Unifi Switch USW Lite 8 PoE an HPE Switch mit 802.1x und Mac-Based Auth

Es gibt 24 Antworten in diesem Thema, welches 4.066 mal aufgerufen wurde. Der letzte Beitrag () ist von swag.

  • Hallo Zusammen,


    ich betreibe schon lange in unserer Firma ein Unifi WLAN mit einem eigenen Controller auf einem Linux Server. Seit letztem jahr sind nun auch ein paar kleinere und grössere Switch dazu kommen (für die Clients, die zu wenig LAN Ports haben). Unser restliches Netzwerk setzt sich aus HPE Aruba Switch zusammen, hauptsächlich HPE Aruba 2930F 48G PoE+ 4SFP+.

    Derzeit bin ich dran, das ganze Netzwerk mit 802.1x zu schützen. Da ich aber diverse Geräte im Netz habe, die ich so nicht in der Domain habe, machen die HPE Switch alternativ (wenn 802.1x nicht geht) MAC-Based authentication mit User = MAC-Adresse und festgelegtem PW. Das funktioniert auch wudnerbar.

    Nun wollte ich das ganze aber an einem Port aktivieren, an dem ein Unifi Switch hängt. Den Switch habe ich in der AD als User angelegt und er kann sich auch MAC-Based authentifizieren. Wenn ich nun aber etwas an den Switch dran hämnge, z.B. ein Telefone, dann bekommt dieses kein Netzwerk. Wenn ich auf dem Switch nix einstelle mit Authentification, dann meldet sich das Gerät brav über den HPE an und bekommt das passende VLAN zugewiesen. Aber hat trotzdem kein Netzwerk, also keine Verbindung.

    Also dachte ich, ich lasse die Auth über den Switch laufen. Hier bekomme ich es aber nicht hin, dass eine Anmeldung am Radius erfolgt. Ich bin echt ratlos, wo ich den Fehler drin habe oder ob das so einfach nicht geht.

    Hier mal meine Config


    HPE Switch

    und Unifi Config


    RADIUS


    Port Profile


    Switch Config


    Auf dem Radius (Windows NPS) habe ich soweit alles richtig, mit VLAN Zuteilung. Sonst würde es mit den HPE nicht funktionieren.


    Hat zufällig jemand ne Idee, wie ich das zum Laufen bekommen kann?


    Danke und viele Grüsse, Sascha

  • Wow vorab ich bin kein Netzwerker und kann daher nur Idee auf Grund gefährlichem Halbwissen geben.

    Auch gibt es hier im Wiki ein paar Artikel 802.1x und Radius.


    Unifi nutzt FreeRadius und die Verwendung ist für Access Control bei den AP und/oder den switchen möglich.
    Wird z.B. im Bundel mit der UDM-Pro Installiert. Ich benutze das feature selber um in WLan basieren auf user oder MAC VLan's zuzuweisen.

    Aber ich nutze einen andere eigene FreeRadius instanz da ich zusätzliche Parameter für unbekannte Geräte und eine eigene UI verwende.

    Dazu habe ich unter unifi Radius Einstellungen der Server konfiguriert und ich mußte auch etwas testen bis die Verbindung wirklich lief. User / Passwort etc.

    Ist bei Dir diese Verbindung aktiv? Wie konfigurierst Du eigentlich den Switch ? Controller / Handy app ?

    Du hast die Radius Einstellung Switch. Ist das der Unifi Radius selber oder der unifi Radius client zu Deine Radius ?


    Auf den Switch gibt es ja dort auch die 802.1x Einstellung. Radius Server und defaul VLan. Sowie die Port spezifischen Einstellungen.


    force authorized, force unauthorized, mac based und multi host.

    authorized ist glaub ich eher für 802.1x Endgeräte workstations / Laptops wo der user (User Login) ein cert verwendet um dann zugang zu einem netzwerk zu erhalten. mac basieren auf der mac adresse und ein "default" passwort. (Hier ist das Formart aa- AA: ect auch relevat und muß im Radius passen, glaub ich jedenfalls)


    Kommen die user auth anfragen bei Dir im Radius an ?


    Wenn mehrere Geräte an einem Port angeschloßen sind wird es noch schieriger. Ich glaub hier greit das multi host.

    Ich denke, meine, vermute, rate das hier die Verbindungen getunnelt sind. Jedenfalls gibt es ja tunnel Einstellungen

    13 - Virtual LANs (VLAN),

    6 - 802 (includes all 802 media plus Ethernet "canonical format")


    vom Switch bis zum Gateway ?? Evt kannst Du mir das ja sagen :winking_face:


    Bei Dir ist das ja auch eine Mischung zwischen HP und Unifi. Mir ist in der Konstellation nicht klar ob der Unifi switch die Endgeräte zuweisung macht oder die Paket an den HP weiterleitet.


    Code
      aaa port-access authenticator client-limit 2   aaa port-access mac-based

    wie verhält sich Dein System eigentlich wenn Du einen dummen switch am HP verwendest ?


    Wie gesagt hier verläßt ich mein Wissen und ich hab es mehr zu Spass mal bei mir mal zum Laufen gebracht.

  • Hi,


    danke für deine Ideen. Bin eben auch kein Spezialist, auch wenn ich mich jeden tag damit beschäftigen muss. Das 802.1x ist neu für mich.


    Alles was Unifi angeht konfiguriere ich über den Controller, der bei mir auf einer Linux-VM läuft. Das funktioniert auch alles ganz gut. Ich frage mich allerdings mittlerweile, ob der USW Lite 8-Port Switch überhaupt 802.1x beherrscht. Habe hier schon von anderen Unifi Geräten gehört, bei denen man zwar 802.1x auswählen kann, aber die das gar nicht können.


    Auf meinem Windows NPS (kein Freeradius) sehe ich keinerlei Anmeldung vom Unifi Switch. Ich sehe aber, dass sich ein Telefon am Unifi Switch per MAC Adresse anmeldet - über den HPE Switch. Allerdings klappt dann die Zuweisung des VLAN nicht. Wenn ich das Telefon direkt anhänge an den HPE, dann meldet es sich an und bekommt vom Radius das richtige VLAN zugeteilt.


    Auf dem HPE funktionieren auch mehrere Geräte gleichzeitig. Wenn ich zb ein Cisco Tel anschliesse und am Tel dann eine Workstation (wird durchgeschlauft), dann bekommt das Tel unser Voice VLAN und der Laptop kommt ins Client VLAN. Der Laptop meldet sich mit 802.1x (AD User/AD Computer) an und das Tel macht MAC-Based Auth.


    Vom Netzwerk her ist es so aufgebaut

    1. Core-Switch (HPE Aruba) ohne Auth
    2. Etagen Switch (HPE Aruba) mit 802.1x und MAC-Based Auth
    3. Unifi Switch (wenn bei einem User zu wenige Ports)

    Die Etagen Switch haben den gleichen Radius hinterlegt wie auch der Unifi.


    Hat jemand eine Info (habe nichts dazu gefunden), ob der UWS Lite 8 PoE überhaupt 802.1x kann?


    Gruss, Sascha

  • So, gerade mal noch nen dummen Switch dran gehängt. Der meldet sich nicht mal beim HPE mit MAC. Aber sowohl das Telefon als auch ne Workstation können sich am Radius anmelden und bekommen sofort das richtige VLAN zugeteilt.


    Kann ich denn den Unifi auf Dumm stellen?

  • Ja, scheint so. Aber egal was ich einstelle, ich bekomme keine Anmeldung vom Unifi an den Radius. Ich hab mal noch mein PW kontrolliert, was keine Sonderzeichen hat, aber recht lang war. Zur Sicherheit mal noch gekürzt, aber macht kein Unterschied.

  • würde vermuten das die Radius anfrage vom switch zum controller geht und von da zum windows radius. wenn das dann so ist könnte es möglich sein es auf dem host vom controller mit einem client zu testen.


    Die Client freeradiu IP Address / Range ist im Radius freigegeben ?


    Bin mir aber hier nicht sicher hab nicht die client ip sondern nur den namen des client im log und das gesammte local netzwerk freigeschaltet . oh oh

  • Dann sollte das schon passen. Unifi APs?


    Siehst Du diese Anfragen im Radius Log?

    Ja, sehe diese Anfragen alle und es ist komplett Unifi.


    Ich bin ein Stück weiter und sehe tatsächlich eine 802.1x Anfrage eines Laptops vom Unifi Switch kommend am Radius die auch Success zurückmeldet mit dem richtigen VLAN. Aber jetzt stimmt wohl noch was am HPE nicht. Denn dieser lässt trotzdem keinen Traffic durch.

  • Wieder ein Stück weiter.


    Nachdem ich auf dem HPE erstmal das 802.1x und MAC-Based Auth deaktiviert habe, kann sich ein Laptop richtig verbinden, bekommt das richtige VLAN und ist auch im Netz 🎉🎉🎉. Beim Port habe ich als 802.1x Control auf Auto gestellt.


    Bei einem Cisco Tel will Auto nicht. Da passiert einfach mal nichts. Wenn ich auf Mac-Based gehe, kommt eine Anfrage an den Radius mit Mac Adresse ohne : und -. In der AD habe ich aber die MAC mit - angelegt und ein festes PW vergeben (nicht MAC Adresse). Konnte per CLI die MAC Anmeldung vom Switch anpassen, dass er auch - verwendet. Leider weiss ich, dass dies nach einem Neustart weg ist. Was ich aber nicht gefunden habe, wie ich ein anderes PW als die MAC-Adresse hinterlegen kann. Dies brauch ich aber, da in der Windows AD hinterlegt ist, dass der Username und PW nicht gleich sein darf.


    Kennt jemand ne Einstellung dafür?


    Gruss, Sascha

  • Bei MAC based auth ist Benutzer = Passwort = Mac Adresse. Das ist nicht änderbar.


    Das ist ja auch eigentlich nur eine Notlösung für Geräte die 802.1x nicht wirklich unterstützen.


    In einer Windows Domäne wird ja meist Computer oder Benutzer Authentifiziert mit den entsprechenden Daten aus dem AD.

  • Bei MAC based auth ist Benutzer = Passwort = Mac Adresse. Das ist nicht änderbar.


    Das ist ja auch eigentlich nur eine Notlösung für Geräte die 802.1x nicht wirklich unterstützen.


    In einer Windows Domäne wird ja meist Computer oder Benutzer Authentifiziert mit den entsprechenden Daten aus dem AD.

    Ja, das mit der AD stimmt schon. Allerdings lassen sich Telefone und auch Drucker nicht immer so einfach (oder auch gar nicht) in eine Domain einbinden. Das mit dem MAC-Based ist daher ne gute Lösung. Bei meinen HPE Switches kann ich das MAC PW frei setzen. Daher habe ich dann auch keine Probleme mit der PW-Policy.

  • Das sieht mir so aus als wenn das etwas HP Magie ist.


    https://techhub.hpe.com/eginfo…_asg/content/ch03s06.html

    Genau, und das funktioniert auch sehr gut. Die Sicherheit ist dadurch natürlich auch nochmal wesentlich höher als bei User: MAC, PW: MAC. Ich konnte dort wählen wie die MAC Adresse aussehen soll (geht bei Unifi nur im CLI) und konnte auch das PW anpassen (finde ich bei Unifi nicht).

  • Wie das Format der MAC (und dann vermutlich auch das Passwort) aussehen soll, dass kann man einstellen. Großschreibung, Kleinschreibung, : - oder kein Trennungszeichen.


    Könnte man nicht im AD ne OU erzeugen wo diese Accounts rein kommen und die aktuelle Passwort Policy nicht gilt? Dann noch dafür sorgen, dass diese Benutzer Zugriff auf nichts haben.

  • Wie das Format der MAC (und dann vermutlich auch das Passwort) aussehen soll, dass kann man einstellen. Großschreibung, Kleinschreibung, : - oder kein Trennungszeichen.

    Das habe ich zwar schon gefunden, aber nur über CLI. Wo ist es denn sonst versteckt?


    Das mit der AD geht leider nicht, da wir unsere PW Policy in der Default Domain Policy drin haben. Somit zieht die immer, selbst wenn ich Vererbung deaktiviere.