Radius MAC Authentication

Es gibt 9 Antworten in diesem Thema, welches 5.877 mal aufgerufen wurde. Der letzte Beitrag () ist von amaskus.

  • Hallo, ich komme gerade nicht weiter bei der Konfiguration von Radius.


    Der Hintergrund ist folgender, ich habe einen Bildschirm mit Docking Funktion, den ich sowohl privat als auch beruflich benutze.

    Jetzt möchte ich mit Radius über die MAC-Adresse erkennen, ob der private Laptop angeschlossen ist und ins normale Netz darf, oder ob der berufliche Laptop ins Gastnetz kommt.


    Also Fallback habe ich mein Gastnetz konfiguriert und der private Laptop ist als User im Radius Profil eingetragen.

    An genau der Stelle komme ich allerdings nicht weiter. Der private Laptop soll nämlich ins VLAN 1 und das kann man nicht konfigurieren.


    Ist es wirklich nicht möglich, mit Radius auf das Default-Netzwerk zu kommen?

  • Gruß

    defcon

  • Danke ich habe die fehlende Information gefunden.


    Für VLAN 1 darf man nicht 1 eintragen sondern muss das Feld frei lasse.


    Auch wenn ich nicht nachvollziehen kann warum das so ist.

  • Bei manchen ists die 0.

    Hust....

    bei IEEE 802.1Q VLAN sind nur WLAN ID von 1-4094 zulässig.


    Üblich ist das VLAN1 (und ich kenne Hersteller der das anders macht) das Default VLAN

    ist wo dann meistens die eignen Protokolle wie STP / CDP / LLSP und ähnliche benutzt werden.

    Und damit ist das VLAN1 quasi auch das default native untagged vlan auf allen Port

    nach dem auspacken.


    VLAN 0 selber wird nur in (sehr) speziellen Fällen verwendet. Wenn ein Client als natives

    Netzwerk an einem Switch ist aber gerne Pakete mit bestimmten Prioritäten senden will

    kann es einen VLAN Header im Ethernet senden den gewünschten Prio Settings

    (die COS Bits im VLAn Header und VLAN 0 (weil das gerät ja eigentlich nicht weis in welchen

    VLAN es sich befindet) Cisco unterstützt das.


    Andere Hersteller nutzen die VLAN0 ID in der Konfiguration als Hinweis das es auf den Port

    kein Natives VLAN gibt sondern nur Tagged VLAN. Das ist dann aber eher Kosmetisch.

    (die alten 3COM / HP nun Aruba Dinger)

  • Also es funktioniert bei mir irgendwie nur bei Windows Rechnern problemlos.

    Bei Apple geht immer ein Fenster auf wo ich den Accountname und Passwort eingeben muss.

    Interessanterweise komme ich in das richtige Netzwerk, auch wenn ich keine Login Daten eingeben und auf Abrechnung klicke.


    Ist da was am MacBook falsch eingestellt oder bin ich gezwungen die Daten bei Apple einzugeben?


    Edit:

    Ich habe das automatische anmelden über 802.1X im MacBook deaktiviert und jetzt geht es. Irgendwie ist das doch widersprüchlich.

    Einmal editiert, zuletzt von NetNovice ()

  • Also irgendwie macht Radius noch Probleme bei mir.

    Ich habe einen Bildschirm von Dell mit Ethernet-Anschluss. Wenn ich jetzt ein MacBook anschließe, das ins VLAN 10 soll, funktioniert das auch zuerst.


    Stecke ich das MacBook ab, scheint aber der Monitor dieselbe MAC-Adresse wie das MacBook zu haben. Wenn ich jetzt einen Rechner anstecke, der nicht im Radius angelegt ist, kommt es vor, dass dieser ins VLAN 10 kommt, obwohl als Fallback das VLAN 20 eingerichtet wurde.


    Auch ist mir aufgefallen, dass im MacBook die MAC-Adresse der Netzwerkverbindung, welche über USB-C verbunden wird, nur angezeigt wird, wenn dieser mit dem Monitor verbunden ist. Sobald ich das USB-C-Kabel abziehe, verschwindet die Anzeige der MAC-Adresse unter den Netzwerkeinstellungen des MacBooks.

    Ich vermute entweder kopiert der Bildschirm die MAC-Adresse vom MacBook oder ungeklärt.


    Was denkt ihr, wie kann ich das Problem mit dem Monitor lösen bzw. was läuft hier verkehrt?


    Ansonsten werde ich wohl ein anderes Authentifizierungsverfahren benutzen müssen.

  • Die MAC Adresse ist die von dem Netzwerk chip des Monitors, daher bleibt die gleich.


    Ich hab das zu Hause mit meinem dock anders gelöst, da das Dock ja die MAC hat und nicht der PC.

    auf dem Switchport liegen zwei netze - Firma und Privat.

    Privat ist getagged

    Habe auf meinem Privaten Notebook in den Einstellungen das VLAN Tag gesetzt und damit geht der Rechner immer ins private netz während der Firmen Laptop im Firmen netz bleibt

    Ich habe das automatische anmelden über 802.1X im MacBook deaktiviert und jetzt geht es

    Du kannst dich ja auch per User/Passwort via 802.1X anmelden daher kommt die abfrage weil der mac die 802.1X Authentifizierung erkennt. Bei ausgeschaltet läuft das über den switch der die MAC Adresse nimmt

    Mein Projekt

  • amaskus

    Ich muss zugeben, dass ich tagged und ungetagged nicht richtig verstehe. Zwar habe ich mich bereits eingelesen, was genau da im Switch passiert, irgendwie kapiere ich aber nicht, was das beim Konfigurieren für mich bedeutet.

    Daher kann ich nicht nachvollziehen, was genau du da gemacht hast und warum.


    Dass es sich bei der MAC-Adresse, um die des Monitors handelt, konnte ich jetzt bestätigen. Denn ich habe diese auf dem Monitor abgedruckt gefunden.

    Allerdings erscheint der Monitor als Client in der Unifi Übersicht nicht immer. Wenn ich das MacBook anschließe, ist der Monitor in der Unifi Übersicht und bei einem Windows-Rechner meiner Frau fehlt dieser.

    Das hat zur Folge, dass der Windows-Rechner in das Fallback-Netzwerk kommt, solange der Monitor nicht erkannt wird. Aber sobald der Monitor in der Unifi Übersicht erscheint, kommen alle angeschlossenen Geräte ins Netzwerk, welches ich unter Radius eingetragen habe. Nehme ich aber die Mac-Adresse vom Monitor aus dem Radius-Profil raus, würden doch alle angeschlossenen Clients in das Fallback-Netzwerk kommen, wenn dieser in der Unifi Übersicht erscheint. Oder habe ich da einen Denkfehler?

    Zudem müsste das MacBook doch auch eine eigene MAC-Adresse haben. Aber in den Netzwerkeinstellungen von MacBook wird nur die Adresse vom Wifi angezeigt. Die vom USB-C-Port ist ausgeblendet und beim einstecken des Monitors wird die MAC-Adresse vom Monitor angezeigt.


    Du kannst dich ja auch per User/Passwort via 802.1X anmelden daher kommt die abfrage weil der mac die 802.1X Authentifizierung erkennt. Bei ausgeschaltet läuft das über den switch der die MAC Adresse nimmt

    Das werde ich auch versuchen.

    Vermutlich geht Radius aktuell über den Monitor überhaupt nicht und ich bin nur zufällig im gewünschten Netzwerk, weil der Monitor das Netzwerk zugewiesen bekommen hat und weiter leidet.

    Allerdings wäre mir lieber, wenn das MacBook richtig erkannt wird und ich die Mac-Adresse von diesem im Radius eintragen könnte. Ich habe noch eine weitere Dockingstation und die erscheint beispielsweise überhaupt nicht im Netzwerk und scheint nur weiterzuleiten.

  • Ich muss zugeben, dass ich tagged und ungetagged nicht richtig verstehe. Zwar habe ich mich bereits eingelesen, was genau da im Switch passiert, irgendwie kapiere ich aber nicht, was das beim Konfigurieren für mich bedeutet.

    Daher kann ich nicht nachvollziehen, was genau du da gemacht hast und warum.

    vereinfacht gesagt

    untagged: das netz was du bekommst wenn du ohne weitere Einstellungen etwas anschließt

    Tagged: das netz was kommt wenn du den entsprechenden Tag mitgibst auf der clientseite


    Zudem müsste das MacBook doch auch eine eigene MAC-Adresse haben

    die MAC Adresse ist immer dem Netzwerkadapter zugeordnet nicht dem gerät.

    wenn du einen pc ohne Wifi und LAN hast hat der per se keine MAC Adresse.


    Das werde ich auch versuchen.

    Das ist in deinem speziellen fall wohl einfacher als über die MAC


    oder du machst es über VLAN tags,

    Mein Projekt