Hallo zusammen,
gibt es die Möglichkeit, bestimmte Clients vom Band Steering auszuschließen bzw. diesen Clients fest vorgeben, in welchem Band sie sich einbuchen "dürfen"?
Ich stelle mir das so vor, dass man die MAC-Adresse in eine Tabelle im AP einträgt, ähnlich der Möglichkeit, Datenverkehr von bestimmten MAC-Adressen zu verweigern etc.
Am Client selbst habe ich leider keine Möglichkeit, zu sagen, dass er nur das 2,4 GHz-Band nutzen soll (konkret geht es um einen Silex SX-DS-3000WAN, an dem ein Multifunktions-Officegerät angeschlossen ist).
Falls es diese Möglichkeit noch nicht gibt, so würde ich mir dies für die kommenden LCOS-Versionen wünschen! Damit ließe sich Datenverkehr von "unwichtigen" Stationen je nach Bedarf wieder verlagern.
Gruß
fildercom.
Bestimmte Clients vom Band Steering ausschließen?
Moderator: Lancom-Systems Moderatoren
Bestimmte Clients vom Band Steering ausschließen?
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Danke!
Auf diese Idee bin ich noch gar nicht gekommen, da Band Steering ja grundsätzlich die identische SSID in beiden Frequenzbereichen voraussetzt, jedoch könnte ich ja zusätzlich eine reine 2,4 GHz SSID definieren per WLC.
Auf diese Idee bin ich noch gar nicht gekommen, da Band Steering ja grundsätzlich die identische SSID in beiden Frequenzbereichen voraussetzt, jedoch könnte ich ja zusätzlich eine reine 2,4 GHz SSID definieren per WLC.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Hallo zusammen,
ich habe nochmals eine ähnlich gelagerte Fragestellung, bei der ich nicht weiterkomme:
Wie kann ich erreichen, dass bestimmte Clients vom Roaming ausgeschlossen werden, das heißt fest von einem einzigen AP versorgt werden?
Ich dachte mir, dass ich ganz einfach unter WLAN-Konfigurationen > Stationen die MAC-Adresse des betreffenden Clients an den APs eintrage, von denen er NICHT bedient werden soll und dementsprechend den Haken setze.
Leider klappt dies jedoch nicht, der Client hat sich gerade zwei Mal bei einem AP eingebucht, indem die MAC-Adresse auf der Liste der Stationen steht, von denen kein Datenverkehr übertragen werden soll.
Der Hintergrund ist der:
Ein Multifunktionsgerät, das über einen Silex USB-WLAN-Device Server angeschlossen ist, soll sich dauerhaft auf dem AP in derselben Etage im 5 GHz-Band einbuchen. Dummerweise ist aber ein AP aus dem Stockwerk drüber im 2,4 GHz-Band ebenfalls etwa gleich gut in Reichweite, so dass der Client munter hin- und her roamt.
Hat jemand eine Idee, wie man das lösen kann? Eine Möglichkeit wäre, eine SSID zu definieren, die nur dem gewünschten AP lebt und den Client darüber zu verbinden, aber ich denke und hoffe, dass das auch noch eleganter zu lösen ist.
Viele Grüße und danke
fildercom.
ich habe nochmals eine ähnlich gelagerte Fragestellung, bei der ich nicht weiterkomme:
Wie kann ich erreichen, dass bestimmte Clients vom Roaming ausgeschlossen werden, das heißt fest von einem einzigen AP versorgt werden?
Ich dachte mir, dass ich ganz einfach unter WLAN-Konfigurationen > Stationen die MAC-Adresse des betreffenden Clients an den APs eintrage, von denen er NICHT bedient werden soll und dementsprechend den Haken setze.
Leider klappt dies jedoch nicht, der Client hat sich gerade zwei Mal bei einem AP eingebucht, indem die MAC-Adresse auf der Liste der Stationen steht, von denen kein Datenverkehr übertragen werden soll.
Der Hintergrund ist der:
Ein Multifunktionsgerät, das über einen Silex USB-WLAN-Device Server angeschlossen ist, soll sich dauerhaft auf dem AP in derselben Etage im 5 GHz-Band einbuchen. Dummerweise ist aber ein AP aus dem Stockwerk drüber im 2,4 GHz-Band ebenfalls etwa gleich gut in Reichweite, so dass der Client munter hin- und her roamt.
Hat jemand eine Idee, wie man das lösen kann? Eine Möglichkeit wäre, eine SSID zu definieren, die nur dem gewünschten AP lebt und den Client darüber zu verbinden, aber ich denke und hoffe, dass das auch noch eleganter zu lösen ist.
Viele Grüße und danke
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Moin,
Ein AP-übergreifendes Steering gibt es aktuell im LCOS nicht. Daran wird zwar gearbeitet, aber wann das kommt, kann ich nicht sagen und es ist auch wahrscheinlich, daß es nur im Controller-Betrieb funktionieren wird. Hart Clients das Einbuchen auf einzelnen APs zu verbieten, ist eine Methode, die nur mit Glück funktioniert, weil viele Clients schlicht keine Historie führen, von welchem AP sie schon einmal abgewiesen wurden und auf diese Weise immer wieder gegen die gleiche Wand rennen (deshalb arbeitet das Steering ja auch anders). Eine separate SSID ist wohl die sicherste Sache...
Gruß Alfred
...er sollte aber sofort wieder herausgeworfen worden sein und nie den Zustand 'verbunden' erreicht haben - sonst stimmt etwas mit dem MAC-Filter nicht, den Du eingerichtet hast. Generell ist es so, das die MAC-Liste erst nach der Assoziierung greift, weil MAC-Adressen auch über RADIUS verwaltet werden können und der AP auf den Association Request eines Clients zeitnah antworten muß.Leider klappt dies jedoch nicht, der Client hat sich gerade zwei Mal bei einem AP eingebucht, indem die MAC-Adresse auf der Liste der Stationen steht, von denen kein Datenverkehr übertragen werden soll.
Ein AP-übergreifendes Steering gibt es aktuell im LCOS nicht. Daran wird zwar gearbeitet, aber wann das kommt, kann ich nicht sagen und es ist auch wahrscheinlich, daß es nur im Controller-Betrieb funktionieren wird. Hart Clients das Einbuchen auf einzelnen APs zu verbieten, ist eine Methode, die nur mit Glück funktioniert, weil viele Clients schlicht keine Historie führen, von welchem AP sie schon einmal abgewiesen wurden und auf diese Weise immer wieder gegen die gleiche Wand rennen (deshalb arbeitet das Steering ja auch anders). Eine separate SSID ist wohl die sicherste Sache...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
der Client wurde leider seitdem nicht mehr rausgeworfen und hängt nach wie vor im AP drin.
Ich habe den MAC-Filter so eingerichtet:
Unter Wireless LAN > Stationen einen Haken bei "Daten von den aufgeführten Stationen ausfiltern, alle anderen Stationen übertragen" gesetzt und anschließend auf "Stationen" geklickt, dort einen neuen Eintrag erstellt, in dem ich nur die MAC-Adresse des Clients eingetragen habe. Alle anderen Felder habe ich im Ursprungszustand belassen.
So sollte es normalerweise funktionieren, also zumindest klappte das früher bei meinen I-Gate 11M (= IL11) immer einwandfrei.
Oder habe ich da etwas übersehen? Wie gesagt, früher hat das auf diese Weise vollkommen ausgereicht.
Mir stellt sich gerade nur die Frage, ob es am Controller-Betrieb liegen kann, dass dadurch die Tabellen der einzelnen APs außer Kraft gesetzt werden? Oder kann das nicht sein? Weil im WLC kann man ja auch eine Stationstabelle mit MAC-Adressen anlegen, nur gilt das dann eben fürs gesamte WLAN-Netz und nicht nur für einzelne APs.
Aber nun einmal zum AP-übergreifenden Band Steering:
Wenn das kommen wird, dann hoffentlich doch auch für die L-32x-Serie sowie die WLC-6-Option für die 1781er und nicht nur für L-45x bzw. L-46x und die "echten" WLCs, oder?
Gruß und danke
fildercom.
der Client wurde leider seitdem nicht mehr rausgeworfen und hängt nach wie vor im AP drin.
Ich habe den MAC-Filter so eingerichtet:
Unter Wireless LAN > Stationen einen Haken bei "Daten von den aufgeführten Stationen ausfiltern, alle anderen Stationen übertragen" gesetzt und anschließend auf "Stationen" geklickt, dort einen neuen Eintrag erstellt, in dem ich nur die MAC-Adresse des Clients eingetragen habe. Alle anderen Felder habe ich im Ursprungszustand belassen.
So sollte es normalerweise funktionieren, also zumindest klappte das früher bei meinen I-Gate 11M (= IL11) immer einwandfrei.
Oder habe ich da etwas übersehen? Wie gesagt, früher hat das auf diese Weise vollkommen ausgereicht.
Mir stellt sich gerade nur die Frage, ob es am Controller-Betrieb liegen kann, dass dadurch die Tabellen der einzelnen APs außer Kraft gesetzt werden? Oder kann das nicht sein? Weil im WLC kann man ja auch eine Stationstabelle mit MAC-Adressen anlegen, nur gilt das dann eben fürs gesamte WLAN-Netz und nicht nur für einzelne APs.
Aber nun einmal zum AP-übergreifenden Band Steering:
Wenn das kommen wird, dann hoffentlich doch auch für die L-32x-Serie sowie die WLC-6-Option für die 1781er und nicht nur für L-45x bzw. L-46x und die "echten" WLCs, oder?
Gruß und danke
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Moin,
wobei Wildcards in dem Ausdruck zugelassen sind. So kann man z.B. eine MAC-Adresse nur auf einer SSID (aber allen APs) zulassen, oder auf nur einem AP.
Generell sind aber Negativlisten über RADIUS immer sehr aufwendig zu pflegen, weil RADIUS in dem Sinne keinen Negativmodus kennt (in der Datenbank sind immer die Benutzerkennung hinterlegt, die erlaubt sind).
Gruß Alfred
Was steht denn im WLAN-Log des APs?der Client wurde leider seitdem nicht mehr rausgeworfen und hängt nach wie vor im AP drin.
Für einen Standalone-AP wäre das so richtig. Sind MAC-Filter eventuell für die SSID ausgeschaltet?Ich habe den MAC-Filter so eingerichtet:
Unter Wireless LAN > Stationen einen Haken bei "Daten von den aufgeführten Stationen ausfiltern, alle anderen Stationen übertragen" gesetzt und anschließend auf "Stationen" geklickt, dort einen neuen Eintrag erstellt, in dem ich nur die MAC-Adresse des Clients eingetragen habe. Alle anderen Felder habe ich im Ursprungszustand belassen.
So sollte es normalerweise funktionieren, also zumindest klappte das früher bei meinen I-Gate 11M (= IL11) immer einwandfrei.
Oder habe ich da etwas übersehen? Wie gesagt, früher hat das auf diese Weise vollkommen ausgereicht.
Wenn auf dem WLC der RADIUS-Server aktiv ist, dann übermittelt sich der WLC als RADIUS-Server zur MAC-Prüfung an die APs, und das schaltet zwangsweise die MAC-Prüfung in den Positivmodus.Mir stellt sich gerade nur die Frage, ob es am Controller-Betrieb liegen kann, dass dadurch die Tabellen der einzelnen APs außer Kraft gesetzt werden?
Korrekt, damit kriegt man einen Client nicht auf einem einzelnen AP freigeschaltet. Was man in so einem Fall aber machen kann, ist die MAC-Adresse auf dem WLC nicht in der WLAN-Stationsliste, sondern in der Benutzertabelle des RADIUS-Servers anzulegen. Da hat man die Möglichkeit, den 'Benutzernamen' (also die MAC-Adresse) noch einmal über die Called-Station-Id einzuschränken. Die hat die FormWeil im WLC kann man ja auch eine Stationstabelle mit MAC-Adressen anlegen, nur gilt das dann eben fürs gesamte WLAN-Netz und nicht nur für einzelne APs.
Code: Alles auswählen
<SSID>:<BSSID>
Generell sind aber Negativlisten über RADIUS immer sehr aufwendig zu pflegen, weil RADIUS in dem Sinne keinen Negativmodus kennt (in der Datenbank sind immer die Benutzerkennung hinterlegt, die erlaubt sind).
Davon gehe ich aus. Das AP-lokale Band-Steering ist für die L-32x ja auch mit der nächsten regulären LCOS-Version (8.80) nachgeliefert worden.Aber nun einmal zum AP-übergreifenden Band Steering:
Wenn das kommen wird, dann hoffentlich doch auch für die L-32x-Serie sowie die WLC-6-Option für die 1781er und nicht nur für L-45x bzw. L-46x und die "echten" WLCs, oder?
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
@ Alf:
Der RADIUS-Server auf dem WLC ist nicht aktiv.
Im Syslog des APs steht folgender Eintrag, dieser erfolgte gestern unmittelbar nachdem ich den MAC-Filter eingeschaltet hatte:
72 25.03.2013 11:50:50 AUTH Hinweis [WLAN-2] Disassociated WLAN station 00:80:92:xx:xx:xx due to non-allowed MAC address
Und heute dann wieder das:
82 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Authenticated WLAN station 00:80:92:xx:xx:xx
83 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Local access check for 00:80:92:xx:xx:xx succeeded
84 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Associated WLAN station 00:80:92:xx:xx:xx
85 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Key handshake with peer 00:80:92:xx:xx:xx successfully completed
86 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Connected WLAN station 00:80:92:xx:xx:xx
87 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Completed handover for WLAN station 00:80:92:xx:xx:xx
88 26.03.2013 10:30:58 AUTH Hinweis [WLAN-1] Determined IPv4 address for station 00:80:92:xx:xx:xx: 192.168.xx.xx
Und dann wieder das:
98 26.03.2013 12:00:20 AUTH Hinweis [WLAN-1] WLAN station 00:80:92:xx:xx:xx roamed away
Und kurze Zeit später wieder das:
101 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Associated WLAN station 00:80:92:xx:xx:xx
102 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Completed handover for WLAN station 00:80:92:xx:xx:xx
103 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Key handshake with peer 00:80:92:xx:xx:xx successfully completed
104 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Connected WLAN station 00:80:92:xx:xx:xx
105 26.03.2013 12:15:53 AUTH Hinweis [WLAN-1] Determined IPv4 address for station 00:80:92:xx:xx:xx: 192.168.xx.xx
Seitdem hängt der Client nun wieder drin.
Irgendwie verstehe ich es überhaupt nicht. Das Seltsame ist, dass er kurz nach dem Einrichten des MAC-Adress-Filters den Client rausgeworfen hat, nun ihn aber wieder einbuchen lässt.
Irgendwas stimmt da nicht, nur was?
EDIT: Kann es sein, dass der MAC-Filter nur auf WLAN-2 greift, nicht aber auf WLAN-1? Bei genauerem Ansehen des Syslog fällt mir auf, dass er beim Rauswerfen auf WLAN-2 war, nun sich aber munter auf WLAN-1 einbuchen kann.
EDIT2:
Nachdem ich nun die MAC nochmals aus der Stationstabelle gelöscht und neu eingetragen habe, hat er ihn wieder rausgeworfen:
123 26.03.2013 16:38:24 AUTH Hinweis [WLAN-1] Disassociated WLAN station 00:80:92:xx:xx:xx due to non-allowed MAC address
Gruß
fildercom.
Der RADIUS-Server auf dem WLC ist nicht aktiv.
Im Syslog des APs steht folgender Eintrag, dieser erfolgte gestern unmittelbar nachdem ich den MAC-Filter eingeschaltet hatte:
72 25.03.2013 11:50:50 AUTH Hinweis [WLAN-2] Disassociated WLAN station 00:80:92:xx:xx:xx due to non-allowed MAC address
Und heute dann wieder das:
82 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Authenticated WLAN station 00:80:92:xx:xx:xx
83 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Local access check for 00:80:92:xx:xx:xx succeeded
84 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Associated WLAN station 00:80:92:xx:xx:xx
85 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Key handshake with peer 00:80:92:xx:xx:xx successfully completed
86 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Connected WLAN station 00:80:92:xx:xx:xx
87 26.03.2013 10:30:57 AUTH Hinweis [WLAN-1] Completed handover for WLAN station 00:80:92:xx:xx:xx
88 26.03.2013 10:30:58 AUTH Hinweis [WLAN-1] Determined IPv4 address for station 00:80:92:xx:xx:xx: 192.168.xx.xx
Und dann wieder das:
98 26.03.2013 12:00:20 AUTH Hinweis [WLAN-1] WLAN station 00:80:92:xx:xx:xx roamed away
Und kurze Zeit später wieder das:
101 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Associated WLAN station 00:80:92:xx:xx:xx
102 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Completed handover for WLAN station 00:80:92:xx:xx:xx
103 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Key handshake with peer 00:80:92:xx:xx:xx successfully completed
104 26.03.2013 12:15:52 AUTH Hinweis [WLAN-1] Connected WLAN station 00:80:92:xx:xx:xx
105 26.03.2013 12:15:53 AUTH Hinweis [WLAN-1] Determined IPv4 address for station 00:80:92:xx:xx:xx: 192.168.xx.xx
Seitdem hängt der Client nun wieder drin.
Irgendwie verstehe ich es überhaupt nicht. Das Seltsame ist, dass er kurz nach dem Einrichten des MAC-Adress-Filters den Client rausgeworfen hat, nun ihn aber wieder einbuchen lässt.
Irgendwas stimmt da nicht, nur was?
EDIT: Kann es sein, dass der MAC-Filter nur auf WLAN-2 greift, nicht aber auf WLAN-1? Bei genauerem Ansehen des Syslog fällt mir auf, dass er beim Rauswerfen auf WLAN-2 war, nun sich aber munter auf WLAN-1 einbuchen kann.
EDIT2:
Nachdem ich nun die MAC nochmals aus der Stationstabelle gelöscht und neu eingetragen habe, hat er ihn wieder rausgeworfen:
123 26.03.2013 16:38:24 AUTH Hinweis [WLAN-1] Disassociated WLAN station 00:80:92:xx:xx:xx due to non-allowed MAC address
Gruß
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Moin,
sieht komisch aus, so als ob der (negative) MAC-Filter nicht beim Einbuchen des Clients greifen würde, nur in dem Moment, wenn eine Adresse hinzugefügt wird. Negative MAC-Filter sind allerdings per se schon recht exotisch, und in Verbindung mit gemanagtem Betrieb bist Du vermutlich der erste, der das probiert...ich habe selber keinen WLC hier, von daher komme ich erst nach Ostern dazu, mir das anzusehen.
Gruß Alfred
sieht komisch aus, so als ob der (negative) MAC-Filter nicht beim Einbuchen des Clients greifen würde, nur in dem Moment, wenn eine Adresse hinzugefügt wird. Negative MAC-Filter sind allerdings per se schon recht exotisch, und in Verbindung mit gemanagtem Betrieb bist Du vermutlich der erste, der das probiert...ich habe selber keinen WLC hier, von daher komme ich erst nach Ostern dazu, mir das anzusehen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Hallo Alfred,
vielen Dank für die Hilfe erst mal. Es wäre toll, wenn du das Problem vielleicht mal näher analysieren könntest. Eventuell ließe sich das ja vielleicht mit einem RU vom LCOS fixen, das wäre natürlich optimal!
Viele Grüße und nochmals danke
fildercom.
vielen Dank für die Hilfe erst mal. Es wäre toll, wenn du das Problem vielleicht mal näher analysieren könntest. Eventuell ließe sich das ja vielleicht mit einem RU vom LCOS fixen, das wäre natürlich optimal!
Viele Grüße und nochmals danke
fildercom.
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1781VA (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
das Thema liegt mir auch schon ewig auf dem Herzen. Deshalb gleich noch ein Wunsch von mir zum MAC-Filter:
Wäre es nicht möglich, den MAC-Filter derart aufzubauen, dass man nicht global den gesamten Filter als "erlaubt" oder "verboten" kennzeichnet, sondern jeder MAC-Adresse den Status einzeln geben kann???
Hintergrund: Ich habe als WLAN-ISP immer wieder Kunden, die ich bei Zahlungsverzug aus dem WLAN aussperre, bis das Geld kommt. Derzeit praktiziere ich das derart, dass ich dann die MAC im Filter eben in der Führenden Ziffer abändere, so dass eine Verbindung abgewiesen wird, wenn der globale Schalter auf "zulassen" steht.
Da wäre es viel praktikabler, wenn man entsprechende MAC's einfach einzeln entsprechend kennzeichnen könnte.
Wenn du dir den MAC-Filter sowieso mal genauer anssiehst, könntest du das vielleicht bitte "mal nebenbei" mit einbauen
Viele Grüße - und gesegnete Ostern!
Stefan
das Thema liegt mir auch schon ewig auf dem Herzen. Deshalb gleich noch ein Wunsch von mir zum MAC-Filter:
Wäre es nicht möglich, den MAC-Filter derart aufzubauen, dass man nicht global den gesamten Filter als "erlaubt" oder "verboten" kennzeichnet, sondern jeder MAC-Adresse den Status einzeln geben kann???
Hintergrund: Ich habe als WLAN-ISP immer wieder Kunden, die ich bei Zahlungsverzug aus dem WLAN aussperre, bis das Geld kommt. Derzeit praktiziere ich das derart, dass ich dann die MAC im Filter eben in der Führenden Ziffer abändere, so dass eine Verbindung abgewiesen wird, wenn der globale Schalter auf "zulassen" steht.
Da wäre es viel praktikabler, wenn man entsprechende MAC's einfach einzeln entsprechend kennzeichnen könnte.
Wenn du dir den MAC-Filter sowieso mal genauer anssiehst, könntest du das vielleicht bitte "mal nebenbei" mit einbauen
Viele Grüße - und gesegnete Ostern!
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
Mir ist nicht ganz klar, wie das funktionieren soll. Wenn eine MAC-Adresse weder als 'erlaubt' noch als 'verboten' in der Liste steht, was soll das Gerät dann tun? Wenn es darum geht, einzelne Clients temporär zu sperren, würde ich es intuitiver finden, die Einträge mit einem 'aktiv'-Flag zu versehen.
Den Negativmodus würde man auf diese Weise aber wohl nicht loswerden (obwohl ich ihn liebend gerne entsorgen würde...).
Grüße & ebenso ein schönes Osterfest
Alfred
Mir ist nicht ganz klar, wie das funktionieren soll. Wenn eine MAC-Adresse weder als 'erlaubt' noch als 'verboten' in der Liste steht, was soll das Gerät dann tun? Wenn es darum geht, einzelne Clients temporär zu sperren, würde ich es intuitiver finden, die Einträge mit einem 'aktiv'-Flag zu versehen.
Den Negativmodus würde man auf diese Weise aber wohl nicht loswerden (obwohl ich ihn liebend gerne entsorgen würde...).
Grüße & ebenso ein schönes Osterfest
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Guten Morgen Alfred,
Der "Aktiv"-Schalter würde ja im Prinzip auch gehen.
Wenn wir schon bei dem Thema sind: Es wäre auch super, wenn man in dieser Tabelle dann noch eine Zuordnung treffen könnte, dass bestimmte MAC's der Lise dann auch wieder nur in bestimmten SSID's zugelassen / verboten sind
Das wird dann natürlich noch etwas komplexer...
Hintergrund zu diesem Wunsch: Ich nutze regelmäßig für unterschiedliche SSID's auch unterschiedliche Netze / IP's. Somit könnte ich trotz einem Stations-Eintrag in der MAC-Tabelle auch noch steuern, mit welchen SSID's sich der Client verbinden darf oder eben nicht. Das geht ja derzeit gar nicht - oder?
Oder man müsste pro SSID unterschiedliche MAC-Tabellen und / oder Radius-Server-Zuordnungen definieren können.
Viele Grüße
Stefan
Na ganz einfach: Gar nichts! Solche Einträge könnten dann eben einfach ignoriert werden.Mir ist nicht ganz klar, wie das funktionieren soll. Wenn eine MAC-Adresse weder als 'erlaubt' noch als 'verboten' in der Liste steht, was soll das Gerät dann tun?
Der "Aktiv"-Schalter würde ja im Prinzip auch gehen.
Wenn wir schon bei dem Thema sind: Es wäre auch super, wenn man in dieser Tabelle dann noch eine Zuordnung treffen könnte, dass bestimmte MAC's der Lise dann auch wieder nur in bestimmten SSID's zugelassen / verboten sind
Das wird dann natürlich noch etwas komplexer...
Hintergrund zu diesem Wunsch: Ich nutze regelmäßig für unterschiedliche SSID's auch unterschiedliche Netze / IP's. Somit könnte ich trotz einem Stations-Eintrag in der MAC-Tabelle auch noch steuern, mit welchen SSID's sich der Client verbinden darf oder eben nicht. Das geht ja derzeit gar nicht - oder?
Oder man müsste pro SSID unterschiedliche MAC-Tabellen und / oder Radius-Server-Zuordnungen definieren können.
Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Moin,
Sofern in so einem Fall der Anmeldeversuch abgelehnt werden soll, wäre es - finde ich - eine intuitivere Lösung, den Schalter 'Eintrag aktivieren/deaktivieren' zu nennen. Mit einer Positivliste hättest Du mehr oder weniger das, was Du jetzt machst, und bei einer Negativliste könnte man einzelne Adressen eben temporär doch wieder zu lassen.
Der Kniff liegt darin, daß es in der RADIUS-Benutzertabelle eine Spalte 'Called-Station-Id-Mask) gibt, und der jeweilige Eintrag in der Benutzertabelle findet nur Anwendung, wenn das vom RADIUS-Client übermittelte Called-Station-Id-Attribut aus den dort hinterlegten Wildcard-Ausdruck paßt (eine leere Called-Station-Id-Mask gilt als '*', matcht also immer). Das Format der Called-Station-Id hatte ich weiter oben schonmal angesprochen, genau kann man es in RFC3580 Abschnitt 3.20 nachlesen.
Mit dieser Called-Station-Id-Mask kannst Du es erreichen, daß eine MAC-Adresse nur auf einer bestimmten SSID zugelassen wird, und das die Called-Station-Id-Mask eine Index-Spalte ist, kann man sogar mehrere Einträge für die gleiche Benutzerkennung bzw. MAC-Adresse auf verschiedenen SSIDs anlegen, z.B. für unterschiedliche Bandbreitenlimits.
Noch was am Rande, bevor jemand draufläuft: Da für die RADIUS-Kommunikation 'mit sich selbst' ein beim Start ausgewürfeltes, zufälliges shared secret verwendet wird, muß man den Punkt 'Password-Source' unter Setup/WLAN/RADIUS-Access-Check' auf 'Mac-Address' umstellen. Will man dann z.B. einen Eintrag für die MAC-Adresse 00-a0-57-11-22-33 in der RADIUS-Benutzertabelle machen, so setzt man sowohl für Benutzernamen als auch Paßwort 00a057-112233 ein.
Gruß Alfred
Wie soll man einen Eintrag ignorieren, der gar nicht da ist? Ich hatte Deinen Vorschlag so verstanden, daß an jeden Eintrag in der MAC-Liste ein Schalter 'erlaubt/verboten' gehängt wird. Wenn jetzt ein Anmeldeversuch von einer MAC-Adresse kommt, die gar nicht hinterlegt ist, was soll das Gerät tun? Diese Adresse ist ja weder verboten noch erlaubt worden, also könnte das Gerät eine Münze werfen und...OK, ich hör ja schon aufNa ganz einfach: Gar nichts! Solche Einträge könnten dann eben einfach ignoriert werden.
Sofern in so einem Fall der Anmeldeversuch abgelehnt werden soll, wäre es - finde ich - eine intuitivere Lösung, den Schalter 'Eintrag aktivieren/deaktivieren' zu nennen. Mit einer Positivliste hättest Du mehr oder weniger das, was Du jetzt machst, und bei einer Negativliste könnte man einzelne Adressen eben temporär doch wieder zu lassen.Im Prinzip geht das jetzt schon, die Lösung ist nur nicht ganz so offensichtlich. Der Weg ist, anstelle der MAC-Liste im WLAN(-Management) die Benutzertabelle im RADIUS-Server zu verwenden. Auf einem einzelnen AP trägt man dazu die 127.0.0.1 als Server-Adresse ein, das Secret darf leer bleiben.Wenn wir schon bei dem Thema sind: Es wäre auch super, wenn man in dieser Tabelle dann noch eine Zuordnung treffen könnte, dass bestimmte MAC's der Lise dann auch wieder nur in bestimmten SSID's zugelassen / verboten sind Smile
Das wird dann natürlich noch etwas komplexer...
Der Kniff liegt darin, daß es in der RADIUS-Benutzertabelle eine Spalte 'Called-Station-Id-Mask) gibt, und der jeweilige Eintrag in der Benutzertabelle findet nur Anwendung, wenn das vom RADIUS-Client übermittelte Called-Station-Id-Attribut aus den dort hinterlegten Wildcard-Ausdruck paßt (eine leere Called-Station-Id-Mask gilt als '*', matcht also immer). Das Format der Called-Station-Id hatte ich weiter oben schonmal angesprochen, genau kann man es in RFC3580 Abschnitt 3.20 nachlesen.
Mit dieser Called-Station-Id-Mask kannst Du es erreichen, daß eine MAC-Adresse nur auf einer bestimmten SSID zugelassen wird, und das die Called-Station-Id-Mask eine Index-Spalte ist, kann man sogar mehrere Einträge für die gleiche Benutzerkennung bzw. MAC-Adresse auf verschiedenen SSIDs anlegen, z.B. für unterschiedliche Bandbreitenlimits.
Noch was am Rande, bevor jemand draufläuft: Da für die RADIUS-Kommunikation 'mit sich selbst' ein beim Start ausgewürfeltes, zufälliges shared secret verwendet wird, muß man den Punkt 'Password-Source' unter Setup/WLAN/RADIUS-Access-Check' auf 'Mac-Address' umstellen. Will man dann z.B. einen Eintrag für die MAC-Adresse 00-a0-57-11-22-33 in der RADIUS-Benutzertabelle machen, so setzt man sowohl für Benutzernamen als auch Paßwort 00a057-112233 ein.
Gruß Alfred
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Alfred,
Da es ja jetzt auch in den normalen Routern endlich den RADIUS-Server gibt, wollte ich mich sowieso mal damit intensiver beschäftigen und diesen im L-7100 aktivieren. Dann werde ich das gleich mal lt. deinen Hinweisen so testen. Ist natürlich etwas umständlicher - aber doch eine logische Lösung. Insbesondere für zentrale RADIUS-Server (hoffentlich) umsetzbar.
Vielen Dank
Stefan
Cool! Das war mir so nicht bekannt.Im Prinzip geht das jetzt schon, die Lösung ist nur nicht ganz so offensichtlich. ...
Da es ja jetzt auch in den normalen Routern endlich den RADIUS-Server gibt, wollte ich mich sowieso mal damit intensiver beschäftigen und diesen im L-7100 aktivieren. Dann werde ich das gleich mal lt. deinen Hinweisen so testen. Ist natürlich etwas umständlicher - aber doch eine logische Lösung. Insbesondere für zentrale RADIUS-Server (hoffentlich) umsetzbar.
Vielen Dank
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN