UDM SE, RADIUS Server mit 802.1X Port Based Authentifikation einrichten

Hallo Zusammen,

ich habe nun gestern meine UDM-SE in Betrieb genommen.

An Port 8 der UDM-SE hängt eine IP Kamera, für welche ich gerne den Port via 802.1X absichern möchte.

Dies konnte ich bei meinem Netgear Switch erfolgreich mit einem RADIUS Server (Synology) machen.

Wenn ich nun auf der UDM-SE für das Netzwerk 802.1X aktiviere und die Diskstation als RADIUS Server hinzufüge dann kann ich anschließend ein PortProfil erstellen und als Authentifizierung Mac-Based auswählen.

Allerdings ist es der UDM-SE dennoch egal, welches Gerät ich an den Port hänge. Die Authentifizierung findet erst gar nicht statt. Der Log des RADIUS Servers zeigt auch, dass die UDM-SE keinerlei Anfragen stellt.

Mache ich einen Denkfehler? Normalerweise sollte das doch von der Logik her so funktionieren? Beim Netgear Switch hat es jedenfalls einwandfrei geklappt.

Die Software der UDM-SE ist bereits v3.

Wäre für Tipps/Hinweise dankbar.

Zitat von BlackSpy

Vielleicht mag die SE auch ihren eigenen Radius Server?

Das habe ich auch schon getestet. Leider wird das ebenfalls komplett ignoriert.

Zitat von thghh

Hilft dir das weiter?

[Externes Medium: https://youtu.be/dtTemsdAr1A]

Bin ich auch schon durchgegangen; hat leider nicht geholfen.

Zitat von BlackSpy

Naja was hast du alles gemacht und wie?

Auch unter Settings -> Netzwerk 802.1x Control aktiviert? Auch für die Switche (soweit nicht Global gewählt wurde)

Bei Profil Radius aktiviert und User angelegt?

1. Settings - Network Enable 802.1X Control gewählt. RADIUS Profile Diskstation
2. Unter Profiles RADIUS wurde zuvor das Profil Diskstation angelegt (genau so wie es auch auf dem Netgear Switch funktioniert hat
3. Unter Profiles - Switch Ports habe ich dann ein PortProfil angelegt mit Native Network mein normales Netzwerk und 802.1X Control Mac-Based (hier ist es sogar egal was ich eintrage; das Gerät an dem Port verbindet sich immer). Spanning Tree Protocol und Topology Change Notification an.
4. Im Device UDM-SE unter Settings Global Switch Settings aktiviert und im Portmanager dem entsprechenden Port das soeben erstellte Profil zugewiesen.

Dachte eigentlich, dass das relativ simpel gewesen ist aber es funktioniert wie gesagt überhaupt nicht.

Die Kamera ist direkt mit der UDM-SE Port 8 verbunden.

Zitat von BlackSpy

Und welchem Profil ist dein Port 8 zugefügt?

Ich denke auch das die DS kein VLAN kann, womöglich ist es besser den Radius Server der SE zu konfigurieren.

Mehr kann ich zZ auch nicht helfen, haben aber findige Leute hier, findet sich bestimmt jemand.

Auch Mal unserem Wiki durchsucht?

Ich habe mittlerweile alles konfiguriert und versucht.

Auch diese Anleitung hier funktioniert nicht:

UniFi Network - 802.1X Control (Advanced)

This article describes how to configure 802.1X Control on UniFi switches to authenticate wired client devices.  Requirements & Notes A UniFi gateway or UniFi…

help.ui.com

Ich kann dem Port "disable" korrekt zuweisen; dann schaltet er sich aus. Ich kann dem Port ein anderes VLAN zuweisen, dann ist das verbundene Gerät in dem entsprechenden VLAN.

Es funktioniert aber weder "Force authorization" noch die RADIUS Authentifizierung oder Mac Based Authentifikation gemäß der Anleitung von eben.

Ich nutze die neuste Netzwerk und Systemfirmware.

Schade, dass ein preiswerter managed Netgear Switch dahingehend innerhalb von 10 Minuten konfiguriert ist und es nicht auf der UDM SE möglich ist genau das gleiche Szenario ebenfalls erfolgreich zu konfigurieren.

Meinen Recherchen zufolge sollte man entweder den integrierten RADIUS Server der UDM verwenden können um normal die RADIUS User anzulegen oder man legt als User MAC-Adressen im bestimmten Format an um anschließend im Portprofil Mac-based zu nutzen oder man stellt im portprofil die authorization auf "auto", was bedeutet, dass entsprechend gegen RADIUS User geprüft wird.

Ich finde es nur sehr merkwürdig dass hier keine der beiden beschriebenen Methoden Nichtmals ansatzweise funktioniert. Im Synology der Diskstation erscheint z.B. gar keine Anfrage der UDM-SE und wie erwähnt funktioniert auch der integrierte RADIUS Server nicht, bzw. wird nicht seitens des angelegten Port-Profils und Netzwerkeinstellungen berücksichtig...

Zitat von BlackSpy

Also wenigstens beim internen Radius Server und User geht das ohne Zweifel, ich nutze es selbst und andere Forum User ebenfalls, jemand hat sogar ein gutes Wiki geschrieben und das hätte er nicht würde es nicht gehen.

Was genau bei dir nicht funktioniert oder warum kann ich dir leider nicht beantworten.

Ich verstehe es auch nicht warum es nicht funktioniert. Nach meinem Verständnis müsste bei „force unauthorized“ das System alle Clients ablehnen, aber selbst hier ist es egal was ich anschließe…sehr komisch.

Gemäß diesem Beitrag funktioniert es wired dort wohl auch nicht…

r/Ubiquiti - Radius Assigned VLAN on UDM (SE) ports (wired) still not working?

1 vote and 2 comments so far on Reddit

www.reddit.com

Zitat von razor

Und dennoch gibt es diesen Beitrag:

Radius-Server mit MAC-Authentication an den Switchen einrichten

Ja das stimmt. Funktioniert aber auch nicht.

Ich habe streng genommen ja auch keinen Switch sondern den Router aber letztendlich sind die Schritte gleich.

Ich vermute dass das Thema verbugt ist. Es muss ja bei „force unauthorized“ egal welcher Radius Server etc. hinterlegt ist der entsprechende Port blockiert werden.

Zitat von Ronniequiti

Hallo,

ich habe das gleiche Problem mit einer neuen UDR. Ich habe den internen Radius-Server der UDR aktiviert. Auch nach Anleitung hier im Wiki nachverfolgt. Ich bekomme auch keine VLAN´s zugewiesen. Egal was ich einstelle. Derzeit ist 3.0.16 drauf. Also aktuelles EA. Hat da jemand schonmal einen Ansatz gefunden?

Viele Grüße

Hallo!

Leider besteht das Problem bei mir nach wie vor.

Zitat von Ronniequiti

Sind LAN-Geräte. Unter Radius habe ich ABCD Mac-Form (Groß, ohne Doppelzeichen) angegeben. Unter Portprofile ein Neues erstellt und 802.1x aktiviert. Mal Native das Default-Lan mit Tags, mal ohne, mal ohne alles. In den globalen Switch Einstellungen ebenfalls aktiviert, mit Fallback. Geräte und UDR zeitgleich neugestartet. Alles landet immer immer im Default-Lan

Edit: Ich kann das Problem eingrenzen. Ich habe das Profil auf meinen Switch angewandt. Da funktioniert es wie es soll. VLAN wird zugewiesen. Ich habe das jetzt ebenfalls mal meiner UDMP probiert. geht auch nicht. ich habe jetzt den Verdacht, dass es nur bei den Switchen funktioniert. UDR, UDMP, UDMSE können in diesem Thread bisher nicht bestätigt werden, dass es funktioniert? Hat das jemand direkt, ohne Switch am Laufen?

Bei mir funktioniert es ebenfalls nicht auf einer UDM-SE