(solved) MAC Auth mit Unifi APs und freeradius auf der pfSense
-
@jegr said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
Schließe ich mich gern an zu helfen, ich hab das hier ja auch laufen :)
Selbst Jim Pingle hat es so laufen.
-
@mike69 Nur aus Neugierde, was genau soll hier vereinfacht werden? Hab es immer noch nicht geschnallt, trotz mehrmaligem Lesen.
-
-
@mike69 Ich meinte bei Dir damals. Unterschiedliche Netze (und SSIDs) sind doch vermutlich kein Problem, aber wozu Radius usw.
-
@bob-dig said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
@mike69 Ich meinte bei Dir damals. Unterschiedliche Netze und SSIDs sind doch kein Problem, aber wozu Radius usw.
Ach so. :)
Hatte 3 WLAN aufgespannt, wollte es auf ein WLAN reduzieren. Sind dann 2 geworden, Weil man WPA Enterprise und WPA2 nicht kombinieren kann.
-
@mike69 Und MAC Auth bedeutet, dass ich mehrere VLANs haben kann unter einer SSID?
-
@bob-dig said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
@mike69 Und MAC Auth bedeutet, dass ich mehrere VLANs haben kann unter einer SSID?
Jo, genau das.
@Bob-Dig
Hast Du dein Post geändert gehabt? -
@mike69 said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
Hast Du dein Post geändert gehabt?
Jupp, da fehlte ein "kein".
-
@bob-dig said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
@mike69 Und MAC Auth bedeutet, dass ich mehrere VLANs haben kann unter einer SSID?
Primär nicht, das heißt erstmal nur, dass der User an Hand der MAC identifiziert und konfiguriert werden kann (am Switch) oder sich via MAC (vom AP) dann am Radius anmeldet. Die mehreren VLANs ergeben sich schlicht daraus, dass Radius eben noch als Attribut diverse Sachen mit an Switche oder APs weitergeben kann, wie eben ein VLAN Tag, Loginzeiten, gewünschte IP Adressen (geht nicht an Switche aber an OpenVPN bspw.) etc.
Es hängt dann vom Setup und den Geräten ab, was alles von Radius akzeptiert wird als Schalter.Wären nicht einige Geräte so runtergedummt dass sie mit WPA2-Enterprise nicht klarkommen sondern nur TKIP o.ä. verstehen, könnte man auf multiSSIDs komplett verzichten. Zusatznutzen: jeder meldet sich mit User/PW an statt mit einem PSK der nach ein paar Tagen eh überall bekannt ist und den sich jeder irgendwo gegenseitig zuschiebt oder der von irgendwelchen Tools (Google/Amazon ich schaue euch an!) in die Cloud geballert wird, damit mans "einfacher" hat beim Neueinrichten ;)
Zudem kann man dann im Fehlerfall auch mal schnell ein Gerät in ein anderes VLAN umhängen und einfach neu connecten - zack ist er im anderen Netz ohne am WLAN was ändern zu müssen. Haken aktuell eher daran ist, dass die Zertifikate jetzt gültig und prüfbar sein müssen. Seit Android 12 und iOS xy meckern die Geräte jetzt rum, wenn der Radius Server kein valides Zert hat. Android ist da noch recht einfach, dem muss man nur die CA unterjubeln, dann ist alles fein. Aber nervt eben etwas. Die Intention für große Netze ist verständlich, für zu Hause doof, denn ich kann selbst prüfen, ob mein Zert noch mein Zert ist
Cheers :)
-
Interfaces
Interface IP =*Hier habe ich jetzt die Gateway IP des ersten vLANs eingetragen und damit den Wildcard entfernt.
Unter NAS/Client die APs eintragen mit IP und Key.
Ist bereits mit IP und Key eingetragenUnter EAP
Use Tunnel replay wurde aktiviertVLANs und die dazugehörigen Interfaces
Diese sind bereits auf der Sense und meinem Managed PoE Switch alle eingetragen und laufen mit WPA2-Personal auch über den UniFi AP.In deinem WLAN mit WPA Enterprise das erstellte Radius Profil auswählen
Auch hier eine SSID zum Test angelegt und auf das existente Gäste WLAN gebunden und das erstellte Radius Profil ausgewählt.Die APs haben ein eigenes Subnet.
Auch bei mir haben die APs und der WLAN-Controller und Switche ein eigenes Subnetz.Damit müsste die Voraussetzung für ein MusicCast System das reine MAC-Auth umsetzen soll kein Problem sein.... Ich melde mich nach dem Wochenende mit dem aktuellen Stand meines weiterkommens.
Gruß
Andy -
@andyger said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
...
Unter NAS/Client die APs eintragen mit IP und Key.
Ist bereits mit IP und Key eingetragen
...
VLANs und die dazugehörigen Interfaces
Diese sind bereits auf der Sense und meinem Managed PoE Switch alle eingetragen und laufen mit WPA2-Personal auch über den UniFi AP.
...Die APs haben ein eigenes Subnet.
Auch bei mir haben die APs und der WLAN-Controller und Switche ein eigenes Subnetz.
...Daher die Frage, wie weit Du bist, hätte mir bissl Tipperei sparen können.
@jegr said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
Wären nicht einige Geräte so runtergedummt dass sie mit WPA2-Enterprise nicht klarkommen sondern nur TKIP o.ä. verstehen, könnte man auf multiSSIDs komplett verzichten.
Ja, das wäre was.:)
@AndyGER
Bin gespannt auf die Resultate.
Dein MusicCast bleibt aber im gleichen Subnet, oder? Netzübergreifend funzt das nicht. -
@mike69
Verzeichne heute mein erstes "Erfolgserlebnis"
Ein Testgerät mit Android hat sich ohne Passwort in mein Gäste WLAN eingebunden und hat die im DHCP fixe IP Adresse erhalten. Geräte, deren MAC ich nicht im RADIUS hinterlegt habe kommen nicht in das Netz rein.Was jetzt das I-Tüpfelchen noch wäre
Das ich auf Basis der im FreeRadius konfigurierten VID das Gerät auch gleich in das vLAN packen lassen und hier nicht anderweitig "fummlige" Parameter brauche.
wenn es diese Möglichkeit gibt auf MAC Auth Basis, wäre es super wenn ich einen Tip bekommen könnte, wo ich das ncoh eintragen kann - oder es nicht bei einem Gäste Hotsppot gehtGruß
Andy -
@andyger said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
Das ich auf Basis der im FreeRadius konfigurierten VID das Gerät auch gleich in das vLAN packen lassen und hier nicht anderweitig "fummlige" Parameter brauche.
Wie hast du die Geräte denn im Radius angelegt?
-
@jegr
Aktuell habe ich einen reine MAC-basierte Authentication auf der neuen SSID in Betrieb (die WLAN Sourround Anlage soll da rein). Als nächstes Dann die anderen WLANs aber mit Zertifikatbasierter Authentifizierung.Ich muss das dann alles einmal zusammen schreiben, sonst ist das schnell wieder weg
Gruß
Andy -
@andyger said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
@jegr
Aktuell habe ich einen reine MAC-basierte Authentication auf der neuen SSID in Betrieb (die WLAN Sourround Anlage soll da rein). Als nächstes Dann die anderen WLANs aber mit Zertifikatbasierter Authentifizierung.Ich muss das dann alles einmal zusammen schreiben, sonst ist das schnell wieder weg
Gruß
AndyGlaube, Jens wollte was anderes erfragen.
@andyger said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
Was jetzt das I-Tüpfelchen noch wäre
Das ich auf Basis der im FreeRadius konfigurierten VID das Gerät auch gleich in das vLAN packen lassen und hier nicht anderweitig "fummlige" Parameter brauche.Wenn die erstellten User eine VLAN ID hinterlegt haben, rutschen sie, wenn alles sauber getaggt ist, in ihr Netzwerk rein.
Unter "FreeRADIUS/MACs" wird nichts eingetragen, das läuft alles über den Reiter "FreeRADIUS/Users".
Und wir reden über die Kette: pfSense -> Switch -> Unifi APs, richtig? Dann sollte alles so passen.
-
@jegr
Hallo Jens,
wie habe ich die Geräte konfiguriert ? jetzt landen die Alle in dem gewünschten vLAN, das an dem APs anliegen. Die folgenden Punkte setzen eine saubere und umgesetzte Kommunikation zwischen dem AP und dem Radius voraus.Reiter "Users"
- Legen einen neuen Benutzer an und trage in die Felder Benutzer & Passwort die MAC-Adresse ein.
Speichere dann den Benutzer ohne weitere Änderungen ab.
Reiter MACs
- Anlage eines neuen MAC Eintrages, auch mit der MAC Adresse wie im Reiter Users.
- Scollen bis zum Feld VLAN ID und trage hier die VLAN ID ein, in die das Device geschoben werden sollte.
Fertig ist eine MAC-Authentifizierung und der VLAN Zuweisung.
Feitere Fragen ? einfach Fragen
Andy -
Gratuliere.
@andyger said in (solved) MAC Auth mit Unifi APs und freeradius auf der pfSense:
@jegr
Hallo Jens,
wie habe ich die Geräte konfiguriert ? jetzt landen die Alle in dem gewünschten vLAN, das an dem APs anliegen. Die folgenden Punkte setzen eine saubere und umgesetzte Kommunikation zwischen dem AP und dem Radius voraus.Reiter "Users"
- Legen einen neuen Benutzer an und trage in die Felder Benutzer & Passwort die MAC-Adresse ein.
Speichere dann den Benutzer ohne weitere Änderungen ab.
Wenn Du unter "Users" den Benutzern noch die VLAN ID einträgst, reicht das. Brauchst unter MACs nichts eintragen.
-
@mike69
Danke für Dein Feedback. Ich schreibe mir den ganzen Aufbau ohne den MAC Bereich herunter. Was ist namerken möchte, ohne das Du mich haust .... Im FreeRADIUS / Interfaces kannst Du die "Interface IP Address" mit einen * (Wildcard) nuten. Ich setze due pfSense in der Version 2.6.0-RELEASE ein.Danke euch und Gruß
Andy -
@andyger
Warum soll ich schlagen. :)Unter Linux ging es auch mit der Wildcard, nur BSD bzw. die Sense zickte damals rum. Oder ich war noch zu doof, daran kann es auch liegen:)
Hab seit knapp 2 Jahren nichts daran geändert, schön dass es jetzt auch geht.Mike
