wie wird einem Client ein VLAN zugewiesen?

[Kay Martinen]

Hallo

Wie wird einem Drahtlosen Gerät das sich an einem WLAN Accesspoint
anmelden will eigentlich ein VLAN zugewiesen?

Ich weiß das man das mit einem Radius-Server (z.B. freeradius) machen
kann, das der ggf. eine VLAN-ID zurück liefern kann. An den
Software-Bestandteil (radius-supplicant?) der im AP für Radius zuständig.

Was ich nicht weiß ob das generell transparent ist, also ob jeder AP der
Radius-anmeldung bietet das auch umsetzen könnte.

Ich nehm mal an das der Radius-client im AP generell eher die
Client-anmeldung übernimmt. Also wenn Gerät X sich anmelden will fragt
der Client den Radius und der liefert dann eben ok oder nicht okay,
evtl. noch eine IP-vorgabe. Aber ein VLAN-Tag? Da muß doch auch die
Hardware mit spielen, der LAN-Port entsprechend größere Pakete raus
schicken (können).

Konkret möchte ich das mit einem LinkSys WRT-54 (original VxWorks
Firmware) umsetzen - wenn es geht. Einen freeradius habe ich im opnsense
und eine managed-switch der die VLANs kennt ist auch da.



Ｂｙｅ／
／Ｋａｙ

--
"Kann ein Wurstbrot die Welt retten?" :-)

[Marc Haber]

Kay Martinen <use...@martinen.de> wrote:
>Wie wird einem Drahtlosen Gerät das sich an einem WLAN Accesspoint
>anmelden will eigentlich ein VLAN zugewiesen?

Das geht nur bei WPA Enterprise.

>Ich weiß das man das mit einem Radius-Server (z.B. freeradius) machen
>kann, das der ggf. eine VLAN-ID zurück liefern kann. An den
>Software-Bestandteil (radius-supplicant?) der im AP für Radius zuständig.

Genau.

>Was ich nicht weiß ob das generell transparent ist, also ob jeder AP der
>Radius-anmeldung bietet das auch umsetzen könnte.

Das sollte eigentlich gehen. Die verwendeten RADIUS-Attribute sind
manchmal herstellerabhängig. Hier für Ubiquiti-Accesspoints:

|swivel User-Password = "<snip>"
| Tunnel-Type=13,
| Tunnel-Medium-Type=6,
| Tunnel-Private-Group-ID="182"
|toe User-Password = "<snip>"
| Tunnel-Type=13,
| Tunnel-Medium-Type=6,
| Tunnel-Private-Group-ID="188"
|nokia72 User-Password = "<snip>"
| Tunnel-Type=13,
| Tunnel-Medium-Type=6,
| Tunnel-Private-Group-ID="184"

>Ich nehm mal an das der Radius-client im AP generell eher die
>Client-anmeldung übernimmt. Also wenn Gerät X sich anmelden will fragt
>der Client den Radius und der liefert dann eben ok oder nicht okay,
>evtl. noch eine IP-vorgabe. Aber ein VLAN-Tag? Da muß doch auch die
>Hardware mit spielen, der LAN-Port entsprechend größere Pakete raus
>schicken (können).

Der Accesspoint muss natürlich VLAN-fähig sein und muss auch die
passenden VLANs konfiguriert haben.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marco Moock]

Am 21.07.2023 um 16:41:38 Uhr schrieb Marc Haber:

> Der Accesspoint muss natürlich VLAN-fähig sein und muss auch die
> passenden VLANs konfiguriert haben.

Wie funktioniert sowas denn bei der gleichen SSID, sprich 2 Clients,
die in ein unterschiedliches VLAN sollen, melden sich mit
unterschiedlichen Usern per WPA2-Enterprise an.

[Thomas Einzel]

Am 21.07.2023 um 16:41 schrieb Marc Haber:
> Kay Martinen <use...@martinen.de> wrote:
>> Wie wird einem Drahtlosen Gerät das sich an einem WLAN Accesspoint
>> anmelden will eigentlich ein VLAN zugewiesen?
>
> Das geht nur bei WPA Enterprise.

Die kleine Schwester PPSK kann das (statisch) auch, mit und ohne Radius.
An Hand des unter Umständen je Endgerät (unterschiedlichen) PSK im
gleichen WLAN (gleiche SSID) wird das im Accesspoint/Controller vorher
definierte VLAN zugewiesen.

https://www.itwissen.info/private-pre-shared-key-PPSK.html

Hat den Vorteil, das nicht WPA Enterprise fähigen WLAN Clients (wie z.B.
"IoT") trotzdem unterschiedliche VLAN zugewiesen werden kann, ohne für
jedes VLAN eine gesonderte SSID zu nutzen.

Ich nutze das privat mit TP-Link Omada Controller und APs
https://www.tp-link.com/de/support/faq/3386/
Im Vergleich zu Cisco, HPE & Co natürlich Spielzeug. (WPA Enterprise
können die auch, aber nicht alle Clients)
--
Thomas

[Marc Haber]

Genau so. Was genau ist Deine Frage?

[Marc Haber]

Thomas Einzel <usene...@einzel.de> wrote:
>Am 21.07.2023 um 16:41 schrieb Marc Haber:
>> Kay Martinen <use...@martinen.de> wrote:
>>> Wie wird einem Drahtlosen Gerät das sich an einem WLAN Accesspoint
>>> anmelden will eigentlich ein VLAN zugewiesen?
>>
>> Das geht nur bei WPA Enterprise.
>
>Die kleine Schwester PPSK kann das (statisch) auch, mit und ohne Radius.
>An Hand des unter Umständen je Endgerät (unterschiedlichen) PSK im
>gleichen WLAN (gleiche SSID) wird das im Accesspoint/Controller vorher
>definierte VLAN zugewiesen.

Das ist hübsch, das kannte ich noch nicht. Meine Ubiquitis können das
leider nicht.

>Ich nutze das privat mit TP-Link Omada Controller und APs
>https://www.tp-link.com/de/support/faq/3386/
>Im Vergleich zu Cisco, HPE & Co natürlich Spielzeug. (WPA Enterprise
>können die auch, aber nicht alle Clients)

Die will ich schon seit Jahr und Tag mal ausprobieren, weil mir
Ubiquiti nur noch auf den Zeiger geht.

[Marco Moock]

Am 21.07.2023 um 20:43:35 Uhr schrieb Marc Haber:

> Marco Moock <mo...@posteo.de> wrote:
> >Am 21.07.2023 um 16:41:38 Uhr schrieb Marc Haber:
> >> Der Accesspoint muss natürlich VLAN-fähig sein und muss auch die
> >> passenden VLANs konfiguriert haben.
> >
> >Wie funktioniert sowas denn bei der gleichen SSID, sprich 2 Clients,
> >die in ein unterschiedliches VLAN sollen, melden sich mit
> >unterschiedlichen Usern per WPA2-Enterprise an.
>
> Genau so. Was genau ist Deine Frage?

Wie funktioniert dann die Trennung des Traffics?
Ich dachte immer, dass ein WLAN mit einer SSID ähnlich wie ein
Ethernet-Link funktioniert und alle Geräte sich das teilen und man das
nicht einfach per VLAN separieren kann. Letzteres kenne ich nur mit
mehreren SSIDs.

[Thomas Einzel]

Das ist ja alles komplett Schicht 2. Wenn es der AP schafft, ab der
Funkschnittstelle für das LAN den passenden VLAN Tag für diese
Verbindung zusetzen, ist der Client im betr. VLAN. Zur VLAN Zuweisung
gibt es eben verschiedene Methoden wie WPA Enterprise und Radius mit
Client Zertikaten, PPSK mit und ohne Radius, ... usw., ich bin kein
Profinetzwerker.

Bei erwähnten TP-Link Omada APs geht das auch mit einem Omada "Mesh"
Repeater via WLAN Backbone, wenn an dessen Eth ein kleiner Smart
mananged Switch (kann ein beliebiger sein) angeschlossen ist, kann man
an dessen Ports Eth basierende VLAN konfigurieren und nutzen, geht :-)

Leider kann man diesem Eth am Omada Repeater kein VLAN direkt zuweisen,
alle tagged VLAN (in Profilen definiert) sind auf diesem Eth da. Schrieb
mir auch der TP-Link Support.
--
Thomas

[Kay Martinen]

Am 21.07.23 um 16:41 schrieb Marc Haber:

> Kay Martinen <use...@martinen.de> wrote:
>> Wie wird einem Drahtlosen Gerät das sich an einem WLAN Accesspoint
>> anmelden will eigentlich ein VLAN zugewiesen?
>
> Das geht nur bei WPA Enterprise.

Ja, klar. Das hatte ich vorausgesetzt. Aber der Übliche Anwendungsfall
ist das m.E. primär das man jedem Gerät ein eigenes Kennwort zuordnen
kann. Damit wird nicht gleich die EINE Wlan-Zugangskennung
kompromittiert und prinzipiell sind die Geräte mit Zugang damit ja schon
separiert. Ich denke jetzt an Client-Separation was ja auch ein Feature
des AP ist.

>> Ich weiß das man das mit einem Radius-Server (z.B. freeradius) machen
>> kann, das der ggf. eine VLAN-ID zurück liefern kann. An den
>> Software-Bestandteil (radius-supplicant?) der im AP für Radius zuständig.
>
> Genau.


>
>> Was ich nicht weiß ob das generell transparent ist, also ob jeder AP der
>> Radius-anmeldung bietet das auch umsetzen könnte.
>
> Das sollte eigentlich gehen. Die verwendeten RADIUS-Attribute sind
> manchmal herstellerabhängig. Hier für Ubiquiti-Accesspoints:
>
> |swivel User-Password = "<snip>"
> | Tunnel-Type=13,
> | Tunnel-Medium-Type=6,
> | Tunnel-Private-Group-ID="182"

Ich weiß jetzt nicht was die Type Werte sein sollen aber Tunnel klingt
nach Isolierung i.s.v. VPN. Und soll die Private-Group die VLAN-ID sein?

>> Ich nehm mal an das der Radius-client im AP generell eher die
>> Client-anmeldung übernimmt. Also wenn Gerät X sich anmelden will fragt
>> der Client den Radius und der liefert dann eben ok oder nicht okay,
>> evtl. noch eine IP-vorgabe. Aber ein VLAN-Tag? Da muß doch auch die
>> Hardware mit spielen, der LAN-Port entsprechend größere Pakete raus
>> schicken (können).
>
> Der Accesspoint muss natürlich VLAN-fähig sein und muss auch die
> passenden VLANs konfiguriert haben.

Du meinst auf seinem LAN-Port? Das ginge hier nur mit einem WRT-54GL
(o.ä.) auf dem ich vor Jahren DD-WRT aufspielte. Da hab ich aber noch
keine funktionierende Konfig zusammen bekommen.

Der Normale WRT-54 mit VxWorks hier kann IMHO keine VLANs. Das war ja
teil der Frage, ob der die Pakete nicht automatisch einfach tagged wenn
er vom Radius die VLAN-ID für einen Client bekommt. Wenn der an einem
Dumb-Switch hinge sind die halt isoliert. An einem Managed Switch der
Die VLAN-ID auswertet würden sie aber im richtigen VLAN landen.

Der LAN-Port des WRT müsste nur pakete mit größeren Frames (header mit
VLAN-Tag) erlauben, übertragen.

Aber die Eigentliche Frage ist: Welcher Teil im AP macht das genau
(Paket von ClientX mit TagY versehen das er vom Radius erhielt), ist das
irgendwo spezifiziert und/oder wie nennt sich das Prozedere oder
Protokoll dann - um danach suchen zu können. Hersteller-abhängig hilft
mir da nicht weiter denke ich.

Bei MS ist "verkacken" auch Hersteller-abhängig, so gesehen. :-)

[Marc Haber]

Marco Moock <mo...@posteo.de> wrote:
>Am 21.07.2023 um 20:43:35 Uhr schrieb Marc Haber:
>
>> Marco Moock <mo...@posteo.de> wrote:
>> >Am 21.07.2023 um 16:41:38 Uhr schrieb Marc Haber:
>> >> Der Accesspoint muss natürlich VLAN-fähig sein und muss auch die
>> >> passenden VLANs konfiguriert haben.
>> >
>> >Wie funktioniert sowas denn bei der gleichen SSID, sprich 2 Clients,
>> >die in ein unterschiedliches VLAN sollen, melden sich mit
>> >unterschiedlichen Usern per WPA2-Enterprise an.
>>
>> Genau so. Was genau ist Deine Frage?
>
>Wie funktioniert dann die Trennung des Traffics?

Der Accesspoint assoziiert den Traffic des Clients (identifiziert
vermutlich über den individuell ausgehandelten Schlüssel) mit dem
VLAN, packt das VLAN-Tag davor und ab dafür.

>Ich dachte immer, dass ein WLAN mit einer SSID ähnlich wie ein
>Ethernet-Link funktioniert und alle Geräte sich das teilen und man das
>nicht einfach per VLAN separieren kann. Letzteres kenne ich nur mit
>mehreren SSIDs.

Bei WPA Personal ist das so, ja.

[Marc Haber]

Kay Martinen <use...@martinen.de> wrote:
>Am 21.07.23 um 16:41 schrieb Marc Haber:
>> Kay Martinen <use...@martinen.de> wrote:
>>> Wie wird einem Drahtlosen Gerät das sich an einem WLAN Accesspoint
>>> anmelden will eigentlich ein VLAN zugewiesen?
>>
>> Das geht nur bei WPA Enterprise.
>
>Ja, klar. Das hatte ich vorausgesetzt. Aber der Übliche Anwendungsfall
>ist das m.E. primär das man jedem Gerät ein eigenes Kennwort zuordnen
>kann. Damit wird nicht gleich die EINE Wlan-Zugangskennung
>kompromittiert und prinzipiell sind die Geräte mit Zugang damit ja schon
>separiert.

Ja, man kann auf diese Weise einzelne Endgeräte ganz aussperren oder
in ein Quarantäne-VLAN schicken. Und der Schlüssel der den Traffic auf
der Luftschnittstelle schützt ist individuell ausgehandelt und kann
neu verhandelt werden.

> Ich denke jetzt an Client-Separation was ja auch ein Feature
>des AP ist.

Ja, aber da geht es um die Separierung der Clients im gleichen VLAN.

>> |swivel User-Password = "<snip>"
>> | Tunnel-Type=13,
>> | Tunnel-Medium-Type=6,
>> | Tunnel-Private-Group-ID="182"
>
>Ich weiß jetzt nicht was die Type Werte sein sollen aber Tunnel klingt
>nach Isolierung i.s.v. VPN.

Ja, die Namen finde ich auch ungeschickt gewählt, aber vermutlich ist
das "kreatives" Recycling von Begriffen aus der Einwahltechnik.

> Und soll die Private-Group die VLAN-ID sein?

So ist das bei meinem Setup, ja. 13 und 6 werden vermutlich sowas wie
"WLAN" und "Ethernet" sein, *shrug*, standhalt so in der Doku. Ich bin
jetzt nicht der RADIUS-Zauberer, leider.

Sonst wüsste ich vielleicht auch, warum neuere Androiden partout nicht
mit meinem WPA Enterprise reden wollen.

>> Der Accesspoint muss natürlich VLAN-fähig sein und muss auch die
>> passenden VLANs konfiguriert haben.
>
>Du meinst auf seinem LAN-Port?

Ja, sonst bekommst Du die VLANs ja nicht an den Accesspoint ran.

>Der Normale WRT-54 mit VxWorks hier kann IMHO keine VLANs.

Dann spielt die traurige Trompete.

>Das war ja
>teil der Frage, ob der die Pakete nicht automatisch einfach tagged wenn
>er vom Radius die VLAN-ID für einen Client bekommt.

Wenn er keine VLANs kann kann er auch kein Tagging.

>Der LAN-Port des WRT müsste nur pakete mit größeren Frames (header mit
>VLAN-Tag) erlauben, übertragen.

Und mit den VLAN-Tags das richitge machne. Auf der Luftschnittstelle
sind da keine dot1q-Header davor, sondern die Trennung läuft anders.