Kann der USW-Lite-8-PoE SNMP, 802.1x, STP/RSTP?

Es gibt 15 Antworten in diesem Thema, welches 4.487 mal aufgerufen wurde. Der letzte Beitrag () ist von hoppel118.

    • Offizieller Beitrag

    Ja der kann das alles auch, ist genauso managebar.

    Nur mein Mini ist da abgespeckt

    Gefällt mir 1

    Ja, ich habe hier auch zwei Flex und zwei Flex-Mini als Edge Switches. Die können quasi nichts davon. Der Flex kann immerhin SNMP. Um die hinter den TV zu klemmen, sind sie brauchbar. :winking_face:


    Vielen Dank für die zügige Antwort. Dann bestell ich mal. :smiling_face:


    Frohes Fest und einen guten Rutsch!


    Hoppel

    • Offizieller Beitrag

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von Grendelbox mit diesem Beitrag zusammengefügt.

    Danke 1

    Der Switch wurde Heiligabend noch zugestellt. Ich sehe die Optionen. Jetzt muss ich mich damit auseinander setzen Radius 802.1x/MAC Authentifizierung einzurichten.


    In meinem Wifi habe ich das bereits umgesetzt. Das macht richtig Spaß, wenn alle Geräte dieselbe SSID verwenden und nach der Authentifizierung in das richtige VLAN geschoben werden. :winking_face: Für meine High Performance Devices (iPhones, MacBooks und co.) habe ich noch eine extra SSID mit WPA3-Enterprise eingerichtet.


    Außerdem wird nun endlich meine Topologie richtig dargestellt. Ich habe ein Mesh in meine Scheune zw. Access Points. Der AP in der Scheune war bisher an einen usw-flex angeschlossen. Da der aber kein STP/RSTP kann wurde der Flex immer direkt an der UDM-Pro angezeigt. Nun wird er endlich hinter dem AP dargestellt:


    Das ist wirklich ziemlich cool! :smiling_face:


    Viele Grüße Hoppel

    Warum ist die Banane krumm? :winking_face:


    Radius bietet unter anderem folgende Möglichkeiten:

    1. Radius User für 802.1x Authentication
    2. Radius User für MAC Authorization

    Wenn deine Wifi Clients kein 802.1x unterstützen, du aber nicht SSIDs ohne Ende (pro VLAN eine SSID) bereitstellen möchtest, dann nimmst du Radius MAC Authorization.


    Anhand der Radius MAC auth kannst du die Wifi Clients dynamisch in verschiedene VLANs schieben. Das reduziert die Channel Usage, da du nur noch wenige SSIDs benötigst.


    Bisher habe ich das nur in meinem Wifi umgesetzt und in der Wohnung werde ich das auch nicht auf meinen Switchen einrichten. In der Scheune macht es aber schon Sinn. :winking_face:

    Moin hoppel118 ,


    etwas OT, aber: nach welcher Anleitung bist Du vorgegangen, um dieses Szenario umzusetzen? Klingt interessant.

    OK, das hört sich interessant an. Dann muss ich das MAC spoofing in meinen Mobiltelefonen abstellen?

    Aber du musst dich trotzdem mit Benutzername und PW ganz normal anmelden oder (die komplette auth wird nicht nur einfach über die MAC gemacht, denn dann bräuchte man ja nur die MAC eines erlaubten Endgerätes. richtig?)?

    Jo, mit privater MAC wird das nichts.


    Entweder du nutzt WPA(3)-Enterprise und somit 802.1x. Dann erstellst du pro User einen Account mit Passwort und VLAN Zuweisung. Dieser Account kann auch an mehreren Endgeräten genutzt werden. Voraussetzung ist, dass das OS des Endgerätes diese Art der Authentifizierung unterstützt.


    Oder du richtest dir ein herkömmliches WLAN ein (WPA2, WPA3 oder WPA2/WPA3) oder verwendest ein vorhandenes. Du musst nur in den Advanced Settings MAC Authorization aktivieren. Anschließend legst du dir ein Radius Profil an, legst dir pro Endgerät einen Radius User an und trägst die MAC Adresse des Endgerätes als Account Name und Passwort ein. Dort kannst du dann auch wieder das VLAN festlegen. Vom Ablauf her ist es so, dass sich das Endgerät erst am Wifi authentifiziert und anschließend die MAC Adresse geprüft wird. Ist die MAC Adresse trotz richtigem Wifi Passwort nicht bei den Radius Usern verfügbar, wird die Verbindung abgelehnt.


    Du kannst auch beides parallel einrichten. Wenn du ein Mesh hast, ist die max. Anzahl an SSIDs 4. Wenn du kein Mesh hast, sind es glaube ich 8. Wenn du alles am Laufen hast, stellst du alles um. So habe ich es gemacht.


    Wenn du, MAC Authorization machst, brauchst du max. eine SSID für deine eigenen Geräte und eine SSID für deine Gäste.


    Zumindest habe ich noch keine Möglichkeit gefunden ein Fallback VLAN für Wifi User ohne MAC Adressen Radius User einzurichten. Wenn es das irgendwo gäbe, könnte man komplett mit einer SSID auskommen.


    razor Ich bin nach keiner spezifischen Anleitung vorgegangen. Ich habe mir die relevanten Schnipsel zusammengegoogelt. Es gab auch keine Anleitung, wo alles so beschrieben war. Es ist aber nicht viel. Das ist wirklich easy. Evtl. schreibe ich bei Gelegenheit einen Wiki Artikel. Es gibt zu dem Themen Radius, MAC Auth, 802.1x so wie ich das auf die Schnelle gerade gesehen habe, auch noch nichts im Wiki. Wobei ich den Aufwand dann auf das Minimum reduzieren würde. Habe noch Beere Hobbies, Frau und Kind.., :grinning_squinting_face:


    Gruß Hoppel

    2 Mal editiert, zuletzt von hoppel118 ()

    Genial Hoppel! Mein WLAN ist bereits Enterprise und so ein bisschen feinschliff und ein paar Zusatzdenkanstösse sind erstklassig. Danke dir. Ich werd mal bisschen experimentieren.

    Zitat von hoppel118

    Evtl. schreibe ich bei Gelegenheit einen Wiki Artikel. Es gibt zu dem Themen Radius, MAC Auth, 802.1x so wie ich das auf die Schnelle gerade gesehen habe, auch noch nichts im Wiki. Wobei ich den Aufwand dann auf das Minimum reduzieren würde. Habe noch Beere Hobbies, Frau und Kind.., :grinning_squinting_face:

    Das würde sicher nicht nur mich freuen.


    Danke Dir.

    Zitat von razor

    Das würde sicher nicht nur mich freuen.


    Danke Dir.

    Ich habe da mal schnell was zusammengeklimpert:


    Radius Server mit 802.1x- und MAC-Authentification im WLAN einrichten - ubiquiti - Deutsches Fan Forum


    Passt das so eurer Ansicht nach? Was würdet ihr anders machen? Auf die große Theorie musste ich aus Zeitgründen verzichten.


    Beteiligt euch gern. :winking_face:


    Eigentlich ist das hier der falsche Thread. razor Du bist hier Moderator. Kannst du die Unterhaltung mal ab hier (Post #7):


    Beitrag
    RE: Kann der USW-Lite-8-PoE SNMP, 802.1x, STP/RSTP?
    Warum hast du beim Radius MAC Auth gemacht?
    mbe


    in einen neuen Thread mit folgendem Titel packen:


    Wiki Feedback: Radius Server mit 802.1x- und MAC-Authentification im WLAN einrichten



    Danke euch und Gruß Hoppel

    Zitat von BlackSpy

    hoppel118

    würde es nicht mit dem Fallback VLAN der Switch Einstellungen gehen ?

    Switch -> Settings -> Service -> 802.1x Control

    So wie es das auf den Switchen gibt, müsste es das auch auf den APs geben. Gibt es aber nicht. Können wir die Unterhaltung bitte hier hin verlagern?


    Radius Server mit 802.1x- und MAC-Authentification im WLAN einrichten


    Am Ende des Wiki-Eintrages kann man kommentieren. Das war mir so nicht klar.


    razor Meine Anfrage im letzten Post hat sich somit erledigt. Wir machen den Thread hier zu. Der Austausch zu Radius, 802.1x oder MAC-Auth ist am Wiki-Artikel erwünscht. :winking_face:


    Geuß Hoppel