Die 802.1x Steuerung

Es gibt 17 Antworten in diesem Thema, welches 4.021 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

    Hallo


    Ich habe da noch mal ein Anliegen. Die benannte 802.1x Steuerung wird von der UDM Pro selber nicht unterstützt?

    Obwohl sie auch einen Switch beinhaltet, den man damit gut absichern könnte?

    Leider unterstützden die Flex Mini das auch nicht.

    Finde ich ein wenig schade, denn das sollte ja eigentlich keine große Sache sein das dort mit ein zubinden, oder doch?

    Und zu guter letzt, hatt einer von euch das 802.1x im Betrieb? Wenn ja wie habt ihr das Switchport Profil eingerichtet unter der Network Version 7.4.150?

    Ich meine mir ist das ganze schon klar es dort ein zurichten. Nur ich habe das noch im kop von früher da sah das dann so aus ...



    Und jetzt sieht es ja so aus....



    Muss ich da jetzt dann noch den Punkt Traffic einschränken aktivieren? Um dann wieder dort drinnen auf zulassen und die Netzwerke / Vlans auswählen oder brauche ich diesen Punkt dann garnicht. Denn wenn ich keinen Traffic einschränke dan muss ich ja auch nix zulassen? Oder funktioniert das ganze dann vlt nicht.


    ich finde schon ein wenig irreführend und schade das Unifi das nicht so wie früher gelassen hatt.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Wenn Traffic Restriction nicht aktiv ist, dann sind alle Vlans getagged am Start (ausser das native untagged LAN)... also im Prinzip ähnlich ALL früher.


    Wenn Du es anmachst, sind alle VLANs bei erlaubt und blockiert drin. Die nach bedarf verschieben.


    Geht auch block all und allow all

    Danke soweit ist das ja klar, aber muss ich den Haken setzen für "Traffic einschränken" und dort wieder explizit auf allow die Netze Taggen, oder den Haken weg lassen und dann sind erst wirklich alle Netze anliegend. Was ich eher vermuten würde ohne Haken müsste richtig sein. Warum erst traffic einschränken und darin dann wieder erlauben, das erschließt sich mir nicht so ganz.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Die Minis unterstützen auch 801.q /vlan's nur bedingt. Profil "All" oder einzelne Netzwerke untagged zugeordnet. 802.1x


    Auf dem Switch habe ich kein Untagged Netzwerk auf dem Port (einfach leer), es wird ja zugeordnet. Bin aber auch noch nicht auf 7.4


    Es gibt hier auch einen guten wiki Artikel von Hoppel

    Radius-Server mit MAC-Authentication an den Switchen einrichten - ubiquiti - Deutsches Fan Forum


    bzw für's wlan


    Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten - ubiquiti - Deutsches Fan Forum

    swag Moin und danke. Ich kenne diese Dokumentation und auch diverse Youtube Videos dazu, Idomix, Apfelkast - nur um so einige zu nennen.

    Ich weiss auch soweit wie das eingerichtet wird. Nur halt mit der alten Oberfläche noch.

    Jetzt hatt sich ja durch die OS Version der UDM Pro 3.0.20 und der Networkversion 7.4.150 ein wenig was geändert.

    Und mir ist zwar immer noch fast alles klar wie es eingerichtet werden muss.

    Nur halt der eine Punktmit dem Switchportprofil halt.

    Da wo normaler Weise die Netzwerke aus gewählt werden die Tagged Netzwerke, diesen Punkt gibt es ja jetzt nicht mehr.

    Jetzt heist es ja Netzwerk, dort wird das MGMT Netzwerk ausgewählt, und da drunter steht der Punkt:


    Traffic einschränken - Angegebene virtuelle Netzwerke können diesen Anschluss nicht durchlaufen.


    Laut diesem Text ist es ja logisch das nicht an zuhaken, weil ja eigentlich man alle VLAN´s haben will.

    Macht man aber den Haken rein, dann muss man extra blockieren und dann die Netzwerke auswählen, was aber eigentlich dann doppelt gemoppelt ist.

    Weil die Aussage, Traffic einschränken - Angegebene virtuelle Netzwerke können diesen Anschluss nicht durchlaufen, sagt ja eigentlich schon aus das man einschränken will.

    Man kann aber da drinnen auch wieder auf Zulassen gehen und dann Netzwerke auswählen.

    Das ist aber eigentlich wieder der totale Wiederspruch zum, Traffic einschränken - Angegebene virtuelle Netzwerke können diesen Anschluss nicht durchlaufen.

    Die Logik dahinter muss man erstmal verstehen, was hat sich Unifi dabei gedacht.

    Und ab wann sind denn nun die Netzwerke getagged und wann nicht. Das ist der Punkt.

    Ohne Traffic einschränken oder mit einschränken und dan wieder da drinnen zulassen.


    Ach und wie gesagt das die UDM Pro das nicht kann ist auch schade.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Also meine Erfahrungen mit dem 802.1x von Ubiquiti ist dass es nicht so sauber umgesetzt ist. Zumindest wenn man auf einen seperaten Radiusserver setzt.


    Ich hatte es zuhause mal versucht zu implementieren mit einer Opnsense und dem FreeRadius Plugin und die Anfragen kamen zwar durch aber Ubiquiti hat die Antworten nicht sauber umgesetzt.


    Dass die Ports der UDM Pro nicht auf 802.1x gesetzt werden können würde ich aus dem Bauch heraus damit erklären dass die UDM Pro im Endeffekt ja eine Firewall ist und da schließt man zumindest im beruflichen Umfeld eher selten direkt Clients an sondern geht auf die Switchinfrastruktur die dann das 802.1x händeln müssen.


    Hab gerade auch mal auf unserer Watchguard in der Firma geschaut und auch da konnte ich auf keinem Port eine 802.1x Infrastruktur aufziehen.

    Und was mir gerade bei Thema Radius noch einfällt ist das du ja immer eine Instanz haben musst die den Server dafür bereitstellt.

    Würde aber bedeuten wenn die Firewall selbst der "Server" ist kannst du Sie schlecht als Client definieren der die Anfragen weiterleitet.


    Und zu guter Letzt bleibt natürlich noch der Punkt das wir bei der UDM Pro im Endeffekt von 8 Ports reden, dafür ne 802.1x aufziehen ist halt Perlen vor die Säue werfen. Da bist du mit ner simplen MAC Filterung schon lange fertig bevor du überhaupt die Radiuseinstellungen durchgeklickt hast.

    @KJL Danke für deine Hilfe und ausführliche Antwort.


    Ja das mit der MAC Filterung hatte ich schonaml versucht, aber da hatte ich auch Probleme mit meiner Unifi Strucktur, weil da anscheinend vlt auch nicht alles sauber gehändelt wurde. Fange also mal wieder mit früher an, da hatte die MAC Filterfunktion die Rolle das nur das Gerät mit der MAC Adresse, zugriff hatte auf den Netzwerkport. Klar gibt es Leute die würden mit Recht sagen, mann kann die MAC clonen. Alles richtig, aber für mich zu Hause uninteressant weil so ein wichtiges Netzwerk habe ich ja nicht.

    Dann wieder zu jetzt und heute hatte genau diese Einstellungen aber bewirkt das genau diese MAC Adresse ausgesperrt wurde.

    Auch dort hat Unifi vieles anders umgesetzt oder verdreht zu dem was vorher war.

    Mit der 802.1x Geschichte hatte ich dann angefangen, weil ich ja diese Netzwerke / VLans habe und diese allein wollte ich mich nicht nur auf die Netzwerkportzuweisung verlassen.

    Bei mir geht es halt darum wenn ich mal unterwges bin meiner Frau oder meine Eltern sagen zu können stöpsle doch mal dieses oder jenes Gerät ein und schaue was passiert. Kompliziert wäre es dann eher wenn ich dann noch sagen muss du darfst dieses gerät nur da drann anschliessen und das andere nur an dem anderen Anschluss. Werden die Anschlüsse aber verstaucht angeschlossen sind die Endgeräte im falschen VLAN.

    Hier will ich einfach nur ein wenig vorgreifen und auch mir das ganze etwas einfacher machen, Gerät rein und es kommt automatisch ins richtige VLAN.


    Das Wegen dem Thema UDM Pro. Klar ist die 802.1x Steuerung in erster Linie ein Sicherheitsaspekt. Für Firmen und Unternehmen hatt es den Sinn, wenn einer Frmedgeräte mitbringt, sollen die keinen oder nur Gastzugriff bekommen und icht in die Infrastruktur gelangen dürfen.

    Mich hatte dann da doch die Neugier geplagt. Wie ist das dann dort. Wen die eine 802.1X Steuerung aktiv haben, aber das nur auf dem Switchen, wie ist das wenn da ein böser Zwerg kommt, lach und ein Gerät mit Schadsoftware mit bringt. Lach, ist nicht ernst gemeint.

    Der kann am Switch nichts ausrichten. Aber bei vielen Firmen hängen UM Pro und mindestens ein Switch im selben Schrank.

    Dann kann er doch das einfach umgehen und direkt einen Anschluss an der UDM Pro nehmen, wer böses denkt.

    Und das mit der Firewall und so wie du das beschreibst, alles richtig und nachvollziehbar.

    Aber so ganz kann ich das nicht aktzeptieren.

    Die 8 Port Netzwerkanschlüsse, sind nach wie vor Netzwerkanschlüsse und das ganze ist egal wie man es dreht und wendet ein kleiner Switch.

    Ich finde schon das dort dieses auch anwendbar sein müsste. Die Firewall und andere Sachen arbeiten trotzdem unabhängig davon.

    Alles hatt seine Vor und Nachteile.


    Aber zur Info, ich muss bei mir nichts absichern weil habe hier nicht Fortnox oder das hier andere Geräte drann kommen.

    Ich habe halt das Interesse und die Lust und den Spieltrieb um das zu nutzen und oder aus zu probieren.

    Ich meine wenn schon vorhanden dann auch nutzen. Sehen was es kann. Sonst hätte ich auch bei der Fritzbox bleiben können.

    Und wenn ich Firmen und so sagte, die haben Ihre Schutzmaßnahmen die vieles verhindern.

    Aber wir reden ja hier von Unifi und deren Umgebungen und wollen damit ja auch was anfangen.

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Ist der MAC Filter nicht nur beim Wifi und dort mit einer Auswahl allow / deny ?


    Für mich gibt es auch keine Entschuldigung das die UDM das nicht kann (außer dem Preis der Maschiene), gerade auch weil 801.x ja auch Steuerung auf Benutzerebene kann.


    Aber funktioniert das Port Profil überhaupt wenn ich am Port einen Radius auth mache oder überschreibt die Radius / Vlan Zuordnung diese ?

    swag Ja da hast du recht, das geht bei WLAN der Filter.



    Bei LAN hast du diese Einstellung halt nicht.

    Dafür gibt es aber eine Einstellung in den Portprofilen aber die bewirkte halt bei mir das Phänomen, das mit einer früheren Software ausschliesslich nur diese eine MAC dort genutzt werden konnte, aber mit der jetzigen Software genau diese MAC ausgeschlossen wurde. Hatte dan mit dem Endgerät dort auf einmal Verbindungsprobleme.



    Ja Unifi scheint sich nicht immer an die Regeln zu halten.....


    Zitat von swag

    Ist der MAC Filter nicht nur beim Wifi und dort mit einer Auswahl allow / deny ?


    Für mich gibt es auch keine Entschuldigung das die UDM das nicht kann (außer dem Preis der Maschiene), gerade auch weil 801.x ja auch Steuerung auf Benutzerebene kann.


    Aber funktioniert das Port Profil überhaupt wenn ich am Port einen Radius auth mache oder überschreibt die Radius / Vlan Zuordnung diese ?

    Dazu kann ich dir folgendes sagen. Um das zu nutzen zu können, ist es tatsächlich so das du ja am Port dein aktuelles Portprofil durch das MAC Bassierende ersetzt, also alle deine gewählten Netzwerke dort anliegen.

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Ja 802.1x ist ein Sicherheitsaspekt und richtig angewendet auch stark.


    Man muss es halt aber immer in Relation sehen zum Aufwand/Nutzen.


    Grundsätzlich werden im geschäftlichen Bereich dir viele Konstrukte begegnen die mit der gleichen Thematik unterschiedlich umgehen.


    Deswegen kann ich nur ein paar Beispiele aus unserer Firma bzw. meiner Zeit im Systemhaus nennen.


    Bei uns ist es z.B. grundsätzlich so dass jeder Switch in einem abgeschlossen Schrank ist und aktuell sind wir auch dabei die ganzen Netzwerkdosen gegen unbekannte Geräte abzusichern (unter anderem auch mit 802.1x).


    Unsere Firewall so wie die Server befinden sich in eigenständigen Räumen zu denen nur ein kleiner Personenkreis Zugang hat.

    Und in meiner Zeit im Systemhaus habe ich das so auch bei 99% der Kunden vorgefunden.


    Dort wo es nicht möglich war z.B. seperate Räume etc. zu nutzen sind wir dann hergekommen und haben auf den Switchen und der Firewall alle nicht genutzten Ports abgeschaltet.

    Man muss halt auch immer überlegen wie wahrscheinlich ist es dass jemand mit böswilliger Absicht in ein Unternehmen geht und sich dort an die Netzwerkdose hängt? Ganz ausschließen sollte man ein solches Vorgehen nicht aber der wesentlich unauffälligere Weg ist natürlich über irgendwelche Schadsoftware die per Mail an die Mitarbeiter ging und irgendeiner ohne groß nachzudenken draufklickt.

    neben den mutwilligen gibt es aber auch die Kollegen die einfach aus bequemlichkeit ihren privaten switch oder noch schlimmer WLAN AP mitbringen. Ja alles schon erlebt :winking_face:



    Wie Naichbindas geschrieben hat vereinfacht ja auch die Konfiguration. Ich muß einem port das Lan nicht zuordnene sonder steuer das über das Gerät oder Benutzer. Dient ja auch der Sicherheit da Geräte nich mal so in den falschen Port eingesteckt werden.



    Ich bin ja noch auf dem official Release Network 7.3.83. Da sehe ich die option nicht.

    Ich habe aber mal gelesen das 7.4. Port profile immer noch optinal ermöglicht.


    Hier blockiere ich einfach alles und überschreibe dann durch die Radiuszuordnung. Ist aber kein Filter da es auf das fallback VLan zurückfällt. Also ja wie Du geschrieben hast liegen hier alle VLAN's an.

    Ob das alles so sauber ist, ich glaube nicht.


    P.S. hab jetzt auch beim rumspielen (Force Auth an) eine IP aus dem Lan der DMP bekommen. Hoffe Unifi überschreibt hier nicht heimlich auch das Native Network..


    So, neue Info. Habe doch am produktiven System mal rumgebastelt.

    Die Erkenntnis ist, das es völlig egal ist was man da einstellt. Setze ich den Haken bei "Traffic einschränken" und dort dan wieder drinnen auf erlauben und füge die Netze hinzu die ich dort haben will, dann funktioniert das ohne Probleme, das entsprechende Netz wird bein verbinden des Endgerätes auch ausgewählt. Habe alle Zenarios durchgetestet mit dem Laptop meiner Frau, lach den habe ich mal in die Finger bekommen.

    Und Gastnetzwerk wird ausgewählt sobald das Gerät als unbekannt sich anstöpselt. So soll das ja auch sein.

    Gleiches gilt auch, wenn ich den Haken bei "Traffic einschränken" nicht setze.

    In beiden Fällen gildet dann das alte Switchportprofil "ALL".

    Setzt man aber den Haken bei "Traffic einschränken" und geht dort drinnen auf zulassen, und wählt da nur einen Teil seiner VLAN´s aus, und unter blockieren die Netze die ich nicht haben will, dann gildet nicht mehr das Switchportprofil "ALL", sondern eines der anderen vorhandenen oder selbst erstellten Switchportprofile.


    Soll heissen:

    1. Den Haken bei "Traffic einschränken" nicht setzen - dann ist das alte Switchportprofil "ALL" aktiviert,

    2. Den Haken bei "Traffic einschränken" setzen - dann ist das alte Switchportprofil "ALL" aktiviert, wenn

    a: Nichts zugelassen oder blockiert wurde, oder

    b: unter zulassen, alles aus gewählt wurde.

    3. Den Haken bei "Traffic einschränken" setzen - dann ist das alte Switchportprofil "Name1", "Name2" u.s.w. aktiviert, wenn

    unter zulassen und blockieren alles ein wenig separiert.


    Was Unifi sich dabei gedacht hatt keinen Plan, da war es vorher einfacher, verständlicher und besser umgesetzt.

    Aber jetzt wissen wir es und können dann entsprechend handeln.

    Die UDM Pro und die USW Flex Mini unterstützen es halt garnicht. Nicht einmal die Einstellung "Durch MAC-ID eingeschränkt".

    Da bleiben einen nicht mehr viele Möglichkeiten. Diese Anschlüsse müssten dann wirklich komplett unter Verschluss und oder deaktiviert werden, falls jemand seine eigene FBI Zentrale betreibt.


    PS: Nachtrag - Garnicht so kompliziert denken wie ich das tue. Sondern einfach das frühere Switchportprofil vergessen und dann gleich auf MAC Basierend auswählen. Dann brauch man das Ethernet Anschlussprofil nicht.



    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Einmal editiert, zuletzt von Naichbindas ()

    Gefällt mir 1

    Wo bitte ist denn das Problem? Das ganze arbeitet exakt so wie es die Logik vorgibt.


    Logisch ist Keine Traffic Einschränkung = Alles erlauben = Traffic Einschränkung (nichts blockieren).


    Übrigens entspricht dein 1. und 2. nur dem alten All Profil, wenn Du als untagged Netzwerk auch das Default LAN (das was nicht löschbar ist) einsetzt.

    Hallo


    Ich habe es jetzt mal mit meinem USW-A getestet und meiner Synology. Die hängt mit 10 GB am USW-A drann.

    Nach dem ich dann 802x.1 dort aktiviert hatte, und die Synology neugestartet habe, dann ging über die 10 GB Verbindung fast garnix mehr.

    Quälend langsamer Aufbau der WEB OS der Synology und dort das Paketcenter zu öffnen das ist der Witz das unter dem Icon der Ladebalken sich einen Wolf lädt und nix passiert. Zur gleichen Zeit habe ich dann aber über eine der vier LAN 1GB Schnittstellen auf den NAS zugegriffen, da ging alles rasend schnell.

    Der 10 GB ratterte immer noch und so weiter und so weiter.

    Nehme ich das aber beim USW-A wieder raus dann geht auch der 10 GB wieder schnell.

    So viel zur Aussage wie sauber das Unifi umsetzt, anscheinend nicht richtig.

    Und was mich brennend interessieren würde, geht das ganze eigentlich auch mit Unifi Geräten untereinander das man 802x.1 nutzen kann und wenn ja dann mache ich irgendwas falsch weil dann das Gerät an der Schnittstelle offline geht. Habt ihr da vlt noch eine Idee die mir weiter helfen könnte?

    Damke .

    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Du willst also z.B. nen Switch/AP an einen 802.1x Port anschließen und darüber authentifizieren ?


    Sollte zumindest bei einer MAC basierten Authentifizierung funktionieren.

    Bin mir aber momentan unsicher ob du danach dann noch auf dem Authentifizierten Switch das 802.1x auf den Ports durchbekommst.

    Nach meinem Wissen dürfte das dann nämlich nicht mehr funtkionieren.


    Nochmal schematisch der grobe Ablauf:


    Radius Server <-> Client (Switch/AP mit aktiven 802.1x) <-> Endgerät


    Beim Radius definierst du ja einen Client (Switch/AP) der berechtigt ist Zutrittsanfragen vom Endgerät durchzuleiten.



    Switch 1 darf Anfragen stellen (Vertrauenswürdiger Client)

    Switch 2 ist über einen Uplink mit Switch 1 verbunden und lässt die Anfrage stellen

    Radius akzeptiert die Anfrage und schaltet das definierte Netzwerk xyz frei

    !!! Was jetzt möglich ist, ist das freigeschaltete Netzwerk auf allen Ports von Switch 2 zu benutzen !!!

    Endgerät am Switch 2 soll aber nicht in Netzwerk xyz sondern zyx

    Selbst wenn die Anfrage verarbeitet werden würde müsste der Switch 1 den Uplink von xyz auf zyx ändern was aber dazu führen würde dass dein Switch 2 kein Zugriff mehr irgendwo hin hat.


    Vielleicht irre ich mich auch und einer meiner Kollegen kann mich hier korrigieren :).


    Aber erzähl doch was du mit diesem Konstrukt vorhast vielleicht gibt es ja einen eleganteren Weg dein Vorhaben umzusetzen :smiling_face:

    @KJL Danke für deine Hilfe.


    Was ich vor habe ist folgendes. Das mit dem 802.1x ist eine feine Sache. Ich habe den Radius Server der dann sagt die MAC bekommt dann dieses VLAN und in dem VLAN wird dann bei mir die entsprechende Fixe IP ans Endgerät vergeben.

    So das ich theoretisch ein Endgerät nehmen kann, zum Beispiel im Büro aus stöpseln kann, und es mit in die Stube nehmen kann dort wieder ein stöpseln und es wird wieder erkannt und nur das VLAN und die IP Adresse zugeteilt. So muss ich dann nicht erst jedesmal die UNIFI Config aurufen und sagen dort hängt jetzt aber ein Gerät aus VLAN 20 drann und nicht mehr aus VLAN 10 und umgekehrt.

    Soweit der Plan der eigentlich ganz gut funktioniert.

    Aber nur am meinem US-48-500W Poe Switch. An der USW A der auch die 802.1x Steuerung unterstützt da funktioniert das mit den Engeräten leider garnicht. Habe dort an einem 10 GB Anschluss meine Synology drann. Das ist der erste Punkt wo ich drann scheitere.

    Dann wollte ich das ganze mit der 802.1x Steuerung noch ein wenig übertreiben und dachte, das ließe sich doch bestimmt auch auf die Unifi Geräte anwenden. Also sagen wir mal ich stecke den Switch an einen anderen Port am USW A, weil vlt mal einer ausfällt oder sonstwas.

    Oder ich stecke einen meiner anderen Switche an einem anderem Port vom US-48-500W Switch.

    Oder den AP der dort auch via POE drann hängt.

    Das es dann auch so einfach wäre. einstecken los gehts ohne ewiges rumdoktern.

    Leider funktioniert es nicht.

    Oder ich denke ich mache was falch.


    Meine Config ist.


    UDM Pro - mit 10GB zum USW A - mit 2 mal 10GB als LAG zum US-48-500W POE Switch - und von dort aus dann noch via POE den AP Wifi 6 LR,

    sowie 4 mal Flex mini Switche,

    ausserdem geht vom USW A - 2 mal 10GB zur Synology DS1819+.


    Leider wird 802.1x nicht an den LAN Ports der UDM Pro unterstützt.


    mfg

    Mann hat es nicht leicht, aber leicht hat es einen.. :face_with_tongue:

    Wie gesagt ich habe das Szenario so noch nicht durchgespielt aber nach meinem Verständnis wird das auch so spätestens an den Ports des zweiten Switches/AP nicht mehr mit der 802.1x Authentifizierung der Endgeräte sauber laufen.


    Das die Unifi Geräte aktuell nicht online gehen könnte vielleicht daran liegen dass du nicht das Managment Netzwerk durchreichst auf dem entsprechenden Port? (ist nur ins blaue geraten da du bisher noch keine konkreten Informationen geliefert hast was du eingestellt hast)


    Der Komfortgewinn ist für diesen Fall auch eher zu vernachlässigen denn so häufig wechselt man in der Regel Uplink Ports nicht und die Wahrscheinlichkeit dass dir nur ein Port abraucht anstatt des ganzen Switches ist halt auch verschwindend gering.

    Und so lange du nicht explizit nur ein gewisse Netzwerk auf dem Switch verteilen willst wirst du das Switchport Profil eh auf ALL stehen haben und das mal eben im Controller durchzutickern dauert vielleicht 2 Minuten mit einloggen.


    Zum Thema Synology bevor du dich an die 802.1x Geschichte machst guck doch erstmal dass du die 10G Anbindung ans laufen bringst. So hast du aktuell 2 Baustellen und weißt nicht welche nicht sauber arbeitet.


    Aber auch hier wären ein paar Informationen zur Analyse notwendig.

    Wenn ich mir die DS 1819+ anschaue hat die ja im Standard erstmal nur 4 RJ45 Ports.

    Ich vermute mal dass du die 10G Schnittstelle somit nachgerüstet hast.


    Ich würde erstmal nur eine 10G Schnittstelle mit dem USW A verbinden und schauen ob das funktioniert.

    Wenn ja dann nimmst du die 2te 10G Schnittstelle dazu. Dafür dann einmal das LAG auf dem USW A konfigurieren und natürlich in der Synology genauso.


    Erst wenn dass alles sauber läuft würde ich Anfangen noch 802.1x dazu zu nehmen.

    Ich bin hierzu etwas am tüfteln. Und ja den Anwendungsfall / Wunsch Vlan abhängig von eine MAC Adresse einzurichten habe ich auch.


    Mit einem Portprofile Mac-Based oder Multihost scheint die Zuordnung einen Vlan bei der Aktivierung von 801.x auf US-48-G1, USW-Aggregation, USW-Flex-XG direkt zu klappen.


    Auf der DMP ging es, hier habe ich zusätzlich den Harken Globale Switch Einstellungen verwenden setzen müssen. Dort ist auch 801.x als Swicth default konfiguriert. Evt kann die DMP das aber es fehlt die Möglichkeit es direkt auf der DMP zu konfigurieren.


    Auf den Flex-Mini hat es bei mir auch geklappt. Multi-host im Portprofile des übergeordneten Flex-XG. Zusätzlich musste ich dann hier die MAC des Minis im Radius eintragen andernfalls hat mein Laptop immer das Radius fallback Vlan zugeordnet bekommen. (Warum das so ist, ist mir nicht unklar)


    Zuordnungen nach 801.x Usern username/passwort klappt bei mir auf den Switches habe ich aber auf der DMP und den Flex noch nicht getestet.



    P.S, Ich hatte einen Fall das bei einem Profile mit "Force Auth" mein default Netzwerk zugewiesen wurde obwohl es eigentlich dort nicht verfügbar ist. In diesem Fall war das Netzwerk extrem langsam. Hier schaue ich aber bei Gelegenheit noch wie das nachzustellen ist.