Sonos in Radius 802.1x WLAN einbinden

Es gibt 57 Antworten in diesem Thema, welches 7.758 mal aufgerufen wurde. Der letzte Beitrag () ist von hoppel118.

    Zitat von Saimon71
    • VLAN 30 "IOT": hier befinden sich derzeit 3 AppleTVs per LAN und per Mac Authentifizierung aus WLAN B. Später sollen hier alle anderen IoT Geräte über Mac Authenfizierung aus WLAN B landen.

    Hi,


    warum packst du deine Apple TVs in ein gesondertes VLAN? Deinen Smartphones von Apple vertraust du, aber deinen Apple TVs nicht? Gleiches gilt für SONOS? Vertraust du dem Unternehmen oder nicht? Überlege dir, welchen Geräten du traust und welchen nicht und baue deine VLANs entsprechend auf.


    Ich würde meine Apple TVs zumindest nicht in das IoT VLAN zu den wirklichen IoT Geräten packen. :winking_face:


    In meinem Haupt-VLAN befinden sich alle Apple und Sonos Geräte. Wenn du mDNS richtig konfiguriert hast, kannst du die SONOS Geräte später (wenn erstmal alles läuft) einfach in ein anderes VLAN "schieben". Die SSID muss dann ja nicht mehr angepasst werden. Der Netzwerkunterbau (VLAN) ist für Sonos dann intransparent.


    Zumal du dann keine Probleme mit Streaming über VLANs hinweg hast, weil sich diese Geräte alle im selben VLAN befinden.


    Aber gut, dass muss am Ende jeder selbst entscheiden. :winking_face:


    Zitat von Saimon71

    Ich habe verstanden, dass sich die Sonos Geräte und das Gerät mit der Sonos App (iPhone/iPad) im selben VLAN befinden müssen.

    Das hieße, ich muss die Sonos Geräte über den User (Mac Authentifizierung) - Eintrag im Radius Server ins VLAN 10 "USER" leiten, wo sich ja mein iPhone/iPad mit der Sonos App befindet. Sonst findet die Sonos App das Sonos System nicht. Oder habe ich hier ein generelles Verständnisproblem.

    Wie gesagt, die SONOS Geräte müssen sich nicht unbedingt im selben VLAN befinden. Es ist aber nicht trivial das über VLANs hinzubekommen. Es ist also erstmal zu empfehlen die SONOS Geräte in das selbe VLAN zu packen in dem auch deine iPhones und Co sind.


    Zitat von Saimon71

    Und hier beginnt mein eigentliches Problem:

    Sobald ich ein oder mehrere Sonos Geräte über WLAN B mit Mac Authentifizierung ins VLAN 10 "USER" verfrachte, komme ich plötzlich nicht mehr per WLAN von meinem iPad/iPhone ins Internet. Verbindung am PC per LAN ins Internet funktioniert weiterhin wunderbar aus dem VLAN 10 "USER".


    Verknüpfe ich jetzt das WLAN A mit VLAN 30 "IOT", so funktioniert der Internetzugang per WLAN A wieder. Das funktioniert ebenso, wenn ich WLAN A mit "ADMIN" verlinke.

    Ändere ich WLAN A wieder zurück auf VLAN 10 "USER", so habe ich wieder kein Internet. Im iPhone wird in den Einstellungen die WLAN A Verbindung übrigens als verbunden angezeigt. Die IP Adressen sind auch alle korrekt. "Private WLAN Adresse" ist übrigens deaktiviert.

    Das ergibt für mich irgendwie keinen Sinn. Ich kann mir gerade nicht erklären, wie dieses Verhalten zu Stande kommt. Was haben deine SONOS Geräte mit dem Internetzugang deines iPhones zu tun...


    Wieso verknüpfst du WLAN A mit VLAN 30 "IoT"? Was bedeutet für dich verknüpfen? Ich denke in WLAN A befinden sich deine iPhones/iPads...


    Das Netzwerk in WLAN A bleibt "USER" und wird nicht mit "IoT" verknüpft. Das Netzwerk "IoT" wird also nicht in WLAN A hinterlegt, falls du das meinst.

    Zitat von Saimon71

    Ich habe dies mehrfach durchgeführt, und auch die UDM-Pro V3.0.19 (Network 7.4.149) mehrfach neugestartet. Das Verhalten kann ganz klar reproduziert werden.

    Erst, wenn die User Einträge im Radius Server wieder entfernt werden funktioniert nach einem Neustart der UDM-Pro das WLAN A aus dem VLAN 10 "USER" wieder...

    Spannend...


    Hm..., schwierig.


    Ich würde wie folgt vorgehen:


    1. iPhones/iPads an WLAN A anmelden (Das Netzwerk von WLAN A ist VLAN 10 "USER")
    2. Radius MAC Accounts für alle SONOS Geräte anlegen und dort ebenfalls VLAN 10 in der Radius User Konfiguration angeben
    3. SONOS Geräte mit WLAN B verbinden

    Deine SONOS Geräte und deine iPhones/iPads befinden sich nun im selben VLAN und sollten miteinander kommunizieren können.


    Gibt es bis hierhin deinerseits schon Probleme?


    Wenn das läuft, sollte sich der Rest für dich von selbst erschließen. Wenn nicht, stelle deine Fragen. :winking_face:


    Deine IoT Geräte sind alle mit WLAN B zu verbinden. Bei den entsprechenden Radius MAC Usern gibst du das VLAN 30 (IoT) an. Dann werden diese Geräte automatisch von Radius in das IoT VLAN geschoben.


    Gruß Hoppel

    Hallo hoppel118


    Du hast völlig recht, wenn ich so drüber nachdenke... es scheint, ich muss wohl erst einmal mein Konzept mit der Zuordnung der Geräte/VLAN überdenken.

    Mache mir das Leben scheinbar selber unnötig schwer.

    Werde das am Wochenende angehen. Bis dahin wird erstmal alles in den Ursprungszustand versetzt.


    Zitat von hoppel118

    Ich würde wie folgt vorgehen:


    1. iPhones/iPads an WLAN A anmelden (Das Netzwerk von WLAN A ist VLAN 10 "USER")
    2. Radius MAC Accounts für alle SONOS Geräte anlegen und dort ebenfalls VLAN 10 in der Radius User Konfiguration angeben
    3. SONOS Geräte mit WLAN B verbinden

    Deine SONOS Geräte und deine iPhones/iPads befinden sich nun im selben VLAN und sollten miteinander kommunizieren können.


    Gibt es bis hierhin deinerseits schon Probleme?

    Ja, genau dann, wenn die SONOS Geräte im gleichen VLAN 10 angemeldet sind, dann kappt das die Internetverbindung über WLAN.

    Entferne ich die SONOS Geräte wieder aus der Radius User Konfiguration und verbinde sie über WLAN B ohne MAC Authentifizierung, dann ist das Internet wieder verfügbar.

    Sehr, sehr eigenartig alles bei mir hier.


    Aber ich bleibe dran und gebe Rückmeldung.


    Vielen Dank Dir noch einmal für Deine ausführlichen Kommentare.


    Gruß Simon

    Zitat von swag

    Finde es sehr eigenartig. Hast Du evt. irgendwie einen RoudTrip eingebaut? Funktionieren z.B. dann die direkten Verbindungen noch oder liegt das Netz lahm?

    Hi swag

    Was meinst Du denn mit RoudTrip und welche direkten Verbindungen meinst Du?

    also direkte verbindungen wie zwischen Deine Mobil und Deinem PC . Also zwischen Geräten in Deinem lan (vlan 10 )


    Round Trip - z.B. ursprünglich zwei lan kabel zwischen zwei hubs die Paket unendlich weiterleiten bis die Leistung einbricht.

    Bei einem switch eher kein Problem und wird auch mittlerweile gefiltert. Unifi blockt dann einen Port. Aber wenn ein VLan an einem port native endet kann es weitergeleitet werden, z.B. multicast. Aber das kann Dir ein Netzwerkexperte vermutlich genauer sagen.

    So, das Projekt ist abgeschlossen. Fast, denn es gibt da diesen einen kleinen Spielverderber namens Homepod Mini. Der kleine Lümmel hängt sich immer automatisch in das VLAN, in dem sich auch das iPhone befindet, sprich VLAN10 (Home).

    Jetzt befinden sich allerdings alle anderen Smarthome Geräte wie die Hue Bridge etc. im IoT VLAN20 - und das macht Probleme. Die Hue-Steuerung will so gar nicht zum Beispiel. Kennt jemand einen Trick den Homepod im VLAN20 fest zu nageln, so dass er nicht immer meinem Handy ins WPA3-E Netz folgt? :smiling_face:

    Ich würde den HomePod in VLAN10 lassen.


    Meine HueBridge ist auch in einem anderen VLAN und funktioniert.


    Globale Netzwerk Einstellungen:

    • Multicast DNS: habe ich in den relevanten VLANs aktiviert
    • IGMP Snooping: habe ich in allen VLANs aktiviert

    Wifi Einstellungen (WLAN in dem sich Apple Geräte inkl. HomePod befinden)

    • Multicast Enhancements: aktiviert
    • Multicast and Broadcast control: deaktiviert

    Wifi Einstellungen (Radius MAC Auth, IoT)

    • Multicast Enhancements: deaktiviert
    • Multicast and Broadcast control: deaktiviert


    Das müssten die relevanten Einstellungen zw. dem normalen und dem IoT VLAN sein. Ausprobieren schadet nichts.


    Hast du eine Firewall zw. deinen VLANs? Wenn ja, wie ist die konfiguriert?

    Ok, das sollte passen. Meine Firewallregeln sind nach dem alten Artikel hier im Wiki konfiguriert.


    Kennst du diese App für iOS Geräte?


    ‎Discovery - DNS-SD Browser
    ‎Discovery is a utility that displays all of the Bonjour services available on the local network or on Wide-Area Bonjour domains. Use it to debug your latest…
    apps.apple.com


    Damit kannst du dir die mDNS Services in deinem Netzwerk ansehen.


    Siehst du einen Eintrag in der App, der wie folgt aussieht?


    Code
    Philips Hue Protocol
_hue._tcp.


    Dort sollte auch deine aktuelle IP Adresse der HueBridge aus deinem IoT VLAN zu sehen sein.


    Wenn du diesen Eintrag nicht findest, stimmt etwas mit den Multicast Einstellungen in deinem Netzwerk nicht.


    Du könntest dann nochmal schauen, ob du diesen Eintrag findest, wenn die Bridge nicht im IoT VLAN hängt.


    Meine HueBridge ist nicht direkt mit HomeKit verbunden, sondern über Home Assistant und per Homebridge.


    Kann also sein, dass sich das irgendwie anders verhält.


    Gruß Hoppel

    Mein Home Assistant stellt per mDNS einen _hap._tcp. Service für Apple Home bereit.


    Wenn du deine HueBridge also direkt an Apple Home angebunden hast, musst du wohl danach suchen. Da kann ich dir aber nicht wirklich helfen, da ich die HueBridge so nicht angebunden habe. 😉

    Ok, das wollte ich wissen.


    Häng dein iPhone in dein IoT VLAN und schaue mit der Discovery App, welche mDNS Services du zu deiner HueBridge findest.


    Mache am besten Screenshots, damit du besser vergleichen kannst was fehlt, wenn du dein iPhone wieder in dein normales VLAN hängst.


    Achso, falls du per Firewall verbietest, dass deine IoT Geräte untereinander kommunizieren können, diese Regel entweder pausieren oder eine zusätzliche Regel davor setzen, damit dein iPhone direkt kommunizieren kann.


    Alternativ kannst du deine HueBridge natürlich auch einfach nochmal in dein normales VLAN hängen. Je nachdem, was weniger Aufwand verursacht.


    Tja, das mit der Verteilung in verschiedene VLANs ist nicht ganz ohne. Das gute ist, dass du deine Geräte jederzeit einfach über den Radius User in ein anderes VLAN Schieben kannst.


    So kannst du immer dann weiter machen, wenn du Zeit und Lust hast, bis du alles fertig hast.