freeRADIUS & UniFi Hotspot 2.0



  • Hallo

    Ich hab hinter meiner pfS für WLAN eine UniFi Cloud hängen welche neuerdings auch Hotspot 2.0 ermöglicht. Nun ist die Technik recht neu, und ich konnte im Netz noch kaum was zu finden. Scheint jedoch so zu sein das ein Radius Server und WPA2 (enterprise) voraussetzend wären.
    hat damit schon jemand Erfahrung, und kann mir allenfalls beim setup helfen?


  • Rebel Alliance Moderator

    Hotspot 2.0 habe ich auch nur immer wieder aufleuchten sehen aber noch keinen Test damit gemacht.

    WPA2-Enterprise und (Free)Radius auf der pfSense zu verknüpfeln ist allerdings nicht extrem schwer, eher ein wenig aufwändig bis man alle Stellen abgehakt und konfiguriert hat :)



  • Ach schau an Layer-8 .. Hehe, da kann ich nicht mithalten. 🐂 ✌

    Spaß beiseite, ich hab mich vor Radius bisher immer gedrückt. Und jetzt wo es mir nützlich wäre sind alle Anleitungen/How-2 so ausgelegt daß sich der Nutzer einloggen soll. Beim Hotspot 2.0 soll dies jedoch so ausgelegt sein, daß sich das Mobile selbst verbindet. Du kannst dir bildhaft vorstellen wonach ich im deep forest suche?

    Antrieb und Ziel ist eigentlich ein funktionierendes Gastnetzwerk 2.0


  • Rebel Alliance Moderator

    @bordi said in freeRADIUS & UniFi Hotspot 2.0:

    Antrieb und Ziel ist eigentlich ein funktionierendes Gastnetzwerk 2.0

    Okay :) Shoot me if I'm wrong, aber soweit ich weiß bezieht sich Hotspot 2.0 doch auf Public WiFi und Kommerzielle Zwecke bzw. Angebote in Public Umgebungen? Ist das das Ziel? Denn m.W. ging es darum, quasi das von SIM Karten / 3G/4G bekannte Roaming auf WiFi und Public Hotspots zu adaptieren, so dass sich der Kunde so wenig wie möglich authentifizieren muss. Bspw. Hotel hat CoOp mit Telekom, Kunde loggt sich einmal mit Telekom Hotspot Daten ein, sein Gerät merkt sich das und beim Hotspot gegenüber beim Kaffee, dass ebenfalls Telekom ist, wird sich automatisch mit den bekannten Daten vom Hotel eingeloggt, weil der Hotspot propagiert: Hey ich arbeite mit x, y, z und ab zusammen und kann deren Zugänge verarbeiten.

    Darum: Hast du sowas in der Art geplant oder gehts nur um Gästenetz "daheim"? Dafür ist das m.E. ziemlicher offshoot ;)



  • Schon möglich, aber bei mir ist vieles offshoot. ..und ja, eigentlich soll daß ein Public WiFi werden waß ich dann halt mit "Gästenetz" benenne. Ich hab's einfach satt daß wegen nem Funkloch gemault wird. Gleichwohl sind mein Gäste i.d.r einfach zu doof/faul sich irgendwo einzuloggen, ein Ticket zu ziehen, einen QR zu scannen oder sonst was (btw das hab ich alles schon durch). Nicht zu vergessen der andauernde Stress mit der Software. HTTP Response-Code 204 nur mal als Beispiel. Andauernd ist was los, und wenn's dann mal funktioniert, ist keiner da der es nutzen möchte. D.h von SIM Karten / 3G/4G auf Public WiFi adaptieren und als Gastnetz tarnen.


  • Rebel Alliance Moderator

    OK Sorry, dann kann ich leider nicht helfen, das Unifi Hotspot 2.0 Zeugs lasse ich bei uns und Kunden komplett außen vor, zum einen war/ist es immer noch eine wandelnde Beta, zum anderen ist das normale Gästeportal eigentlich schon umfangreich genug dafür.

    Ich habe bei mir dafür entweder einen/mehrere Gastnutzer fürs WLAN erstellt (WPA2-Enterprise loggt sich ja mit User/PW ein) - oder für ein reines Gästeportal wenns ganz einfach sein soll simple Portalseite mit "Wehe du machst Müll dann Kopf ab" und MAC Adresse speichern. Alles was dann gebraucht wird ist Knopf OK drücken. Schafft prinzipiell jeder :)



  • @jegr Ok schade. Ich dachte du könntest mir mit WPA2-Enterprise und (Free)Radius auf der pfSense helfen. Das ich hier UniFi SDN Support erhalte war ja ohnehin ausserhalb. ;)


  • Rebel Alliance Moderator

    Das wiederum bedingt. WPA2 Enterprise braucht von UniFi Seite aus (bspw. dort als Radius Profil) nur ein paar Dinge:

    • FR3 installiert auf der Sense
    • Einrichtung unter "Interface" für * Port 1812
    • Unter NAS/Clients muss der oder die APs angelegt werden, jeder einzeln mit seiner IP (daher feste IPs für die APs vergeben) und einem shared secret

    Dann müsste die Kommunikation AP->Radius theoretisch schonmal in groben Zügen laufen. WPA2 macht meist EAP - daher im FR3 noch die EAP Konfig anpassen. Default bspw. PEAP, Zertifikate für TLS sollten eh automatisch installiert worden sein, lediglich im letzten Block EAP-PEAP für MSChapv2 kann ich mich erinnern, dass für Unifi der Wert bei use tunneled reply auf Yes sein sollte.

    Anschließend kann man einen User mit PW anlegen (in FR), encryption muss allerdings cleartext sein, da m.W. EAP/MSChap kein gehashtes PW kann.

    Anschließend kann man bei entsprechend konfiguriertem AP/Controller bspw. radius based VLANs machen (beim FR3 User einfach VLAN eintragen - tadaa).

    Das war zwar recht grob, aber die netgate docs haben zu FR3 und OpenVPN auch einen guten Eintrag, den kann man adaptieren für den AP->Radius Part :)

    Ansonsten fragen wenns wo hängt!



  • Richtig. Ein WPA2 Enterprise ist voraussetzend um den Hacken für Hotspot 2.0 setzen zu können.

    Ich bin nach diesem YT-Video vorgegangen https://www.youtube.com/watch?v=qCTsyW65WbA

    ..hab allerdings CaptivPortal beiseite gelassen, und -wen ich deinen Post so lese- wahrscheinlich bereits zu viel gemacht hab?

    Was muss ich anders machen als im Vid? Bei mir ist sicher schon mal anders das AP's und Controller (CloudKey) in einem völlig anderen Netz zu hause sind (Gast = IP172/VLAN2). Als NAS/Client habe ich lediglich den Contoller angegeben. Muss da wirklich jeder AP einzeln obwohl durch SDN verwaltet?


  • Rebel Alliance Moderator

    @bordi Da ich im Zug nach Hamburg sitze und dort eine Schulung halte, sind YT Videos eher schlecht, demzufolge kann ich dir leider nicht sagen, ob und was im Vergleich zum Video falsch oder zu viel ist.

    Bei mir ist sicher schon mal anders das AP's und Controller (CloudKey) in einem völlig anderen Netz zu hause sind (Gast = IP172/VLAN2).

    Inwiefern sind Controller und APs in unterschiedlichen Netzen? Der Controller muss ja mit den APs ordentlich reden können, ergo sollten die sich schon im gleichen Netz befinden? Wir haben dafür die APs sowie Controller und Switche ggf. alle in ein Mgmt/Infrastruktur Netz gepackt, in welchem nur die Konfigurations-Interfaces bzw. UIs erreichbar sind und auf welches nur ein extra Admin-VLAN Zugriff hat.
    Die APs sind zusätzlich noch tagged in den entsprechenden VLANs, die sie bedienen sollen bzw. in welchem per Radius-Based-VLAN User sich aufhalten sollen. Also Basis Mgmt Netz und zusätzlich "tagged" die VLANs. Dementsprechend sind die Radius Calls auch alle vom Mgmt Netz aus zur Firewall relativ "safe".

    Muss da wirklich jeder AP einzeln obwohl durch SDN verwaltet?

    Ja, da der Controller mit dem eigentlichen Vorgang der Radius Anmeldung nichts zu tun hat, sondern die APs sobald sie eine Anmeldung vom Client bekommen diesen per EAP/MSChap/PEAP an den Radius weiterschicken zur Autorisierung und nicht über den Umweg Controller kommunizieren (wäre auch fatal, da das heißen würde, dass ohne Controller die APs nicht mehr funktionsfähig sind!).

    Grüße



  • @jegr said in freeRADIUS & UniFi Hotspot 2.0:
    Da ich im Zug nach Hamburg sitze und dort eine Schulung halte, sind YT Videos eher schlecht, ..

    Schade

    Muss da wirklich jeder AP einzeln obwohl durch SDN verwaltet?

    ..und nicht über den Umweg Controller kommunizieren (wäre auch fatal, da das heißen würde, dass ohne Controller die APs nicht mehr funktionsfähig sind!).

    Naja so ist das aber. Ok gut, WLAN rennt auch ohne den Controller weiter. Ich kann mir jedoch kaum vorstellen das Spielereien wie Überwachung, Benachrichtigung oder ein Gästeportal ohne Controller noch funktionieren werden. Daher ist es recht unklug wen dieser Controller in allen VLAN's zu hause ist. Bei mir ist LAN das Admin-VLAN. Contoller & AP beziehen daraus ein fest vorgegeben IP. Daneben gibt es Kinder VLAN, Gäste VLAN und Firmen VLAN. Alle auch Kabelseitig tagged und mit eigenem DHCP/IP-Adress-Raum/DNS. Wenn sich nun ein Gast anmelden möchte, muss ich dafür in pfS eine Regel schreiben das VLAN30 (gäste) auf den Contoller in VLAN1 (untagged) auf port 8880 (login portal) zugreifen darf.
    IDie Vorstellung daß ich lediglich den Contoller als NAS/Client eintragen muss, liegt für mich entsprechend nahe. Anders wäre mir dies nicht logisch, da die UniFi APs -anders als beispielsweise die von NetGeier- keine eigen Webgui besitzen, und anstelle dessen über den "externen" Controller konfiguriert werden.


Log in to reply