WiFi, zentrales Management über pfsense, zwei TP-Link TL-WR841N



  • Hi Leute!

    Ich beginne mal mit meinem ersten post. Nach tagelangem Lesen komme ich nicht weiter…

    Ich habe eine firewall mit pfsense, dahinter einen switch an dem ein paar devices hängen sowie die beiden o.a. Geräte von TP-Link (unter OpenWRT). Aktuell habe ich dort auf beiden einen AP eingerichtet und auch dort am device Kennwort und Name des Netzes eingerichtet. Das funktioniert soweit mal. Nun meine Idee:

    Besteht die Möglichkeit, die beiden TP-Link zentral über über pfsense zu steuern?

    In meiner Vorstellung ginge vom DHCP vom pfsense das Paket drekt an das Enddevice (Handy, Tablet,..) da es durch den TP-Link durchgeroutet wird.

    In welchen Modus muss ich das TP-Link versetzen?
    Sehe ich den TP-Link überhaupt wenn dort alles durchgeroutet wird?
    Besteht die Möglichkeit von roaming zwischen den TP-Links?
    Besteht die Möglichkeit dann auch das Captive Portal zu nutzen?

    Vielen Dank vorweg für eure Rückmeldungen!



  • Hallo Oliver,

    herzlich willkommen im Forum. :-)

    Ich glaube, der Titel deiner Frage ist etwas irreführend. Zentrales Management eines WiFi-Netzwerkes oder mehrerer WiFi-AP bedeutet normalerweise, dass dort zentral die Konfiguration der Access Points verwaltet wird. In der Regel braucht man dafür Lösungen, in denen ein zentraler Controller verwendet wird. Meist sind das teurere Lösungen von Firmen wie Ruckus, Ubiquiti oder Cisco (nur ein paar Namen).

    Wenn ich deinen Post richtig verstanden habe, geht es aber gar nicht darum, sondern darum, aus deinen WiFi-Routern einen nicht routenden/bridged Access Point zu machen. Ich vermute mal, dass auf deinen TP-Link-Geräten zur Zeit noch einen DHCP-Server läuft und dass die beiden Geräte auch noch NAT machen. Wenn du die TP-Link-Geräte in den bridged modus versetzt, routed das Gerät nicht mehr, sondern stellt nur eine Brücke zwischen dem kabelgebundenen Netzwerk und den drahtlosen Clients her.

    Mit OpenWRT kenne ich mich nicht aus, habe aber auf die schnelle zwei How-Tos gefunden, in denen so etwas beschrieben wird.

    http://wiki.openwrt.org/doc/recipes/bridgedap
    http://wiki.openwrt.org/doc/recipes/dumbap

    Das wäre vielleicht als erster Schritt gut, wenn du das umsetzen könntest.

    Zum Thema Roaming: Das funktioniert, wenn du auf beiden Access Points die gleich SSID und das gleiche Passwort verwendest. Die Clients sind dann dafür verantwortlich, dass stärkere Netz zu verwenden. Allerdings kann es bei Videokonferenzen oder ähnlichem (VoIP-Telefonate) zu Aussetzern kommen, weil die Verbindung nicht seamless an den anderen Access Point übergeben wird, da der Client eine neue Verbindung aufbauen muss und sich neu anmelden muss. Wenn du so etwas haben möchtest, braucht man - so weit ich weiß - ein System, bei dem sich die Access Points auch untereinander (oder über einen Controller) austauschen und die Verbindung übergeben können. Davon bekommt der Client auch nicht unbedingt etwas mit (zumindest auf Anwendungsebene). Ih vermute, dass die TP-Link-Geräte das nicht beherrschen.

    Captive Portal ist möglich, du müsstest aber mal etwas genauer beschreiben, was das Captive Portal in deinem Fall machen soll.

    Viele Grüße
    Arno



  • Hallo arnog!

    Vielen herzlichen Dank für deine rasche Rückmeldung!

    Ich mache mal ein wenig detailierter:
    Bei der bridge soweit ich das herausgelesen habe werden ja zwei Netzwerke über eben die Bridge miteinander verbunden, also so etwas:
    netzwerk_1 <==> AP <== bridge ==> AP <==> netzwerk_2

    Bei mir sieht das in etwa so aus:
    switch Port 1: Firewall (pfsense)
    switch Port 2: NAS
    switch Port 3: PC
    switch Port 4: Notebook
    switch Port 5: Notebook 2
    switch Port 6: eth Printer
    switch Port 7: TP-Link 1 (Wohnzimmer)
    switch Port 8: TP-Link 2 (Garten)

    ich habe hier ja nur ein Netzwerk, alle Geräte hängen am gleichen switch.

    Ich dachte nun, wenn ohnedies der gesamte Traffic letztlich zur Firewall geht dann wäre das pfsense der zentrale Controller (halt in Form von Software) welcher dann auch seamless übergeben kann (WhatsApp Telefonat von WZ zum Garten etwa). Ist hier in meinem Fall die bridge noch der richtige Weg? Enthalten die Netzwerkpakete die durchgebridged werden auch WiFi-Infos? Kann pfsense diese Infos auswerten?

    Hinsichtlich Captive Portal ist die Idee, dass man sich halt am Handy (Freunde, Gäste) ins WiFi verbindet und dort ein Logo sieht (myWiFi). Später dann halt etwa auch mit user/pass.

    LG

    Edit: hab am OpenWRT mal (nach 5 mal resetten) die bridge geschafft. Bei WiFi einen AP erstellt (für WAN) und bei den Interfaces am WAN eine bridge über WiFi und WAN erstellt. Die IP bekommt mein Handy nun von pfsense. Schritt 1 gemeistert ;-)



  • Moin,

    wenn Du eh "nur" ein einfache Netz hast bekommt pfSense vom internen Datenverkehr garnichts mit, das läuft intern von einem Gerät zum andern über den Switch. Damit kannst Du natürlich auch nicht regulierend eingreifen. Nur der externe Datenverkehr läuft pfSense und kann hier reguliert werden.

    Bei den TP-Links (welche?) brauchst Du eigentlich keine Brücke bauen ;),  Du ignorierst den WAN Port, nutzt die LAN-Ports, setzt eine statische IP auf der LAN Seite, schaltest DHCP-Server aus, konfigurierst das WLan und schon arbeitet der TP-Link als Accesspoint.

    -teddy



  • Hi Teddy!

    Ich bringe nun schon mal die Pakete durch den AP zur pfsense. Das ist schon mal ein großer Schritt. Das was ich ursprünglich mit zentrales Management meinte ist folgendes: Aktuell findet die Authentifizierung ja am AP statt auch wenn ich mittlerweile die IP vom pfsense DHCP bekomme. Das was cool wäre, wenn irgendwie möglich, dass auch die Authentifizierung auf der pfsense stattfindet. sprich:
    Mein Handy erkennt ein Funknetz welches den kompletten Datenverkehr direkt zur pfsense weiterleitet. Dort ist SSID und Kennwort definiert. Der Wireless Router hätte dann nur zwei dumme Aufgaben zu bewältigen: SSID ausstrahlen und alles weiterleiten. Würd mich interessieren ob es so einen Modus gibt ;-)

    Wofür sind denn die wireless Einstellungen auf der pfsense? betrifft das nur interne Karten die man in die Firewall steckt?

    Greetz :)



  • Ja, eine Möglichkeit zur zentralen Authentifizeriung gibt es, nennt sich 802.1x mit RADIUS.

    https://de.wikipedia.org/wiki/IEEE_802.1X

    Auf der pfSense installierst du das Paket "freeradius" und legst da einen oder mehrere User an. Dann konfigurierst du den AP so, dass er "Enterprise WPA2" (wird meistens so genannt) verwendet und stellst als Authentifizierungsserver die pfSense ein. Wenn sich dann ein Gerät verbindet, wird ein Benutzername und ein Kennwort abgefragt. Es kann allerdings sein, dass nicht alle deine Geräte "Enterprise WPA2" unterstützen. Musst du ausprobieren. Einigermaßen aktuelle Smartphones sollten damit keine Probleme haben.

    Die Wireless-Einstellungen auf der pfSense sind tatsächlich nur für intern verbaute Karten. Das würde ich aber nicht empfehlen. In der Regel bist du mit einem externen AP flexibler.



  • Moin,

    wenn Du mit Deinen 841 einen Radius nutzen willst habe ich hier eine q&d Schnellanleitung Du musst die Teile natürlich schon mal soweit einrichten das Du sie in Deinem LAN ansprechen kannst.:
    Als root in den AP einloggen und schon gehts rund, die IP unten ist die des Radius Servers.:

    
    opkg update
    opkg remove wpad-mini
    opkg install hostapd
    
    vi /etc/config/wireless
    
    config wifi-iface
            option device 'radio0'
            option mode 'ap'
            option ssid 'DeineGewünschteSSID'
            option network 'lan'
            option encryption 'wpa2'
            option server '192.168.27.254'  
            option key 'RadiusKeyGanzGeheim'
    
    

    natürlich habe ich das auch irgendwo gefunden, aber die URL habe ich nicht mehr  :(

    Nachtrag: Bei der Hardware V11.1 scheiterte die Nachinstallation der Weboberfläche wg. mangelnden Platz.
    Ich habe nicht weiter nach einer Lösung gesucht sondern einfach die Dateien /etc/config/network und /etc/config/dhcp ebenfalls mit dem Editor bearbeitet, läuft.

    -teddy



  • ..jetzt habt ihr mich doch neugierig gemacht ;-)

    Ich hab mir einen AP besorgt der WPA-Enterprise beherrscht. Hab für meine Forschung günstig den EAP220 von TP-Link gekauft mit dem ich gerade experimentiere..

    Meine ToDo Liste sieht folgendermaßen aus:

    1. aktivieren der VLANs am Switch
    2. erstellen von zwei VLAN Schnittstellen auf der Firewall
    3. erstellen von 2 DHCP für die VLANs
    4. Radius Server einrichten, user definieren
    5. Captive Portal einrichten
    6. Firewall Regeln für die neuen Schnittstellen
    7. AP Einrichten

    Bevor ich bei den Punkten 2-7 was schreibe mal vorweg eine Frage zu VLAN:

    An meinem Netgear GS716Tv3 hab ich auf Port 16 die Verbindung zur Firewall, an Port 7 hängt der AP

    Am AP habe ich zwei SSID erstellt die auf VLAN 30 bzw. VLAN 40 lauschen. Die Managemant GUI ist dann meine ich 1 (soll also alles über nur einen Port gehen)

    Jetzt habe ich das Tagging so verstanden, dass immer bei Verlassen des Ports ein Tag mitgegeben werden muss, wenn man will. Im Konkreten:
    Ich setzte das Tag 30 bzw. 40 auf die Ports 7 und 16 damit die Member im VLAN sind. Aber offenbar zieht nur das PVID das man am Port eingibt:

    Setze ich auf Port 7 das PVID auf 30 dann geht der DHCP von VLAN 30 durch…ansonsten nicht...ich kann aber nur ein einziges PVID setzen...

    Wie schaffe ich es dass VLAN 30/40/1 auf Port 7 funktioniert?

    Meine Einstellungen nochmals:
    VLAN1: alle Ports Untag (Voreinstellung)
    VLAN 30: Port 7 und Port 16 Tag
    VLAN 40: Port 7 und Port 16 Tag

    Danke für eure Hilfe vorweg :)



  • So, nach einer kleinen Verweilpause wieder Aktivität hier ;-)

    Das Problem mit dem Netgear hab ich hinbekommen (einmal reboot) und alles klappt :)

    Bei mir hängts jetzt gerade beim Captive Portal (WPA-PSK klappt schon)

    Für das Bessere Verständnis:
    Auf der Firewall habe ich ein Netz mit 10.10.x.x default, 10.40.x.x VLAN 40 (für Captive Portal), 10.30.x.x VLAN 30 (WPA-PSK)
    Dann 3 DHCP, 3 * Firewall Regeln

    Mein AP hat die IP 10.10.0.102

    Über den AP spanne ich also einmal ein VLAN 30 Netz auf - das klappt mal soweit. Bei VLAN 40 sagt mir die Firewall anhand der Logs:

    0.0.0.0:68 geht an 255.255.255.255:67 (Anfrage DHCP) das passt
    10.40.0.254 geht an 10.40.39.209  Handy bekommt IP im VLAN 40
    10.40.39.209 geht 10.40.0.254:53  Handy will gleich mal Sachen resolven

    so, jetzt wird spannend:
    Im wesentlichen sind die beiden Einstellungen am AP hier vorzunehmen:
    https://www.youtube.com/watch?v=G41Y_gVmvx4

    Bei den Wireless Settings:
    My Free Captive
    VLAN 40
    SSID Brodcast Enable
    Security none
    Portal Enable
    SSID Isolation disable (was immer das macht)

    Bei den Portal Settings:
    Authentifikation Radius Server mit Einstellungen
    Portal: External Web Portal
    External Web Portal URL: http://10.40.0.254:8000

    Gehe ich nun auf den browser im Handy, dann kommt folgendes im Firewall log:

    Ein abwechselndes Spiel:

    10.40.39.209:port irgendwas auf 10.40.0.254:53 udp will was resolven, wird von mir erlaubt
    10.40.39.209:port irgendwas auf 10.10.0.102:80 TCP:s will auf den AP, wird nicht erlaubt (von VLAN 40 in LAN nicht erlaubt)

    gehe ich im LAN (von meinem PC) auf  http://10.40.0.254:8000 so komme ich zum Captive Portal (beim Captive Portal habe ich lediglich die Schnittstelle VLAN 40 zugewiesen, sonst nichts)

    Jetzt stellt sich mir mal die Frage:

    Wie schaffe ich es auf das Captive Portal zu gelangen? Was mache ich falsch?

    LG :)



  • @arnog:

    Zum Thema Roaming: Das funktioniert, wenn du auf beiden Access Points die gleich SSID und das gleiche Passwort verwendest. Die Clients sind dann dafür verantwortlich, dass stärkere Netz zu verwenden.

    Leider ist das kein echtes Roaming und funktioniert auch nicht besonders gut.

    Unter Roaming versteht man die Fähigkeit des Netzes, die Clients auf den gerade sinnvollsten (meist stärksten) AP zu verschieben. Bei mehreren APs mit gleicher SSID & PWD muss das der Client selbst tun - und im Regelfall hängt er viel zu lange am aktuellen AP, auch wenn ein anderer bereits zu bevorzugen wäre. Ich habe daheim inzwischen 3 Ruckus APs in Betrieb. Seit der Controller verreckt ist laufen sie stand-alone. Ich kann damit leben, aber schön ist anders (am Smartphone muss ich regelmäßig das WLAN aus/ein schalten, um auf einen anderen AP zu wechseln…).

    Roaming bekommst Du wirklich nur mit einem zu den APs passenden Controller hin.
    Einer der AP Hardware Anbieter hatte seinen Software WiFI Controller für RPis schon einmal frei angeboten. Wer das war habe ich vergessen und ob es das noch gibt weiß ich nicht (Mikrotik oder Ubiquity vielleicht?)