[solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Willkommen zurück im Chaos. :)

    Danke ;) Es geht ja leider direkt weiter. Ich zieh' nie wieder um... 😵

    Welche Logs? Kenne nur die vom Controller.

    Auf der Sense - da schreibt der Radius eigentlich auch mit ob jemand ankommt ;)

    Und WPA Enterprise soll nur im LAN laufen, das Gäste-WLAN ist offen. Die APs haben nur für die Gäste einen VLANID bekommen, fürs normale WLAN-Netz nicht, da die VLANID10 am Netgate untagged ist.

    Warum? Denkanstoß: Gäste bekommen einfach einen User "guest" / "guestpw", das man ab und an mal rotieren kann, dafür kann man sich dann aber deren WLAN SSID sparen (jede SSID raubt Bandbreite) und pusht sie statt dessen direkt an Hand des Client Users in das Gäste VLAN und dort ggf. sogar noch nen Captive Portal reinhauen wenn man möchte. Auch nicht anders als "shared PW" aber damit Gleichbehandlung, eine SSID weniger und flexibler. Wenn jemand häufiger kommt ist schnell mal für ihn ein User erstellt und der in ein anderes VLAN gepackt wenn man das braucht.
    WLAN SSID mit festem VLAN darf aber nicht bei Radius-based VLANs mitgenutzt werden. Beispiel extra SSID für VLAN 123 -> 123 kann nicht für radius-based VLAN verwendet werden und Clients mit dieser VLAN ID im Radius werden nicht klappen.

    Und ja ich habs gesehen:

    Die Bude war durch das ewige testen und probieren total vergurkt. Die Sense neu eingerichet und es looft wie es soll.

    Das war für Mitleser, die das vielleicht bald bei sich selbst versuchen wollen.


    Für ganz Neugierige und Technikhungrige:
    Ich bin wie gesagt am Umziehen. Mehr Platz (Gott sei Dank) und daher auch dieses Mal dann etwas mehr Geld in die Hand nehmen und dann die Räume halbwegs sinnvoll verkabeln. Erstmal zum Umzug das alte Setup größtenteils wieder in Gang bekommen aber bis Herbst/Winter soll das ganze umgerüstet werden auf:

    • Zentraler kleiner 19" Schrank in Niesche bei Wohnzimmer. Dort pfSense, Router-Uplink, Unifi Controller, Switch(e) und Strom sowie NAS etc. reinverbaut und verkabelt
    • kleine Switche (vermutlich 8er) dann für TV Rack, Schlafzimmer und Studio oben, zentral angebunden auf Switch im Schrank.
    • Wenn alles klappt: Alles Unifi Switche, damit zentral managebar und mit Controller/APs verheiratbar

    Sollte das alles klappen, werde ich ggf. auch noch 802.1x MAC Auth anmachen und die Geräte direkt per MAC Adresse ins entsprechende VLAN pappen, damit man die Ports nicht großartig händisch konfigurieren muss. Sprich zukünftig bei neuem Gerät:

    • MAC notieren
    • pfSense Radius auf -> Username/MAC rein, VLAN ID rein
    • pfSense DHCP auf -> MAC rein, IP Zuweisung rein (außer bei mobilen Clients, da ists egal)
    • Fertig

    Habe ich tatsächlich so bei einem Kunden schon laufen, Username und Passwort im Radius ist die MAC Adresse, VLAN ID angegeben und ZACK, Gerät meldet sich am Switch an und wird direkt ins richtige VLAN gepackt. Wenn nicht bekannt landet das Ding in einem Dummy VLAN wo nichts geht außer dass die Geräte sich da untereinander ggf. sehen (à la DHCP unbekannt 169er Adresse).

    Grüße an alle.


  • Rebel Alliance

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Welche Logs? Kenne nur die vom Controller.

    Auf der Sense - da schreibt der Radius eigentlich auch mit ob jemand ankommt ;)

    Ach da, da kam nie was an. Erst nach der Neuinstallation. :)

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Zentraler kleiner 19" Schrank in Niesche bei Wohnzimmer. Dort pfSense, Router-Uplink, Unifi Controller, Switch(e) und Strom sowie NAS etc. reinverbaut und verkabelt

    Im WZ? Du bist ja mutig, so ein 19" Rack ist ja nicht gerade wohnzimmertauglich. Oder beleuchtet eine wechselne LED-Beleuchtung dein Equipment, dazu ein langsamdrehender Lüfter, der sein Schatten an die Decke wirft? :)
    Meine bessere Hälfte würde durchdrehen, daher steht das Rack im HWR gegenüber der Waschmaschine. :)

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Warum? Denkanstoß: Gäste bekommen einfach einen User "guest" / "guestpw", das man ab und an mal rotieren kann, dafür kann man sich dann aber deren WLAN SSID sparen (jede SSID raubt Bandbreite) und pusht sie statt dessen direkt an Hand des Client Users in das Gäste VLAN

    Jep, das wird der nächste Streich. CP soll bleiben wg. den Nutzungsbedingungen, die er wegklicken kann. Der Switch ist nach 9 Jahren abgeraucht, jetzt werkelt ein SG350 im Rack und kleinere Switche werkeln auch verteilt im Haus, im WZ und KiZi hinter den Gerätschaften und ein PoE-Switch im Rack für APs und IP-Cams.

    Wie muss ich das verstehen mit den VLAN ID und der WLAN SSID. Hauptsubnet, wo NAS, RPIs, Notebooks und das ganze Geraffel looft hat die ID 10, das Gastnetz ID 20. Welche VLAN ID muss der AP haben?

    Und wenn Du das 802.1x MAC Auth nutzen möchtest, muss die ganze Kette das können, oder? So ein 108er Netgear kann das bestimmt nicht händeln.

    Mike


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Oder beleuchtet eine wechselne LED-Beleuchtung dein Equipment, dazu ein langsamdrehender Lüfter, der sein Schatten an die Decke wirft? :)

    Nö für so nen Kram hab ich zwar ein Auge (dass mir das gefallen würde), aber der unnötige Stromverbrauch hält mich davon ab. Und in Rechnern finde ichs zwar nett, aber meine stehen meist als BigBlock/Tower unter Tischen/Schränken, dass man da eh nix sieht von - ergo unnötiges Gimmick ;)

    Im WZ? Du bist ja mutig, so ein 19" Rack ist ja nicht gerade wohnzimmertauglich.

    Nicht schlimm da:

    a) das bisherige Equipment lüfterlos ist (alt-Switche sind 1810er HPs ohne Lüfter, Firewall eine scope7-7525 ebenfalls lüfterlos und ansonsten ein paar PIs und nen NUC der noch nie wirklich den Lüfter bemüht hat)
    b) das neue geplante Equipment soll nach Aussage von Leuten aus der Praxis im Normalbetrieb ohne Lüfter laufen (weil wird nicht so warm), aber dafür dann eben Rack weil der Kram dann verpackt im Rack nochmal leiser mit Frontglastür geschlossen
    c) das Rack wird "Silent" weil mit Schalldrückdämmung ausgekleidet. Toplüfter der integriert ist läuft von Noctua - ist ja aus CPU Lüfterkreisen schon einschlägig für Silent-Cooling bekannt ;)
    d) Das Ding steht dann hinter einer Wendeltreppe in der Ecke wo man sonst eh nichts gescheit hinstellen könnte weil man nicht gut hinkommt -> optimale Raumnutzung 😁

    Und da im WoZi meist eh "Grundlärm" durch Fernseher oder Konsolen ist, würde ein wenig Lüfterrauschen gar nicht auffallen. Wichtig ist eher, dass es aus Schlafzimmern und sonstigen Ruheecken raus ist (vor allem wegen Geblinke weniger wegen Lärm) :)

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    CP soll bleiben wg. den Nutzungsbedingungen, die er wegklicken kann.

    Bingo, genau die Idee.

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Welche VLAN ID muss der AP haben?

    Das ist theoretisch erstmal egal. Ich empfehle das so, dass man das "untagged" Netz was default auf den Switchen o.ä. liegt entweder als Tot-Dummy nutzt (wo nichts geht) oder als Management Netz (je nachdem wie sicher man das aufziehen möchte). Ich ziele auf letzteres, also mgmt, da ich ja mit 802.1x die Ports abschalten kann wenn jemand Fremdes dran ist. Dann gibts bspw. LAN, WiFi "LAN", Media, IoT, VPN und Guest sowie Mgmt. Alle einzelne VLAN IDs. Auf dem Port des APs ist jetzt untagged das Mgmt drauf genauso wie auf dem Controller. Sprich: beide können sich via Mgmt erstmal ohne großes Setup problemlos sehen weil default VLAN. Super. Dann adoptiert man den AP und konfiguriert die zusätzlichen VLAN IDs, die der AP später können soll. LAN, WiFi, Media, IoT z.B. LAN ist klar, WiFi ist für mobile Clients die aufs LAN dürfen (durch die Firewall) aber kein Portal oder sonstige Einschränkung bekommen. IoT ist eine Zone für gleichnamiges Spielzeug was den Rest des internen Geraffels nicht sehen muss also isoliert ist, aber vom LAN oder Mgmt aus erreichbar sein soll für Monitoring, Steuerung etc. Media ist das Ausnahmenetz für Konsolen, TVs, Streaming Kisten, die ggf. uPNP brauchen (seufz) und/oder kein 802.1x/EAP via Radius können - gibt leider genug Nonsense Kram der das nicht kann.

    Ist der AP aufgerüstet, kann man jetzt 2 SSIDs machen. Eine generelle mit 802.1x/EAP via Radius und eine SSID die fix auf ein VLAN konfiguriert ist (Media) und mit PSK läuft für Altkram. Dieses VLAN (Media) kann dann von der 802.1x SSID nicht genutzt werden, weil sie direkt vergeben ist.
    Dann auf der pfSense Radius rauf, APs als Client konfiguriert und dann wuppt die Anmeldung im normalen SSID via Radius und je nach User taucht der Client direkt im LAN, WiFi, IoT oder Gästenetz auf. Im Guest VLAN läuft noch das Captive Portal und Log. Mit etwas Einstellung klappt auch alles mit Radius+MD5 Passwort Usern und schon kann ich mit dem gleichen Benutzer mich per VPN anmelden und per WLAN 😁

    Die MAC Auth hatte ich bislang erst beim Kunden ausprobiert und musste etwas rumbasteln, weil Unifi das nirgends konkret drinstehen hatte. Das Problem war, dass ich dachte dass Geräte sich dann da MAC Adresse als Gerät anmelden, also nur ihre MAC senden. Die Unifi Switche senden das aber (vielleicht korrekt, vielleicht Bug - keine Ahnung) als "Useranmeldung", was ich erst mit Debugging gesehen habe. Ergo muss man die Geräte wirklich als User anmelden und als Username und Password jeweils ihre MAC Adresse eintragen. Dann fluppts und die MAC wird angemeldet, die VLAN ID ausgelesen und BOOM ist das Gerät im LAN, IoT Netz oder sonstwas ohne dass ich am Switch konfigurieren muss. Lediglich die Ports müssen vom Profil her auf Radius Auth stehen. Da kann man dann entweder einstellen, dass bei AuthFail automatisch ein sinnvolles VLAN genutzt wird oder kein Failback sondern Portsperrung, was gut für öffentliche Bereiche ist wo jeder Troll irgendwas in die Dose stecken könnte ;)

    Und wenn Du das 802.1x MAC Auth nutzen möchtest, muss die ganze Kette das können, oder? So ein 108er Netgear kann das bestimmt nicht händeln.

    Richtig der Switch muss das können. Gerade die Kleinen 08/15 Switche können es meist nicht (müssen ja mindestens "Smart" oder managebar sein, sonst kann man keinerlei Radius Profil hinterlegen).

    Vielleicht geht es ja sogar mit anderen Switchen die recht günstig sind, solange ich noch keine neuen habe, bin ich für Vorschläge offen, würde es aber schätzen, wenn ich ein zentrales Management hätte :)

    Grüße


  • Rebel Alliance

    Moinsen.

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    ch empfehle das so, dass man das "untagged" Netz was default auf den Switchen o.ä. liegt entweder als Tot-Dummy nutzt (wo nichts geht) oder als Management Netz (je nachdem wie sicher man das aufziehen möchte). Ich ziele auf letzteres, also mgmt, da ich ja mit 802.1x die Ports abschalten kann wenn jemand Fremdes dran ist

    Dann sollte das hier funktionieren, tut es nicht.
    Aktuell ist es so, Hauptnetz ist die VLAN ID10, hier tummelt sich eigendlich alles, APs, NAS, Controller, usw. Für Gäste ist die ID200 vorgesehen. Ein Gastuser wurde eingerichtet mit der VLAN ID 200, der Rest wird von der Sense schon richtig vorgegeben (Tunnel-Type VLAN, Tunnel-Medium-Type 6 bzw. 802). DHCP ist für Gästelan aktiviert und verteilt IPs.
    Unter freeRADIUS/EAP wurden die Option "Use Tunneled Reply" aktiviert

    Wenn sich "gast" jetzt anmeldet, scheint die Authentifizierung zu funktionieren, bekommt aber keine IP zugewiesen. die Frage ist wieso? Oder müssen die ganzen Subnetze tagged im VLAN laufen, Mgmt untagged auf z.B. 5, Standard auf 10 und Gäste auf 200, beide tagged? Muss noch am Switch was eingestellt werden (802.x MAC Auth)?

    Hier der Debug von radiusd:

    (12) Received Access-Request Id 189 from 10.0.10.5:42809 to 10.0.10.1:1812 length 201
    (12)   User-Name = "gast"
    (12)   NAS-Identifier = "b4fbe448f2b0"
    (12)   Called-Station-Id = "B4-FB-E4-48-F2-B0:1"
    (12)   NAS-Port-Type = Wireless-802.11
    (12)   Service-Type = Framed-User
    (12)   Calling-Station-Id = "D8-CE-3A-90-44-48"
    (12)   Connect-Info = "CONNECT 0Mbps 802.11b"
    (12)   Acct-Session-Id = "D22E71EC1F032BC8"
    (12)   WLAN-Pairwise-Cipher = 1027076
    (12)   WLAN-Group-Cipher = 1027076
    (12)   WLAN-AKM-Suite = 1027073
    (12)   Framed-MTU = 1400
    (12)   EAP-Message = 0x02ad00060319
    (12)   State = 0x90c55b5a90685f4d33654cb47c00c38e
    (12)   Message-Authenticator = 0x54941e9cdcb0fd482023af5724fad988
    (12) session-state: No cached attributes
    (12) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
    (12)   authorize {
    (12)     [preprocess] = ok
    (12)     [chap] = noop
    (12)     [mschap] = noop
    (12)     [digest] = noop
    (12) suffix: Checking for suffix after "@"
    (12) suffix: No '@' in User-Name = "gast", skipping NULL due to config.
    (12)     [suffix] = noop
    (12) ntdomain: Checking for prefix before "\"
    (12) ntdomain: No '\' in User-Name = "gast", skipping NULL due to config.
    (12)     [ntdomain] = noop
    (12) eap: Peer sent EAP Response (code 2) ID 173 length 6
    (12) eap: No EAP Start, assuming it's an on-going EAP conversation
    (12)     [eap] = updated
    (12) files: users: Matched entry gast at line 22
    (12)     [files] = ok
    rlm_counter: Entering module authorize code
    rlm_counter: Could not find Check item value pair
    (12)     [daily] = noop
    rlm_counter: Entering module authorize code
    rlm_counter: Could not find Check item value pair
    (12)     [weekly] = noop
    rlm_counter: Entering module authorize code
    rlm_counter: Could not find Check item value pair
    (12)     [monthly] = noop
    rlm_counter: Entering module authorize code
    rlm_counter: Could not find Check item value pair
    (12)     [forever] = noop
    (12)     if (&request:Calling-Station-Id == &control:Calling-Station-Id) {
    (12)     ERROR: Failed retrieving values required to evaluate condition
    (12)     [expiration] = noop
    (12)     [logintime] = noop
    (12) pap: WARNING: Auth-Type already set.  Not setting to PAP
    (12)     [pap] = noop
    (12)   } # authorize = updated
    (12) Found Auth-Type = eap
    (12) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
    (12)   authenticate {
    (12) eap: Expiring EAP session with state 0x90c55b5a90685f4d
    (12) eap: Finished EAP session with state 0x90c55b5a90685f4d
    (12) eap: Previous EAP request found for state 0x90c55b5a90685f4d, released from the list
    (12) eap: Peer sent packet with method EAP NAK (3)
    (12) eap: Found mutually acceptable type PEAP (25)
    (12) eap: Calling submodule eap_peap to process data
    (12) eap_peap: Initiating new EAP-TLS session
    (12) eap_peap: [eaptls start] = request
    (12) eap: Sending EAP Request (code 1) ID 174 length 6
    (12) eap: EAP session adding &reply:State = 0x90c55b5a916b424d
    (12)     [eap] = handled
    (12)   } # authenticate = handled
    (12) Using Post-Auth-Type Challenge
    (12) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
    (12)   Challenge { ... } # empty sub-section is ignored
    (12) Sent Access-Challenge Id 189 from 10.0.10.1:1812 to 10.0.10.5:42809 length 0
    (12)   Tunnel-Type = VLAN
    (12)   Tunnel-Medium-Type = IEEE-802
    (12)   Tunnel-Private-Group-Id = "200"
    (12)   EAP-Message = 0x01ae00061920
    (12)   Message-Authenticator = 0x00000000000000000000000000000000
    (12)   State = 0x90c55b5a916b424d33654cb47c00c38e
    (12) Finished request
    Waking up in 4.9 seconds.
    

    Jetzt das nächste Problem, müssen NAS mit dem UNIFI Controller im gleichen Subnet (Mgmt) wie die APs laufen? Erkennt der Controller die APs im anderen Subnet? Wie verteile ich dann die Mucke vom NAS per DLNA in die anderen Subnetze? Wieso ist die Erde rund und keine Scheibe?🙂
    Meine Frau hat Urlaub, wenn ich ihr WLAN klaue, dann ist Polen offen, dann gibt es nur Theater hier, nichts mit try and error...

    Wenn die Fragen geklärt sind und es looft, wäre das ein Howto wert.🤘

    Und wie differenzierst Du Media mit IoT? Für mich eigendlich das selbe.🤔 Was ist für dich IoT?

    Der Netgear GS108PE ist managed, VLAN tagging, IGMP Snooping, Multicast, QvS, sowas kann er, aber kein MAC Auth.

    Mike


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Oder müssen die ganzen Subnetze tagged im VLAN laufen, Mgmt untagged auf z.B. 5, Standard auf 10 und Gäste auf 200, beide tagged? Muss noch am Switch was eingestellt werden (802.x MAC Auth)?

    Das Mgmt läuft untagged, damit sich AP und Controller sauber finden (außerdem muss der Controller nur im Mgmt laufen IMHO). Die anderen Netze laufen dann tagged auf dem Port des APs.

    Jetzt das nächste Problem, müssen NAS mit dem UNIFI Controller im gleichen Subnet (Mgmt) wie die APs laufen?

    Nö. Mein NAS steht im LAN. AP steht untagged im Mgmt und tagged in den VLANs LAN, WiFi, Guest, etc. Sobald angemeldet ist der Client bspw. im LAN und findet da auch das NAS problemlos.

    Erkennt der Controller die APs im anderen Subnet?

    Muss er nicht, die APs laufen untagged (also fürs Management/Adoption etc.) im gleichen Mgmt Netz wie der Controller.

    Wie verteile ich dann die Mucke vom NAS per DLNA in die anderen Subnetze?

    Meh. DLNA ist wieder so ne Sache... Entweder die Clients können ordentliches IP / DNS, dann gibts gar kein Problem, oder wenn automagische Sachen gebraucht werden, wirds wohl mit uPNP und Co laufen müssen. Ggf. IGMP Proxy oder/und uPNP.

    Wenn die Fragen geklärt sind und es looft, wäre das ein Howto wert.🤘

    Wenn ich das Haus neu verstrippe und das neue Equipment da ist, schreib ich ggf. nen Blog drüber.

    Und wie differenzierst Du Media mit IoT? Für mich eigendlich das selbe.🤔 Was ist für dich IoT?

    Toaster, Kühlschränke, Wetterstation, Kleinstgerätegedöns, Sachen die superdupertoll IP sprechen können es aber besser nicht sollten (TM).
    Nee im Ernst IoT sind Sachen, die eben wie gesagt ins Internet müssen, aber keinen Zugriff auf andere Netze brauchen. Bspw. nen Hausautomatisierungsdingens. Wetterstation. Licht. Hat nichts im LAN o.ä. zu tun, muss aber ggf. ins Internet (oder auch nicht! auch wichtig!) und soll nur über LAN/WLAN ggf. erreichbar sein (man will ja Licht anmachen).

    Praxisbeispiel:

    IoT:

    • Wettersensor
    • Licht
    • Schaltbare Steckdosen
    • Hausautomatisierung
    • => Ist IoT
    • darf/muss nicht ins Internet (außer mal für nen Update)
    • muss aus LAN/WLAN erreichbar sein, soll aber aus Security isoliert sein.

    Media:

    • Sonos Systeme (IKEA macht da jetzt auch was... ;))
    • Chromecast
    • Android TV
    • Kodi
    • Konsolen
    • => Media
    • muss ins Internet
    • darf bis auf Ausnahmen nichts im LAN etc. erreichen (evtl NAS wegen Dateifreigaben für Sonos/Kodi und Co.)
    • Hat ggf. Bedarf für uPNP/NATPnP wegen Online Spielen (Konsolen), eingegrenzt auf notwendige IPs/Konsolen

    WiFi:

    • Mobile Geräte
    • Dürfen auf gewisse Geräte im LAN
    • Ansonsten Freigabe für Internet
    • Ggf. anderer DNS (pfBNG bzw. PiHole)
    • Für interne Benutzer

    Guest:

    • Mobile Geräte
    • Ggf. auch LAN Ports für Gäste
    • Haben Captive Portal
    • werden ggf. geloggt (Portal)
    • Haben ggf. gar keinen internen DNS, sondern direkt externen (OpenDNS, CF, Google, whatever)
    • Komplett isoliert von anderen internen VLANs

    Damit wirds wahrscheinlich klarer. Es geht um "Compartmentalizing" also um sicherheitstechnische Isolation bzw. Segmentierung in kleinere Gruppen mit Abgrenzungen und um die Frage von-wo-nach-wo muss man können/dürfen. Teils kann auch Mikrosegmentierung hilfreich sein auch wenn mehr Aufwand.

    Der Netgear GS108PE ist managed, VLAN tagging, IGMP Snooping, Multicast, QvS, sowas kann er, aber kein MAC Auth.

    Meh ärgerlich. Aber das ist der Grund warum ich meine Switche auch tauschen möchte. Und weil ich nach Möglichkeit alles aus einem Controller heraus steuern möchte. Zumal der neue CloudKey Gen 2 von Unifi auch ein nettes kleines Display hat und nun auch via Mobile gesteuert werden kann. :) Bin aber anderen Vorschlägen nach wie vor offen ;)


  • Rebel Alliance

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Jetzt das nächste Problem, müssen NAS mit dem UNIFI Controller im gleichen Subnet (Mgmt) wie die APs laufen?

    Nö. Mein NAS steht im LAN. AP steht untagged im Mgmt und tagged in den VLANs LAN, WiFi, Guest, etc. Sobald angemeldet ist der Client bspw. im LAN und findet da auch das NAS problemlos.

    Erkennt der Controller die APs im anderen Subnet?

    Muss er nicht, die APs laufen untagged (also fürs Management/Adoption etc.) im gleichen Mgmt Netz wie der Controller.

    Der Controller ist auf dem NAS installiert. Also 2 VLAN (LAN und Media) auf dem NAS erstellen zum bedienen die anderen Subnets. Oder verfrachte den Controller auf ne RPI, das sind die 2 Möglichkeiten. Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.
    Kodi greift über NFS auf die NAS zu, das geht Subnet übergreifend. Die Security-Cams drücken die Bilder per FTP (Ja, ich weiss...☺ ) auf den NAS, geht auch problemlos übergreifend

    Danke für die Definition zur IoT. 👍 ☺
    War mir bis dahin noch nicht so bewusst, dachte die Smart TVs auch darunter fallen. wieder was gelernt.

    Also langsam entwickelt sich ein Plan, Mgmt VLAN ID erstellen, alles umswitchen was muss, LAN und Gäste taggen, dann sehen wir weiter.

    Übrigens, der Procurve 1810G ist bei uns nach gut 9 Jahren abgeraucht. Schade eigendlich, der Cisco ist ganz schön fordernd, die Möglichkeiten sind erschlagend. :)

    Mike


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.

    Warum das? Nur weil er Cloud heißt, muss er das ja nicht automatisch auch tun ;)

    War mir bis dahin noch nicht so bewusst, dachte die Smart TVs auch darunter fallen. wieder was gelernt.

    Der hängt bei mir auch im Media - weil Media ;) Gibt aber inzwischen Kram, den ich einerseits cool finde/fände, aber der m.E. nichts im Internet zu tun hat, nur weils ne Netzwerkbuchse hat (oder der Hersteller davon träumt). Gerade Heimautomatisierung fern von Alexa und Co. (also kein "Alexa koch Kaffee"), sondern eher mit zentralen Bedienelementen oder Steckdosen-/Licht-/Wettersteuerung ist schon recht schick, aber da würde ich höchstens per VPN drauf zugreifen wollen - nicht ins Netz hängen. Daher Segmentierung und gut.

    Übrigens, der Procurve 1810G ist bei uns nach gut 9 Jahren abgeraucht.

    Oh schade :( Meine beiden 1810/24er sind beide noch völlig entspannt dabei, wären auch ganz nett, aber von zentralem Management wissen die leider nichts ;)


  • Rebel Alliance

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.

    Warum das? Nur weil er Cloud heißt, muss er das ja nicht automatisch auch tun ;)

    Nee, ist eigendlich ne Kostenfrage, noch ein Device was rumliegt und Strom frisst, Kopfsache eben.

    Und meine gelesen zu haben, dass der alte Cloudkey regelmässig muckt, SD-Cards schrottet sowas eben. Habe es aber nicht weiter verfolgt.

    Sowas integriert in ein 8Port PoE Switch, eventuell könnte jemand da schwach werden. :)


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Nee, ist eigendlich ne Kostenfrage, noch ein Device was rumliegt und Strom frisst, Kopfsache eben.

    Ach deshalb. OK :) Zum alten Cloudkey kann ich wenig sagen, wir haben den bei 2 Kunden im Einsatz bislang problemlos. Würde aber den neuen Key empfehlen da der mehr Bums hat und noch dazu ein Display mit Statusanzeige was der Usability schon sehr zuträglich ist :D
    Wäre aber auch nicht abgeneigt sowas in einem 24er oder 48er Unifi Switch integriert zu sehen. Das wär ne feine Sache.


  • Rebel Alliance

    Muhuhuahahahaaa... es loooooft. :)

    Controller auf ne RPI gepackt. VLAN ID 5 fürs Management erzeugt, RPI in dieses Netz verschoben und untagged an den APs, ID 10 für LAN und 200 für Gäste tagged, neue Clients in der Sense erstellt, den Usern die VLAN ID zugewiesen, fein rebootet, läuft.

    Jens, einen Riesendank von mir.🙏 Du bist mein heutiger Held.☺

    Hatte die Gäste SSID mit der VLAN ID nicht gelöscht, Anfängerfehler. Da ging es nicht, erst nach dem löschen.

    Hier ist zum Glück, bis auf ein MusicCast Device im Garten alles verkabelt, wer hätte damals daran gedacht, ein Verlegekabel in die Laube zu ziehen... :) Genau, keine Sau.😁

    Eine Frage noch zum Thema Management. Der Controller läuft hier Netz von VLAN ID 5, was kommt noch hier rein ausser die APs, die Switches? Die laufen noch im default VLAN ID 1, wie die Sense auch. Macht es Sinn, alles auf die ID 5 zu packen? die Frage geht auch an die Mitleser hier, wie macht ihr das?

    Mike


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Die laufen noch im default VLAN ID 1, wie die Sense auch. Macht es Sinn, alles auf die ID 5 zu packen? die Frage geht auch an die Mitleser hier, wie macht ihr das?

    Wenn du safety first machen möchtest, würde ich alles was management macht (Switch management ports etc.) in dein neues VLAN5 packen. Wenn du dazu noch richtig sicher fahren willst, machst du mit VLAN1 / default gar nichts, sondern lässt es tot. Also quasi ein dummy, was nicht konfiguriert ist, wird nicht laufen. Ist auch ein einfacher block um unkonfigurierte Ports oder Switche ohne 802.1x quasi ein bisschen sicherer zu machen. Ports auf default/1 lassen, wer was einsteckt hat erstmal ... nix. Erst wenn der Port entsprechend sauber konfiguriert ist (10, 200 o.ä.), dann wuppt auch was. Mgmt VLAN noch mit auf die Sense packen und Zugriff von 10->5 von deinem spezifischen PC/Laptop o.ä. aus erlauben, dann kommt auch sonst keiner da ran. Oder sogar ganz hart nur aus dem Netz selbst erlauben via Laptop mit Port im VLAN5. Boom ;)

    Nebenbei: Freut mich, dass meine oftmals long-as-fuck großen Posts über Schund den ich hier im Lab oder Homeoffice treibe manch einen weiterbringt :D Sowas Positives liest man selten, sonst wird ja eher mal gemeckert ;) Also auch danke dafür, @mike69


  • Rebel Alliance

    Besser so als ein lumpiges "RTFM". Nicht jeder ist mit 4 Doppeladern als Nabelschnur geboren, zumal mein Schulenglisch schon ewig her ist. Da weisst du manchmal nicht, was die wollen...

    Vor 2 Wochen wusste ich noch nicht mal, das so was geht. :)

    Aber wenn du über den Berg bist, stehst du vor dem nächsten. Dieses MusicCast Gelumpe kommt zwar mit mehreren SSIDs klar, aber nicht mit mehreren Netzen. Es wird komplett über eine App gesteuert, und die muss im gleichen Netz sein. Einzige Möglichkeit, die mir einfällt, ist in deren WLAN zu krabbeln. Wer Alternativen hat....

    Zum Thema DLNA: Nutze minidlna aka ReadyMedia am NAS zum verteilen der Medien, und kein Gerät hier ist in der Lage, Subnet übergreifend damit um zugehen. 👍 Bin echt beeindruckt.
    Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.

    Noc ein langer Weg...

    Mike


  • LAYER 8 Moderator

    @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Wer Alternativen hat....

    Wie gesagt: uPNP und/oder IGMP Proxy ausprobieren. Der "automagisch" Kram wie auch Chromecast und Co machen eigentlich gern Multicast und/oder Autodiscovery etc. und dazu dann eben IGMP Proxy und uPNP oder noch Avahi mit dazu (für mDNS).

    Müsste man experimentieren, was genau es braucht.

    und kein Gerät hier ist in der Lage, Subnet übergreifend damit um zugehen.

    Wie oben beschrieben, DLNA baut das m.W. auch via Multicast oder mDNS auf - bist du nicht im Subnet bekommst du die Broadcasts/Multicasts nicht mit.

    Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.

    Ist/war/wird tatsächlich auch mein Plan sein. Das große NAS einfach mit einem Bein ins Mgmt, Doppelbein mit Bond ins LAN und ein Bein für so Cast-Gedöns ins Media Netz. Spart man sich den Murks mit weiterziehen, von Firewall Betrachtung her ist es aber natürlich böse, weil man Brücken baut wo keine hin sollen. Einen Tod...

    Um mal was ganz anderes einzuwerfen: Das ist der Grund, warum mir tatsächlich - obwohl lange abwegig gewesen - der Sonos Kram wirklich inzwischen ans Herz gewachsen ist. Ja, die machen auch Autodiscovery und Dark Magic (TM) aber das kann ich "kompensieren" indem ich nen Sonos Controller (sprich nen Smartphone, Tablet o.ä.) einfach mit ins Media Netz dazuhänge bzw. eben mein Smartphone mal vom normalen WiFi ins Media Wifi stecke (muss ja eh ne extra SSID haben wegen Altgerätemurks). Switcht man rüber, startet Sonos App, stellt ein, fertig und gut.
    Somit theoretisch erstmal nicht soo viel gewonnen, oder? Doch, denn was die Kisten echt saugut können sind alle möglichen Streaming Dienste und lokale Files. SMB/CIFS Share vom NAS reingemountet, Suchlauf angestoßen, ganze Bibliothek an MP3s und Co gefunden und eingelesen. BAM sofort streambar in jedem Zimmer. Und das Windows Share können die einfach per IP mounten. Problemlos. Kein uPNP, DLNA oder sonstwas rumgemucke. Ansonsten noch Audible, Spotify und Co drangeflanscht und voilà fertig ist die Mediensuppe für Frau und Kinder. Und das Zeug wuppt super.

    Gegen-Standard-Argument: Blabla nicht offline nutzbar ohne Account blubb tröt. Ja man braucht nen Account. Bei Sonos. Die keine Benutzerdaten wollten von mir. Erst als ich tatsächlich noch nen Brüllwürfel gekauft habe, musste ich überhaupt mal Daten eintragen. Vorher völlig wumpe, nur Mail+PW und nen Namen. Also weniger als jeder Online Shop. Und dann verbinde ich mit dem kostenlosen Account dann einfach die Musikdienste über deren API. Gebe also auch keine Daten aus der Hand. Da gibts glaube ich fiesere Datenschweine als die Kisten. Ohne Internet sind die dann zwar nur begrenzt nutzbar (weil kein Streaming - haha...) aber wenn man bspw. die Beam als Soundbar für nen Fernseher hat ist das echt mal ein saftiger Mehrnutzen den ich nicht gedacht hätte. Und wie gesagt, klappt eben für Musik auch normal via IP und NFS/SMB/CIFS. Nur für Multiroom und Controller brauchts entweder ein bisschen Magie wieder um über Netzgrenzen zu wandeln oder man hängt einfach sein Handy, Tablet o.ä. einfach kurz ins Media Netz (oder nutzt ein billiges Amazon Mini Tablet dafür. Supergünstig, kann man leicht aufbohren mit richtigem Playstore oder Sideloading von Apps und schwupp hat man nen günstigen 7-10" großen Media Controller. (Wobei Switchen von WLANs wirklich schneller und günstiger ist :D)

    So mal als Denkanstöße ;)


  • Rebel Alliance

    Moinsen.

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.

    Ist/war/wird tatsächlich auch mein Plan sein. Das große NAS einfach mit einem Bein ins Mgmt, Doppelbein mit Bond ins LAN und ein Bein für so Cast-Gedöns ins Media Netz. Spart man sich den Murks mit weiterziehen, von Firewall Betrachtung her ist es aber natürlich böse, weil man Brücken baut wo keine hin sollen. Einen Tod.

    4 Interfaces, nice...☺
    Habe dem NAS ein 2tes, virtuelles Interface im media Netz spendiert. DLNA looft, genau wie die anderen Dienste wie Samba, NFS, etc..

    Nur zum Verständniss, das Mediaplayer/Sonos/MusicCast/ Geraffel war früher auch da im Netz. Ist jetzt woanders und darf nur auf ein Teil im alten Netz zugreifen. Die paar Devices in ein Alias gepackt greifen, wie hier bei uns, nur auf ein NAS zu. Brauchst ja nur die paar Ports für smb, nfs und Co öffnen, der Rest bleibt dicht.

    Bin kein Sicherheitsexperte, würde gern wissen, warum viele bei diesem Thema allergisch reagieren. Ich sichere kein Regierungsgebäude ab, nur mein Heim. Beides genauso wichtig für mich, nur sind die Daten hier für viele uninteressant.
    Kenne keinen aus meinem Umfeld, der im privaten Sektor so was wie Firewall, Netzsegmentierung, VLAN oder VPN praktiziert.
    .

    Nur für Multiroom und Controller brauchts entweder ein bisschen Magie wieder um über Netzgrenzen zu wandeln oder man hängt einfach sein Handy, Tablet o.ä. einfach kurz ins Media Netz (oder nutzt ein billiges Amazon Mini Tablet dafür. Supergünstig, kann man leicht aufbohren mit richtigem Playstore oder Sideloading von Apps und schwupp hat man nen günstigen 7-10" großen Media Controller.

    Danke für den Denkanstoß. 👍

    Einfach ein altes ausrangiertes Tablet zum reinen Mediacontroller degradieren, das passende App drauf, fertig. Keine schlechte Idee...☺


  • LAYER 8 Moderator

    Hab die Dublette mal gelöscht ;)

    4 Interfaces, nice...☺

    18xx'er Synology, jap. Würde eigentlich gern down/sidegraden aber niemand möchte das schöne Ding haben, also schlepp ichs halt mit schulterzuck

    Bin kein Sicherheitsexperte, würde gern wissen, warum viele bei diesem Thema allergisch reagieren. Ich sichere kein Regierungsgebäude ab, nur mein Heim. Beides genauso wichtig für mich, nur sind die Daten hier für viele uninteressant.

    Also da reagiert normalerweise keiner groß allergisch weil es konkrete Punkt2Punkt Beziehungen sind. Nur eben alles in ein getrenntes Netz schieben und dann wieder alles aufmachen damit irgendwelche Apps und so gehen, macht dann meist eben wenig Sinn. Darum mag ich eigentlich nicht erst mit Dingen wie uPNP und IGMPProxy rummachen müssen, sondern lieber Apps wo ich IPs oder DNS eintragen kann die auch funktionieren und keine seltsame Autodiscovery brauchen.
    Darum entweder fast-switch vom Smartphone in anderes Netz oder einfach nen altes Handy/Tablet als Controller nehmen. Habe mein altes Firmen-Nexus6 abgekauft für nen Euro, Riesen-Screen und eher unhandlich aber dadurch schon fast ein Mini-Tablet. Wuppt großartig als Sonos Controller.


  • Rebel Alliance

    @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Hab die Dublette mal gelöscht ;)

    Oh, danke. :)

    Sonos kann ja glücklicherweise mit Freigaben umgehen, Yamaha leider nicht, deswegen ist so ein UPnP Service nötig. Oder ich wuchte das NAS komplett in das Media Netz, Dienste wie CalDAV oder CardDAV kann ich ja ausgliedern. die IP-Cams schreiben dann auf das NAS im Media Netz, somit bleibt das LAN Netz sauber.

    Erstmal das alte Tablet zum MusicCast Controller mutieren lassen. :)


  • Rebel Alliance

    So, kleines Feedback.

    Läuft seit 4 Tagen ohne zu mucken.
    Was mich wundert, ich brauche eine Rule vom Management Netz zu den anderen restlichen Netzen (LAN, MEDIA, IOT, etc) welches UDP erlaubt, sonst funktioniert die Authorisation über Radius nicht. War der Meinung, die Kommunizieren komplett im Management Netz.

    @JeGr
    Strippen schon gelegt? :))
    Das Nexus hat schon was, vom display gross genug, mit einer Hand zu bedienen und kontaktlos zu laden, immer voll, wenn man es braucht :).


  • LAYER 8 Moderator

    BTW: ich habe zu solchen "Infotainment" oder ein wenig mehr "off-topic" Themen mal ein Unterforum angefragt, evtl wenn es nicht zu unübersichtlich wird, können wir da was machen :)


  • Rebel Alliance

    Da bin ich mal gespannt. Was auffällt ist, dass sich zu diesem ganzen "Off Topic" noch keiner negativ ausgelassen hat. Eventuell besteht Bedarf für so was.


  • LAYER 8 Moderator

    Oder keiner liest es ¯\_(ツ)_/¯



  • Jetzt muss ich mich in den Thread mal einklinken, die Sache mit dem Radius und VLAN hören sich sehr interessant an.

    Im Moment hab ich mehrere SSIDs die im Unifi fest ein VLAN taggen, die Benutzer werden über den Radius in der pfSense authentifiziert.

    Wenn ich jezt das VLAN auch noch im Unifi aktiviere, muss ich jedem Benutzer dann ein VLAN im Radius zuweisen?
    Oder bekommen die Benutzer ohne VLAN im Radius das VLAN von der tagged SSID und der Rest das VLAN vom Radius?

    Oder muss ich das tagged VLAN der SSID komplett abstellen, wenn dann aber was schieft geht können die Benutzer im Managment Netzwerk landen.

    Wie macht ihr das?


  • Rebel Alliance

    @slu

    Moin.

    Du musst den User unter Freeradius eine VLAN ID zuweisen.
    Weiss es nicht 100%ig, bin der Meinung, wenn Du deinen Usern keine VLAN ID vergibst, landet der User im Mgmt Netz.

    Du brauchst nur noch eine SSID, aktivierst die VLAN Zuweisung für LAN und WLAN und die User wandern beim authentifizieren in das richtige Netz.

    Ganz wichtig, das Mgmt Netz muss eigenständig sein. Es darf nicht in dem WLAN Pool angehören, sonst funktioniert es nicht.

    Als Beispiel:
    mgmt Netz: VLAN ID 10
    WLAN Netz: Alles ausser VLAN ID 10

    Die anderen VLAN getaggten SSIDs brauchst Du nicht mehr.
    Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.

    Mike



  • @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

    Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.

    Ok das hatte ich befürchtet.
    Ich wollte faul sein und nur den paar Benutzern welche ins andere VLAN gehören ein Radius VLAN geben und den Rest über das VLAN der SSID abdecken...

    Das im Fehlerfall die STA's im Managment landen ist nicht schön, aber da gibt es zumindest keine IP Adresse vom DHCP.
    Das Risiko ist vermutlich ohnehin sehr gering.


Log in to reply