Hi,
ich nutze an einem Standort mehrere Switche (USW-Pro-24-PoE) welche an einem UDM-SE hängen. Auf den APs (unterschiedliche UniFi Modelle) ist WPA3-Enterprise eingestellt. Die UDM-SE dient hier als Radius-Server. Dadurch kommen die User mit ihren Daten ins entsprechende VLAN. Ausgestrahlt wird eine SSID.
Die Switchports an denen die APs angeschlossen sind haben das Profil ALL.
Ich würde die Ports gerne absichern um den Zugriff durch das Abstecken der APs und das anschließen anderer Geräte zu verbieten. Würde also jemand den AP abziehen und sich per Kabel verbinden würde dieser im Default Netzwerk landen. Das Management VLAN läuft übrigens über das Default Netz.
Wie ich verstanden habe können sich die APs und Switche von UniFi nicht per Radius anmelden. Wie könnte ich es hinbekommen, dass sich außer den APs kein anderes Gerät anmelden kann? Oder falls doch dieses Gerät so einschränken, dass das Gerät nichts machen kann.
Ein Switchport per 802.1X ohne ein UniFi Gerät (anzuschließen) abzusichern klappt nachdem ein entsprechendes Switchport-Profil erzeugt wurde. An solch einem Port ein UniFi Gerät anzuschließen bringt dann das Problem mit, dass das Gerät durch den Controller nicht gesehen wird.
Mich würde interessieren, ob ihr Erfahrungen in diesem Bereich habt und welche eure Erkenntnisse sind. Vielleicht habt ihr ein paar Ideen für mich.