[Infotainment] Netzwerk Neubau mit pfSense und Unifi

mike69

Ja, das hat wirklich was.

Dann bin ich mal gespannt, ob bei Dir später MAC-Auth oder Port-Auth per RADIUS oofb funktionockelt, da breche ich mir gerade die Ohren. :)

JeGr

Also kurz eingeworfen: Ich hab' das bei einem Kunden schon laufen. Unifi Setup, Core Switche sind die 10G Teile mit 12/16 Ports (12 SFP+/4 RJ45) und dann einige viele US-48 bzw. US-48-500W Teile redundant aufgebaut. Unifi Controller in VM (weil dort eh virtuelles Setup) und der sowie die Switche machen 802.1x via Radius am FreeRadius der pfSense. Mussten da debuggen, weil die Anmeldung als user/pass statt als MAC ausgelesen wurde -> man musste einen User mit Mac Adresse AABBCCDD1122 mit gleichnamigem Passwort anlegen, dann wurde die Kiste authentifiziert und ins entsprechende VLAN gepackt. BÄM ;)

Da ich im Gen2 und neuen Controller aber jetzt eine Einstellung gefunden habe, dass man das MAC Format ändern kann und ggf. was anders einstellen, will ich das testen, ob das ggf. jetzt auch direkt mit der MAC Funktion von FR geht statt Dummy-User mit MAC Adressen anlegen zu müssen.

mike69

Moinsen.

Ist eigendlich ein Cisco Baustelle, gehört hier auch nicht rein. Wenn ich es unter den Cisco Gerätschaften (SG350 als Radiusserver, SG250 als Client) nicht geschissen kriege, brauche ich die Sense dafür nicht ran holen.

JeGr

So neuer Zwischenstand. Nachdem beim Bau immer wieder neue Sachen aufploppen, die man vergessen hat in der Planung und man Sachen doch anders baut, hat sich die Optik ein wenig verändert:

Die pfSense ist noch ein wenig weiter nach untern gerutscht und die Unifis sind jetzt eingerahmt von zwei Bürsten-Rangierpanels. Oben laufen Kabel raus, die hinten/oben aus dem Rack dann ins Haus verlaufen, aus/in die untere Bürstenleiste laufen Kabel die im Rack bleiben (werden nicht viel, da das meiste Front-verkabelt wird). Bislang also nur der Controller, der noch "falsch" angeschlossen ist, weil die Buchse vorn noch nicht genutzt werden kann. Merke: 19" Rack-Einbausatz nur mit PoE Switch zusammen kaufen ODER einen 48V-24W PoE Injector zur Hand haben :/ Daher momentan noch "dreckig" via USB Netzteil (USB-C) und Kabel am Controller hinten direkt angeschlossen statt vorn über die Rack-Kit-Buchse. Seit heute morgen läuft da auch noch ein grünes Patchkabel rein und geht hinten runter zur Synology. Werden später 2 grüne (Bonding) und ein schwarzes (Mgmt) da die Syno 4 Ports hat. 2 im Bond für Frontend LAN und eines für den Notfall/Management im Mgmt Netz (schwarz). Die pfSense hängt nun auch schön farbig verkabelt am Switch: grau (Trunk/Uplink), grün (LAN), blau (Lab), schwarz (Mgmt). Der übrige 2. Port wird noch zum WAN_Backup, den man dann mal on demand für einen LTE Router oder sonstwas nutzen kann.

Die ersten 4 Ports vom US-24 bleiben frei (bzw. einer ist ja schon belegt) für die Uplinks zu den US-8 Switchen. Ansonsten habe ich das Media Panel (2HE schwarz) darunter gedreht und die erste Blende (sieht man schlecht jetzt mit einer einzelnen Abdeckung verschlossen, dafür sind die 3 danach frei (also sieht es jetzt XXXXXXOOOX aus -> O=offen). Dort kommen dann die 3D gedruckten Blenden für die Raspis rein und die kann man dann sehr entspannt mit den 0,3m Kabeln nach oben zum US-24 verkabeln.

Fun Fact: Oracle macht auf der OOC gerade das gleichen in GROSS ;)
-> https://www.servethehome.com/oracle-shows-1060-raspberry-pi-supercomputer-at-oow/
Und sie nutzen zur Verkabelung auch Unifi Switche -> US-48er aber nicht mit PoE sondern nutzen (wie ich es auch vorhabe) USB Multi-Netzeile. Meines ist auf dem Weg und der PoE Injector auch gerade auf Arbeit angekommen. Vielleicht schaffts die 4HE Frontverblendung heute auch noch, ansonten wird es morgen/übermorgen dann hoffentlich endlich komplett sein. Dann warte ich nur auf das Ende des 3D Drucks, kann aber den Rest des Racks dann schon Mal zumachen und fertig verkabeln und das USB Netzteil mit kurzen USB Kabeln schonmal vorbereiten, damit ich die PIs direkt anschließen kann.

Bei mir übernimmt dabei einer bspw. den Job des Nachrichtensenders. Der hat einen HAT verbaut, der eine Prepaid SIM Karte nutzt um SMS zu empfangen und diese entweder in Mails oder in Push Nachrichten [Pushover] umzuwandeln und an entsprechende Geräte zu schicken. Mit dem kann ich also notfalls SMS versenden (PrePaid) und sonst gratis SMS empfangen und als anderes Medium weitersenden. Funktionert BTW toll für 2FA Geschichten, die sich notorisch weigern, was moderneres als SMS zu nutzen, wenn man aber verdammich noch eins keinen Empfang aber WLAN hat. Da der Pi im Rack recht gutes Netz hat somit kein Problem mehr. Mit ein bisschen Zeit kann ich dort ggf. auch noch einen kleinen Webservice bauen, über den andere Geräte im Netz per API dann Push Nachrichten versenden können (statt nur SMS oder sonstwas). Eventuell lasse ich ihn auch nen POP3 Postfach abholen und pollen ;)

Die anderen beiden PIs machen momentan langweilige Jobs. Einer spielt noch simultan zu pfBNG Pi-Hole DNS Blocker -> ich teste beides. Der andere macht lustiges SSH Konsolengateway/Jump Host (da tuts auch nen Raspi 1 noch ;))

nonick

Den Thread musste ich gleich meiner Frau zeigen. Damit kann ich endlich widerlegen, dass ich der einzige verrückte bin, der sowas wie einen 19" Schrank voller Technik privat zu Hause hat.

JeGr

@nonick said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Damit kann ich endlich widerlegen, dass ich der einzige verrückte bin

Wir sind nicht verrückt! Nur geistig flexibel und fördern unsere Lernkapazität

mike69

Musste den Thread erst mal suchen, der war in einer Unterkategorie versteckt. :)

@nonick
Ihr beiden seit garantiert nicht die einzigen "Normalos" hier. Jeder, der sich langsam von der FritzBox Fraktion abnabelt, wird wohl oder übel irgendwann so ein Ding zu Hause stehen haben. Nicht vielleicht im Wohnzimmer :), auch nicht so unklein, aber Jens wird schon die richtigen Argumente gebracht haben, um die Regierung zu überzeugen. :)) Und das hat doch irgendwie was...

@JeGr
Sieht schön aufgeräumt aus. Wird der US24 voll bestückt sein? Das mit den Bürstenblende ist übrigens eine gute Idee, mit dem Kabelmanagement habe ich es irgendwie nicht so. :)
Wie willst du den Cloud Key versorgen, über PoE? Brauchst noch ein PoE Switch, so ein Injektor vorne sieht Kacke aus.
Und die 1HE mit der pfSense Hardware, ist das universell? Habe die irgendwann schon mal gesehen in Zusammenhang mit einem Alixboard

Und was ist ein 2FA? :)
.

JeGr

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

aber Jens wird schon die richtigen Argumente gebracht haben, um die Regierung zu überzeugen. :)) Und das hat doch irgendwie was...

Nö ich habe schlicht das Glück eine nicht nur eine Frau zu haben, die selbst zockt sondern auch zum Teil meinen Job versteht und nicht nur toleriert. Außerdem profitiert sie auch davon wenn überall Streaming, WiFi etc. super funktioniert Da brauchte es wenig Überzeugung

karl047

Schöne Arbeit ich habe bei mir zu Hause auch was Ähnliches gebaut, es ist echt teuer aber die Qualität und vor allem die Zufriedenheit hat auch deren Preis.
Ich frage mich nur danach, warum du mit pfSense und nicht mit opnsense gegangen bist? obwohl du hier und dort der Moderator bist
Ich kann nur eins sagen (nach ein paar Monaten vom probieren), dass alles einzurichten mit pfSense viel stabiler ist, und man merkt dass es irgendwie läuft Was ist deiner Meinung nach?

VG;
Karl

JeGr

@karl047 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

warum du mit pfSe* und nicht mit dem anderen Se* gegangen bist? obwohl du hier und dort der Moderator bist

Wir müssen hier nichts zensieren. Sowas gibt's bei mir nicht. Ich hab das bei dir mal editiert ;)

Warum ich pfsense und nicht opnsense nutze? Weil nach meiner Erfahrung mit beiden Produkten pfsense das stabilere ist.

Wie man aber unschwer am Satz erkennen kann ist das:

Meine Erfahrung mit den Produkten
meine subjektive Entscheidung

Ich mag beide Produkte und IMHO spornen sie sich beide an. Auch was opnsense gerade im Regelwerk im jüngsten Update gemacht hat, gefällt mir tatsächlich mal nach etlichen Updates bei denen ich eher in die Tischkante gebissen habe. Ich denke immer noch, dass die Wahl, sich ein starres halbjährliches Release-Korsett anzulegen die völlig falsche ist und sie dafür weder die Installations- noch die Testbasis haben um das sinnvoll zu machen. Mir sind einige Male opns Installationen um die Ohren geflogen nach Updates und gleichzeitig gabs aber auch keinen Weg zurück weil ist ja alt und so. Insgesamt gibt es einfach viel Licht aber auch viel Schatten. Beispiel: Die UI ist nicht schlecht mit der Seitenleiste - hat man keine Top-Menüs die stören. Gleichzeitig empfinde ich das krampfhafte Umbauen der Menüpunkte und umsortieren, damit man kein Diagnose Menü braucht dämlich: bei pfSense habe ich alle Diagnostic Sachen an einem Ort, genauso die Logs. Da kann ich problemlos hin und herspringen was gerade bei Debuggings wichtig ist. Bei opnsense muss ich ständig ganze Menübäume umklappen, mich durchfingern bis ich dann im Menü3 den Log Eintrag hab, dann wieder Menü5, Submenü2, Logs... Argh. Gerade wer schnell zwischen Firewall Logs und bspw. VPN Logs hin und her springt klickt sich tot. Sicher ist bei pfsense nicht alles super sinnvoll angeordnet, die Ordnung bei opnsense ist mir aber meinem Gefühl nach völlig daneben. Ich suche mich teils echt doof um die Sachen zu finden von denen ich weiß, dass sie da sind/sein müssen. Auch dieses seltsame Aufsplitten von Diensten, einzelnen Paketen etc. finde ich umständlicher als den Paketmanager der pfsense. Genauso den Updateprozess, der mir teils suggeriert ich könne auf eine spezifische Version springen - geht aber nicht. Dafür ist das integrierte Logging bzw. der FlowD für eine kurze grobe Traffic Analyse nicht schlecht. Gefällt mir. Die neuen Regelmöglichkeiten, direkt aus der Tabellensicht Log/an/aus/etc zu triggern ebenfalls. Und dass man bei normalen Regeln nun quick/non-quick einstellen kann - wobei ich das schwierig finde. Gerade Anfänger dürfte das eher irritieren und durcheinander bringen. Da ist dann schnell was erlaubt/geblockt was gar nicht so sollte. So geht die Liste weiter. Es gibt Pros, es gibt Cons. Könnte ich ne ganze Liste von schreiben was mich stört und was ich am Liebsten in beiden Produkten hätte

Für mich bzw. für Firmen sehe ich aber (momentan) einfach pfSense als die stabilere, oder sagen wir "mehr Enterprise-y", Lösung. Stabiler, nach Updates weniger Probleme, bislang keine Umstellungen die mich komplett überrascht haben (also Funktion X läuft jetzt ganz anders). Dagegen 3/5 Updates von opnsense schief/ruppig gelaufen, in Minor Versionen plötzlich vitale Features geändert die zu Ausfällen bei Kunden sorgen, HW Probleme von einer zur anderen Version.

Das sind eben dann einfach gewachsene Erfahrungswerte. Die sehen bei anderen dann vielleicht anders aus und deshalb ist der Austausch ja auch so wichtig! Ohne den bekommt man wichtige Sachen nicht mit. Und wer weiß, ob das nächstes Jahr so noch gilt, daher teste ich auch beide ständig weiter.

Zudem ging mir persönlich(!) auf beiden Seiten das Angezicke vor Jahren auf den Keks. Was mich heute immer noch etwas stört, ist die kurze Lunte, die einige User/Devs immer noch haben. Das empfinde ich als Kindergarten. Wenn ich mein Projekt ernst genommen wissen möchte, dann erreiche ich das durch eigenes Handeln und nicht mit Fingerpointing und Mimimi. Das ist inzwischen (teils wesentlich, teils nicht) besser geworden, trotzdem merkt man in manchen Belangen (wiederum subjektiv! meiner! Meinung nach) immer noch, dass man extrem schnell in der Defensive und am Verteidigen ist, statt sich Eier wachsen zu lassen und sein eigenes Ding zu machen. Ohne unnütze Seitenhiebe und sonstiges Auskeilen.

Will jetzt gar nicht noch mehr ins Detail gehen, das kann man gern in einem anderen Beitrag. Wobei ich wie gesagt beide Projekte sehr gern habe und eher als Cousins denn als "Brüder/Forks" sehe, da sie sich eben auseinander entwickelt haben. Mir gefällt aber als Alt-Unixer der pfSense Ansatz trotz allem besser (minimalistisches Grundsetting anstatt zu viel schon im Core Default zu haben). Zudem habe ich auf Arbeit mit etwa 85%/15% pfsense/opnsense zu tun. Daher pfsense hier als meine Main-Firewall. Was nicht heißt, dass ich nicht noch eine Box habe (aber momentan nicht im Rack), auf der opnsense läuft. Und im Lab habe ich eh immer mind. 2 VMs von jedem (2x stable, 2x dev-current, Yx irgendwelche aktuellen Kunden/Probleme/Testsetups).

Und zu guter Letzt: Ganz egal was man einsetzt
-> Better use some *sense than no(n)sense!

JeGr

@mike69 said in [Infotainment] Netzwerk Neubau mit pfSense und Unifi:

Sieht schön aufgeräumt aus. Wird der US24 voll bestückt sein? Das mit den Bürstenblende ist übrigens eine gute Idee, mit dem Kabelmanagement habe ich es irgendwie nicht so. :)

Momentan wohl "noch" nicht, aber das kommt sicher schneller als mir lieb ist. Vorher waren es ja 2x 24er, jetzt nur noch einer zentral und die 3x 8er Remote, das könnte knapp werden, zudem jetzt 3 Uplinks statt vorher einer nötig und die sense jetzt 4x angebunden statt 2x vorher.

Das mit den Bürstenpanels war tatsächlich Zufall. Wollte erst Kabelarme/Klammern dann aber dran gedacht, dass das immer ein ewiges Gefriemel ist die Kabel da reinzubiegen, wieder Kabelbinder drumrum, nach hinten führen, blub tröt. Daher einfach direkt oben rein und wech. Gar nicht doof. Und von hinten ist das Ding ja eh zu, sieht man also nichts (auch wenns nicht gruselig werden soll).

Wie willst du den Cloud Key versorgen, über PoE? Brauchst noch ein PoE Switch, so ein Injektor vorne sieht Kacke aus.

Das ist tatsächlich gerade ziemlicher Mist. Wurde nämlich nicht erwähnt als ich das Ding gekauft habe, dass der im Rack NUR via PoE funktioniert. Hätte ich mir denken "können", steht so aber nirgends. Deshalb stand ich dumm da. Dann erstmal mit Strom von hinten via USB-C befeuert -> nächstes Problem: dann geht vorne die LAN Buchse nicht, also auch von hinten angeschlossen. Hmm dann bräuchte ich das ganze Ding nicht außer dem Display wenn ich nichts dranhängen kann... Also nen PoE Injector 48V-24W bestellt -> gestern gekommen... tja und dann...

Nichts. Angeschlossen, reingeschleift, an den LAN Port ran -> Key bootet fein -> aber sagt immer noch LAN disconnected!? WTF?

Also entweder hab ich ganz doofes Pech gehabt und die Rack Leiste (oder ggf. auch der CloudKey bzw. seine Pinleiste fürs Rack) ist beschädigt, oder das Ding ist einfach von der Konzeption her Mist. Es ist super, dass man da beide Keys mit verarbeiten kann und dass PoE und LAN und was auch immer geht. Aber so ist das der Krampf pur. Hab also jetzt erstmal beim Verkäufer eine RMA angefordert und will Key und Panel nochmal tauschen, hoffe dass es dann mit nur einem Kabel übern Injektor geht. Aber ärgert mich kollossal, dass man fast fertig ist und dann nochmal von vorne anfängt :/

so ein Injektor vorne sieht Kacke aus.

Kein Thema der passt auf die Halterung rechts neben der Firewall perfekt drauf, da kommt dann einfach ein Kabel runter und eines wieder hoch. Sähe auch gar nicht soo dumm aus, wenn es denn funktionieren würde ;)

Und die 1HE mit der pfSense Hardware, ist das universell? Habe die irgendwann schon mal gesehen in Zusammenhang mit einem Alixboard

Nope, das ist eigentlich die Halterung für eine ältere Lanner FW-7535 daher passt sie für die scope7-7525 auch nicht ganz (weil schmaler als die alte 35er), aber die Halterung ist auch für das Netzteil genau zugeschnitten dass das links neben die Kiste reinpasst. Daher kann ich aber auch das Gerät nicht festschrauben und nur reinlegen. Aber evtl. findet sich noch ein altes Mountkit für ne 7525 (die ist dann aber IMHO ohne Ablage für Netzteile was schade wäre).

Habe die irgendwann schon mal gesehen in Zusammenhang mit einem Alixboard

Es gibt auch Universalschubladen oder einfach 1HE Rackböden, wo man nutzen könnte. Machen auch einige. Gefällt mir dann aber mit fehlendem Frontpanel nicht so gut. Da bin ich optisch angefixt das "schöner" zu machen.

Und was ist ein 2FA? :)

2-Factor-Authentication. Also das typische User/Pass + generierter PIN/Key. Am besten sowas natürlich per extra App offline möglich, manche wollen dazu aber unbedingt SMS senden, was a) nervt wenn mal kein Netz da ist oder die SMS arschlangsam ankommt und b) durch diverse SIM-Cloning Angriffe generell eher uncool ist. Als Fallback wäre es ja OK, aber es gibt eben hartnäckige Fälle die das echt nur per SMS anbieten - leider. Paypal hatte es jetzt endlich mal gebacken bekommen, eBay immer noch nicht gelernt und Sony fürs PSN bspw. ist leider auch noch so ein hartnäckiger Fall. Oder Kreditkarten, die das jetzt (erst) nutzen (statt wie Banken auf ne andere/Offline-Lösung zu setzen).

Generell ist das der "communication" Pi, der andere soll dann erstmal Monitoring übernehmen. Wobei das später auf nen kräftigeren Pi4 oder NUC kommt, da Grafana, Influx und Graylog jetzt nicht so die zierlichen Leichtgewichte sind ;)

nonick

@JeGr
Das kann ich alles so unterschreiben. Bin damals, als das Projekt Monowall eingestellt wurde, auf Anraten von Manuel Kasper zu OPNSense gewechselt. Die Erfahrung mit OPNSense waren nicht die besten. Seit dem ich auf pfSense umgestiegen bin, habe ich keine Probleme mehr gehabt. Korrekte Konfiguration vorausgesetzt, funktioniert alles zuverlässig, auch nach Updates. Meine Backup Kiste, die unter OPNSense häufig zum Einsatz kam, wurde seitdem nicht mehr benutzt.

karl047

@JeGr : Danke dir für deine Antwort, ich wollte dich wirklich mit meiner Frage nicht ärgern aber wie du geschrieben hast und wie ich das beschrieben habe:
"Weil nach meiner Erfahrung mit beiden Produkten pfsense das stabilere ist"
"dass alles einzurichten mit pfSense viel stabiler ist, und man merkt dass es irgendwie läuft"

und du hast am Ende VOLL RECHT:
"Und zu guter Letzt: Ganz egal was man einsetzt
-> Better use some *sense than no(n)sense! "

und wir führen überhaupt keine Diskussion über welches davon besser ist, jeder und seine eigene Entscheidung.

Danke dir wieder, und wünsche dir VIEL SPASS mit deinem Schrank und weniger Kopfschmerzen; Ich kann mich gut erinnern dass es mir damals Nervenzusammenbruch gebracht hat bis ich alles hingekriegt habe

JeGr

ich wollte dich wirklich mit meiner Frage nicht ärgern

No offense meant - none taken :)

Danke dir wieder, und wünsche dir VIEL SPASS mit deinem Schrank und weniger Kopfschmerzen; Ich kann mich gut erinnern dass es mir damals Nervenzusammenbruch gebracht hat bis ich alles hingekriegt habe

Na hoffentlich nicht ;)

und wir führen überhaupt keine Diskussion über welches davon besser ist, jeder und seine eigene Entscheidung.

Genau das. Den Schuh möchte ich mir gar nicht anziehen, da versuche ich auch produktneutral zu bleiben alleine schon ggü den Kunden. Wenn ich persönlich gefragt werden, gebe ich dazu Antwort, dränge die aber nicht als "DIE" Meinung jemandem auf. Egal ob orange oder blau -> Hauptsache eine davon ;) Besser als ewig mit teuren Kisten rumzukaspern, die es 2019 immer noch unter ihrer Würde erachten bei IPSEC bspw. aktuelle Cipher/Codecs mitzuliefern oder OpenVPN überhaupt zu unterstützen. Da könnte ich Regenbögen im Quadrat kotzen.

mike69

Ist doch schön, wenn sich alle lieb haben.

@JeGr
Das mit dem Cloudkey und dem Rackpanel ist echt ärgerlich. Sieht so recht edel aus, muss natürlich funktionieren.

Zum Thema 2FA: Danke für die Erklärung, dachte eher so an eine Beschimpfung. :)

Das mit der Code per SMS finde ich nicht soooo tragisch. Smartphone ist immer in der Nähe und alle mal besser als eine Bank App, welche fleissig Google Analytics befeuert. Die Deutsche Bank bietet zum Beispiel auch eine Hardwarelösung an mit einem QR Scanner, welcher ein Code rausspuckt. Wir nutzen auch Paypal, aber ohne das App nur über den Browser. Was machen die anders?

Zum Thema Bürstenleiste,es sieht erbärmlich aus ohne. Wenn ich mal ein Bild hochladen darf.

JeGr

Naja! Erbärmlich kenne ich aber anders. Ist doch alles ordentlich aufgeräumt? Manche Kabel haben halt ihren Biegeradius, das passt doch. Ich hätte nur ggf. andere Farben für unterschiedliche Segmente genutzt aber ansonsten wäre ich froh wenns in der Wohnung schon nen Patchpanel gegeben hätte und ich nicht jetzt Aufputz Kabelkanäle kleben müsste :)

Das mit der Code per SMS finde ich nicht soooo tragisch. Smartphone ist immer in der Nähe und alle mal besser als eine Bank App,

Ja ist in der Nähe aber nein, eben nicht immer mit Empfang. Zudem sind SIM-Cloning Attacken keine Theorie sondern leider schon häufiger vorgekommen. Ich kann aber 2FA via SMS nicht als sicheren Kommunikationskanal benutzen wenn er das nicht ist. Zudem bin ich auf mehrere äußere Einflüsse angewiesen. Was ist schlimm daran sich an vorhandene Standards wie TOTP zu halten die sauber funktionieren und zudem außer an die Zeit an nichts gebunden sind?

Bank App, welche fleissig Google Analytics befeuert

Sowas darf eben in einer Secure App nicht drin sein. Nervkram! Meine Sparda hat da ne extra Secure App nur für die Codegenerierung. Läuft sauber. QR Scanner ist schon wieder ziemlich speziell... da könnte ich auch gleich das simple EC-Lesegerät-Ding nutzen um meine PIN am Bildschirm abzuscannen (oder meinst du das)? Ist natürlich auch sauber weil offline und da Karte benötigt ordentlich abgesichert.

Wir nutzen auch Paypal, aber ohne das App nur über den Browser. Was machen die anders?

Hat jetzt nichts mit der App zu tun, aber da gabs lange gar kein 2FA (hallo, ihr spielt mit Geld, warum geht das nicht sicherer!?), dann lief es per SMS () und nun endlich auch alternativ via TOTP Verfahren.

mike69

ansonsten wäre ich froh wenns in der Wohnung schon nen Patchpanel gegeben hätte und ich nicht jetzt Aufputz Kabelkanäle kleben müsste :)

Hatten es beim Neubau vor über 10 Jahren mit eingeplant und in einigen Räumen mehrfach legen lassen. Der Tip kam von meinem Cousin, zum Glück, wollte komplett auf WLAN setzen. :))

da könnte ich auch gleich das simple EC-Lesegerät-Ding nutzen um meine PIN am Bildschirm abzuscannen (oder meinst du das)?

Es wird ein QR-Code am Monitor generiert und das Lesegerät zeigt eine PIN an. Also kein Scheckkartenleser.
Mit den Apps ist so ne Sache, nutze ein Smartphone ohne Google Framework, da sind die runter zu ladenen APKs rar gesät. Klar gibt es Download-Portale wie apkpure o.ä., ob die Apps original oder untouched sind sei mal dahingestellt. Unsere Bank stellt ihre Apps nur über den Playstore zu Verfügung, und die sind lausig programmiert wenn man die Bewertungen liest.

Wie dem auch sei, es driftet ab.:)

JeGr

So kurzer Zwischenstand:

Nach einigem Grummeln und Brummeln mit diversen Händlern war nun gestern endlich der letzte Raspi für den Festeinbau da und das Rackmount Kit und der Cloudkey sind RMA't und auf dem Rückweg zu mir. Hoffentlich funktionieren die besser als die letzten beiden. Klar, ich könnte einfach einen gekühlten Raspi4 4G als Controller nutzen. Wäre wahrscheinlich recht ähnlich oder sogar schneller als der Unifi Key. Aber das komplette Kit - wenngleich teuer - sieht zum einen wirklich gut aus, und zum anderen finde ich das Display des CKG2 ganz praktisch - sowie die Möglichkeit das Ding notfalls sogar per Bluetooth zu konfigurieren. Wenn das Zeug aber wieder nur so sporadisch funktioniert und ständig neustartet bzw. der PoE nicht sauber läuft, dann geht das komplett zurück und ich bau mir wirklich nen Raspi4-based Controller ein und mach oben einfach ne Blende drüber und gut. Keinen Nerv mehr ewig das Rack nicht zumachen/einbauen zu können, weil ein Gammelteil nicht mitspielen mag.

Die sonstigen Switche und Co sind inzwischen alle verbaut und auf Location wo sie hinsollen, 802.1x Radius MAC Auth aktiviert und wieder Mal wäre es schön bei den Unifi Sachen doch ein zwei Winzigkeiten mehr konfigurieren zu können. Aber egal. So werden/wurden jetzt einfach die Geräte via MAC (im Format XXYYZZAABBCC) als User/Pass angelegt, VLAN Tag konfiguriert (wenn man keines konfiguriert wird das Gerät einfach mit dem untagged VLAN angemeldet, in meinem Fall also dem Mgmt Netz -> cool!) und damit hab ich auf jedem Switch bis auf die ersten und letzten Ports quasi alle im Profil "Radius" konfiguriert. Sprich:

Gerät ran:
Meldung im Radius Log auf pfSense:
- (ID) Login INCORRECT: [xxyyzzaabbcc/ <via Auth-Type = eap>] (from client swtXY port Z cli xxyyzzaabbcc)
- Gerät bekommt keine IP/kein Netz (komischerweise aber noch ne IP6 die aber dann nicht funktioniert, warum noch unklar)
- MAC Adresse vom Gerät kopieren
- FreeRadius auf, User=xxyyzzaabbcc, Pass=xxyyzzaabbcc, Cleartext, VLAN=VLANID, speichern
- reload
An Gerät ran, Netzwerk neustarten/neu initialisieren/ausstecken-einstecken/whatever
Meldung im Radius Log auf pfSense:
- (1555) Login OK: [B827EBCA75A8/<via Auth-Type = eap>] (from client swt01 port 14 cli B8-27-EB-CA-75-A8) // Beispiel für einen der PIs
Blick ins DHCP Log
- Oct 2 12:21:39 dhcpd DHCPACK on <IP> to b8:27:eb:ca:75:a8 via igb2.<VLANID>
- Oct 2 12:21:39 dhcpd DHCPREQUEST for <IP> from b8:27:eb:ca:75:a8 via igb2.<VLANID>

BAM. Gerät bekommt nach Radius MAC Auth automatisch im richtigen VLAN seine Adresse per DHCP. Wenn er statisch konfiguriert ist gehts natürlich noch schneller, logisch.

Einziger Wehrmutstropfen daran: Unifi macht Radius MAC Auth grundsätzlich (wie im Log zu sehen) wie EAP mit ... MD5. Was eigentlich ein "schwacher Cypher" ist bzw. man bei Radius inzwischen abschalten kann/sollte. War bei mir auch so, hat mich ne Stunde gekostet rauszufinden, warum zum Geier alles geht, nur Radius MAC Auth nicht. Radius based VLANs vom WiFi AP gehen nämlich! Die nutzen allerdings eben je nach Radius Konfig den Standard den Radius anbietet (was man also vorgeben kann in FreeRadius auf der pfSense als Default). Sprechen also EAP-TLS oder -TTLS o.ä. - nur die Mac Auth macht das nicht. Gut, jetzt ist das alles intern und kein großes Drama, piekst mich aber an, dass ich sowas anmachen muss. Betrifft BTW auch andere Radius Server (wie Windows/Microsoft), bei denen inzwischen per default alte Sachen wie EAP-MD5 und Co abgeschaltet sind und man die manuell wieder anklemmen muss.

Das nur für die, die ggf. mit anderen 802.1x Implementationen herumkrebsen und das ggf. auch als Problem haben ohne es zu wissen ;)

Dafür positiv: neue Kabel und Käbelchen sind angekommen, 0,25/0,3m Kurzkabel für direkt Rack-Rack-Gerätverkabelung um die langen Dinger endlich rauszuwerfen.

2019-09-26 13.52.16-2.jpg

Hier nicht ganz aktuelles Bild mal bei Tageslicht, Top down:

Rangier-Bürstenpanel für externe Kabel (gehen hinten/oben dann aus dem Rack raus)
frei weil wartend auf RackKit für Unifi CKG2
Unifi US-24
Rangier-Bürstenpanel für interne Kabel (geht ins Rack rein/bleibt drin/nach unten zu anderen Geräten)
2HE Audio-Rackrahmen für 10-Unit Vertikaleinbau.
- 3x 2er-Blenden (schwarz) von links
- 3x Raspis (2x 3B+, 1x 3B)
- 1x 1er-Blende (schwarz) ganz rechts
pfSense auf scope7-7525 (Atom C2558) in Rackeinbau-Kit von ehem. FW-7535 verbaut. Links in Halterung Netzteil der Scope, rechts in Halterung (passt lustigerweise fast genau rein) liegt der 48W-24V PoE Injector von Unifi für den Cloudkey (schwarz verdrahtet)
4HE günstige schwarze matte Blechblende für Optik/Sounddämmung
1. HE von unten: 1HE Rackboden, schwarz mit Verschraubung vorne & hinten. Darauf steht
- Synology DS1813+, angebunden mit 4x Gigabit (Kabelstrang der oben bunt aus dem Rangierpanel kommt, 2x grün, 1x gelb, 1x schwarz)
- APC Back-UPS 700 als Turm Variante. Hängt via USB an Synology dran zum Auslesen, Syno publisht den APC Status via Netzwerk an pfSense und zweite Syno im Obergeschoss damit alle wichtigen Geräte die Info zum Powerdown bekommen wenn nötig.
- USV hat an sich jeweils eine Steckdosenleiste angeschlossen für Power Surge only (also nur gegen Blitzschutz etc.) und für BBU (battery backed-up). In der BBU Leiste hängt momentan annähernd alles aus dem Rack, also Syno, die Pis sowie die Switche und der Controller. Was nicht daran angeschlossen wird sind u.a. 1-2 kleine Geräte die noch reinkommen (ein NUC der ggf. noch von einem der Pis abgelöst wird) sowie der Lüfter/Ventilator des Rackgehäuses, der aber eh so gut wie nie läuft (Temp <30° im Rack).

Wen die Kabelfarben interessieren:

weiß: Uplink/VLAN-Trunks (also andere Switche oder der Uplink ins Internet auf der Firewall - farbig wäre da doof gewesen durchs Haus zu legen).
schwarz: Management (alle Unifi Geräte mit ihren Mgmt Ports, Synology für Mgmt, Firewall)
grün: normales LAN (2x Syno für 2Gbps Trunk, NUC, Firewall)
blau: Lab Netz zum intensiven Testen (momentan nur Firewall und 1 Pi, auf dem Bild ist der aber noch nicht angekommen)
gelb: Infrastruktur (Sachen, die alle Netze brauchen wie DNS, LDAP, etc., Pis, Synology, etc.)
rot: Media (im Bild nicht zu sehen, weil innerhalb von weiß[Trunk] gekapselt da meist keine Bandbreiten >200Mbps gebraucht werden, sieht man nur auf den Satelliten-Switchen dann aufliegen)
orange: IoT (dito wie rot -> momentan nur in Ausnahmen benötigt. Da kommen dann ggf. Hausautomation etc. rein wenn dafür mal Zeit ist).

Die ersten 4 Ports sind inzwischen vollständig gesteckt, da hängen jetzt alle Satellitenswitche (US-8er) dran (daher altes Bild) sowie der 3. Pi verbaut so dass jetzt endlich - bis auf den fehlenden Controller - das ganze mal nach was aussieht ;) Nur das letzte (Port 23) baumelnde graue Kabel ist noch da um mein Laptop direkt anzustecken, das momentan Aushilfscontroller spielt.

mike69

Moin @JeGr .

Danke für das Feedback.

Hoffentlich funktionieren die besser als die letzten beiden.

Das bedeutet, du wartest auf den Dritten? :(
Funktioniert das allgemein nicht oder in Verbindung mit der Rackhalterung? Ist dennoch ärgerlich, egal wie.

Wie ich sehe, nutzt Du kein VLAN für deine Netzwerke, darf ich fragen, warum? Bestimmt, weil Du es kannst aber im Ernst, hast Du so viele Ports frei am Switch?

meipert

@mike69 gerade wenn ich das Environment daliegen habe und die Geräte welche zentrales Management bieten würde ich auch ein VLAN Konzept empfehlen, und sei es nur um seine Konsolen und Gastgeräte aus produktiven Netzen herauszuhalten, für die Konsolen ein Direct-NAT erstellt um beim zocken keine Latenzen mehr zu haben, oder die Multimedia Abteilung auf Multicast Basis in einem eigenen isolierten Bereich betreibt. Ganz zu schweigen von der eigenen Frau und der Oma welche auch für sich einen isolierten Bereich bekommen sogar mit shield und anomaly detection.. man glaubt gar was die jeden Tag für einem Impact aus dem Google Play Store heraufbeschwören und man dann seltsamen Netzwerkphänomenen nachgeht oder selbst zum McDonalds fährt um dort seine Cryptogeschäfte zu erledigen haha

managed network -> bekommt erst mit VLAN -> so richtig seinen Wert als managed network angerechnet :-)

p.s. und wenn die Oma mal wieder die ganze Bandbreite zum skypen verbraucht dann trunk ich einfach ihren VLAN Port kurz weg :-)

Lg
Michael