NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
Solved
GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)
Hallo zusammen,
ich betreibe einen Netgear GS110TPv3 mit SW Version 7.0.6.2. Ist die MAC Adressprüfung ("802.1X) auf einem betroffenen Switchport deaktiviert, funktioniert wake on lan.
Wird die MAC Adressprüfung aktiviert, kann ein Client nicht mehr aufgeweckt worden.
1. Vermutung: Die Vlan ID ist unterschiedlich im ausgeschalteten Zustand zu der im eingeschaltetem und authentisierten "Zustand".
Sofern z.B. ein Notebook von Hand eingeschaltet wird, funktioniert auch die MAC Adressprüfung via RADIUS-Server. Der Client bekommt via dynamischer Vlan-Zuweisung das Vlan 1 zugewiesen (Default).
Der Switchport ist im nicht authentifizierten Zustand ebenfalls im Vlan 1 (Default-config des Netgear = 0). Demzufolge sollte sowohl das abgeschaltete, als auch eingeschaltete Endgerät im Vlan 1 sein. Es spräche somit nichts dagegen, den Client aufwecken zu können.
Es funktioniert jedoch nicht.
Setup: Sicherheit - Portauthentifizierung - 802.1X
Portbasierter Authentifizierungsstatus: Aktivieren
VLAN-Zuweisungsmodus: Aktivieren
Dynamischer VLAN-Erstellungsmodus: Aktivieren
EAPPOL-Flood-Modus: Deaktivieren
Switchportconfig mit deaktiverter MAC Prüfung:
Portsteuerung = Authorisiert
MAB= Deaktivieren
Nicht authentifizierte VLAN-ID = 1
(Zugewiesene Vlan ID via RADIUS = 1)
Ergebnis: WOL funktioniert
Switchportconfig mit aktiverter MAC Prüfung:
Portsteuerung = MAC-basiert
MAB= Aktivieren
Nicht authentifizierte VLAN-ID = 1
(Zugewiesene Vlan ID via RADIUS = 1)
Ergebnis: WOL funktioniert NICHT. Warum ?
2. Vermutung: Ich würde normalerweise davon ausgehen, dass Frames vom Switch zum Client (Outbound) vor der Authentisierung nicht geblockt werden, sondern nur die Frames vom aufzuweckenden Endgerät Richtung Switch (Inbound).
Ich finde keine Einstellmöglichkeit am Switchport zwischen eingehenden oder ausgehenden oder ein- und ausgehenden Frames zu unterscheiden.
Lässt sich das Problem an diesem Netgear Switch überhaupt lösen ? Haben größere Business Switch mehr Optionen ?
Vielen Dank für Eure Hilfe.
Hallo Schnitzelprinz,
dieses Verhalten zu erwarten, Smart Switches haven nur eine Standardeinstellung, durch welche beide "Richtungen" blockiert werden. Dies ist eine Limitation der Smart Switches.
Mit freundlichen Grüßen,
Ioannis
NETGEAR Team
2 Replies
Hallo Schnitzelprinz,
dieses Verhalten zu erwarten, Smart Switches haven nur eine Standardeinstellung, durch welche beide "Richtungen" blockiert werden. Dies ist eine Limitation der Smart Switches.
Mit freundlichen Grüßen,
Ioannis
NETGEAR Team
Hallo Ioannis
gemäß dem gezogenen Sniffertrace auf der Clientseite wurden Multicasts mit Dest IP 239.255.255.250 durchgelassen, Broadcasts des lokalen Subnets bis zur erfolgreichen Authentisierung nicht, was dann zu dem Fehler führen muss. Entweder ist das Durchlassen des L3 Multicasts ein Bug, weil Broadcasts ja auch nicht durchgelassen werden, oder das Blocken der Broadcasts ist etwas zu restriktiv....
Gruß
Schnitzelprinz
NETGEAR Academy
Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!
Machen Sie mit!
ProSupport for Business
Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit