Sonos in Radius 802.1x WLAN einbinden

Das coole ist, dass du diese Geräte jetzt ganz einfach in ein anderes VLAN schieben kannst, wenn du möchtest. 😃

Deshalb habe auch ich eine separate Gäste SSID. Kenne dafür keinen Workaround.

Leider musst du bei eigenen Geräten auch immer erstmal die MAC-Adresse herausfinden, damit du sie mit dieser MAC Auth SSID Verbinden kannst.

Dafür habe ich folgende Workarounds (ggf. mit tail -f arbeiten):

1. Im eigenen syslog Server oder im syslog des entsprechenden APs schauen, welche MAC Adresse gerade abgelehnt wird/wurde

2. Gerät im Gäste WLAN anmelden und MAC ermitteln

Anschließend die MAC Adresse dann als Radius User anlegen.

Das ist momentan leider der Preis dafür. Gibt wohl wichtigere Themen als Radius hübsch machen…

wäre nicht auch ein workaround einen eigenen zweiten Radius server anzulegen der eine default zuordnung hat. Klar ist blöd wenn man die Mac Adressen in einem anderen System einfügt.

Auch halte ich Deinen Vorschlag den Default beim Wifi Netz zu konfigurieren am besten.

Defaul für einen AP macht glaub ich keinen Sinn.

Denke zwar nicht das ein Default in dei Radius konfiguration gehört, aber wäre einfach :).

Mit einem zweiten Radius würden auch nicht die Switch default VLans überschrieben werden.

Wobei ich mich frage warum es defaults für einen Switch und nicht defaults für ein Port Profile gibt. Ich würde intuitiv es dort einstellen wollen.

(Aber mit der kommmenden Version 3 änders sich wohl die Port Profile, hab ich jedenfalls gehört)

swag

Hat mehr mit der Controller Version 7.4.x zu tun.

ja auch wieder wahr.

Ich hab das mal kurz mit dem Raius ausprobiert

- freeradius auf ein en rasbpi nach anleitung im Internet installiert.

- meine DMP und das LAN der AP dort freigeschaltet. (Unwissend bin ich auf nummer sicher gegangen, der rasbpi hängt an eine Sophos die Ost-West zur DMP routed )

- mein Client Mac dort eingetragen anderes VLAN

den Raius als Radius server für mein Test Wifi eingetragen

geklapt

dann habe ich einen defaul eingetragen - ( entsprechen dem Unifi Forum request von Hoppel)

DEFAULT Called-Station-Id =~ :TestWifi$, Auth-Type := Accept

Tunnel-Type = VLAN,

Tunnel-Medium-Type = IEEE-802,

Tunnel-Private-Group-ID = "<your fallback VLAN"

geklapt eingetragene Clients bekommen jetzt Ihr VLan unbekannte das default VLan.

wer jetzt genau schaut ich habe wirklich

Tunnel-Private-Group-ID = "<your fallback VLAN"

eingetrage ich war so doof bzw ich hab das nich angepasst und nur kopiert.

sprich es gibt eigentlich nur das Auth-Type := Accept zurück und behält das default VLan aus der Wifi Netzwerkeinstellung

Clients melden sich nun per WPA passwort an und Ihnen wird das Wifi Netzwerk zugewiesen, aber im Radius konfigurierte Clients ( Mac ) bekommen das eingetragenen VLan.

swag

Jo, hatte auch schon überlegt, ob man die gesamte freeradius Datei ersetzen kann, so dass das Fallback VLAN enthalten ist:

Tunnel-Private-Group-ID = "<your fallback VLAN"

Ich denke, dass das grundsätzlich funktionieren würde. Insbesondere mit UnifiOS >=2.x ist dahingehend eine Menge möglich. Ich will meine UDM-SE aber eigentlich nicht so stark verbiegen. Nein, das will ich nicht. 😃

Ist bei Deinem iPhone die private-wlan Adresse deaktiviert?

Wollte ich gerade auch fragen

Hoppel Ich würde es auf meiner DMP im free radius ausprobieren. Finde aber die freeradius Files nicht. Habe in /data/.. gesucht. Weißt Du wo sie liegen?

TWIN013 Ich würde auch auf private MAC-Adresse tippen. Hast du die bei der SSID deaktiviert?

swag Die Radius User findest du hier:

/etc/freeradius/3.0/users

Da gehören die Fallback Einträge ja grundsätzlich rein. Ich hatte mich da damals auch mal dran probiert. Allerdings habe ich nicht herausgefunden, wie ich die Radius User mit den auf der Command Line vorgenommenen Anpassungen, neu Laden kann, so dass das Fallback VLAN aktiviert wird.

Folgendes hat damals nicht funktioniert, da der freeradius Service gar nicht gestartet war:

service freeradius restart

Es sieht auch immer noch so aus. Der Service ist zwar geladen, läuft aber anscheinend nicht („running“ würde ich als Status erwarten):

service freeradius status
● freeradius.service - FreeRADIUS multi-protocol policy>
     Loaded: loaded (/lib/systemd/system/freeradius.ser>
     Active: inactive (dead)
       Docs: man:radiusd(8)
             man:radiusd.conf(5)
             http://wiki.freeradius.org/
             http://networkradius.com/doc

Wie gesagt, hatte dann aufgegeben.

Aber vielleicht kommst du ja weiter.

Gruß Hoppel

Also beim iPhone kann man die sogenannte „Private WLAN-Adresse“ deaktivieren, bevor man sich das erste Mal mit dem WLAN verbindet. Dafür einfach rechts beim entsprechenden WLAN auf das blaue „i“ tippen und den Schalter deaktivieren. Ich bin mir sicher, dass das bei Android auch irgendwie geht.

Was hast du für Smartphones, Android oder iOS?

Hallo zusammen,

ich habe jetzt fleißig mitgelesen und habe ebenfalls versucht, meine Sonos Geräte über Radius Mac Authentifizierung einzubinden. Bin aber leider am verzweifeln.

Bin nach der Anleitung von Hoppel vorgegangen (vielen Dank für die tolle Anleitung hoppel118 ) :

• Der Radius Server ist nach Anleitung eingerichtet.
• Alle Sonos Geräte, 3 Apple TVs und Unifi WLAN Cams habe ich mit ihren Mac Adressen als User mit Passwort angelegt.
• 3 WLAN SSIDs sind vorhanden:
  • WLAN A für mein Apple Gedöns
    • 802.1x ist derzeit nicht eingerichtet, funktionierte aber vorher schon einmal. Wollte mich aufgrund der u.a. Probleme erst einmal nur auf Mac Authentifizierung konzentrieren und 802.1x als möglich Fehlerquelle ausschließen.
  • WLAN B mit Radius Mac Authentifizierung mit WPA2/WPA3 und optionalem PMF:
    • Hier melden sich die WLAN Cams G3 Instant an und landen dann im VLAN 40 "CAM". Das funktioniert soweit.
  • WLAN C Gäste
• Netzwerke / VLANs
  • ADMIN: hier befinden sich ausschließlich Unifi Geräte (jedoch nicht die G3 Instant) und 2 Raspis mit PiHole/Unbound.
  • VLAN 10 "USER": hier landen alle unsere Geräte (PC, MacMini, iPhone, iMacs) aus dem WLAN A, bzw. sind direkt über LAN verbunden.
  • VLAN 20 "GAST"
  • VLAN 30 "IOT": hier befinden sich derzeit 3 AppleTVs per LAN und per Mac Authentifizierung aus WLAN B. Später sollen hier alle anderen IoT Geräte über Mac Authenfizierung aus WLAN B landen.
  • VLAN 40 "CAM": hier laufen meine Unifi WLAN Cams über WLAN B Mac Authentifizierung.

Ich habe verstanden, dass sich die Sonos Geräte und das Gerät mit der Sonos App (iPhone/iPad) im selben VLAN befinden müssen.

Das hieße, ich muss die Sonos Geräte über den User (Mac Authentifizierung) - Eintrag im Radius Server ins VLAN 10 "USER" leiten, wo sich ja mein iPhone/iPad mit der Sonos App befindet. Sonst findet die Sonos App das Sonos System nicht. Oder habe ich hier ein generelles Verständnisproblem.

Und hier beginnt mein eigentliches Problem:

Sobald ich ein oder mehrere Sonos Geräte über WLAN B mit Mac Authentifizierung ins VLAN 10 "USER" verfrachte, komme ich plötzlich nicht mehr per WLAN von meinem iPad/iPhone ins Internet. Verbindung am PC per LAN ins Internet funktioniert weiterhin wunderbar aus dem VLAN 10 "USER".

Verknüpfe ich jetzt das WLAN A mit VLAN 30 "IOT", so funktioniert der Internetzugang per WLAN A wieder. Das funktioniert ebenso, wenn ich WLAN A mit "ADMIN" verlinke.

Ändere ich WLAN A wieder zurück auf VLAN 10 "USER", so habe ich wieder kein Internet. Im iPhone wird in den Einstellungen die WLAN A Verbindung übrigens als verbunden angezeigt. Die IP Adressen sind auch alle korrekt. "Private WLAN Adresse" ist übrigens deaktiviert.

Ich habe dies mehrfach durchgeführt, und auch die UDM-Pro V3.0.19 (Network 7.4.149) mehrfach neugestartet. Das Verhalten kann ganz klar reproduziert werden.

Erst, wenn die User Einträge im Radius Server wieder entfernt werden funktioniert nach einem Neustart der UDM-Pro das WLAN A aus dem VLAN 10 "USER" wieder...

Hat irgendjemand von Euch eine Idee? Ich bin mit meinem Latein am Ende.

PS: Ich kann grade keine Screenshot machen, da ich nicht zuhause bin. Die würde ich dann nachreichen, wenn diese benötigt werden.

Vielen lieben Dank im Voraus

Simon

Danke Hoppel

Den Radius process kann ich sehen

root 2274 1164 0 12:29 ? 00:00:00 /usr/sbin/freeradius -f

er wird durch den unifi server gestartet /usr/bin/ubios-udapi-server -c /data/udapi-config/ubios-udapi-server/ubios-udapi-server.state --silent

und automatisch neu gestartet

kill 2274

dannach konnte ich einen neuen prozess sehen

root 9504 1164 3 12:47 ? 00:00:00 /usr/sbin/freeradius -f

meine Änderung in der Datei

root@DreamMachinePro:/etc/freeradius/3.0/mods-config/file/authorize

    DEFAULT Called-Station-Id =~ :WifiTest$, Auth-Type := Accept

wurde dadurch auch aktiv .

Dann konnte sich mein Iphone auch mit privater Adresse anmelden und wurde dem Wifi defaul Netzwerk zugewisen.

Klappt soweit gut aber

root@DreamMachinePro:/etc/freeradius/3.0/mods-config/file/authorize

wird automatisch durch unifi generiert und bei jeder Änderung und Neustart überschriebem

Sorry Twin wenn ich hier sehr kryptisch schreibe, ich bin kein guter schreiber, wenn Dich spezielle Details interessieren führe ich die gern weiter aus.

@Salmon

ich kenne die UDM-Pro V3.0.19 leider noch nicht. Aber auf dem erstren Blick sieht er korrekt aus.

Dein Problem betrifft nur Dein iphone oder sind alle apple Geräte betroffen?

P.S. Radius änderung werden zumindestens auf der V2.5 sofort aktiv

Zitat von swag

Dein Problem betrifft nur Dein iphone oder sind alle apple Geräte betroffen?

Hi swag

es sind sämtliche iPhones und iPads bei uns betroffen. Aber Du bringst mich auf die Idee, das auch mal mit nem PC/MacMini per WLAN zu probieren. Wenn das dort auch nicht funktioniert, dann kann ich die mobilen Geräte schon mal ausschließen und es muss irgendwo in den Einstellungen im Network Controller liegen.

Danke Dir