Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN Multi SSID keine Verbindung zum RADIUS

Frage Netzwerke

Mitglied: JimKnopf90

JimKnopf90 (Level 1) - Jetzt verbinden

12.05.2014 um 20:16 Uhr, 2345 Aufrufe, 8 Kommentare

Hallo Leute,

Ich bin grade dabei ein Gastnetz für unsere Kunden zu implementieren.
Wir verwenden einen Access Point von der Firma Ubiquite Network (UniFi WiFi System UAP- AC) und eine Endian Firwall.

Bis jetzt haben wir ein Firmen-WLAN-Netz für Mitarbeiter. Am RADIUS-Servers (Windows) können sich die Mitarbeiter authentifizieren, was auch soweit funktioniert.

Da der Access Point nun Multi-SSID fähig ist, wollten wir das auch auskosten. Haben also eine zweite SSID erstellt beide SSIDs in unterschiedliche VLANs gepackt (GAST 20, ECHT 10) und an der Schnittstelle am Router die beiden VLANs hinterlegt.

Das Problem ist nun, dass das WLAN für das Firmennetz nicht mehr so ganz mit dem RADIUS kommunizieren möchte.
Ich bekomme zwar die Chance mich am Windows Client zu authentifizieren, aber nach Eingabe der Benutzerdaten wiederholt er den Authentifizierungs-Schritt.

Ich kann auch den AP nicht mehr anpingen seit die SSIDs in VLANs stecken. Die Regeln in der Firewall sind erstmal komplett offen.

Hat einer eine Idee?



0c5e63dc29208d824e5603fd3a0ee914 - Klicke auf das Bild, um es zu vergrößern
Mitglied: MrNetman
12.05.2014 um 21:53 Uhr
Dass der Link vom AP zum Router getaggt ist, ist dem Router bewusst?
Der bekommt die beiden Netze ja über eine Leitung angeliefert und zwar getrennt angeliefert. Wenn der Router/Firewall jetzt mit einem ungetaggten Interface arbeitet klappt das nicht. Ansonsten macht der Router das gleich wie bei den anderen Netzen.

Gruß
Netman
Bitte warten ..
Mitglied: JimKnopf90
12.05.2014 um 22:13 Uhr
Ich habe im Router der Schnittstelle mitgeteilt, dass es das VLAN 10 und VLAN 20 gibt.
In der Endian Software gibt es unter Schnittstellen die Möglichkeit für eine Schnittstelle (bei Endian BLAU) VLANs zu definieren. Ich bin mir jetzt nicht 100 % sicher ob das eine Art Subinterface Funktion ist oder ob damit 802.1Q (tagging) gemeint ist

In der Weboberfläche sehe ich aber das Datenpakete über die VLANs transportiert werden (Sobald ich VERSUCHE mich zu verbinden).

Könnte es sein das der AP im default VLAN ist und ich ihn daher nicht ansprechen kann?

Wenn ich mich mit dem Gastnetz verbinde (WPA2 Verschlüsselung) kann ich auf alle Ressourcen die im Netz vorhanden sind, zugreifen.
Und das Firmennetz(WPA-Enterprise) wiederholt die Authentifizierung-Eingabe.
Bitte warten ..
Mitglied: MrNetman
13.05.2014 um 08:07 Uhr
Ja, das würde erklären, dass das interface in der Firewall/router nicht getaggt ist.
VLANs erkennen und mit ihnen gezielt umzugehen sind verschiedene Paar Schuhe.
Man kann ja auch bestimmen, das nur ein Teil des VLAN-Verkehrs genutzt wird.

Vergleichbar im Switch.
Wenn ich drei VLANs definiere müssen die noch immer nicht mit einem Interface verknüpft sein. Und bei der Verknüpfung mit dem Interface muss man auch noch bestimmen, ob die Pakete getaggt oder ungetaggt versendet werden.
Das default VLAN bestimmt meist, wie mit ungetaggten Paketen an einem getaggten Port umgegangen wird.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
13.05.2014, aktualisiert 12.09.2014
Die Radius Connectivity wird nur via native VLAN und dessen IP Adresse gemacht. Du musst also sicherstellen das damit generelle IP Connectivity besteht also mit Ping und NTRadping testen.
Das Grundproblem ist die IP Connectivity in den VLANs bzw. zwischen diesen. DAS musst du zuerst lösen, denn dann löst das auch die Folgeprobleme die daraus logischerweise resultieren !

Grundlegende Infos zum Setup und Troubleshooting findest du hier:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Speziell im Kapitel "Praxisbeispiel".
Und auch hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und hier
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: stfnppr
12.09.2014 um 08:38 Uhr
Hi JimKnopf90,

hast du das Problem mittlerweile lösen können?

Ich stehe hier vor der gleichen Herausforderung und glaube langsam, dass es an den UBNT-Geräten selbst liegt.
Bitte warten ..
Mitglied: aqui
12.09.2014 um 08:51 Uhr
Wie immer vermutlich hat der TO das Interesse an einer zielführenden Hilfe verloren. Schade....ein Feedback hätte allen geholfen

Ganz wichtig ist in so einem Szenario mit MSSID APs zu beachten das der radius Request des APs IMMER von der management IP Adresse des APs gesendet wird. Die Management IP Adresse befindet sich IMMER im default VLAN (in der Regel 1) des APs. Man muss also immer zwimgend sicher stellen das diese IP Adresse mit der Ziel IP des radius Servers sauber kommunizieren kann.
Am einfachsten geht das wenn man vom Radius Server diese AP Management IP anpingt und auch vice versa vom AP zum Radius.
Befindet sich der AP hinter einem Captive Portal z.B. muss man unbedingt im CP eine Ausnahme Regel definieren, das Radius Traffic das Portal passieren darf.
Ohne das man diese IP Kommunikation sicherstellt zwischen AP Mgmt IP und Radius kann es passieren das Radius Pakete hängen bleiben und dann ists aus mit der Authentisierung.

2ter wichtiger Punkt ist der Switchport an dem dieser AP dranhängt. Hier muss man sicherstellen das die Pakete vom VLAN hier auch transportiert werden ! Bei Multi SSID muss dies ja immer ein tagged Port sein. Hier muss man aber aufpassen das auch das default VLAN (ID 1) untagged ungeschlossen wird. Viele Switches blocken das auf tagged Ports bzw.. man muss mit Kommandos wie "no switch tagged native vlan" oder auch "dual-mode 1" dafür sorgen das das VLAN 1 parallel dort übertragen wird untagged.
Bei billigen No Name oder Websmart VLAN Switches ist es glücklicherweise in der regel der Default aber besser nachsehen damit man sich nicht einen Wolf sucht !
Wie gesagt der Ping zw. Radius und dem oder den APs zeigt ja obs geht oder nicht.
Wenn man das genau beachtet funktioniert es problemlos auf Anhieb !!
Bitte warten ..
Mitglied: stfnppr
29.09.2014 um 11:56 Uhr
Danke für die Hilfe.

Es liegt aber in diesem Fall tatsächlich an den Geräten.

Im UBNT-Forum gibt es zum Thema UAP-AC + RADIUS schon einen sehr langen Thread:
http://community.ubnt.com/t5/UniFi-Wireless/UniFi-AC-AP-issues-with-WPA ...

Mit den anderen Geräten, z.B. UAP-PRO läuft es einwandfrei.

Unser Händler wird die UAP-AC-Einheiten auch wieder zurücknehmen.
Bitte warten ..
Mitglied: aqui
29.09.2014 um 14:37 Uhr
JimKnopf90 ist das vermutlich auch ziemlich egal denn das mangelnde Feedback von ihm zeigt ja das er keinerlei Interesse mehr an einer Lösung hat.
Egal wie die auch immer aussieht !

Gut aber das Feedback das die Ubiquity Geräte da ein technisches Problem haben. Das erspart dem einen oder anderen sicher ein paar graue Haare
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Multi-SSID WLAN für Firmennetz über VLAN. Verständnisfrage
Frage von oliver84LAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich habe eine Frage bezüglich WLAN einstellungen. Ich habe mich zwar schon intensiv damit beschäftigt, habe aber ...

LAN, WAN, Wireless
Multi SSID zwei Netze?
Frage von Fire2308LAN, WAN, Wireless14 Kommentare

Hallo liebe Community, ich hätte mal eine Frage bezüglich Multi-SSID. Leider konnte ich keine genaue Antwort im Netz finden. ...

Windows 8
Wlan Verbindung mit einem Radius Server nicht möglich
Frage von staybbWindows 83 Kommentare

Hallo, ich habe ein neues sony Notebook bekommen mit Windows 8. Müsste 8.1 sein. Die wlan Verbindung wird hier ...

LAN, WAN, Wireless
Ist ein WLAN Adapter mit x 1 Antenne Multi SSID fähig?
Frage von Cat7BoyLAN, WAN, Wireless14 Kommentare

Ich sitze hier und streite mit einem guten Freund :-) Brauche eure Unterstützung Leute. Frage: Ist ein WLAN Adapter ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 4 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 11 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 22 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless16 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...