vlan

Unifi RADIUS Authentifizierung mit VLAN Zuordnung

­In der aktuellen Beta des Unifi Controllers (v5.5.5+) ist das erste Mal ein Radius Server enthalten, sodass man kein Drittsystem benötigt. Dieser läuft dann auf der USG und ist z.B. für die WLAN Authentifizierung verfügbar.

Zugegeben, meistens hat man einen Windows Server mit NAP und AD Anbindung, aber eben nicht immer. In meinem Fall möchte ich guten Bekannten einen persistenten Internetzugang geben (also keinen Gäste-Voucher) aber diese dennoch nicht in meinem Netzwerk haben. Hier steht, wie es geht:

Vorarbeiten – VLAN Anlegen

Damit man WLAN Clients in verschiedene VLANs zuordnen kann, müssen natürlich VLANs existieren. Dazu in den Settings unter Networks ein neues Netzwerk anlegen und VLAN ID, IP Range sowie DHCP Scope angeben – fertig! Jetzt noch nach belieben Firewallregeln festlegen.

Aktivierung des RADIUS Servers

Zunächst in die Settings und dort den neuen Menüpunkt Services auswählen und dort im Bereich RADIUS die Servereinstellungen wählen. Dort Enable RADIUS Server auf ON setzen – fertig.

Danach im RADIUS Profil (Profiles -> Default) das drahtlose VLAN Tagging aktivieren:

Zuletzt noch dem WLAN Profil das RADIUS Profil zuweisen:

User anlegen

Jetzt können User angelegt werden. Gibt man kein VLAN an, wird auch keines gesetzt und der User landet im Default / untagged VLAN:


Möchte man hingegen ein VLAN mitgeben, muss die ID eingetragen und die Optionen 13 sowie 6 gesetzt werden:


Wenn man sich nun verbindet und mit dem  „friend1“ anmeldet bekommt man eine IP aus dem VLAN341:

Aus der Serie…

Netzwerkupgrade: Ubiquiti USG und APs

Ich habe aktuell eine Fritz!Box. Leider. Diese Box ist ja echt ein Wunderwerk der Technik, kann alles, macht alles. Aber sie ist bei mir auch ultra langsam. Das WLAN ist nicht der Knaller und mein OpenVPN für zwei Site-to-Site Tunnel ich muss extra auf einer VM laufen lassen. Also würde es mal Zeit für ein Upgrade: ein Ubiquiti Security Gateway und zwei UAP-AC-PRO AccessPoints sind es geworden. Erst hatte ich überlegt einen Edge Router zu nehmen (habe ich schon bei meinen Eltern im Einsatz), aber die USGs werden nach und nach immer besser… also mal die (meiner damaligen Meinung nach) einfache USG – Variante genommen.

Die Konfiguration über die Unifi Software ist easy – über eine Oberfläche kann man das USG, die APs sowie eventuelle Switche konfigurieren. Übergreifende Konfigurationen wie VLANs sind auf allen Geräten verfügbar und können einfach verwendet werden.

Mein Setup wird relativ einfach sein: 2 SSIDs (intern und Gast) und 3 VLANs. Das Gast WLAN wird mit einem Captive Portal mit Voucher Codes geschützt um nur meinen Gästen den Zugriff zu gestatten.

Unifi Konfiguration

Da ich von Natur aus ungeduldig bin, habe ich schon am Mittwoch und Donnerstag die Unifi Software installiert und komplett durch konfiguriert. Die wichtigsten Punkte:

Unter „Networks“ müssen die Netzwerke, also euer LAN und ggf Gäste-Netz definiert werden:

Mein LAN sieht dabei so aus:

Wichtig ist hier das „Gateway“ – diese IP wird später das USG bekommen. Das Gast-Netz ist äquivalent – nur mit dem Purpose „Guest“ und der VLAN ID 330. Diese könnt ihr natürlich wählen wie ihr wollt – bei mir ist WLAN immer ab 300 und 330 das Gast-Netz.

Anschließend unter „Wireless Networks“ die WLAN-Netze erstellen:

Ich habe dort mein Default-WLAN per WPA-PSK und das offene Gast-Netz. Dazu noch ein WPA2 Enterprise Test-Netz (dazu später mehr). Zu guter Letzt noch unter „Guest-Control“ den Hotspot konfigurieren. Eigentlich ist alles selbsterklärend, wichtig ist, dass Voucher aktiviert sind und die IP des Unifi-Servers freigegeben ist für „Pre-Authorization Access“ – das heißt auch ohne Anmeldung darf man diese IP aus dem Gast-Netz aufrufen. Das ist notwendig, weil der auf dem Unifi Server das Portal gehosted wird.

Um den Gäste nicht meine ganze Leitung zur Verfügung zu stellen sondern nur 4 Mbit habe ich eine neue User-Gruppe angelegt und dieser die entsprechende Bandbreiten-Einschränkung zugewiesen

und diese anschließend im WLAN Netzwerk eingetragen

Das wars – ab dem Moment wartete ich nur noch auf die Hardware…

Einrichtung der Hardware

Am Freitag war es dann endlich soweit: das USG und der erste Accesspoint waren da!

Also fix alles ausgepackt:

Kabel dran, in der Software auf Adopt geklickt und…

„Adoption Failed“ – ging nicht. Was für ein Dreck! Klingt ja auch logisch – das USG hat die IP 192.168.2.1 – mein Unifi-Server hat die 192.168.15.252, die kommen nicht zueinander. Für die Adoption wird SSH genutzt, und da muss die Netzwerkroute natürlich funktionieren.
Also mal fix geschaut: laut Ubiquity soll man sich direkt an das USG verbinden und die IP des LAN-Ports auf das Ziel-Subnetz ändern. Gesagt getan – ohne Erfolg. Also habe ich es dann umgedreht und dem Unifi-Server eine virtuelle Netzwerkkarte im Subnetz 192.168.1.0/24 gegeben. Ja richtig, 192.168.1.0 – auch wenn das USG laut Unifi Software die 192.168.2.1 hat, in Wirklichkeit ist es die 192.168.1.1.

iface eth0:1 inet static
address 192.168.1.252
netmask 255.255.255.0
Anschließend habe ich das „Adopt-Form“ von Hand ausgefüllt und die Daten
IP: 192.168.1.1
User: ubnt
Password: ubnt
Inform-URL: 192.168.1.1:8080/inform
Siehe da – die Adoption lief ohne Probleme durch und das USG wurde erkannt:
Ab dem Moment war es einfach. Die Konfiguration für den WAN Port kann man direkt im „Configure“-Menü auf der rechten Seite durchführen:
Bei mir hängt das USG hinter der Fritz!Box – durch die VOIP-Konten von Vodafone/KabelDeutschland kann ich leider nicht ganz auf die Box verzichten. Aber nachdem ich alle unnötigen Funktionen (WLAN, FritzNAS, FritzMediaServer, DHCP etc.) deaktiviert hatte, lief sie etwas schneller und ist jetzt nur noch Gateway. Das USG ist als ExposedHost in der FritzBox definiert.
Jetzt gab es schonmal wieder Internet – wenn man mit dem Kabel verbunden war. Also als nächstes den WLAN Accesspoint in Betrieb nehmen. Hier war dann aber wirklich alles „straightforward“. Anschließen, adoptieren, fertig.
Schon gab es WLAN, alle SSIDs waren da und auch das Gast-Portal funktionierte – wunderbar!
Das USG und der Accesspoint sind in meinem Wohnzimmer (da ist auch die Kabeldose – leider!) und unsere Wände bestehen gefühlt aus Blei und Stahl. Im Wohnzimmer hatte ich super Empfang (-40db) und im Arbeits- bzw. Gästezimmer war es schon wieder grausam mit -78db. Außerdem hatte ich noch eine kleine Herausforderung: im Arbeitszimmer hatte ich einen FritzRepeater mit LAN Port um alle Geräte über die WLAN-(B/K)rücke per Kabel zu verbinden. Dieser Repeater wollte aber nicht gut mit dem Unifi-Accesspoint arbeiten. Also habe ich schnell bei Amazon noch einen bestellt – dieser sollte als Mesh-Accesspoint genutzt werden.

Mesh WLAN

Unifi bietet die unglaublich geile Funktion Mesh WLANs aufzubauen. Das heißt ich kann AccessPoints dort wo kein Kabel ist anschließen und sie arbeiten als Repeater – für alle SSIDs mit VLAN Tagging etc. Und wenn der AccessPoint zwei LAN Interfaces hat – wie mein UAP-AC-PRO dann gibt er dort auch wieder das Netzwerk aus. Übrigens kann man mit den richtigen Mesh-AccessPoints sogar die per WLAN angebunden AccessPoints als Uplink für weitere nutzen.

Also dann – AccessPoint ausgepackt, POE dran (wichtig: nichts in den LAN Port des POE Adapters stecken) und schon wurde er angezeigt:

Nach der Adoption wird er als ISOLATED angezeigt und muss einem Uplink-AccessPoint zugewiesen werden:

Anschließend wird er provisioniert und strahlt die WLAN SSIDs  aus.

Das wars – zwei AccessPoints und ein USG verrichten jetzt hier Ihren Dienst. Die WLAN Verbindung ist erheblich besser als vorher- ich erreiche in der ganzen Wohnung (sogar auf dem Balkon) im Speedtest mindestens 75 MBit/s – früher waren es mit Ach und Krach 20 MBit/s.

Zukunftsausblick

Ich denke ich werde noch meine zwei „Öko-Switche“ von D-Link gegen Unifi Switche tauschen – nicht das ich die Funktionen wirklich brauche, aber im Wohnzimmer kann ich mir durch POE eine Steckdose sparen und generell ist es dann einheitlich.

Aus der Serie…