8
WLAN Multi SSID keine Verbindung zum RADIUS
Hallo Leute,
Ich bin grade dabei ein Gastnetz für unsere Kunden zu implementieren.
Wir verwenden einen Access Point von der Firma Ubiquite Network (UniFi WiFi System UAP- AC) und eine Endian Firwall.
Bis jetzt haben wir ein Firmen-WLAN-Netz für Mitarbeiter. Am RADIUS-Servers (Windows) können sich die Mitarbeiter authentifizieren, was auch soweit funktioniert.
Da der Access Point nun Multi-SSID fähig ist, wollten wir das auch auskosten. Haben also eine zweite SSID erstellt beide SSIDs in unterschiedliche VLANs gepackt (GAST 20, ECHT 10) und an der Schnittstelle am Router die beiden VLANs hinterlegt.
Das Problem ist nun, dass das WLAN für das Firmennetz nicht mehr so ganz mit dem RADIUS kommunizieren möchte.
Ich bekomme zwar die Chance mich am Windows Client zu authentifizieren, aber nach Eingabe der Benutzerdaten wiederholt er den Authentifizierungs-Schritt.
Ich kann auch den AP nicht mehr anpingen seit die SSIDs in VLANs stecken. Die Regeln in der Firewall sind erstmal komplett offen.
Hat einer eine Idee?
Ich bin grade dabei ein Gastnetz für unsere Kunden zu implementieren.
Wir verwenden einen Access Point von der Firma Ubiquite Network (UniFi WiFi System UAP- AC) und eine Endian Firwall.
Bis jetzt haben wir ein Firmen-WLAN-Netz für Mitarbeiter. Am RADIUS-Servers (Windows) können sich die Mitarbeiter authentifizieren, was auch soweit funktioniert.
Da der Access Point nun Multi-SSID fähig ist, wollten wir das auch auskosten. Haben also eine zweite SSID erstellt beide SSIDs in unterschiedliche VLANs gepackt (GAST 20, ECHT 10) und an der Schnittstelle am Router die beiden VLANs hinterlegt.
Das Problem ist nun, dass das WLAN für das Firmennetz nicht mehr so ganz mit dem RADIUS kommunizieren möchte.
Ich bekomme zwar die Chance mich am Windows Client zu authentifizieren, aber nach Eingabe der Benutzerdaten wiederholt er den Authentifizierungs-Schritt.
Ich kann auch den AP nicht mehr anpingen seit die SSIDs in VLANs stecken. Die Regeln in der Firewall sind erstmal komplett offen.
Hat einer eine Idee?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237829
Url: https://administrator.de/contentid/237829
Printed on: April 23, 2024 at 21:04 o'clock
8 Comments
Latest comment
Dass der Link vom AP zum Router getaggt ist, ist dem Router bewusst?
Der bekommt die beiden Netze ja über eine Leitung angeliefert und zwar getrennt angeliefert. Wenn der Router/Firewall jetzt mit einem ungetaggten Interface arbeitet klappt das nicht. Ansonsten macht der Router das gleich wie bei den anderen Netzen.
Gruß
Netman
Der bekommt die beiden Netze ja über eine Leitung angeliefert und zwar getrennt angeliefert. Wenn der Router/Firewall jetzt mit einem ungetaggten Interface arbeitet klappt das nicht. Ansonsten macht der Router das gleich wie bei den anderen Netzen.
Gruß
Netman
Ich habe im Router der Schnittstelle mitgeteilt, dass es das VLAN 10 und VLAN 20 gibt.
In der Endian Software gibt es unter Schnittstellen die Möglichkeit für eine Schnittstelle (bei Endian BLAU) VLANs zu definieren. Ich bin mir jetzt nicht 100 % sicher ob das eine Art Subinterface Funktion ist oder ob damit 802.1Q (tagging) gemeint ist
In der Weboberfläche sehe ich aber das Datenpakete über die VLANs transportiert werden (Sobald ich VERSUCHE mich zu verbinden).
Könnte es sein das der AP im default VLAN ist und ich ihn daher nicht ansprechen kann?
Wenn ich mich mit dem Gastnetz verbinde (WPA2 Verschlüsselung) kann ich auf alle Ressourcen die im Netz vorhanden sind, zugreifen.
Und das Firmennetz(WPA-Enterprise) wiederholt die Authentifizierung-Eingabe.
In der Endian Software gibt es unter Schnittstellen die Möglichkeit für eine Schnittstelle (bei Endian BLAU) VLANs zu definieren. Ich bin mir jetzt nicht 100 % sicher ob das eine Art Subinterface Funktion ist oder ob damit 802.1Q (tagging) gemeint ist
In der Weboberfläche sehe ich aber das Datenpakete über die VLANs transportiert werden (Sobald ich VERSUCHE mich zu verbinden).
Könnte es sein das der AP im default VLAN ist und ich ihn daher nicht ansprechen kann?
Wenn ich mich mit dem Gastnetz verbinde (WPA2 Verschlüsselung) kann ich auf alle Ressourcen die im Netz vorhanden sind, zugreifen.
Und das Firmennetz(WPA-Enterprise) wiederholt die Authentifizierung-Eingabe.
Ja, das würde erklären, dass das interface in der Firewall/router nicht getaggt ist.
VLANs erkennen und mit ihnen gezielt umzugehen sind verschiedene Paar Schuhe.
Man kann ja auch bestimmen, das nur ein Teil des VLAN-Verkehrs genutzt wird.
Vergleichbar im Switch.
Wenn ich drei VLANs definiere müssen die noch immer nicht mit einem Interface verknüpft sein. Und bei der Verknüpfung mit dem Interface muss man auch noch bestimmen, ob die Pakete getaggt oder ungetaggt versendet werden.
Das default VLAN bestimmt meist, wie mit ungetaggten Paketen an einem getaggten Port umgegangen wird.
Gruß
Netman
VLANs erkennen und mit ihnen gezielt umzugehen sind verschiedene Paar Schuhe.
Man kann ja auch bestimmen, das nur ein Teil des VLAN-Verkehrs genutzt wird.
Vergleichbar im Switch.
Wenn ich drei VLANs definiere müssen die noch immer nicht mit einem Interface verknüpft sein. Und bei der Verknüpfung mit dem Interface muss man auch noch bestimmen, ob die Pakete getaggt oder ungetaggt versendet werden.
Das default VLAN bestimmt meist, wie mit ungetaggten Paketen an einem getaggten Port umgegangen wird.
Gruß
Netman
Die Radius Connectivity wird nur via native VLAN und dessen IP Adresse gemacht. Du musst also sicherstellen das damit generelle IP Connectivity besteht also mit Ping und NTRadping testen.
Das Grundproblem ist die IP Connectivity in den VLANs bzw. zwischen diesen. DAS musst du zuerst lösen, denn dann löst das auch die Folgeprobleme die daraus logischerweise resultieren !
Grundlegende Infos zum Setup und Troubleshooting findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell im Kapitel "Praxisbeispiel".
Und auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und hier
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das Grundproblem ist die IP Connectivity in den VLANs bzw. zwischen diesen. DAS musst du zuerst lösen, denn dann löst das auch die Folgeprobleme die daraus logischerweise resultieren !
Grundlegende Infos zum Setup und Troubleshooting findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Speziell im Kapitel "Praxisbeispiel".
Und auch hier:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
und hier
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Hi JimKnopf90,
hast du das Problem mittlerweile lösen können?
Ich stehe hier vor der gleichen Herausforderung und glaube langsam, dass es an den UBNT-Geräten selbst liegt.
hast du das Problem mittlerweile lösen können?
Ich stehe hier vor der gleichen Herausforderung und glaube langsam, dass es an den UBNT-Geräten selbst liegt.
Wie immer vermutlich hat der TO das Interesse an einer zielführenden Hilfe verloren. Schade....ein Feedback hätte allen geholfen 
Ganz wichtig ist in so einem Szenario mit MSSID APs zu beachten das der radius Request des APs IMMER von der management IP Adresse des APs gesendet wird. Die Management IP Adresse befindet sich IMMER im default VLAN (in der Regel 1) des APs. Man muss also immer zwimgend sicher stellen das diese IP Adresse mit der Ziel IP des radius Servers sauber kommunizieren kann.
Am einfachsten geht das wenn man vom Radius Server diese AP Management IP anpingt und auch vice versa vom AP zum Radius.
Befindet sich der AP hinter einem Captive Portal z.B. muss man unbedingt im CP eine Ausnahme Regel definieren, das Radius Traffic das Portal passieren darf.
Ohne das man diese IP Kommunikation sicherstellt zwischen AP Mgmt IP und Radius kann es passieren das Radius Pakete hängen bleiben und dann ists aus mit der Authentisierung.
2ter wichtiger Punkt ist der Switchport an dem dieser AP dranhängt. Hier muss man sicherstellen das die Pakete vom VLAN hier auch transportiert werden ! Bei Multi SSID muss dies ja immer ein tagged Port sein. Hier muss man aber aufpassen das auch das default VLAN (ID 1) untagged ungeschlossen wird. Viele Switches blocken das auf tagged Ports bzw.. man muss mit Kommandos wie "no switch tagged native vlan" oder auch "dual-mode 1" dafür sorgen das das VLAN 1 parallel dort übertragen wird untagged.
Bei billigen No Name oder Websmart VLAN Switches ist es glücklicherweise in der regel der Default aber besser nachsehen damit man sich nicht einen Wolf sucht !
Wie gesagt der Ping zw. Radius und dem oder den APs zeigt ja obs geht oder nicht.
Wenn man das genau beachtet funktioniert es problemlos auf Anhieb !!
Ganz wichtig ist in so einem Szenario mit MSSID APs zu beachten das der radius Request des APs IMMER von der management IP Adresse des APs gesendet wird. Die Management IP Adresse befindet sich IMMER im default VLAN (in der Regel 1) des APs. Man muss also immer zwimgend sicher stellen das diese IP Adresse mit der Ziel IP des radius Servers sauber kommunizieren kann.
Am einfachsten geht das wenn man vom Radius Server diese AP Management IP anpingt und auch vice versa vom AP zum Radius.
Befindet sich der AP hinter einem Captive Portal z.B. muss man unbedingt im CP eine Ausnahme Regel definieren, das Radius Traffic das Portal passieren darf.
Ohne das man diese IP Kommunikation sicherstellt zwischen AP Mgmt IP und Radius kann es passieren das Radius Pakete hängen bleiben und dann ists aus mit der Authentisierung.
2ter wichtiger Punkt ist der Switchport an dem dieser AP dranhängt. Hier muss man sicherstellen das die Pakete vom VLAN hier auch transportiert werden ! Bei Multi SSID muss dies ja immer ein tagged Port sein. Hier muss man aber aufpassen das auch das default VLAN (ID 1) untagged ungeschlossen wird. Viele Switches blocken das auf tagged Ports bzw.. man muss mit Kommandos wie "no switch tagged native vlan" oder auch "dual-mode 1" dafür sorgen das das VLAN 1 parallel dort übertragen wird untagged.
Bei billigen No Name oder Websmart VLAN Switches ist es glücklicherweise in der regel der Default aber besser nachsehen damit man sich nicht einen Wolf sucht !
Wie gesagt der Ping zw. Radius und dem oder den APs zeigt ja obs geht oder nicht.
Wenn man das genau beachtet funktioniert es problemlos auf Anhieb !!
Danke für die Hilfe.
Es liegt aber in diesem Fall tatsächlich an den Geräten.
Im UBNT-Forum gibt es zum Thema UAP-AC + RADIUS schon einen sehr langen Thread:
http://community.ubnt.com/t5/UniFi-Wireless/UniFi-AC-AP-issues-with-WPA ...
Mit den anderen Geräten, z.B. UAP-PRO läuft es einwandfrei.
Unser Händler wird die UAP-AC-Einheiten auch wieder zurücknehmen.
Es liegt aber in diesem Fall tatsächlich an den Geräten.
Im UBNT-Forum gibt es zum Thema UAP-AC + RADIUS schon einen sehr langen Thread:
http://community.ubnt.com/t5/UniFi-Wireless/UniFi-AC-AP-issues-with-WPA ...
Mit den anderen Geräten, z.B. UAP-PRO läuft es einwandfrei.
Unser Händler wird die UAP-AC-Einheiten auch wieder zurücknehmen.
JimKnopf90 ist das vermutlich auch ziemlich egal denn das mangelnde Feedback von ihm zeigt ja das er keinerlei Interesse mehr an einer Lösung hat.
Egal wie die auch immer aussieht !
Gut aber das Feedback das die Ubiquity Geräte da ein technisches Problem haben. Das erspart dem einen oder anderen sicher ein paar graue Haare
Egal wie die auch immer aussieht !
Gut aber das Feedback das die Ubiquity Geräte da ein technisches Problem haben. Das erspart dem einen oder anderen sicher ein paar graue Haare
