UDM SE, Radius WLAN und der HomeKit-Horror...

Es gibt 7 Antworten in diesem Thema, welches 1.512 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

    Hallo zusammen!


    Ich kämpfe hier gerade mit der Aufnahme von zwei Meross Steckdosen (MSS315) in meine HomeKit Umgebung und so langsam gehen mir die Ideen aus. Mal kurz zur Ausgangssituation:

    Es gibt zwei WLAN SSIDs (WPA3-E und WPA2/3), die Zuordnung zu den vorhandenen VLANs erfolgt in der WPA2/3 SSID per Radius. WPA2/3 nutzt lediglich das 2.4GHz Netz, Multicast ist in beiden SSIDs aktiv.

    Die MAC-Adressen der Meross Stecker sind natürlich im Radius hinterlegt. Da sich der HomePod Mini (HomeKit Steuergerät) ja leider automatisch in die SSID der iPhones hängt, habe ich auch schon versucht diese rein im WPA2/3 zu betreiben, um das Problem mit den WPA3-Enterprise Zugangsdaten zu umgehen, hat auch nichts gebracht. Egal auf welche Weise ich versuche die Stecker ins Netz aufzunehmen (Meross-App oder direkt Home App), es scheitert.

    Ich würde noch irgendwo ein Problem mit den Firewall-Regeln vermuten, habe diese aber zugegeben recht blind aus dem Wiki erstellt und mir fehlt hier etwas der Durchblick, um das wirklich genau analysieren zu können...

    Für Hilfe, schlaue Fragen und alles, was mich weiter bringt, bin ich sehr dankbar. :smiling_face:


    Viele Grüße!

    Ich glaube WPA Enterprise unterstützt keine Mac Adresse. Ich nutze ein Apple TV einem Wifi für IOT mit WPA2/3 und Radius um die VLAN zuodnungen durchzuführen. multicast bzw multicast dns hat mir auch Probleme bereitet. Dein HomePod/mobile im WPA2/3 ändert nichts?

    In der Firewall mußte ich nichts ändern denke die sollte nicht das Problem sein.

    WPA3-Enterprise wollte ich für die höherwertigen Clients wie eben iPhone, iPad etc nutzen, das macht das Leben schon sehr angenehm - ich fürchte allerdings, dass es auch eine Menge Probleme mit sich bringt, so dass man letztlich wohl besser wieder darauf verzichtet.

    Die Zuordnung von Mac-Adressen zu Geräten in der Unifi ist halt leider ein absoluter Albtraum, so dass ich diesen Bereich nicht noch weiter voll müllen wollte...

    WPA3-Enterprise ist wohl eher nicht für IOT geeignet. Ich hab daher ein extra Wifi für die "höherwertigen Clients" . Für's IOT benutze ich FreeRadius it default VLan's für die wifi Netze. Unifi arbeit aber an einer solchen Lösung aber die gabs bisher nur im EA.

    Die Wifi sind eigentlich für das multicast geraffel auch egal aber die Weiterleitung muß über die Netze / VLan gehen. Da ich noch nicht unifi netze hab nutze ich einen mDNS repeater auf eine PI.

    Ich bin auf der UDM SE momentan auf Version 3.1.16, aber von Verbesserungen im Radius Umfeld habe ich noch nichts gesehen - wie kommt man denn an diese Funktionalität ran? Oder bietet es sich dann an lieber einen separaten Radius Server z.B. auf der Synology zu betreiben?

    Added Virtual Network Management to the Topology section (requires UDM-Pro or UDM-SE with UniFi OS 3.1+).This allows moving clients to different Virtual Networks without the need of putting them on a different WiFi network or by tagging VLANs on ports.


    aus release notes für UniFi Network Application 7.4.156


    https://community.ui.com/releases/UniFi-Network-Application-7-4-156/15ac6260-9cd1-4ac3-a91c-4880c1c87882


    War aber glaub ich nur im EA und ist aus de Release entfernt worden.


    Elaubt quasi alle unbekannten Geräte in ein default VLAN zu packen und erleichtert damit das Einrichten.

    Ich selber hab einen FreeRadius auf einer OpenSense und dort einen Eintrag pro WLAN in der client conf welches mir erlaubt das Wifi defaul VLAN zu nutzen. ( SID duch den WIFI Namen ersetzen ). : $ bleiden davor / dahinter.


    Code
    DEFAULT Called-Station-Id =~ :SID$, Auth-Type := Accept
    Tunnel-Type = VLAN,
        Tunnel-Medium-Type = IEEE-802,
        Tunnel-Private-Group-ID = "<your fallback VLAN"


    P.S. die Zeile

    Code
     Tunnel-Private-Group-ID

    ist überflüssig und wird von den Wifi Einstellungen übersteuert

    Verstehe ich das richtig, damit werden also alle unbekannten Clients in ein eigenes VLAN (z.B. Guest) verschoben, statt einfach abgelehnt zu werden? Kann man denn in FreeRadius den Clients einen Namen geben, so dass die Zuordnung von Mac-Adresse und Gerät etwas einfacher wird?