Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?

    Scheduled Pinned Locked Moved
    Deutsch
    4
    30
    4.9k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • mike69M
      mike69 Rebel Alliance @JeGr
      last edited by

      Moinsen.

      @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

      Was hier mal lief ist am NAS ein VLAN Interface zu konfigurieren, welches im Media Netz zugehörig ist. Und schon funzt das DLNA, UPnP, what ever.

      Ist/war/wird tatsächlich auch mein Plan sein. Das große NAS einfach mit einem Bein ins Mgmt, Doppelbein mit Bond ins LAN und ein Bein für so Cast-Gedöns ins Media Netz. Spart man sich den Murks mit weiterziehen, von Firewall Betrachtung her ist es aber natürlich böse, weil man Brücken baut wo keine hin sollen. Einen Tod.

      4 Interfaces, nice...☺
      Habe dem NAS ein 2tes, virtuelles Interface im media Netz spendiert. DLNA looft, genau wie die anderen Dienste wie Samba, NFS, etc..

      Nur zum Verständniss, das Mediaplayer/Sonos/MusicCast/ Geraffel war früher auch da im Netz. Ist jetzt woanders und darf nur auf ein Teil im alten Netz zugreifen. Die paar Devices in ein Alias gepackt greifen, wie hier bei uns, nur auf ein NAS zu. Brauchst ja nur die paar Ports für smb, nfs und Co öffnen, der Rest bleibt dicht.

      Bin kein Sicherheitsexperte, würde gern wissen, warum viele bei diesem Thema allergisch reagieren. Ich sichere kein Regierungsgebäude ab, nur mein Heim. Beides genauso wichtig für mich, nur sind die Daten hier für viele uninteressant.
      Kenne keinen aus meinem Umfeld, der im privaten Sektor so was wie Firewall, Netzsegmentierung, VLAN oder VPN praktiziert.
      .

      Nur für Multiroom und Controller brauchts entweder ein bisschen Magie wieder um über Netzgrenzen zu wandeln oder man hängt einfach sein Handy, Tablet o.ä. einfach kurz ins Media Netz (oder nutzt ein billiges Amazon Mini Tablet dafür. Supergünstig, kann man leicht aufbohren mit richtigem Playstore oder Sideloading von Apps und schwupp hat man nen günstigen 7-10" großen Media Controller.

      Danke für den Denkanstoß. 👍

      Einfach ein altes ausrangiertes Tablet zum reinen Mediacontroller degradieren, das passende App drauf, fertig. Keine schlechte Idee...☺

      DG FTTH 400/200
      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hab die Dublette mal gelöscht ;)

        4 Interfaces, nice...☺

        18xx'er Synology, jap. Würde eigentlich gern down/sidegraden aber niemand möchte das schöne Ding haben, also schlepp ichs halt mit schulterzuck

        Bin kein Sicherheitsexperte, würde gern wissen, warum viele bei diesem Thema allergisch reagieren. Ich sichere kein Regierungsgebäude ab, nur mein Heim. Beides genauso wichtig für mich, nur sind die Daten hier für viele uninteressant.

        Also da reagiert normalerweise keiner groß allergisch weil es konkrete Punkt2Punkt Beziehungen sind. Nur eben alles in ein getrenntes Netz schieben und dann wieder alles aufmachen damit irgendwelche Apps und so gehen, macht dann meist eben wenig Sinn. Darum mag ich eigentlich nicht erst mit Dingen wie uPNP und IGMPProxy rummachen müssen, sondern lieber Apps wo ich IPs oder DNS eintragen kann die auch funktionieren und keine seltsame Autodiscovery brauchen.
        Darum entweder fast-switch vom Smartphone in anderes Netz oder einfach nen altes Handy/Tablet als Controller nehmen. Habe mein altes Firmen-Nexus6 abgekauft für nen Euro, Riesen-Screen und eher unhandlich aber dadurch schon fast ein Mini-Tablet. Wuppt großartig als Sonos Controller.

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        mike69M 1 Reply Last reply Reply Quote 0
        • mike69M
          mike69 Rebel Alliance @JeGr
          last edited by mike69

          @JeGr said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

          Hab die Dublette mal gelöscht ;)

          Oh, danke. :)

          Sonos kann ja glücklicherweise mit Freigaben umgehen, Yamaha leider nicht, deswegen ist so ein UPnP Service nötig. Oder ich wuchte das NAS komplett in das Media Netz, Dienste wie CalDAV oder CardDAV kann ich ja ausgliedern. die IP-Cams schreiben dann auf das NAS im Media Netz, somit bleibt das LAN Netz sauber.

          Erstmal das alte Tablet zum MusicCast Controller mutieren lassen. :)

          DG FTTH 400/200
          Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

          1 Reply Last reply Reply Quote 0
          • mike69M
            mike69 Rebel Alliance
            last edited by

            So, kleines Feedback.

            Läuft seit 4 Tagen ohne zu mucken.
            Was mich wundert, ich brauche eine Rule vom Management Netz zu den anderen restlichen Netzen (LAN, MEDIA, IOT, etc) welches UDP erlaubt, sonst funktioniert die Authorisation über Radius nicht. War der Meinung, die Kommunizieren komplett im Management Netz.

            @JeGr
            Strippen schon gelegt? :))
            Das Nexus hat schon was, vom display gross genug, mit einer Hand zu bedienen und kontaktlos zu laden, immer voll, wenn man es braucht :).

            DG FTTH 400/200
            Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              BTW: ich habe zu solchen "Infotainment" oder ein wenig mehr "off-topic" Themen mal ein Unterforum angefragt, evtl wenn es nicht zu unübersichtlich wird, können wir da was machen :)

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • mike69M
                mike69 Rebel Alliance
                last edited by

                Da bin ich mal gespannt. Was auffällt ist, dass sich zu diesem ganzen "Off Topic" noch keiner negativ ausgelassen hat. Eventuell besteht Bedarf für so was.

                DG FTTH 400/200
                Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                1 Reply Last reply Reply Quote 0
                • JeGrJ
                  JeGr LAYER 8 Moderator
                  last edited by

                  Oder keiner liest es ¯\_(ツ)_/¯

                  Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                  If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                  1 Reply Last reply Reply Quote 0
                  • S
                    slu
                    last edited by

                    Jetzt muss ich mich in den Thread mal einklinken, die Sache mit dem Radius und VLAN hören sich sehr interessant an.

                    Im Moment hab ich mehrere SSIDs die im Unifi fest ein VLAN taggen, die Benutzer werden über den Radius in der pfSense authentifiziert.

                    Wenn ich jezt das VLAN auch noch im Unifi aktiviere, muss ich jedem Benutzer dann ein VLAN im Radius zuweisen?
                    Oder bekommen die Benutzer ohne VLAN im Radius das VLAN von der tagged SSID und der Rest das VLAN vom Radius?

                    Oder muss ich das tagged VLAN der SSID komplett abstellen, wenn dann aber was schieft geht können die Benutzer im Managment Netzwerk landen.

                    Wie macht ihr das?

                    pfSense Gold subscription

                    mike69M 1 Reply Last reply Reply Quote 0
                    • mike69M
                      mike69 Rebel Alliance @slu
                      last edited by mike69

                      @slu

                      Moin.

                      Du musst den User unter Freeradius eine VLAN ID zuweisen.
                      Weiss es nicht 100%ig, bin der Meinung, wenn Du deinen Usern keine VLAN ID vergibst, landet der User im Mgmt Netz.

                      Du brauchst nur noch eine SSID, aktivierst die VLAN Zuweisung für LAN und WLAN und die User wandern beim authentifizieren in das richtige Netz.

                      Ganz wichtig, das Mgmt Netz muss eigenständig sein. Es darf nicht in dem WLAN Pool angehören, sonst funktioniert es nicht.

                      Als Beispiel:
                      mgmt Netz: VLAN ID 10
                      WLAN Netz: Alles ausser VLAN ID 10

                      Die anderen VLAN getaggten SSIDs brauchst Du nicht mehr.
                      Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.

                      Mike

                      DG FTTH 400/200
                      Supermicro A2SDi-4C-HLN4F with pfSense 2.7.2

                      S 1 Reply Last reply Reply Quote 0
                      • S
                        slu @mike69
                        last edited by

                        @mike69 said in [solved] Wer hat FreeRADIUS auf der pfsense und Unifi APs am laufen?:

                        Und beides funktioniert nicht, entweder wird die VLAN ID zugeteilt oder ist fest an eine andere SSID getaggt.

                        Ok das hatte ich befürchtet.
                        Ich wollte faul sein und nur den paar Benutzern welche ins andere VLAN gehören ein Radius VLAN geben und den Rest über das VLAN der SSID abdecken...

                        Das im Fehlerfall die STA's im Managment landen ist nicht schön, aber da gibt es zumindest keine IP Adresse vom DHCP.
                        Das Risiko ist vermutlich ohnehin sehr gering.

                        pfSense Gold subscription

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post