[solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?
-
@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.
Warum das? Nur weil er Cloud heißt, muss er das ja nicht automatisch auch tun ;)
Nee, ist eigendlich ne Kostenfrage, noch ein Device was rumliegt und Strom frisst, Kopfsache eben.
Und meine gelesen zu haben, dass der alte Cloudkey regelmässig muckt, SD-Cards schrottet sowas eben. Habe es aber nicht weiter verfolgt.
Sowas integriert in ein 8Port PoE Switch, eventuell könnte jemand da schwach werden. :)
-
@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Nee, ist eigendlich ne Kostenfrage, noch ein Device was rumliegt und Strom frisst, Kopfsache eben.
Ach deshalb. OK :) Zum alten Cloudkey kann ich wenig sagen, wir haben den bei 2 Kunden im Einsatz bislang problemlos. Würde aber den neuen Key empfehlen da der mehr Bums hat und noch dazu ein Display mit Statusanzeige was der Usability schon sehr zuträglich ist :D
Wäre aber auch nicht abgeneigt sowas in einem 24er oder 48er Unifi Switch integriert zu sehen. Das wär ne feine Sache. -
Muhuhuahahahaaa... es loooooft. :)
Controller auf ne RPI gepackt. VLAN ID 5 fürs Management erzeugt, RPI in dieses Netz verschoben und untagged an den APs, ID 10 für LAN und 200 für Gäste tagged, neue Clients in der Sense erstellt, den Usern die VLAN ID zugewiesen, fein rebootet, läuft.
Jens, einen Riesendank von mir. Du bist mein heutiger Held.
Hatte die Gäste SSID mit der VLAN ID nicht gelöscht, Anfängerfehler. Da ging es nicht, erst nach dem löschen.
Hier ist zum Glück, bis auf ein MusicCast Device im Garten alles verkabelt, wer hätte damals daran gedacht, ein Verlegekabel in die Laube zu ziehen... :) Genau, keine Sau.
Eine Frage noch zum Thema Management. Der Controller läuft hier Netz von VLAN ID 5, was kommt noch hier rein ausser die APs, die Switches? Die laufen noch im default VLAN ID 1, wie die Sense auch. Macht es Sinn, alles auf die ID 5 zu packen? die Frage geht auch an die Mitleser hier, wie macht ihr das?
Mike
-
@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Die laufen noch im default VLAN ID 1, wie die Sense auch. Macht es Sinn, alles auf die ID 5 zu packen? die Frage geht auch an die Mitleser hier, wie macht ihr das?
Wenn du safety first machen möchtest, würde ich alles was management macht (Switch management ports etc.) in dein neues VLAN5 packen. Wenn du dazu noch richtig sicher fahren willst, machst du mit VLAN1 / default gar nichts, sondern lässt es tot. Also quasi ein dummy, was nicht konfiguriert ist, wird nicht laufen. Ist auch ein einfacher block um unkonfigurierte Ports oder Switche ohne 802.1x quasi ein bisschen sicherer zu machen. Ports auf default/1 lassen, wer was einsteckt hat erstmal ... nix. Erst wenn der Port entsprechend sauber konfiguriert ist (10, 200 o.ä.), dann wuppt auch was. Mgmt VLAN noch mit auf die Sense packen und Zugriff von 10->5 von deinem spezifischen PC/Laptop o.ä. aus erlauben, dann kommt auch sonst keiner da ran. Oder sogar ganz hart nur aus dem Netz selbst erlauben via Laptop mit Port im VLAN5. Boom ;)
Nebenbei: Freut mich, dass meine oftmals long-as-fuck großen Posts über Schund den ich hier im Lab oder Homeoffice treibe manch einen weiterbringt :D Sowas Positives liest man selten, sonst wird ja eher mal gemeckert ;) Also auch danke dafür, @mike69
-
Besser so als ein lumpiges "RTFM". Nicht jeder ist mit 4 Doppeladern als Nabelschnur geboren, zumal mein Schulenglisch schon ewig her ist. Da weisst du manchmal nicht, was die wollen...
Vor 2 Wochen wusste ich noch nicht mal, das so was geht. :)
Aber wenn du über den Berg bist, stehst du vor dem nächsten. Dieses MusicCast Gelumpe kommt zwar mit mehreren SSIDs klar, aber nicht mit mehreren Netzen. Es wird komplett über eine App gesteuert, und die muss im gleichen Netz sein. Einzige Möglichkeit, die mir einfällt, ist in deren WLAN zu krabbeln. Wer Alternativen hat....
Zum Thema DLNA: Nutze minidlna aka ReadyMedia am NAS zum verteilen der Medien, und kein Gerät hier ist in der Lage, Subnet übergreifend damit um zugehen. Bin echt beeindruckt.
Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.Noc ein langer Weg...
Mike
-
@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Wer Alternativen hat....
Wie gesagt: uPNP und/oder IGMP Proxy ausprobieren. Der "automagisch" Kram wie auch Chromecast und Co machen eigentlich gern Multicast und/oder Autodiscovery etc. und dazu dann eben IGMP Proxy und uPNP oder noch Avahi mit dazu (für mDNS).
Müsste man experimentieren, was genau es braucht.
und kein Gerät hier ist in der Lage, Subnet übergreifend damit um zugehen.
Wie oben beschrieben, DLNA baut das m.W. auch via Multicast oder mDNS auf - bist du nicht im Subnet bekommst du die Broadcasts/Multicasts nicht mit.
Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.
Ist/war/wird tatsächlich auch mein Plan sein. Das große NAS einfach mit einem Bein ins Mgmt, Doppelbein mit Bond ins LAN und ein Bein für so Cast-Gedöns ins Media Netz. Spart man sich den Murks mit weiterziehen, von Firewall Betrachtung her ist es aber natürlich böse, weil man Brücken baut wo keine hin sollen. Einen Tod...
Um mal was ganz anderes einzuwerfen: Das ist der Grund, warum mir tatsächlich - obwohl lange abwegig gewesen - der Sonos Kram wirklich inzwischen ans Herz gewachsen ist. Ja, die machen auch Autodiscovery und Dark Magic (TM) aber das kann ich "kompensieren" indem ich nen Sonos Controller (sprich nen Smartphone, Tablet o.ä.) einfach mit ins Media Netz dazuhänge bzw. eben mein Smartphone mal vom normalen WiFi ins Media Wifi stecke (muss ja eh ne extra SSID haben wegen Altgerätemurks). Switcht man rüber, startet Sonos App, stellt ein, fertig und gut.
Somit theoretisch erstmal nicht soo viel gewonnen, oder? Doch, denn was die Kisten echt saugut können sind alle möglichen Streaming Dienste und lokale Files. SMB/CIFS Share vom NAS reingemountet, Suchlauf angestoßen, ganze Bibliothek an MP3s und Co gefunden und eingelesen. BAM sofort streambar in jedem Zimmer. Und das Windows Share können die einfach per IP mounten. Problemlos. Kein uPNP, DLNA oder sonstwas rumgemucke. Ansonsten noch Audible, Spotify und Co drangeflanscht und voilà fertig ist die Mediensuppe für Frau und Kinder. Und das Zeug wuppt super.Gegen-Standard-Argument: Blabla nicht offline nutzbar ohne Account blubb tröt. Ja man braucht nen Account. Bei Sonos. Die keine Benutzerdaten wollten von mir. Erst als ich tatsächlich noch nen Brüllwürfel gekauft habe, musste ich überhaupt mal Daten eintragen. Vorher völlig wumpe, nur Mail+PW und nen Namen. Also weniger als jeder Online Shop. Und dann verbinde ich mit dem kostenlosen Account dann einfach die Musikdienste über deren API. Gebe also auch keine Daten aus der Hand. Da gibts glaube ich fiesere Datenschweine als die Kisten. Ohne Internet sind die dann zwar nur begrenzt nutzbar (weil kein Streaming - haha...) aber wenn man bspw. die Beam als Soundbar für nen Fernseher hat ist das echt mal ein saftiger Mehrnutzen den ich nicht gedacht hätte. Und wie gesagt, klappt eben für Musik auch normal via IP und NFS/SMB/CIFS. Nur für Multiroom und Controller brauchts entweder ein bisschen Magie wieder um über Netzgrenzen zu wandeln oder man hängt einfach sein Handy, Tablet o.ä. einfach kurz ins Media Netz (oder nutzt ein billiges Amazon Mini Tablet dafür. Supergünstig, kann man leicht aufbohren mit richtigem Playstore oder Sideloading von Apps und schwupp hat man nen günstigen 7-10" großen Media Controller. (Wobei Switchen von WLANs wirklich schneller und günstiger ist :D)
So mal als Denkanstöße ;)
-
Moinsen.
@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.
Ist/war/wird tatsächlich auch mein Plan sein. Das große NAS einfach mit einem Bein ins Mgmt, Doppelbein mit Bond ins LAN und ein Bein für so Cast-Gedöns ins Media Netz. Spart man sich den Murks mit weiterziehen, von Firewall Betrachtung her ist es aber natürlich böse, weil man Brücken baut wo keine hin sollen. Einen Tod.
4 Interfaces, nice...
Habe dem NAS ein 2tes, virtuelles Interface im media Netz spendiert. DLNA looft, genau wie die anderen Dienste wie Samba, NFS, etc..Nur zum Verständniss, das Mediaplayer/Sonos/MusicCast/ Geraffel war früher auch da im Netz. Ist jetzt woanders und darf nur auf ein Teil im alten Netz zugreifen. Die paar Devices in ein Alias gepackt greifen, wie hier bei uns, nur auf ein NAS zu. Brauchst ja nur die paar Ports für smb, nfs und Co öffnen, der Rest bleibt dicht.
Bin kein Sicherheitsexperte, würde gern wissen, warum viele bei diesem Thema allergisch reagieren. Ich sichere kein Regierungsgebäude ab, nur mein Heim. Beides genauso wichtig für mich, nur sind die Daten hier für viele uninteressant.
Kenne keinen aus meinem Umfeld, der im privaten Sektor so was wie Firewall, Netzsegmentierung, VLAN oder VPN praktiziert.
.Nur für Multiroom und Controller brauchts entweder ein bisschen Magie wieder um über Netzgrenzen zu wandeln oder man hängt einfach sein Handy, Tablet o.ä. einfach kurz ins Media Netz (oder nutzt ein billiges Amazon Mini Tablet dafür. Supergünstig, kann man leicht aufbohren mit richtigem Playstore oder Sideloading von Apps und schwupp hat man nen günstigen 7-10" großen Media Controller.
Danke für den Denkanstoß.
Einfach ein altes ausrangiertes Tablet zum reinen Mediacontroller degradieren, das passende App drauf, fertig. Keine schlechte Idee...
-
Hab die Dublette mal gelöscht ;)
4 Interfaces, nice...
18xx'er Synology, jap. Würde eigentlich gern down/sidegraden aber niemand möchte das schöne Ding haben, also schlepp ichs halt mit schulterzuck
Bin kein Sicherheitsexperte, würde gern wissen, warum viele bei diesem Thema allergisch reagieren. Ich sichere kein Regierungsgebäude ab, nur mein Heim. Beides genauso wichtig für mich, nur sind die Daten hier für viele uninteressant.
Also da reagiert normalerweise keiner groß allergisch weil es konkrete Punkt2Punkt Beziehungen sind. Nur eben alles in ein getrenntes Netz schieben und dann wieder alles aufmachen damit irgendwelche Apps und so gehen, macht dann meist eben wenig Sinn. Darum mag ich eigentlich nicht erst mit Dingen wie uPNP und IGMPProxy rummachen müssen, sondern lieber Apps wo ich IPs oder DNS eintragen kann die auch funktionieren und keine seltsame Autodiscovery brauchen.
Darum entweder fast-switch vom Smartphone in anderes Netz oder einfach nen altes Handy/Tablet als Controller nehmen. Habe mein altes Firmen-Nexus6 abgekauft für nen Euro, Riesen-Screen und eher unhandlich aber dadurch schon fast ein Mini-Tablet. Wuppt großartig als Sonos Controller. -
@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Hab die Dublette mal gelöscht ;)
Oh, danke. :)
Sonos kann ja glücklicherweise mit Freigaben umgehen, Yamaha leider nicht, deswegen ist so ein UPnP Service nötig. Oder ich wuchte das NAS komplett in das Media Netz, Dienste wie CalDAV oder CardDAV kann ich ja ausgliedern. die IP-Cams schreiben dann auf das NAS im Media Netz, somit bleibt das LAN Netz sauber.
Erstmal das alte Tablet zum MusicCast Controller mutieren lassen. :)
-
So, kleines Feedback.
Läuft seit 4 Tagen ohne zu mucken.
Was mich wundert, ich brauche eine Rule vom Management Netz zu den anderen restlichen Netzen (LAN, MEDIA, IOT, etc) welches UDP erlaubt, sonst funktioniert die Authorisation über Radius nicht. War der Meinung, die Kommunizieren komplett im Management Netz.@JeGr
Strippen schon gelegt? :))
Das Nexus hat schon was, vom display gross genug, mit einer Hand zu bedienen und kontaktlos zu laden, immer voll, wenn man es braucht :). -
BTW: ich habe zu solchen "Infotainment" oder ein wenig mehr "off-topic" Themen mal ein Unterforum angefragt, evtl wenn es nicht zu unübersichtlich wird, können wir da was machen :)
-
Da bin ich mal gespannt. Was auffällt ist, dass sich zu diesem ganzen "Off Topic" noch keiner negativ ausgelassen hat. Eventuell besteht Bedarf für so was.
-
Oder keiner liest es
¯\_(ツ)_/¯
-
Jetzt muss ich mich in den Thread mal einklinken, die Sache mit dem Radius und VLAN hören sich sehr interessant an.
Im Moment hab ich mehrere SSIDs die im Unifi fest ein VLAN taggen, die Benutzer werden über den Radius in der pfSense authentifiziert.
Wenn ich jezt das VLAN auch noch im Unifi aktiviere, muss ich jedem Benutzer dann ein VLAN im Radius zuweisen?
Oder bekommen die Benutzer ohne VLAN im Radius das VLAN von der tagged SSID und der Rest das VLAN vom Radius?Oder muss ich das tagged VLAN der SSID komplett abstellen, wenn dann aber was schieft geht können die Benutzer im Managment Netzwerk landen.
Wie macht ihr das?
-
Moin.
Du musst den User unter Freeradius eine VLAN ID zuweisen.
Weiss es nicht 100%ig, bin der Meinung, wenn Du deinen Usern keine VLAN ID vergibst, landet der User im Mgmt Netz.Du brauchst nur noch eine SSID, aktivierst die VLAN Zuweisung für LAN und WLAN und die User wandern beim authentifizieren in das richtige Netz.
Ganz wichtig, das Mgmt Netz muss eigenständig sein. Es darf nicht in dem WLAN Pool angehören, sonst funktioniert es nicht.
Als Beispiel:
mgmt Netz: VLAN ID 10
WLAN Netz: Alles ausser VLAN ID 10Die anderen VLAN getaggten SSIDs brauchst Du nicht mehr.
Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.Mike
-
@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:
Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.
Ok das hatte ich befürchtet.
Ich wollte faul sein und nur den paar Benutzern welche ins andere VLAN gehören ein Radius VLAN geben und den Rest über das VLAN der SSID abdecken...Das im Fehlerfall die STA's im Managment landen ist nicht schön, aber da gibt es zumindest keine IP Adresse vom DHCP.
Das Risiko ist vermutlich ohnehin sehr gering.