- RSS-Feed abonnieren
- Thema als neu kennzeichnen
- Thema als gelesen kennzeichnen
- Diesen Thema für aktuellen Benutzer floaten
- Lesezeichen
- Abonnieren
- Drucker-Anzeigeseite
GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Hallo zusammen,
ich betreibe einen Netgear GS110TPv3 mit SW Version 7.0.6.2. Ist die MAC Adressprüfung ("802.1X) auf einem betroffenen Switchport deaktiviert, funktioniert wake on lan.
Wird die MAC Adressprüfung aktiviert, kann ein Client nicht mehr aufgeweckt worden.
1. Vermutung: Die Vlan ID ist unterschiedlich im ausgeschalteten Zustand zu der im eingeschaltetem und authentisierten "Zustand".
Sofern z.B. ein Notebook von Hand eingeschaltet wird, funktioniert auch die MAC Adressprüfung via RADIUS-Server. Der Client bekommt via dynamischer Vlan-Zuweisung das Vlan 1 zugewiesen (Default).
Der Switchport ist im nicht authentifizierten Zustand ebenfalls im Vlan 1 (Default-config des Netgear = 0). Demzufolge sollte sowohl das abgeschaltete, als auch eingeschaltete Endgerät im Vlan 1 sein. Es spräche somit nichts dagegen, den Client aufwecken zu können.
Es funktioniert jedoch nicht.
Setup: Sicherheit - Portauthentifizierung - 802.1X
Portbasierter Authentifizierungsstatus: Aktivieren
VLAN-Zuweisungsmodus: Aktivieren
Dynamischer VLAN-Erstellungsmodus: Aktivieren
EAPPOL-Flood-Modus: Deaktivieren
Switchportconfig mit deaktiverter MAC Prüfung:
Portsteuerung = Authorisiert
MAB= Deaktivieren
Nicht authentifizierte VLAN-ID = 1
(Zugewiesene Vlan ID via RADIUS = 1)
Ergebnis: WOL funktioniert
Switchportconfig mit aktiverter MAC Prüfung:
Portsteuerung = MAC-basiert
MAB= Aktivieren
Nicht authentifizierte VLAN-ID = 1
(Zugewiesene Vlan ID via RADIUS = 1)
Ergebnis: WOL funktioniert NICHT. Warum ?
2. Vermutung: Ich würde normalerweise davon ausgehen, dass Frames vom Switch zum Client (Outbound) vor der Authentisierung nicht geblockt werden, sondern nur die Frames vom aufzuweckenden Endgerät Richtung Switch (Inbound).
Ich finde keine Einstellmöglichkeit am Switchport zwischen eingehenden oder ausgehenden oder ein- und ausgehenden Frames zu unterscheiden.
Lässt sich das Problem an diesem Netgear Switch überhaupt lösen ? Haben größere Business Switch mehr Optionen ?
Vielen Dank für Eure Hilfe.
Gelöst! Gehe zu Lösung.
Akzeptierte Lösungen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Hallo @Schnitzelprinz,
dieses Verhalten zu erwarten, Smart Switches haven nur eine Standardeinstellung, durch welche beide "Richtungen" blockiert werden. Dies ist eine Limitation der Smart Switches.
Mit freundlichen Grüßen,
Ioannis
NETGEAR Team
Alle Antworten
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Hallo @Schnitzelprinz,
dieses Verhalten zu erwarten, Smart Switches haven nur eine Standardeinstellung, durch welche beide "Richtungen" blockiert werden. Dies ist eine Limitation der Smart Switches.
Mit freundlichen Grüßen,
Ioannis
NETGEAR Team
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Re: GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)
Hallo Ioannis
gemäß dem gezogenen Sniffertrace auf der Clientseite wurden Multicasts mit Dest IP 239.255.255.250 durchgelassen, Broadcasts des lokalen Subnets bis zur erfolgreichen Authentisierung nicht, was dann zu dem Fehler führen muss. Entweder ist das Durchlassen des L3 Multicasts ein Bug, weil Broadcasts ja auch nicht durchgelassen werden, oder das Blocken der Broadcasts ist etwas zu restriktiv....
Gruß
Schnitzelprinz