" habe ich dann über die Schaltfläche "Add a Port Profile" ein neues Profil angelegt und wie folgt konfiguriert:

    Meine Schlussfolgerungen:


    1. Das "Native Network" ist anzugeben, da es sich um mein Management LAN (Name: "Main") handelt.
    2. Alle "Tagged Networks", die hier angegeben werden, können später auch über den RADIUS zugewiesen werden.
    3. Bei "802.1x" wähle ich "MAC-based" aus, da ich davon ausgehe, dass diese Funktion genau das tut, was ich am Ende erreichen will.

    Passen meine Einstellungen und Schlussfolgerungen so?


    4. 802.1x am Switch aktiviert


    • Im Menü "Geräte - USW-Lite-16-PoE - Settings - Services" habe ich "802.1x Control" aktiviert, das Radius Profile "Default" ausgewählt und als Fallback VLAN "Guests" angegeben


    4. Switch Port Profil umgestellt


    • Im Menü "Geräte - USW-Lite-16-PoE - Settings - Ports" habe ich Port 15 ausgewählt, wo der Windows 10 PC angeschlossen ist, und das Port Profile von "All" auf das von mir zuvor erstellte Profil "MACauth" umgestellt


    Meine Schlussfolgerungen:


    1. "MAC ID Filter Allow List" wird für meinen Usecase nicht benötigt.
    2. "Port Profile Override" Einstellungen lasse ich wie sie sind.

    Passen meine Einstellungen und Schlussfolgerungen so?


    5. Testen am Windows 10 PC


    1. Ich öffne ein Kommando Fenster "cmd" und schaue mir die jetzige IP-Adresse an "ipconfig /all". Mein Windows 10 PC hat bis jetzt eine IP-Adresse aus meinem "Main" Netzwerk (Management ohne VLAN ID)
    2. Anschließend führe ich ein "ipconfig /release" aus, um das DHCP-Lease des Windows PCs freizugeben
    3. Nun führe ich ein "ipconfig /renew" aus, um dann eigentlich eine IP aus dem IoT VLAN zu erhalten (entsprechend meiner Radius User Konfiguration)

    Ich erhalte dann folgende Meldung:


    Code
    C:\Users\hoppel118>ipconfig /renew

Windows-IP-Konfiguration

Beim Aktualisieren der Schnittstelle "Ethernet" ist folgender Fehler aufgetreten: es kann keinen Verbindung mit dem DHCP-Server hergestellt werden. Anforderung wurde wegen Zeitüberschreitung abgebrochen.


    Sobald ich das Switchport-Profil (4.) wieder auf "All" stelle, erhalte ich wieder eine IP aus meinem "Main" LAN.


    Ich habe schon diverse andere Settings (insbesondere am Switchport Profil) ausprobiert. Aber es klappt nicht. Wo liegt mein Fehler?


    Danke euch und Gruß Hoppel

    2 Mal editiert, zuletzt von hoppel118 ()

  • Zum Hilfreichsten Beitrag springen

    Moin,


    ja, gute Frage.


    Am liebsten würde ich das Profil auf alle Ports anwenden, auch am Core Switch auf den Downlink Port Richtung Scheune. Hatte die Hoffnung, dass der Core Switch in der Authphase erkennt, dass es sich um einen bekannten Switch handelt und diesen dann auf jeden Fall durchlässt, Unbekannte Geräte aber nicht. Ich will es erstmal grundsätzlich zum Laufen bekommen. Evtl. kommt man mit der Option „Mutli-Host“ und einem weiteren Switch Port Profil am Downlink des Core Switches weiter. Dazu kommen wir dann ganz zum Schluss. :winking_face:


    Danke dir, bin gespannt auf dein Ergebnis.


    Gruß Hoppel

    3 Mal editiert, zuletzt von hoppel118 ()

    • Hilfreich

    So, neue Erkenntnisse.


    Ich musste mehrmals zwischen neuer und alter Oberfläche springen. Möglich, dass es auch nur in der alten geht.


    Das Switchportprofil kann man sich wohl sparen.

    Den Switch habe ich so konfiguriert:



    Den Port dann so:


    Jetzt kommt der Trick:

    Unter den Radius Benutzern muss der Eintrag für Name und Kennwort die MAC sein. Und das ohne Sonderzeichen und alles in Großbuchstaben:


    Beispiel:

    Zitat

    11AA22CC33EE


    Danach wurden die Kameras in das richtige VLAN geschoben.

    Wie ich da einen AccessPoint - Port absichern soll, habe ich noch nicht herausgefunden. Selbst, wenn ich den MAC-Filter aktiviere und absichtlich eine falsche MAC eintrage, lässt er den AccessPoint ins Netzwerk.

    Ok, das probiere ich aus. Oh man, Ubiquiti… :winking_face: Warum bieten sie die verschiedenen Optionen der MAC-Adressen-Schreibweisen überhaupt an, wenn das nicht einheitlich funktioniert…


    Bei meinen Wifi Clients mit Radius MAC auth funktioniert die folgende Schreibweise:


    aa:bb:cc:dd:ee:ff


    Bin gespannt, ob es das jetzt wirklich war. Ich melde mich heute Abend wieder! Vielen Dank auf jeden Fall schonmal.


    Gruß Hoppel

    Peterfido Jo, tatsächlich. Das falsche MAC-Adressen-Format war das Problem. Mit dem Switchport Profil „All“ geht das bei mir aber nicht. Dann landet der Windows PC immer im Hauptnetzwerk.


    Du bist mein Held des Tages! 😃👍


    Dann muss ich jetzt nur noch herausfinden, wie das mit den Uplink-/Downlink-Ports funktioniert.


    Mal sehen, wann ich dazu die Zeit finde. Wenn das alles läuft, erstelle ich den Wiki-Beitrag.


    Danke und viele Grüße Hoppel

    Nabend zusammen,


    ich habe hierzu keine kleine Frage, denke es passt ganz gut hierher.


    Habt ihr auch das Phänomen, dass MAC-based nicht funktioniert, wenn bei "802.1X Steuerung" automatisch steht? Bei mir werden MAC-based User nur akzeptiert, wenn auch MAC-based am Swichport ausgewählt ist. "Automatisch" klingt für mich so das er es selbst sieht, aber da lande ich immer im Fallback-Netz.


    Viele Grüße,

    Jonas