[solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?

mike69

Wer hat diese Konstellation am laufen von Euch? Also freeradius zur Authentifizierung auf der Sense, mit mehreren APs von Unifi (hier die AP AC Pro)?
Bin nach diesen Tipps von JeGr vorgegangen: freeRADIUS & UniFi Hotspot 2.0, leider klappt es nicht. OpenVPN und Captive Portal funktionieren einwandfrei, nur die WLAN -Authentifizierung nicht.

Mal fix auf ner Debian 9 Büchse, freeradius3 frisch installiert mit einem Clienten und einem User konfiguriert, da looft es. Einziger Unterschied, auf der Sense sind für 2 APs zwei Clienten mit je einer IP und gleichem Shared Secret erstellt, unter Debian ein Client, ein Subnet, ein Shared Secret.

Anmeldungen werden geloggt auf der Sense, OpenVPN und CP schlagen durch, für die WLAN-Anmeldungen gibt es keine Meldung, als ob die nicht miteinander kommunizieren.

Installliert sind:

pfSense und freeradius3, aktuell.
UNIFI Controller 5.10.26
2 xAP AC Pro mit FW 4.0.54.10625

Hier paar Configs:

Users

/usr/local/etc/raddb/users

"test" Cleartext-Password := "test"
"gast" Cleartext-Password := "gast"

clients.conf

/usr/local/etc/raddb/clients.conf

client "pfsense" {
	ipaddr = 127.0.0.1
	proto = udp
	secret = 'abcd'
	require_message_authenticator = no
	nas_type = other
	### login = !root ###
	### password = someadminpass ###
	limit {
		max_connections = 16
		lifetime = 0
		idle_timeout = 30
	}
}

client "ap-test" {
	ipaddr = 10.0.10.4
	proto = udp
	secret = '1234'
	require_message_authenticator = no
	nas_type = other
	### login = !root ###
	### password = someadminpass ###
	limit {
		max_connections = 16
		lifetime = 0
		idle_timeout = 30
	}
}

client "ap-test" {
	ipaddr = 10.0.10.5
	proto = udp
	secret = '1234'
	require_message_authenticator = no
	nas_type = other
	### login = !root ###
	### password = someadminpass ###
	limit {
		max_connections = 16
		lifetime = 0
		idle_timeout = 30
	}
}

eap

/usr/local/etc/raddb/mods-enabled/eap
### EAP
eap {
	default_eap_type = mschapv2
	timer_expire     = 60
	ignore_unknown_eap_types = no
	cisco_accounting_username_bug = no
	max_sessions = 4096

### DISABLED WEAK EAP TYPES MD5, GTC, LEAP ###

#	pwd {
#		group = 19
#		server_id = theserver@example.com
#		fragment_size = 1020
#		virtual_server = "inner-tunnel"
#	}

	tls-config tls-common {
		# private_key_password = whatever
		private_key_file = ${certdir}/server_key.pem
		certificate_file = ${certdir}/server_cert.pem
		ca_path = ${confdir}/certs
		ca_file = ${ca_path}/ca_cert.pem
	#	auto_chain = yes
	#	psk_identity = "test"
	#	psk_hexphrase = "036363823"
		dh_file = ${certdir}/dh
		random_file = /dev/urandom
		fragment_size = 1024
		include_length = yes
		check_crl = no
		### check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd/emailAddress=test@mycomp.com/CN=myca" ###
		### check_cert_cn = %{User-Name} ###
		cipher_list = "DEFAULT"
		cipher_server_preference = no
#		disable_tlsv1_2 = no
		ecdh_curve = "prime256v1"
		cache {
			enable = no
			lifetime = 24
			max_entries = 255
			#name = "EAP module"
			#persist_dir = "/tlscache"
		}
		verify {
	#		skip_if_ocsp_ok = no
	#		tmpdir = /tmp/radiusd
	#		client = "/path/to/openssl verify -CApath ${..ca_path} %{TLS-Client-Cert-Filename}"
		}
		ocsp {
			enable = no
			override_cert_url = no
			url = "http://127.0.0.1/ocsp/"
			# use_nonce = yes
			# timeout = 0
			# softfail = no
		}
	}
	tls {
		tls = tls-common
	#	virtual_server = check-eap-tls
	}
	ttls {
		tls = tls-common
		default_eap_type = mschapv2
		copy_request_to_tunnel = no
		include_length = yes
	#	require_client_cert = yes
		virtual_server = "inner-tunnel-ttls"
		#use_tunneled_reply is deprecated, new method happens in virtual-server
	}	### end ttls
	peap {
		tls = tls-common
		default_eap_type = mschapv2
		copy_request_to_tunnel = no
	#	proxy_tunneled_request_as_eap = yes
	#	require_client_cert = yes
### MS SoH Server is disabled ###

		virtual_server = "inner-tunnel-peap"
		#use_tunneled_reply is deprecated, new method happens in virtual-server
	}
	mschapv2 {
#		send_error = no
#		identity = "FreeRADIUS"
	}
#	fast {
#		tls = tls-common
#		pac_lifetime = 604800
#		authority_identity = "1234"
#		pac_opaque_key = "0123456789abcdef0123456789ABCDEF"
#		virtual_server = inner-tunnel
#	}
}

radiusd.conf

/usr/local/etc/raddb/radiusd.conf
prefix = /usr/local
exec_prefix = ${prefix}
sysconfdir = ${prefix}/etc
localstatedir = /var
sbindir = ${exec_prefix}/sbin
logdir = ${localstatedir}/log
raddbdir = ${sysconfdir}/raddb
radacctdir = ${logdir}/radacct
name = radiusd
confdir = ${raddbdir}
modconfdir = ${confdir}/mods-config
certdir = ${confdir}/certs
cadir = ${confdir}/certs
run_dir = ${localstatedir}/run
db_dir = ${raddbdir}
libdir = /usr/local/lib/freeradius-3.0.17
pidfile = ${run_dir}/${name}.pid
max_request_time = 30
cleanup_delay = 5
max_requests = 1024
hostname_lookups = no
regular_expressions = yes
extended_expressions = yes

log {
	destination = syslog
	colourise = yes
	file = ${logdir}/radius.log
	syslog_facility = daemon
	stripped_names = no
	auth = yes
	auth_badpass = yes
	auth_goodpass = yes
	msg_goodpass = ""
	msg_badpass = ""
	msg_denied = "You are already logged in - access denied"
}

checkrad = ${sbindir}/checkrad
security {
	allow_core_dumps = no
	max_attributes = 200
	reject_delay = 1
	status_server = no
	# Disable this check since it may not be accurate due to how FreeBSD patches OpenSSL
	allow_vulnerable_openssl = yes
}

$INCLUDE  clients.conf
thread pool {
	start_servers = 5
	max_servers = 32
	min_spare_servers = 3
	max_spare_servers = 10
	max_queue_size = 65536
	max_requests_per_server = 0
	auto_limit_acct = no
}

modules {
	$INCLUDE ${confdir}/mods-enabled/
}

instantiate {
	exec
	expr
	expiration
	logintime
	### Dis-/Enable sql instatiate
	#sql
	daily
	weekly
	monthly
	forever
}
policy {
	$INCLUDE policy.d/
}
$INCLUDE sites-enabled/

Wer einen Tip hat, her damit...

magicteddy

Moin,

ich habe 2 AP AC Pro, davon spannt einer ein per Radius gesichertes WLan auf, funktioniert stressfrei.

Hast du testweise mal den Radius Dienst auf der pfSense beendet und den Radius auf der Konsole mit radiusd -X im debug Mode gestartet?

Fehlt Dir vielleicht nur eine Firewallregel auf dem Port?

-teddy

mike69

Hi Teddy.

Ja, hat er. Keine Fehler beim Starten, VPN oder CP User werden geloggt, WLAN nicht, keine Fehlermeldung, kein zucken.
Im LAN darf jeder mit jedem, da ist keine besondere Rule vorhanden. Das ist ja das sonderbare.

Eventuell mal vergleichen, irgendwo muss es liegen. Lasse mal die Hosen runter.

2 WLAN Gruppen:

Family:
home -> wpaeap
gast -> offen

Family and IOT:
home -> wpaeap
gast -> offen
IOT -> wpapsk # für Yamahas multicast

Der AP im OG nutzt im 2,4GHz und 5GHz die Gruppe Familie, der AP im EG Familie im 5GHz , Fam und IOT im 2,4GHz Bereich. Das MultiCast Teil ist älter, kann kein 5GHz, ist auch zu weit weg.

SSIDs "home" und "IOT" im gleichen Subnet, welches Standard ist, also kein VLAN in den APs eingetragen. SSID "gast" hat ein eigenes Subnet und die VLAN ID ist in den APs eingetragen.
Kann mir ehrlich gesagt nicht vorstellen, daß dieses hat mit dem Radius Prob was zu tun hat.

Zum Test mal nur eine IP der APs als Client eingetragen und ein Test WLAN aufgespannt, nada.
Wie gesagt, freeradius unter Linux no Probs.

Hast Du beim UNIFI Controller den "Uplink Verbindungs-Monitor" aktiviert? Wie sind die Einstellungen eines funktionierenden User und Clienten?

Mike

Wäre schön, wenn die Sense das irgendwie wuppen würde. Ach ja, nutze nicht SQL.

JeGr

Moin aus dem langen Urlaub wieder da und gleich die nächste halbe Pause in Sicht da Umzug privat, aber kurz mal reingeschaut.

Ich hab das bekanntermaßen ja laufen und das tut wie Teddy sagt schmerzfrei. Du müsstest von den APs aber die Anmeldung ankommen sehen wenn die überhaupt die Sense korrekt als Radius nutzen. Immer im Hinterkopf haben, dass nicht der Controller sondern die APs die Anmeldung machen und daher freigeschaltet sein müssen.

Da ich das jetzt alles nur überflogen habe nochmal kurz die Frage was genau denn nicht gehen würde. Ich mach ja nur 2 SSIDs wobei eine fix ist (für dumme Geräte) und eine ist radius based konfiguriert. Nur die erste SSID meldet sich via Radius an der pfSense.

Ankommend sehe ich die Radius Requests auch problemlos. Musste damals nur ein wenig basteln wie ich APs und FreeRadius einstellen muss, damit sowohl OpenVPN als auch APs einen User mit MD5-crypted Passwort verstehen, am Anfang ging das nur wenn man beim Radius User unverschlüsselte Speicherung ausgewählt hat.

mike69

Moin @JeGr .

Willkommen zurück im Chaos. :)

Der Controller, die APs und der NAS laufen alle im gleichen Netz (LAN). Da gibt es keine Meldungen weder auf der Sense (keine Requests vom AP) noch am AP selber. Welche Logs? Kenne nur die vom Controller.

Als ob die nicht miteinander kommunizieren, obwohl eine "allow any to any" im LAN vorhanden ist. Im LAN darf eben Jeder mit Jedem. :)

Das gesamte Netz ist segmentiert, LAN, IOT, GUESTS, GAMING usw..., LAN hat VLANID10. Gäste nutzen VLANID200

Die Kette:
pfSense -> Trunk U1,T10,T20,...,T200 -> cisco SG350 -> Trunk U1,T10,T20,...,T200 -> Netgear GS108PE PoE - U10,T200 -> AP AC Pro

Und WPA Enterprise soll nur im LAN laufen, das Gäste-WLAN ist offen. Die APs haben nur für die Gäste einen VLANID bekommen, fürs normale WLAN-Netz nicht, da die VLANID10 am Netgate untagged ist.

Es sind laut config oben ja zwei Clienten mit dem gleichen Namen erstellt worden, eventuell wird je ein Name pro IP gebraucht. Checke das mal am Sonntag, heute hat Gattin Geburtstag und die Bande kommt gleich. :)

Was neu ist, der Switch wurde vor zwei getauscht, HP raus cisco rein.

Gruß, Mike

magicteddy

Moin,

so, jetzt bitte mal systematisch: Webinterface der pfSense aufrufen, schau nach ob der Service Watchdog für den freeradius aktiv ist, wenn ja abschalten!
Jetzt stoppst du den radiusd auch im Webinterface.

Jetzt wird eine SSH Verbindung (oder Du machst es direkt auf der Kiste wenn ein Monitor dran ist) auf Deine pfSense aufgebaut, Login und im Menu dort wählst die 8 für die Shell.

Dort jetzt "radiusd -X" einwerfen und du siehst die Startmeldungen.
Erst jetzt versuchst Du einen WLan Login mit Radius Authentifizierung, da müssen Meldungen auf der Konsole auftauchen:

(12)   User-Name = "bzemke"
(12)   NAS-Identifier = "xxxxx"
(12)   Called-Station-Id = "xxxxx:SSID"
(12)   NAS-Port-Type = Wireless-802.11
(12)   Service-Type = Framed-User
(12)   Calling-Station-Id = "xxxxx"
(12)   Connect-Info = "CONNECT 0Mbps 802.11b"
(12)   Acct-Session-Id = "AAF73500066F39F2"
(12)   Mobility-Domain-Id = 31155
(12)   WLAN-Pairwise-Cipher = 1027076
(12)   WLAN-Group-Cipher = 1027076
(12)   WLAN-AKM-Suite = 1027075
(12)   Framed-MTU = 1400
(12)   EAP-Message = 0x021d002a1900170303001fccccb...
(12)   State = 0x64184a4a620553be0d0644f06247b0f0
(12)   Message-Authenticator = 0x3da530db32df6bc166dcfea1185f44aa
(12) session-state: No cached attributes
(12) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(12)   authorize {
(12)     [preprocess] = ok
(12)     [chap] = noop
(12)     [mschap] = noop
(12)     [digest] = noop
(12) suffix: Checking for suffix after "@"
(12) suffix: No '@' in User-Name = "username", skipping NULL due to config.
(12)   [suffix] = noop
(12) ntdomain: Checking for prefix before "\"
(12) ntdomain: No '\' in User-Name = "username", skipping NULL due to config.
(12)     [ntdomain] = noop
(12) eap: Peer sent EAP Response (code 2) ID 29 length 42
(12) eap: Continuing tunnel setup
(12)     [eap] = ok
(12)   } # authorize = ok
(12) Found Auth-Type = eap
(12) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(12)   authenticate {
(12) eap: Expiring EAP session with state 0x8b86c5fa8f80dcff
(12) eap: Finished EAP session with state 0x64184a4a620553be
(12) eap: Previous EAP request found for state 0x64184a4a620553be, released from the list
(12) eap: Peer sent packet with method EAP PEAP (25)
(12) eap: Calling submodule eap_peap to process data
(12) eap_peap: Continuing EAP-TLS
(12) eap_peap: [eaptls verify] = ok
(12) eap_peap: Done initial handshake
(12) eap_peap: [eaptls process] = ok
(12) eap_peap: Session established.  Decoding tunneled attributes
(12) eap_peap: PEAP state WAITING FOR INNER IDENTITY
(12) eap_peap: Identity - username
(12) eap_peap: Got inner identity 'username'
(12) eap_peap: Setting default EAP type for tunneled EAP session
(12) eap_peap: Got tunneled request
(12) eap_peap:   EAP-Message = 0x021d000b01627xxxxxx
(12) eap_peap: Setting User-Name to username
(12) eap_peap: Sending tunneled request to inner-tunnel-peap
(12) eap_peap:   EAP-Message = 0x021d000b01627xxxxxxx
(12) eap_peap:   FreeRADIUS-Proxied-To = 127.0.0.1
...

Passiert das bei Dir?
Die IP vom Controller will pfSense garnicht wissen, Du trägst die IPs der APs in der Radius Konfiguration ein. Im Controller wird natürlich die IP der pfSense als Radius Server eingetragen.

-teddy

mike69

Moin.

Hier ein Feedback, es läuft.

Die Bude war durch das ewige testen und probieren total vergurkt. Die Sense neu eingerichet und es looft wie es soll.

Danke an alle Beteiligten.

Mike

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Willkommen zurück im Chaos. :)

Danke ;) Es geht ja leider direkt weiter. Ich zieh' nie wieder um...

Welche Logs? Kenne nur die vom Controller.

Auf der Sense - da schreibt der Radius eigentlich auch mit ob jemand ankommt ;)

Und WPA Enterprise soll nur im LAN laufen, das Gäste-WLAN ist offen. Die APs haben nur für die Gäste einen VLANID bekommen, fürs normale WLAN-Netz nicht, da die VLANID10 am Netgate untagged ist.

Warum? Denkanstoß: Gäste bekommen einfach einen User "guest" / "guestpw", das man ab und an mal rotieren kann, dafür kann man sich dann aber deren WLAN SSID sparen (jede SSID raubt Bandbreite) und pusht sie statt dessen direkt an Hand des Client Users in das Gäste VLAN und dort ggf. sogar noch nen Captive Portal reinhauen wenn man möchte. Auch nicht anders als "shared PW" aber damit Gleichbehandlung, eine SSID weniger und flexibler. Wenn jemand häufiger kommt ist schnell mal für ihn ein User erstellt und der in ein anderes VLAN gepackt wenn man das braucht.
WLAN SSID mit festem VLAN darf aber nicht bei Radius-based VLANs mitgenutzt werden. Beispiel extra SSID für VLAN 123 -> 123 kann nicht für radius-based VLAN verwendet werden und Clients mit dieser VLAN ID im Radius werden nicht klappen.

Und ja ich habs gesehen:

Die Bude war durch das ewige testen und probieren total vergurkt. Die Sense neu eingerichet und es looft wie es soll.

Das war für Mitleser, die das vielleicht bald bei sich selbst versuchen wollen.

---

Für ganz Neugierige und Technikhungrige:
Ich bin wie gesagt am Umziehen. Mehr Platz (Gott sei Dank) und daher auch dieses Mal dann etwas mehr Geld in die Hand nehmen und dann die Räume halbwegs sinnvoll verkabeln. Erstmal zum Umzug das alte Setup größtenteils wieder in Gang bekommen aber bis Herbst/Winter soll das ganze umgerüstet werden auf:

• Zentraler kleiner 19" Schrank in Niesche bei Wohnzimmer. Dort pfSense, Router-Uplink, Unifi Controller, Switch(e) und Strom sowie NAS etc. reinverbaut und verkabelt
• kleine Switche (vermutlich 8er) dann für TV Rack, Schlafzimmer und Studio oben, zentral angebunden auf Switch im Schrank.
• Wenn alles klappt: Alles Unifi Switche, damit zentral managebar und mit Controller/APs verheiratbar

Sollte das alles klappen, werde ich ggf. auch noch 802.1x MAC Auth anmachen und die Geräte direkt per MAC Adresse ins entsprechende VLAN pappen, damit man die Ports nicht großartig händisch konfigurieren muss. Sprich zukünftig bei neuem Gerät:

• MAC notieren
• pfSense Radius auf -> Username/MAC rein, VLAN ID rein
• pfSense DHCP auf -> MAC rein, IP Zuweisung rein (außer bei mobilen Clients, da ists egal)
• Fertig

Habe ich tatsächlich so bei einem Kunden schon laufen, Username und Passwort im Radius ist die MAC Adresse, VLAN ID angegeben und ZACK, Gerät meldet sich am Switch an und wird direkt ins richtige VLAN gepackt. Wenn nicht bekannt landet das Ding in einem Dummy VLAN wo nichts geht außer dass die Geräte sich da untereinander ggf. sehen (à la DHCP unbekannt 169er Adresse).

Grüße an alle.

mike69

@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Welche Logs? Kenne nur die vom Controller.

Auf der Sense - da schreibt der Radius eigentlich auch mit ob jemand ankommt ;)

Ach da, da kam nie was an. Erst nach der Neuinstallation. :)

@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Zentraler kleiner 19" Schrank in Niesche bei Wohnzimmer. Dort pfSense, Router-Uplink, Unifi Controller, Switch(e) und Strom sowie NAS etc. reinverbaut und verkabelt

Im WZ? Du bist ja mutig, so ein 19" Rack ist ja nicht gerade wohnzimmertauglich. Oder beleuchtet eine wechselne LED-Beleuchtung dein Equipment, dazu ein langsamdrehender Lüfter, der sein Schatten an die Decke wirft? :)
Meine bessere Hälfte würde durchdrehen, daher steht das Rack im HWR gegenüber der Waschmaschine. :)

@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Warum? Denkanstoß: Gäste bekommen einfach einen User "guest" / "guestpw", das man ab und an mal rotieren kann, dafür kann man sich dann aber deren WLAN SSID sparen (jede SSID raubt Bandbreite) und pusht sie statt dessen direkt an Hand des Client Users in das Gäste VLAN

Jep, das wird der nächste Streich. CP soll bleiben wg. den Nutzungsbedingungen, die er wegklicken kann. Der Switch ist nach 9 Jahren abgeraucht, jetzt werkelt ein SG350 im Rack und kleinere Switche werkeln auch verteilt im Haus, im WZ und KiZi hinter den Gerätschaften und ein PoE-Switch im Rack für APs und IP-Cams.

Wie muss ich das verstehen mit den VLAN ID und der WLAN SSID. Hauptsubnet, wo NAS, RPIs, Notebooks und das ganze Geraffel looft hat die ID 10, das Gastnetz ID 20. Welche VLAN ID muss der AP haben?

Und wenn Du das 802.1x MAC Auth nutzen möchtest, muss die ganze Kette das können, oder? So ein 108er Netgear kann das bestimmt nicht händeln.

Mike

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Oder beleuchtet eine wechselne LED-Beleuchtung dein Equipment, dazu ein langsamdrehender Lüfter, der sein Schatten an die Decke wirft? :)

Nö für so nen Kram hab ich zwar ein Auge (dass mir das gefallen würde), aber der unnötige Stromverbrauch hält mich davon ab. Und in Rechnern finde ichs zwar nett, aber meine stehen meist als BigBlock/Tower unter Tischen/Schränken, dass man da eh nix sieht von - ergo unnötiges Gimmick ;)

Im WZ? Du bist ja mutig, so ein 19" Rack ist ja nicht gerade wohnzimmertauglich.

Nicht schlimm da:

a) das bisherige Equipment lüfterlos ist (alt-Switche sind 1810er HPs ohne Lüfter, Firewall eine scope7-7525 ebenfalls lüfterlos und ansonsten ein paar PIs und nen NUC der noch nie wirklich den Lüfter bemüht hat)
b) das neue geplante Equipment soll nach Aussage von Leuten aus der Praxis im Normalbetrieb ohne Lüfter laufen (weil wird nicht so warm), aber dafür dann eben Rack weil der Kram dann verpackt im Rack nochmal leiser mit Frontglastür geschlossen
c) das Rack wird "Silent" weil mit Schalldrückdämmung ausgekleidet. Toplüfter der integriert ist läuft von Noctua - ist ja aus CPU Lüfterkreisen schon einschlägig für Silent-Cooling bekannt ;)
d) Das Ding steht dann hinter einer Wendeltreppe in der Ecke wo man sonst eh nichts gescheit hinstellen könnte weil man nicht gut hinkommt -> optimale Raumnutzung

Und da im WoZi meist eh "Grundlärm" durch Fernseher oder Konsolen ist, würde ein wenig Lüfterrauschen gar nicht auffallen. Wichtig ist eher, dass es aus Schlafzimmern und sonstigen Ruheecken raus ist (vor allem wegen Geblinke weniger wegen Lärm) :)

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

CP soll bleiben wg. den Nutzungsbedingungen, die er wegklicken kann.

Bingo, genau die Idee.

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Welche VLAN ID muss der AP haben?

Das ist theoretisch erstmal egal. Ich empfehle das so, dass man das "untagged" Netz was default auf den Switchen o.ä. liegt entweder als Tot-Dummy nutzt (wo nichts geht) oder als Management Netz (je nachdem wie sicher man das aufziehen möchte). Ich ziele auf letzteres, also mgmt, da ich ja mit 802.1x die Ports abschalten kann wenn jemand Fremdes dran ist. Dann gibts bspw. LAN, WiFi "LAN", Media, IoT, VPN und Guest sowie Mgmt. Alle einzelne VLAN IDs. Auf dem Port des APs ist jetzt untagged das Mgmt drauf genauso wie auf dem Controller. Sprich: beide können sich via Mgmt erstmal ohne großes Setup problemlos sehen weil default VLAN. Super. Dann adoptiert man den AP und konfiguriert die zusätzlichen VLAN IDs, die der AP später können soll. LAN, WiFi, Media, IoT z.B. LAN ist klar, WiFi ist für mobile Clients die aufs LAN dürfen (durch die Firewall) aber kein Portal oder sonstige Einschränkung bekommen. IoT ist eine Zone für gleichnamiges Spielzeug was den Rest des internen Geraffels nicht sehen muss also isoliert ist, aber vom LAN oder Mgmt aus erreichbar sein soll für Monitoring, Steuerung etc. Media ist das Ausnahmenetz für Konsolen, TVs, Streaming Kisten, die ggf. uPNP brauchen (seufz) und/oder kein 802.1x/EAP via Radius können - gibt leider genug Nonsense Kram der das nicht kann.

Ist der AP aufgerüstet, kann man jetzt 2 SSIDs machen. Eine generelle mit 802.1x/EAP via Radius und eine SSID die fix auf ein VLAN konfiguriert ist (Media) und mit PSK läuft für Altkram. Dieses VLAN (Media) kann dann von der 802.1x SSID nicht genutzt werden, weil sie direkt vergeben ist.
Dann auf der pfSense Radius rauf, APs als Client konfiguriert und dann wuppt die Anmeldung im normalen SSID via Radius und je nach User taucht der Client direkt im LAN, WiFi, IoT oder Gästenetz auf. Im Guest VLAN läuft noch das Captive Portal und Log. Mit etwas Einstellung klappt auch alles mit Radius+MD5 Passwort Usern und schon kann ich mit dem gleichen Benutzer mich per VPN anmelden und per WLAN

Die MAC Auth hatte ich bislang erst beim Kunden ausprobiert und musste etwas rumbasteln, weil Unifi das nirgends konkret drinstehen hatte. Das Problem war, dass ich dachte dass Geräte sich dann da MAC Adresse als Gerät anmelden, also nur ihre MAC senden. Die Unifi Switche senden das aber (vielleicht korrekt, vielleicht Bug - keine Ahnung) als "Useranmeldung", was ich erst mit Debugging gesehen habe. Ergo muss man die Geräte wirklich als User anmelden und als Username und Password jeweils ihre MAC Adresse eintragen. Dann fluppts und die MAC wird angemeldet, die VLAN ID ausgelesen und BOOM ist das Gerät im LAN, IoT Netz oder sonstwas ohne dass ich am Switch konfigurieren muss. Lediglich die Ports müssen vom Profil her auf Radius Auth stehen. Da kann man dann entweder einstellen, dass bei AuthFail automatisch ein sinnvolles VLAN genutzt wird oder kein Failback sondern Portsperrung, was gut für öffentliche Bereiche ist wo jeder Troll irgendwas in die Dose stecken könnte ;)

Und wenn Du das 802.1x MAC Auth nutzen möchtest, muss die ganze Kette das können, oder? So ein 108er Netgear kann das bestimmt nicht händeln.

Richtig der Switch muss das können. Gerade die Kleinen 08/15 Switche können es meist nicht (müssen ja mindestens "Smart" oder managebar sein, sonst kann man keinerlei Radius Profil hinterlegen).

Vielleicht geht es ja sogar mit anderen Switchen die recht günstig sind, solange ich noch keine neuen habe, bin ich für Vorschläge offen, würde es aber schätzen, wenn ich ein zentrales Management hätte :)

Grüße

mike69

Moinsen.

@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

ch empfehle das so, dass man das "untagged" Netz was default auf den Switchen o.ä. liegt entweder als Tot-Dummy nutzt (wo nichts geht) oder als Management Netz (je nachdem wie sicher man das aufziehen möchte). Ich ziele auf letzteres, also mgmt, da ich ja mit 802.1x die Ports abschalten kann wenn jemand Fremdes dran ist

Dann sollte das hier funktionieren, tut es nicht.
Aktuell ist es so, Hauptnetz ist die VLAN ID10, hier tummelt sich eigendlich alles, APs, NAS, Controller, usw. Für Gäste ist die ID200 vorgesehen. Ein Gastuser wurde eingerichtet mit der VLAN ID 200, der Rest wird von der Sense schon richtig vorgegeben (Tunnel-Type VLAN, Tunnel-Medium-Type 6 bzw. 802). DHCP ist für Gästelan aktiviert und verteilt IPs.
Unter freeRADIUS/EAP wurden die Option "Use Tunneled Reply" aktiviert

Wenn sich "gast" jetzt anmeldet, scheint die Authentifizierung zu funktionieren, bekommt aber keine IP zugewiesen. die Frage ist wieso? Oder müssen die ganzen Subnetze tagged im VLAN laufen, Mgmt untagged auf z.B. 5, Standard auf 10 und Gäste auf 200, beide tagged? Muss noch am Switch was eingestellt werden (802.x MAC Auth)?

Hier der Debug von radiusd:

(12) Received Access-Request Id 189 from 10.0.10.5:42809 to 10.0.10.1:1812 length 201
(12)   User-Name = "gast"
(12)   NAS-Identifier = "b4fbe448f2b0"
(12)   Called-Station-Id = "B4-FB-E4-48-F2-B0:1"
(12)   NAS-Port-Type = Wireless-802.11
(12)   Service-Type = Framed-User
(12)   Calling-Station-Id = "D8-CE-3A-90-44-48"
(12)   Connect-Info = "CONNECT 0Mbps 802.11b"
(12)   Acct-Session-Id = "D22E71EC1F032BC8"
(12)   WLAN-Pairwise-Cipher = 1027076
(12)   WLAN-Group-Cipher = 1027076
(12)   WLAN-AKM-Suite = 1027073
(12)   Framed-MTU = 1400
(12)   EAP-Message = 0x02ad00060319
(12)   State = 0x90c55b5a90685f4d33654cb47c00c38e
(12)   Message-Authenticator = 0x54941e9cdcb0fd482023af5724fad988
(12) session-state: No cached attributes
(12) # Executing section authorize from file /usr/local/etc/raddb/sites-enabled/default
(12)   authorize {
(12)     [preprocess] = ok
(12)     [chap] = noop
(12)     [mschap] = noop
(12)     [digest] = noop
(12) suffix: Checking for suffix after "@"
(12) suffix: No '@' in User-Name = "gast", skipping NULL due to config.
(12)     [suffix] = noop
(12) ntdomain: Checking for prefix before "\"
(12) ntdomain: No '\' in User-Name = "gast", skipping NULL due to config.
(12)     [ntdomain] = noop
(12) eap: Peer sent EAP Response (code 2) ID 173 length 6
(12) eap: No EAP Start, assuming it's an on-going EAP conversation
(12)     [eap] = updated
(12) files: users: Matched entry gast at line 22
(12)     [files] = ok
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
(12)     [daily] = noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
(12)     [weekly] = noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
(12)     [monthly] = noop
rlm_counter: Entering module authorize code
rlm_counter: Could not find Check item value pair
(12)     [forever] = noop
(12)     if (&request:Calling-Station-Id == &control:Calling-Station-Id) {
(12)     ERROR: Failed retrieving values required to evaluate condition
(12)     [expiration] = noop
(12)     [logintime] = noop
(12) pap: WARNING: Auth-Type already set.  Not setting to PAP
(12)     [pap] = noop
(12)   } # authorize = updated
(12) Found Auth-Type = eap
(12) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(12)   authenticate {
(12) eap: Expiring EAP session with state 0x90c55b5a90685f4d
(12) eap: Finished EAP session with state 0x90c55b5a90685f4d
(12) eap: Previous EAP request found for state 0x90c55b5a90685f4d, released from the list
(12) eap: Peer sent packet with method EAP NAK (3)
(12) eap: Found mutually acceptable type PEAP (25)
(12) eap: Calling submodule eap_peap to process data
(12) eap_peap: Initiating new EAP-TLS session
(12) eap_peap: [eaptls start] = request
(12) eap: Sending EAP Request (code 1) ID 174 length 6
(12) eap: EAP session adding &reply:State = 0x90c55b5a916b424d
(12)     [eap] = handled
(12)   } # authenticate = handled
(12) Using Post-Auth-Type Challenge
(12) # Executing group from file /usr/local/etc/raddb/sites-enabled/default
(12)   Challenge { ... } # empty sub-section is ignored
(12) Sent Access-Challenge Id 189 from 10.0.10.1:1812 to 10.0.10.5:42809 length 0
(12)   Tunnel-Type = VLAN
(12)   Tunnel-Medium-Type = IEEE-802
(12)   Tunnel-Private-Group-Id = "200"
(12)   EAP-Message = 0x01ae00061920
(12)   Message-Authenticator = 0x00000000000000000000000000000000
(12)   State = 0x90c55b5a916b424d33654cb47c00c38e
(12) Finished request
Waking up in 4.9 seconds.

Jetzt das nächste Problem, müssen NAS mit dem UNIFI Controller im gleichen Subnet (Mgmt) wie die APs laufen? Erkennt der Controller die APs im anderen Subnet? Wie verteile ich dann die Mucke vom NAS per DLNA in die anderen Subnetze? Wieso ist die Erde rund und keine Scheibe?
Meine Frau hat Urlaub, wenn ich ihr WLAN klaue, dann ist Polen offen, dann gibt es nur Theater hier, nichts mit try and error...

Wenn die Fragen geklärt sind und es looft, wäre das ein Howto wert.

Und wie differenzierst Du Media mit IoT? Für mich eigendlich das selbe. Was ist für dich IoT?

Der Netgear GS108PE ist managed, VLAN tagging, IGMP Snooping, Multicast, QvS, sowas kann er, aber kein MAC Auth.

Mike

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Oder müssen die ganzen Subnetze tagged im VLAN laufen, Mgmt untagged auf z.B. 5, Standard auf 10 und Gäste auf 200, beide tagged? Muss noch am Switch was eingestellt werden (802.x MAC Auth)?

Das Mgmt läuft untagged, damit sich AP und Controller sauber finden (außerdem muss der Controller nur im Mgmt laufen IMHO). Die anderen Netze laufen dann tagged auf dem Port des APs.

Jetzt das nächste Problem, müssen NAS mit dem UNIFI Controller im gleichen Subnet (Mgmt) wie die APs laufen?

Nö. Mein NAS steht im LAN. AP steht untagged im Mgmt und tagged in den VLANs LAN, WiFi, Guest, etc. Sobald angemeldet ist der Client bspw. im LAN und findet da auch das NAS problemlos.

Erkennt der Controller die APs im anderen Subnet?

Muss er nicht, die APs laufen untagged (also fürs Management/Adoption etc.) im gleichen Mgmt Netz wie der Controller.

Wie verteile ich dann die Mucke vom NAS per DLNA in die anderen Subnetze?

Meh. DLNA ist wieder so ne Sache... Entweder die Clients können ordentliches IP / DNS, dann gibts gar kein Problem, oder wenn automagische Sachen gebraucht werden, wirds wohl mit uPNP und Co laufen müssen. Ggf. IGMP Proxy oder/und uPNP.

Wenn die Fragen geklärt sind und es looft, wäre das ein Howto wert.

Wenn ich das Haus neu verstrippe und das neue Equipment da ist, schreib ich ggf. nen Blog drüber.

Und wie differenzierst Du Media mit IoT? Für mich eigendlich das selbe. Was ist für dich IoT?

Toaster, Kühlschränke, Wetterstation, Kleinstgerätegedöns, Sachen die superdupertoll IP sprechen können es aber besser nicht sollten (TM).
Nee im Ernst IoT sind Sachen, die eben wie gesagt ins Internet müssen, aber keinen Zugriff auf andere Netze brauchen. Bspw. nen Hausautomatisierungsdingens. Wetterstation. Licht. Hat nichts im LAN o.ä. zu tun, muss aber ggf. ins Internet (oder auch nicht! auch wichtig!) und soll nur über LAN/WLAN ggf. erreichbar sein (man will ja Licht anmachen).

Praxisbeispiel:

IoT:

• Wettersensor
• Licht
• Schaltbare Steckdosen
• Hausautomatisierung

• => Ist IoT
• darf/muss nicht ins Internet (außer mal für nen Update)
• muss aus LAN/WLAN erreichbar sein, soll aber aus Security isoliert sein.

Media:

• Sonos Systeme (IKEA macht da jetzt auch was... ;))
• Chromecast
• Android TV
• Kodi
• Konsolen

• => Media
• muss ins Internet
• darf bis auf Ausnahmen nichts im LAN etc. erreichen (evtl NAS wegen Dateifreigaben für Sonos/Kodi und Co.)
• Hat ggf. Bedarf für uPNP/NATPnP wegen Online Spielen (Konsolen), eingegrenzt auf notwendige IPs/Konsolen

WiFi:

• Mobile Geräte
• Dürfen auf gewisse Geräte im LAN
• Ansonsten Freigabe für Internet
• Ggf. anderer DNS (pfBNG bzw. PiHole)
• Für interne Benutzer

Guest:

• Mobile Geräte
• Ggf. auch LAN Ports für Gäste
• Haben Captive Portal
• werden ggf. geloggt (Portal)
• Haben ggf. gar keinen internen DNS, sondern direkt externen (OpenDNS, CF, Google, whatever)
• Komplett isoliert von anderen internen VLANs

Damit wirds wahrscheinlich klarer. Es geht um "Compartmentalizing" also um sicherheitstechnische Isolation bzw. Segmentierung in kleinere Gruppen mit Abgrenzungen und um die Frage von-wo-nach-wo muss man können/dürfen. Teils kann auch Mikrosegmentierung hilfreich sein auch wenn mehr Aufwand.

Der Netgear GS108PE ist managed, VLAN tagging, IGMP Snooping, Multicast, QvS, sowas kann er, aber kein MAC Auth.

Meh ärgerlich. Aber das ist der Grund warum ich meine Switche auch tauschen möchte. Und weil ich nach Möglichkeit alles aus einem Controller heraus steuern möchte. Zumal der neue CloudKey Gen 2 von Unifi auch ein nettes kleines Display hat und nun auch via Mobile gesteuert werden kann. :) Bin aber anderen Vorschlägen nach wie vor offen ;)

mike69

@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Jetzt das nächste Problem, müssen NAS mit dem UNIFI Controller im gleichen Subnet (Mgmt) wie die APs laufen?

Nö. Mein NAS steht im LAN. AP steht untagged im Mgmt und tagged in den VLANs LAN, WiFi, Guest, etc. Sobald angemeldet ist der Client bspw. im LAN und findet da auch das NAS problemlos.

Erkennt der Controller die APs im anderen Subnet?

Muss er nicht, die APs laufen untagged (also fürs Management/Adoption etc.) im gleichen Mgmt Netz wie der Controller.

Der Controller ist auf dem NAS installiert. Also 2 VLAN (LAN und Media) auf dem NAS erstellen zum bedienen die anderen Subnets. Oder verfrachte den Controller auf ne RPI, das sind die 2 Möglichkeiten. Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.
Kodi greift über NFS auf die NAS zu, das geht Subnet übergreifend. Die Security-Cams drücken die Bilder per FTP (Ja, ich weiss... ) auf den NAS, geht auch problemlos übergreifend

Danke für die Definition zur IoT.
War mir bis dahin noch nicht so bewusst, dachte die Smart TVs auch darunter fallen. wieder was gelernt.

Also langsam entwickelt sich ein Plan, Mgmt VLAN ID erstellen, alles umswitchen was muss, LAN und Gäste taggen, dann sehen wir weiter.

Übrigens, der Procurve 1810G ist bei uns nach gut 9 Jahren abgeraucht. Schade eigendlich, der Cisco ist ganz schön fordernd, die Möglichkeiten sind erschlagend. :)

Mike

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.

Warum das? Nur weil er Cloud heißt, muss er das ja nicht automatisch auch tun ;)

War mir bis dahin noch nicht so bewusst, dachte die Smart TVs auch darunter fallen. wieder was gelernt.

Der hängt bei mir auch im Media - weil Media ;) Gibt aber inzwischen Kram, den ich einerseits cool finde/fände, aber der m.E. nichts im Internet zu tun hat, nur weils ne Netzwerkbuchse hat (oder der Hersteller davon träumt). Gerade Heimautomatisierung fern von Alexa und Co. (also kein "Alexa koch Kaffee"), sondern eher mit zentralen Bedienelementen oder Steckdosen-/Licht-/Wettersteuerung ist schon recht schick, aber da würde ich höchstens per VPN drauf zugreifen wollen - nicht ins Netz hängen. Daher Segmentierung und gut.

Übrigens, der Procurve 1810G ist bei uns nach gut 9 Jahren abgeraucht.

Oh schade :( Meine beiden 1810/24er sind beide noch völlig entspannt dabei, wären auch ganz nett, aber von zentralem Management wissen die leider nichts ;)

mike69

@JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Das dritte wäre der Kauf eines CloudKey, kommt aber nicht in Frage.

Warum das? Nur weil er Cloud heißt, muss er das ja nicht automatisch auch tun ;)

Nee, ist eigendlich ne Kostenfrage, noch ein Device was rumliegt und Strom frisst, Kopfsache eben.

Und meine gelesen zu haben, dass der alte Cloudkey regelmässig muckt, SD-Cards schrottet sowas eben. Habe es aber nicht weiter verfolgt.

Sowas integriert in ein 8Port PoE Switch, eventuell könnte jemand da schwach werden. :)

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Nee, ist eigendlich ne Kostenfrage, noch ein Device was rumliegt und Strom frisst, Kopfsache eben.

Ach deshalb. OK :) Zum alten Cloudkey kann ich wenig sagen, wir haben den bei 2 Kunden im Einsatz bislang problemlos. Würde aber den neuen Key empfehlen da der mehr Bums hat und noch dazu ein Display mit Statusanzeige was der Usability schon sehr zuträglich ist :D
Wäre aber auch nicht abgeneigt sowas in einem 24er oder 48er Unifi Switch integriert zu sehen. Das wär ne feine Sache.

mike69

Muhuhuahahahaaa... es loooooft. :)

Controller auf ne RPI gepackt. VLAN ID 5 fürs Management erzeugt, RPI in dieses Netz verschoben und untagged an den APs, ID 10 für LAN und 200 für Gäste tagged, neue Clients in der Sense erstellt, den Usern die VLAN ID zugewiesen, fein rebootet, läuft.

Jens, einen Riesendank von mir. Du bist mein heutiger Held.

Hatte die Gäste SSID mit der VLAN ID nicht gelöscht, Anfängerfehler. Da ging es nicht, erst nach dem löschen.

Hier ist zum Glück, bis auf ein MusicCast Device im Garten alles verkabelt, wer hätte damals daran gedacht, ein Verlegekabel in die Laube zu ziehen... :) Genau, keine Sau.

Eine Frage noch zum Thema Management. Der Controller läuft hier Netz von VLAN ID 5, was kommt noch hier rein ausser die APs, die Switches? Die laufen noch im default VLAN ID 1, wie die Sense auch. Macht es Sinn, alles auf die ID 5 zu packen? die Frage geht auch an die Mitleser hier, wie macht ihr das?

Mike

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Die laufen noch im default VLAN ID 1, wie die Sense auch. Macht es Sinn, alles auf die ID 5 zu packen? die Frage geht auch an die Mitleser hier, wie macht ihr das?

Wenn du safety first machen möchtest, würde ich alles was management macht (Switch management ports etc.) in dein neues VLAN5 packen. Wenn du dazu noch richtig sicher fahren willst, machst du mit VLAN1 / default gar nichts, sondern lässt es tot. Also quasi ein dummy, was nicht konfiguriert ist, wird nicht laufen. Ist auch ein einfacher block um unkonfigurierte Ports oder Switche ohne 802.1x quasi ein bisschen sicherer zu machen. Ports auf default/1 lassen, wer was einsteckt hat erstmal ... nix. Erst wenn der Port entsprechend sauber konfiguriert ist (10, 200 o.ä.), dann wuppt auch was. Mgmt VLAN noch mit auf die Sense packen und Zugriff von 10->5 von deinem spezifischen PC/Laptop o.ä. aus erlauben, dann kommt auch sonst keiner da ran. Oder sogar ganz hart nur aus dem Netz selbst erlauben via Laptop mit Port im VLAN5. Boom ;)

Nebenbei: Freut mich, dass meine oftmals long-as-fuck großen Posts über Schund den ich hier im Lab oder Homeoffice treibe manch einen weiterbringt :D Sowas Positives liest man selten, sonst wird ja eher mal gemeckert ;) Also auch danke dafür, @mike69

mike69

Besser so als ein lumpiges "RTFM". Nicht jeder ist mit 4 Doppeladern als Nabelschnur geboren, zumal mein Schulenglisch schon ewig her ist. Da weisst du manchmal nicht, was die wollen...

Vor 2 Wochen wusste ich noch nicht mal, das so was geht. :)

Aber wenn du über den Berg bist, stehst du vor dem nächsten. Dieses MusicCast Gelumpe kommt zwar mit mehreren SSIDs klar, aber nicht mit mehreren Netzen. Es wird komplett über eine App gesteuert, und die muss im gleichen Netz sein. Einzige Möglichkeit, die mir einfällt, ist in deren WLAN zu krabbeln. Wer Alternativen hat....

Zum Thema DLNA: Nutze minidlna aka ReadyMedia am NAS zum verteilen der Medien, und kein Gerät hier ist in der Lage, Subnet übergreifend damit um zugehen. Bin echt beeindruckt.
Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.

Noc ein langer Weg...

Mike

JeGr

@mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

Wer Alternativen hat....

Wie gesagt: uPNP und/oder IGMP Proxy ausprobieren. Der "automagisch" Kram wie auch Chromecast und Co machen eigentlich gern Multicast und/oder Autodiscovery etc. und dazu dann eben IGMP Proxy und uPNP oder noch Avahi mit dazu (für mDNS).

Müsste man experimentieren, was genau es braucht.

und kein Gerät hier ist in der Lage, Subnet übergreifend damit um zugehen.

Wie oben beschrieben, DLNA baut das m.W. auch via Multicast oder mDNS auf - bist du nicht im Subnet bekommst du die Broadcasts/Multicasts nicht mit.

Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.

Ist/war/wird tatsächlich auch mein Plan sein. Das große NAS einfach mit einem Bein ins Mgmt, Doppelbein mit Bond ins LAN und ein Bein für so Cast-Gedöns ins Media Netz. Spart man sich den Murks mit weiterziehen, von Firewall Betrachtung her ist es aber natürlich böse, weil man Brücken baut wo keine hin sollen. Einen Tod...

Um mal was ganz anderes einzuwerfen: Das ist der Grund, warum mir tatsächlich - obwohl lange abwegig gewesen - der Sonos Kram wirklich inzwischen ans Herz gewachsen ist. Ja, die machen auch Autodiscovery und Dark Magic (TM) aber das kann ich "kompensieren" indem ich nen Sonos Controller (sprich nen Smartphone, Tablet o.ä.) einfach mit ins Media Netz dazuhänge bzw. eben mein Smartphone mal vom normalen WiFi ins Media Wifi stecke (muss ja eh ne extra SSID haben wegen Altgerätemurks). Switcht man rüber, startet Sonos App, stellt ein, fertig und gut.
Somit theoretisch erstmal nicht soo viel gewonnen, oder? Doch, denn was die Kisten echt saugut können sind alle möglichen Streaming Dienste und lokale Files. SMB/CIFS Share vom NAS reingemountet, Suchlauf angestoßen, ganze Bibliothek an MP3s und Co gefunden und eingelesen. BAM sofort streambar in jedem Zimmer. Und das Windows Share können die einfach per IP mounten. Problemlos. Kein uPNP, DLNA oder sonstwas rumgemucke. Ansonsten noch Audible, Spotify und Co drangeflanscht und voilà fertig ist die Mediensuppe für Frau und Kinder. Und das Zeug wuppt super.

Gegen-Standard-Argument: Blabla nicht offline nutzbar ohne Account blubb tröt. Ja man braucht nen Account. Bei Sonos. Die keine Benutzerdaten wollten von mir. Erst als ich tatsächlich noch nen Brüllwürfel gekauft habe, musste ich überhaupt mal Daten eintragen. Vorher völlig wumpe, nur Mail+PW und nen Namen. Also weniger als jeder Online Shop. Und dann verbinde ich mit dem kostenlosen Account dann einfach die Musikdienste über deren API. Gebe also auch keine Daten aus der Hand. Da gibts glaube ich fiesere Datenschweine als die Kisten. Ohne Internet sind die dann zwar nur begrenzt nutzbar (weil kein Streaming - haha...) aber wenn man bspw. die Beam als Soundbar für nen Fernseher hat ist das echt mal ein saftiger Mehrnutzen den ich nicht gedacht hätte. Und wie gesagt, klappt eben für Musik auch normal via IP und NFS/SMB/CIFS. Nur für Multiroom und Controller brauchts entweder ein bisschen Magie wieder um über Netzgrenzen zu wandeln oder man hängt einfach sein Handy, Tablet o.ä. einfach kurz ins Media Netz (oder nutzt ein billiges Amazon Mini Tablet dafür. Supergünstig, kann man leicht aufbohren mit richtigem Playstore oder Sideloading von Apps und schwupp hat man nen günstigen 7-10" großen Media Controller. (Wobei Switchen von WLANs wirklich schneller und günstiger ist :D)

So mal als Denkanstöße ;)