Beginnen Sie eine neue Diskussion

Beginnen Sie eine neue Diskussion

Antworten

GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)

Schnitzelprinz
Tutor
Tutor
‎2021-05-01 08:37 AM
‎2021-05-01 08:37 AM

GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)

Hallo zusammen,

 

ich betreibe einen Netgear GS110TPv3 mit SW Version 7.0.6.2. Ist die MAC Adressprüfung ("802.1X) auf einem betroffenen Switchport deaktiviert, funktioniert wake on lan.

Wird die MAC Adressprüfung aktiviert, kann ein Client nicht mehr aufgeweckt worden.

1. Vermutung: Die Vlan ID ist unterschiedlich im ausgeschalteten Zustand zu der im eingeschaltetem und authentisierten "Zustand".

 

Sofern z.B. ein Notebook von Hand eingeschaltet wird, funktioniert auch die MAC Adressprüfung via RADIUS-Server. Der Client bekommt via dynamischer Vlan-Zuweisung das Vlan 1 zugewiesen (Default).

Der Switchport ist im nicht authentifizierten Zustand ebenfalls im Vlan 1 (Default-config des Netgear = 0). Demzufolge sollte sowohl das abgeschaltete, als auch eingeschaltete Endgerät im Vlan 1 sein. Es spräche somit nichts dagegen, den Client aufwecken zu können.

Es funktioniert jedoch nicht.

 

Setup: Sicherheit - Portauthentifizierung - 802.1X

 

Portbasierter Authentifizierungsstatus: Aktivieren

VLAN-Zuweisungsmodus: Aktivieren

Dynamischer VLAN-Erstellungsmodus: Aktivieren

EAPPOL-Flood-Modus: Deaktivieren

 

Switchportconfig mit deaktiverter MAC Prüfung:

Portsteuerung = Authorisiert

MAB= Deaktivieren

Nicht authentifizierte VLAN-ID = 1

(Zugewiesene Vlan ID via RADIUS = 1)

 

 

Ergebnis: WOL funktioniert

 

Switchportconfig mit aktiverter MAC Prüfung:

Portsteuerung = MAC-basiert

MAB= Aktivieren

Nicht authentifizierte VLAN-ID = 1

(Zugewiesene Vlan ID via RADIUS = 1)

 

Ergebnis: WOL funktioniert NICHT. Warum ?

 

2. Vermutung: Ich würde normalerweise davon ausgehen, dass Frames vom Switch zum Client (Outbound) vor der Authentisierung nicht geblockt werden, sondern nur die Frames vom aufzuweckenden Endgerät Richtung Switch (Inbound).

Ich finde keine Einstellmöglichkeit am Switchport zwischen eingehenden oder ausgehenden oder ein- und ausgehenden Frames zu unterscheiden.

 

Lässt sich das Problem an diesem Netgear Switch überhaupt lösen ? Haben größere Business Switch mehr Optionen ?

 

Vielen Dank für Eure Hilfe.

 

 

Model: GS110TPv2|ProSafe 8 ports gigabit PoE smarta switch
Nachricht 1 von 3
0 Kudos
Antworten

Akzeptierte Lösungen
IoannisDM
NETGEAR Employee Retired
‎2021-05-05 06:36 AM
‎2021-05-05 06:36 AM

Re: GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)

Hallo @Schnitzelprinz,

 

dieses Verhalten zu erwarten, Smart Switches haven nur eine Standardeinstellung, durch welche beide "Richtungen" blockiert werden. Dies ist eine Limitation der Smart Switches.

 

Mit freundlichen Grüßen,

Ioannis

NETGEAR Team 

Lösung in ursprünglichem Beitrag anzeigen

Nachricht 2 von 3
Antworten

Alle Antworten
IoannisDM
NETGEAR Employee Retired
‎2021-05-05 06:36 AM
‎2021-05-05 06:36 AM

Re: GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)

Hallo @Schnitzelprinz,

 

dieses Verhalten zu erwarten, Smart Switches haven nur eine Standardeinstellung, durch welche beide "Richtungen" blockiert werden. Dies ist eine Limitation der Smart Switches.

 

Mit freundlichen Grüßen,

Ioannis

NETGEAR Team 

Nachricht 2 von 3
Antworten
Schnitzelprinz
Tutor
Tutor
‎2021-05-05 01:04 PM
‎2021-05-05 01:04 PM

Re: GS110TPv3 WOL in Verbindung mit 802.1x (mac authentication bypass)

Hallo Ioannis

 

gemäß dem gezogenen Sniffertrace auf der Clientseite wurden Multicasts mit Dest IP 239.255.255.250 durchgelassen, Broadcasts des lokalen Subnets bis zur erfolgreichen Authentisierung nicht, was dann zu dem Fehler führen muss. Entweder ist das Durchlassen des L3 Multicasts ein Bug, weil Broadcasts ja auch nicht durchgelassen werden, oder das Blocken der Broadcasts ist etwas zu restriktiv....

 

Gruß

Schnitzelprinz

Nachricht 3 von 3
0 Kudos
Antworten
Autoren, für die die meisten Kudos vergeben wurden
Alle anzeigen
Diskussionsstatistiken
  • 2 Antworten
  • am ‎2021-05-01 08:37 AM
  • 1848 Aufrufe
  • 1 Kudo
  • 2 in Unterhaltung