Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WLAN Multi SSID keine Verbindung zum RADIUS

Frage Netzwerke

Mitglied: JimKnopf90

JimKnopf90 (Level 1) - Jetzt verbinden

12.05.2014 um 20:16 Uhr, 2188 Aufrufe, 8 Kommentare

Hallo Leute,

Ich bin grade dabei ein Gastnetz für unsere Kunden zu implementieren.
Wir verwenden einen Access Point von der Firma Ubiquite Network (UniFi WiFi System UAP- AC) und eine Endian Firwall.

Bis jetzt haben wir ein Firmen-WLAN-Netz für Mitarbeiter. Am RADIUS-Servers (Windows) können sich die Mitarbeiter authentifizieren, was auch soweit funktioniert.

Da der Access Point nun Multi-SSID fähig ist, wollten wir das auch auskosten. Haben also eine zweite SSID erstellt beide SSIDs in unterschiedliche VLANs gepackt (GAST 20, ECHT 10) und an der Schnittstelle am Router die beiden VLANs hinterlegt.

Das Problem ist nun, dass das WLAN für das Firmennetz nicht mehr so ganz mit dem RADIUS kommunizieren möchte.
Ich bekomme zwar die Chance mich am Windows Client zu authentifizieren, aber nach Eingabe der Benutzerdaten wiederholt er den Authentifizierungs-Schritt.

Ich kann auch den AP nicht mehr anpingen seit die SSIDs in VLANs stecken. Die Regeln in der Firewall sind erstmal komplett offen.

Hat einer eine Idee?



0c5e63dc29208d824e5603fd3a0ee914 - Klicke auf das Bild, um es zu vergrößern
Mitglied: MrNetman
12.05.2014 um 21:53 Uhr
Dass der Link vom AP zum Router getaggt ist, ist dem Router bewusst?
Der bekommt die beiden Netze ja über eine Leitung angeliefert und zwar getrennt angeliefert. Wenn der Router/Firewall jetzt mit einem ungetaggten Interface arbeitet klappt das nicht. Ansonsten macht der Router das gleich wie bei den anderen Netzen.

Gruß
Netman
Bitte warten ..
Mitglied: JimKnopf90
12.05.2014 um 22:13 Uhr
Ich habe im Router der Schnittstelle mitgeteilt, dass es das VLAN 10 und VLAN 20 gibt.
In der Endian Software gibt es unter Schnittstellen die Möglichkeit für eine Schnittstelle (bei Endian BLAU) VLANs zu definieren. Ich bin mir jetzt nicht 100 % sicher ob das eine Art Subinterface Funktion ist oder ob damit 802.1Q (tagging) gemeint ist

In der Weboberfläche sehe ich aber das Datenpakete über die VLANs transportiert werden (Sobald ich VERSUCHE mich zu verbinden).

Könnte es sein das der AP im default VLAN ist und ich ihn daher nicht ansprechen kann?

Wenn ich mich mit dem Gastnetz verbinde (WPA2 Verschlüsselung) kann ich auf alle Ressourcen die im Netz vorhanden sind, zugreifen.
Und das Firmennetz(WPA-Enterprise) wiederholt die Authentifizierung-Eingabe.
Bitte warten ..
Mitglied: MrNetman
13.05.2014 um 08:07 Uhr
Ja, das würde erklären, dass das interface in der Firewall/router nicht getaggt ist.
VLANs erkennen und mit ihnen gezielt umzugehen sind verschiedene Paar Schuhe.
Man kann ja auch bestimmen, das nur ein Teil des VLAN-Verkehrs genutzt wird.

Vergleichbar im Switch.
Wenn ich drei VLANs definiere müssen die noch immer nicht mit einem Interface verknüpft sein. Und bei der Verknüpfung mit dem Interface muss man auch noch bestimmen, ob die Pakete getaggt oder ungetaggt versendet werden.
Das default VLAN bestimmt meist, wie mit ungetaggten Paketen an einem getaggten Port umgegangen wird.

Gruß
Netman
Bitte warten ..
Mitglied: aqui
13.05.2014, aktualisiert 12.09.2014
Die Radius Connectivity wird nur via native VLAN und dessen IP Adresse gemacht. Du musst also sicherstellen das damit generelle IP Connectivity besteht also mit Ping und NTRadping testen.
Das Grundproblem ist die IP Connectivity in den VLANs bzw. zwischen diesen. DAS musst du zuerst lösen, denn dann löst das auch die Folgeprobleme die daraus logischerweise resultieren !

Grundlegende Infos zum Setup und Troubleshooting findest du hier:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Speziell im Kapitel "Praxisbeispiel".
Und auch hier:
http://www.administrator.de/wissen/sichere-wlan-benutzer-authentifizier ...
und hier
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Bitte warten ..
Mitglied: stfnppr
12.09.2014 um 08:38 Uhr
Hi JimKnopf90,

hast du das Problem mittlerweile lösen können?

Ich stehe hier vor der gleichen Herausforderung und glaube langsam, dass es an den UBNT-Geräten selbst liegt.
Bitte warten ..
Mitglied: aqui
12.09.2014 um 08:51 Uhr
Wie immer vermutlich hat der TO das Interesse an einer zielführenden Hilfe verloren. Schade....ein Feedback hätte allen geholfen

Ganz wichtig ist in so einem Szenario mit MSSID APs zu beachten das der radius Request des APs IMMER von der management IP Adresse des APs gesendet wird. Die Management IP Adresse befindet sich IMMER im default VLAN (in der Regel 1) des APs. Man muss also immer zwimgend sicher stellen das diese IP Adresse mit der Ziel IP des radius Servers sauber kommunizieren kann.
Am einfachsten geht das wenn man vom Radius Server diese AP Management IP anpingt und auch vice versa vom AP zum Radius.
Befindet sich der AP hinter einem Captive Portal z.B. muss man unbedingt im CP eine Ausnahme Regel definieren, das Radius Traffic das Portal passieren darf.
Ohne das man diese IP Kommunikation sicherstellt zwischen AP Mgmt IP und Radius kann es passieren das Radius Pakete hängen bleiben und dann ists aus mit der Authentisierung.

2ter wichtiger Punkt ist der Switchport an dem dieser AP dranhängt. Hier muss man sicherstellen das die Pakete vom VLAN hier auch transportiert werden ! Bei Multi SSID muss dies ja immer ein tagged Port sein. Hier muss man aber aufpassen das auch das default VLAN (ID 1) untagged ungeschlossen wird. Viele Switches blocken das auf tagged Ports bzw.. man muss mit Kommandos wie "no switch tagged native vlan" oder auch "dual-mode 1" dafür sorgen das das VLAN 1 parallel dort übertragen wird untagged.
Bei billigen No Name oder Websmart VLAN Switches ist es glücklicherweise in der regel der Default aber besser nachsehen damit man sich nicht einen Wolf sucht !
Wie gesagt der Ping zw. Radius und dem oder den APs zeigt ja obs geht oder nicht.
Wenn man das genau beachtet funktioniert es problemlos auf Anhieb !!
Bitte warten ..
Mitglied: stfnppr
29.09.2014 um 11:56 Uhr
Danke für die Hilfe.

Es liegt aber in diesem Fall tatsächlich an den Geräten.

Im UBNT-Forum gibt es zum Thema UAP-AC + RADIUS schon einen sehr langen Thread:
http://community.ubnt.com/t5/UniFi-Wireless/UniFi-AC-AP-issues-with-WPA ...

Mit den anderen Geräten, z.B. UAP-PRO läuft es einwandfrei.

Unser Händler wird die UAP-AC-Einheiten auch wieder zurücknehmen.
Bitte warten ..
Mitglied: aqui
29.09.2014 um 14:37 Uhr
JimKnopf90 ist das vermutlich auch ziemlich egal denn das mangelnde Feedback von ihm zeigt ja das er keinerlei Interesse mehr an einer Lösung hat.
Egal wie die auch immer aussieht !

Gut aber das Feedback das die Ubiquity Geräte da ein technisches Problem haben. Das erspart dem einen oder anderen sicher ein paar graue Haare
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
LAN, WAN, Wireless
Multi SSID zwei Netze? (14)

Frage von Fire2308 zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
gelöst WLAN AP verlieren Verbindung nach unbestimmter Zeit (15)

Frage von 113726 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...