mehrere VLAN in einer WLAN SSID



  • Hallo zusammen,
    ich bin gerade dabei mein privates Netzwerk in einige VLAN zu segmentieren.
    Bislang nutze ich auf pfSense / TP-Link (T1600G-28PS) und meinen Ubiqity AC-PRO nur folgende Interfaces (neben WAN)

    • LAN (192.168.1.1 - 192.168.1.255; /24) und
    • Gast70 (192.168.70.1 - 192.168.70.255)
      Dem Home-WLAN ist das LAN Interface zugeordnet
      Dem Gast-WLAN ist das VLAN GAST70 zugeordnet. pfSense Regeln Zugriff aufs Internet und blockieren Zugriff auf den Rest des LAN - die Ubiquity Gast-Funktion ist nicht aktiv.
      Soweit funktioniert alles bestens.

    Nun möchte ich diverse IoT-Geräte (IP-CAM, WLAN-Steckdosen, ...) in ein eigenes VLAN (IoT60: 192.168.60.1-192.168.60.255) separieren. Ich möchte hierfür jedoch keine neue WLAN SSID vergeben.
    Stattdessen ist die Idee via "MAC address control" im pfSense DHCP-Server (alternativ statische IP-Adresse) die IoT-Geräte in das IoT60-VLan zu delegieren.
    Aus dem LAN soll Zugriff auf IoT60 möglich sein, andersherum nicht. Zugriff ins Internet möchte ich ebenfalls unterbinden. Dies würde ich wieder über pfSense Regeln realisieren.

    Nach Möglichkeit möchte ich so viel wie möglich der Konfiguration in der pfSense vornehmen. In einer der Dokus, die ich gefunden haben, wurde etas ähnliches per RADIUS-Server realisiert. Darauf wollte ich nach Mögichkeit verzichten.

    Aktuell stellen sich mir da diverse Fragezeichen, die ich mir nicht beantworten kann:

    • (wie) müssen in den AC-PRO das normale LAN-Interface + IoT60-VLAN zugewiesen werden?
    • in der Hilfe (https://www.netgate.com/docs/pfsense/dhcp/dhcp-server.html) ist dokumentiert dass ich die IoT-MAC-Adressen im ZielVLAN in der Allow und in den anderen Interfaces auf DENY stellen muss- ist das praktikabel?

    Um es auf den Punkt zu bringen:

    • Wie baut man >1 VLAN in einer WLAN-SSID richtig auf?
    • Bin ich hier komplett auf dem Holzweg?
    • Welchen alternativen Weg könnt ihr stattdessen empfehen

    Vielen Dank
    Alex



  • Die WLAN Klienten in das richtige VLAN zu packen ist Sache des APs, da es auf Layer 2 passiert.

    Die pfSense und der DHCP server haben damit nichts zu tun, das ist Layer 3.

    Ob Unifi dafür eine Alternative zu Radius bereithält musst du im Unifi Forum recherchieren, da bist du falsch hier.



  • @alexbeer said in mehrere VLAN in einer WLAN SSID:

    Nun möchte ich diverse IoT-Geräte (IP-CAM, WLAN-Steckdosen, ...) in ein eigenes VLAN (IoT60: 192.168.60.1-192.168.60.255) separieren. Ich möchte hierfür jedoch keine neue WLAN SSID vergeben.

    Warum nicht?
    Du hast einen AP, der 8 SSIDs mit VLANs kann und sträubst dich, diese zu verwenden?



  • Hallo,
    @viragomann said in mehrere VLAN in einer WLAN SSID:

    Nun möchte ich diverse IoT-Geräte (IP-CAM, WLAN-Steckdosen, ...) in ein eigenes VLAN (IoT60: 192.168.60.1-192.168.60.255) separieren. Ich möchte hierfür jedoch keine neue WLAN SSID vergeben.

    Warum nicht?

    Ich habe hierzu folgendes gelesen:
    Relevant ist die Anzahl der ausgestrahlten SSIDs jedoch möglicherweise für die Durchsätze im WLAN. Je mehr SSIDs - desto mehr Beacons. In Folge dessen steht weniger Airtime zwischen diesen für die eigentlichen Datenübertragungen zur Verfügung. Da die verfügbare Airtime insgesamt nunmal fix ist, steigt der Anteil des Managementoverheads im Verhältnis zur Nutzlast und der effektive Datendurchsatz pro Zeit sinkt. Siehe http://www.revolutionwifi.net/revolutionwifi/p/ssid-overhead-calculator ...
    Deshalb sollte man die Anzahl der SSIDs pro Funkmodul so gering wie möglich halten. Die meisten Hersteller begrenzen Multi-SSID u.a. aus diesem Grunde auf max. 8 SSIDs pro Funkmodul. Empfohlen werden in den Designguides i.d.R. nicht mehr als drei.
    (Quelle: https://administrator.de/forum/wlan-ap-multiple-ssid-trägernetz-325965.html)

    In der Endausbaustufe möchte ich gerne noch 2-3 weitere VLan haben und hier nicht für jedes VLan eine eigene SSID spendieren.



  • @grimson said in mehrere VLAN in einer WLAN SSID:

    Ob Unifi dafür eine Alternative zu Radius bereithält musst du im Unifi Forum recherchieren, da bist du falsch hier.

    Ohne RADIUS geht das bei Ubiquiti mit User-Groups s. https://dl.ubnt.com/guides/UniFi/UniFi_Controller_V5_UG.pdf, S. 54 - Zuordnung der netzwerke S 148

    Kannst du mir ggf kurz erklären, warum die Zuweisung auf Layer3 nicht sinnvoll ist? Hatte das unter dem Stichpunkt "MAC NAILING" gefunden....


  • Rebel Alliance Moderator

    @viragomann said in mehrere VLAN in einer WLAN SSID:

    @alexbeer said in mehrere VLAN in einer WLAN SSID:

    Nun möchte ich diverse IoT-Geräte (IP-CAM, WLAN-Steckdosen, ...) in ein eigenes VLAN (IoT60: 192.168.60.1-192.168.60.255) separieren. Ich möchte hierfür jedoch keine neue WLAN SSID vergeben.

    Warum nicht?
    Du hast einen AP, der 8 SSIDs mit VLANs kann und sträubst dich, diese zu verwenden?

    Je vier pro Antenne/Frequenzband, also nicht wirklich 8. Zumal wird durch jede SSID die verfügbare Gesamtbandbreite nicht gerade wenig gedrosselt. Man vermeidet es also generell gerne wo man kann aus offensichtlichem Grund :)

    Ich verstehe nur nicht warum man auf Radius verzichten will, da es eigentlich der richtige Weg ist - egal ob User oder Mac based. Aber wie man möchte.

    Gruß



  • @jegr said in mehrere VLAN in einer WLAN SSID:

    Ich verstehe nur nicht warum man auf Radius verzichten will, da es eigentlich der richtige Weg ist - egal ob User oder Mac based. Aber wie man möchte

    Hi Jens,
    Ich betreibe ja nur mein privates Netzwerk zu Hause. Ich möchte zwar verhindern, dass irgendwelch seltsame Hardware nach Hause telefoniert. Dennoch möchte ich es so einfach wie möglich halten...
    Soweit ich das Tutorial im Kopf hab, könnte ich den RADIUS auf der pfSense als Plugin installieren. Aber dann muss ja auch noch irgendwo das LDAP liegen.
    Macht die Sache noch komplexer....

    Wenn du da aber einen guten Tipp hast, lese ich mich da gerne tiefer ein.

    VG Alex


  • Rebel Alliance Moderator

    @alexbeer said in mehrere VLAN in einer WLAN SSID:

    Aber dann muss ja auch noch irgendwo das LDAP liegen.

    Warum LDAP? Was hat das an der Stelle denn damit zu tun?



  • @alexbeer ich würde den Radius Server nicht auf die Firewall packen (schon aus prinzip nicht). Ich selbst betreibe für mein Heimnetzwerk eine pfsense mit Radius (on Raspberry Pi) der eine einfache Text Datei als "Datenbank" hat. Aber auf die Idee mein IOT VLAN aus Performance gründen nicht in über eine eigene SSID zu betreiben käme ich erst wenn ich in reale Performance Probleme bekäme. Wahrscheinlich würde ich eher einen zweiten AP kaufen als mich auf die Spezialkonfiguration einzulassen.



  • @jegr said in mehrere VLAN in einer WLAN SSID:

    Warum LDAP? Was hat das an der Stelle denn damit zu tun?

    ... Hatte das als verpflichtend im Hinterkopf. Ist aber optional und ich kann darauf verzichten.

    @hbauer :
    Ich steh auf dem Schlauch. Warum rätst du mir aus Prinzip ab, den RADIUS auf der pfSense zu installieren? Du verwendest den doch auch? Habe da auf die schnelle mehrere Threads zB im Ubiquiti Forum, dir gerade in Verbindung mit der pfSense davon sehr angetan sind.
    P.S. habe bereits zwei AP im Einsatz - über die Provisionierung sind beide identisch konfiguriert. Auf zusätzliche Hardware würde ich gerne verzichten

    VG und Danke für euren Input.



  • @alexbeer Bei mir läuft der Radius Server wie schon geschrieben auf einem Rasperry Pi. Für mich gehört ein Anmelde Server nicht auf eine Firewall.



  • OK, danke.
    Ist wohl ne Philosophie Frage und es gibt unterschiedliche Ansichten. Hast du Erfahrung mit dem Docker Container https://hub.docker.com/r/freeradius/freeradius-server? Das wäre etwas, was ich mir noch vorstellen könnte...



  • @alexbeer Ich mache gerade meine ersten Erfahrungen mit Docker für Anwendungen. Für den privaten Bereich könnte ich mir auch gut einen Freeradius Server in Docker vorstellen.


  • Rebel Alliance Moderator

    @hbauer said in mehrere VLAN in einer WLAN SSID:

    @alexbeer ich würde den Radius Server nicht auf die Firewall packen (schon aus prinzip nicht)

    Und welches Prinzip ist das? Radius wird an der Stelle zur Authentifizierung eingesetzt - und hat damit durchaus seine Berechtigung auf einer Firewall. Im Gegensatz zu Proxies und sonstigen Diensten wo man fabulös streiten und argumentieren kann, ob das auf der Firewall selbst laufen muss, sehe ich da bei Radius - schon alleine weil man diesen auch bei VPN und Co einsetzt/einsetzen kann - wenig Reibungspunkte. Zumal es kein "Anmeldeserver" ist, sondern credentials verwaltet - was die Firewall eh tut. Für die WebUI, für VPN, für Captive Portal etc. etc. Hier nutzen kommerzielle Lösungen großer Anbieter bspw. bereits von Anfang an Radius als Backend. Zudem muss der Zugriff auf Radius regeltechnisch wie auch durch Anlage des Client erst einmal erlaubt werden, also alles schön abgesichert.

    Docker als Alternative ringt mir fast schon ein Schmunzeln ab. Ich glaube ich habe mehr Systeme und Architekturen netzwerk- und sicherheitstechnisch baden gehen sehen auf Grund des ganzen "Yeah Container!" Hypes als durch einen sinnvollen Dienst auf einem Border Gateway 😸



  • @jegr Wenn ich den Radius Server nur für die Anmeldung auf pfsense einsetze dann ist es wirklich egal. Der Topic Opener möchte dort aber Anmeldedaten für andere Anwendungen (hier WLANs) auf die Firewall packen. Das finde ich aus einer Architekturperspektive "nicht günstig". Wenn man für 30Eur eine preiswerte stromsparende Alternative (Radius auf RPI) gibt ist es für mich keine Frage. Für die "Kosten" würde ich die Systeme entkoppeln.



  • Hallo Jens,
    ich bin überzeugt.😁 Ich werde es einfach mal ausprobieren.
    Ich habe auf die schnelle dieses (etwas ältere) Tutorial gefunden.
    Ich werde das mal in Rue durchlesen.
    Spricht aus deiner Erfahrung etwas dagegen - die Autehntifizierung von USer/PW und Client-Zertifikaten zu mischen.
    Die mobilen Geräte haben zur Noutzung von openVPN bereits ein Client-Zertifikat (von der pfSense-CA ausgestellt).
    Nach Möglichkeit würde ich dass dann zur Authentifizierung verwenden.

    VG Alex


  • Rebel Alliance Moderator

    @alexbeer said in mehrere VLAN in einer WLAN SSID:

    Spricht aus deiner Erfahrung etwas dagegen - die Autehntifizierung von USer/PW und Client-Zertifikaten zu mischen.

    Wie ist das gemeint? Den Satz verstehe ich in dem Zusammenhang gerade nicht ganz :)



  • Hi, vermutlich liegt der fehlende Zusammenhang an meinen Verständnislücken.
    Ich würde gerne EAP-TLS, PEAP und MAC-Authentifizierung mischen.
    Nach Möglichkeit würde ich gerne die Authentifzierung per Zertifikat (da sgleiche wie bei openVPN oder dem ReverseProxy) verwenden. Kann ein Gerät da mit nicht umgehen, dann PEAP und wenn das nicht geht, dann halt via MAC-Adresse.

    Konkrete Frage noch:
    In einem Tutorial hatte ich gesehen, dass die Clients im RADIUS wie folgt definiert wurden:

    client 192.168.100.0/24 {
           secret          = radiustest
           shortname       = Testnetz
    }
    

    Die Netzwerkmaske lässt sich aber nicht per GUI definieren. Editiere ich die clients.conf, wird das Ergebnis nicht in der GUI angezeigt.
    Ich hätte diesen Weg charmant gefunden, da ich die IP-Adressen der APs ber DHCP und nicht fest vergeben habe.
    Wie macht man dass denn derzeit am "besten"?
    VG Alex



  • Hallo,
    Habe jetzt Mal angefangen den Radius zu konfigurieren, beim Testversuch bekomme ich zu der Eingabe

    radtest test test 127.0.0.1:1812 0 secret
    

    Folgendes Ergebnis:

    (0) No reply from server for ID 47 socket 3
    Sent Access-Request Id 47 from 0.0.0.0:14417 to 127.0.0.1:1812 length 74
    	User-Name = "test"
    	User-Password = "test"
    	NAS-IP-Address = 192.168.1.1
    	NAS-Port = 0
    	Message-Authenticator = 0x00
    	Cleartext-Password = "secret"
    

    Ich habe diesen Fehler bislang nur in sehr alten Threads gefunden.
    In den Logs habe ich keine Ursache gefunden - habe aber ggf noch nicht das richtige Log gefunden.
    Ich vermute, dass die Firewall ursächlich ist.
    Auf WAN und LAN Seite habe ich eine neue Regel : UDP von:* nach:* Port: 1812-1813
    definiert. Geholfen hat es nicht. Habt ihr eine Idee, was hier mein Fehler ist?


Log in to reply