UDM SE Radius Server mit Unifi EdgeSwitch 48 Lite über 802.1 MAC Filter

Es gibt 20 Antworten in diesem Thema, welches 1.102 mal aufgerufen wurde. Der letzte Beitrag () ist von UbiMyNetwork.

    Hallo Zusammen,


    ich habe mich nun schon seit längerem mit dem Problem vom integrierten Radius Server der UDM SE beschäftigt. Dieser soll meine Ports am EdgeSwitch 48 Lite per 802.1 MAC Adressfilterung vor "ungeschützten Verkehr" schützen.


    An der UDM SE habe ich alles nach der vorhandenen Anleitung (welche hier auch schon oft angezeigt worden ist) eingerichtet und kann diesen Radius Server auch per NTRadPing Software mit den MAC Adressen anfragen und bekommen auch die richtigen Antworten.

    Also läuft dieser an sich einwandfrei. Damit der Adressenfilter nun auch funktioniert muss ja ein separater Swicht angeschlossen werden, da die UDM SE ja (noch?) nicht in der Lage ist diesen Filter auf seine eigenen Ports anzuwenden.


    Nun habe ich mich kurzfristig um einen Unifi (Ubiquiti) EdgeSwitch 48 Lite bemüht um dort dieses dann auch anwenden zu können.


    Konfiguration ist wie folgt:


    Port: 1,49-52(SFP & +) sind Trunk


    alle anderen Ports sind Tagged


    VLAN 1 ist default/Management



    In den Reitern Radius habe ich nach besten (Ge)Wissen die UDM SE eingetragen.


    Leider komme ich irgendwie nicht zum Ziel. Hat jemand einen kleinen Leitfaden für mich bzw. Punkte die speziell eingetragen werden müssen?



    Bei dem Thema Radius bin ich ziemlich neu und versuche mich noch in meinen Anfängen und bitte daher um Unterstützung eines erfahrenen Kollegen hier.



    Der interne VLAN MAC Based Filter des Switches funktioniert einwandfrei.

    Edge Switche sind zwar von Ubiquiti aber gehören zur Edge Serie und nicht zur UniFi Serie. Da wird sich die Frage stellen, ob Du das so überhaupt zusammen bringen wirst.


    Wo hast Du da denn was konfiguriert? Ich hab hier nen ES-16-150W da finde ich nichts in Richtung Radius.

    Also ich habe eine UDM SE und war gerade etwas verwundert, dass du sagst, die würden Radius nicht unterstützen.

    Ich habe zwar Radius bei meiner SE nicht aktiviert, aber gerade noch mal geschaut und es lässt sich definitiv konfigurieren.

    Softwareversion ist bei mir die 3.2.12



    Ich habe selbst noch nicht so lange einen Unifi Switch, weshalb ich mich in der alten Ansicht nicht auskenne.

    In der neuen musst du allerdings erst in die globalen Switch Einstellungen und 802.1X aktivieren. Zudem das Portprofil anlegen.

    Dann kann man das ganz normal in der UDM SE auswählen.


    Auch kann man in den globalen Switch Einstellungen die Geräte auswählen, welche die globalen Einstellungen übernehmen sollen.

    Vielleicht schaust du mal, ob hier dein neuer Switch angezeigt wird.

    Die rede ist hier von Edge Switchen, nicht von der UDM.

    Also bei der Masse an Einstellungsmöglichkeiten, würde es mich wundern wenn es nicht funktioniert. Hab da aber auch nur was uraltes gefunden ... was wohl Anfangs auch nicht lief. https://community.ui.com/quest…08-40c7-9bb5-2d052c39b0a5


    Nur Radius Eintragen reicht mit Sicherheit nicht. Da müssen auch die Ports konfiguriert werden (ist bei den Unifi Switchen auch notwendig).


    Was evtl. ein Problem sein könnte, Der Radius bekommt die Clients normalerweise mitgeteilt, die Abfragen dürfen. Entweder alle Einzelnd mit IP oder auch ein komplettes IP Netz ... Keine Ahnung wie das bei UniFi läuft, das passiert ja scheinbar im Hintergrund völlig automatisch.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von DoPe mit diesem Beitrag zusammengefügt.

    Zitat von DoPe

    Die rede ist hier von Edge Switchen, nicht von der UDM.

    Er hat oben geschrieben, dass er sich den Edge Switch besorgt hat, weil es mit der UDM SE noch nicht funktioniert. Ich wollte nur darauf hinweisen, dass ich es in den Einstellungen bei meiner SE aktivieren kann.

    Zitat von NetNovice

    Er hat oben geschrieben, dass er sich den Edge Switch besorgt hat, weil es mit der UDM SE noch nicht funktioniert. Ich wollte nur darauf hinweisen, dass ich es in den Einstellungen bei meiner SE aktivieren kann.

    Ja du kannst es aktivieren nur funktionieren tut es (noch?) nicht weil die Anschlüsse der UDM SE das selbst (nocht) nicht umgesetzt bekommen.


    Kannst es ja mal einstellen und dann dein Gerät anschließen. Aber es wird nicht funktionieren.

    Zitat von DoPe

    Also bei der Masse an Einstellungsmöglichkeiten, würde es mich wundern wenn es nicht funktioniert. Hab da aber auch nur was uraltes gefunden ... was wohl Anfangs auch nicht lief. https://community.ui.com/quest…08-40c7-9bb5-2d052c39b0a5


    Nur Radius Eintragen reicht mit Sicherheit nicht. Da müssen auch die Ports konfiguriert werden (ist bei den Unifi Switchen auch notwendig).


    Was evtl. ein Problem sein könnte, Der Radius bekommt die Clients normalerweise mitgeteilt, die Abfragen dürfen. Entweder alle Einzelnd mit IP oder auch ein komplettes IP Netz ... Keine Ahnung wie das bei UniFi läuft, das passiert ja scheinbar im Hintergrund völlig automatisch.

    Danke für das Feedback an alle bisher. Ich werde mich mal an diese Anleitung halten und mal sehen ob ich das damit ans laufen bekomme.

    Einmal editiert, zuletzt von razor () aus folgendem Grund: Ein Beitrag von UbiMyNetwork mit diesem Beitrag zusammengefügt.

  • razor

    Hat das Label von keine Lösung auf offen geändert.
    Zitat von NetNovice

    Er hat oben geschrieben, dass er sich den Edge Switch besorgt hat, weil es mit der UDM SE noch nicht funktioniert. Ich wollte nur darauf hinweisen, dass ich es in den Einstellungen bei meiner SE aktivieren kann.

    An welcher Stelle sind denn die Einstellungen versteckt? Magst mal nen Screen machen?

    Zitat von NetNovice

    Hier im Forum gibt es eine gute Anleitung, da findest du, was du suchst. :smiling_face:

    Ich weiß wie das geht ... Da hier die Aussage kam, dass man es in der UDM schon einstellen kann, es aber nicht funktioniert, kam bei mir jetzt die Frage hoch wo da wohl was neues einstellbar sein soll, was nicht funktioniert.

    Hallo Zusammen,


    ich wolte eben bescheid geben das ich hier nicht kommentarlos verbleibe. Habe gerade einen familiären Notfall und daher nicht so viel Zeit zum ausprobieren. Heute Abend bzw morgen im Laufe des Tages werde ich wohl dazu kommen das auszuprobieren und sobald ich das ans laufen bekommen habe oder noch Fehler drin habe gebe ich euch Feedback.

    Bei Lösung will ich das Problemfeld natürlich aufschlüsseln. Es soll ja allen auch helfen die ähnlich Probleme haben.

    Also kurzes Feedback:


    habe soweit alles nach den Parametern eingestellt. bis auf den Punkt des MAB Operational Mode.... den kriege ich irgendwie nicht eingestellt dass er auf enabled geht.


    Requests werden laut Web Interface auch nicht wirklich übernommen.


    Nach dem Punkt der dynamic VLAN's habe ich auch alle vorher angelegten VLAN im Switch bis auf den default gelöscht.


    Irgendwie bin ich echt ratlos was ich noch machen kann außer alles Händisch im Switch selber über MAC BAsed VLAN in ihm einzutragen

    Gibt es generell einen Kontakt über Unifi von wem man genaue Info's erhalten kann?


    Man liest immer wieder dass es über das MAB Probleme gibt.


    Daher wurde von Unifi Seiten eine seperate Funktion MAC BASED VLAN unter Switching eingepflegt.

    Das funktioniert auch, aber nur intern und muss dann ja bei jedem Gerät einzeln eingepflegt werden.


    Da muss es doch ne bessere Lösung geben?!?

    Von was redest Du inzwischen eigentlich konkret? Man kann hier leider nicht erkennen was Du inzwischen so erreicht hast oder auch nicht.


    Unifi ist eine Produktfamilie so wie EdgeMAX auch. Der Hersteller ist Ubiquiti. Nicht alles durcheinanderwürfeln :winking_face:

    Die EDGE Geräte sind wohl im Privatem nicht so weit verbreitet, wird daher wohl schwierig hilfe zu finden.

    Bei Ubiquiti halt nur der normale Supportweg.

    Soweit habe ich sämtlich Einstellungen nach der Anleitung: https://community.ui.com/quest…08-40c7-9bb5-2d052c39b0a5


    ausprobiert. Leider wird der MAB Operational nie aktiv und ich bekomme vom Switch selber aus zum Radius(-profil)-Server keine Rückmeldung zum Switch. Lediglich wenn ich einen PC per NTRadPing Software eine Frage mit den dementsprechenden MAC Adressen Anfrage bekomme aber über die Ports vom Switch die dementsprechende richtige Antwort. Für mich heißt das in erster Hinsicht, dass der Radius Server korrekt läuft.


    Aufgrund der dynamischen VLAN's musste ich alles angelegten VLAN im Switch selbst entfernen und habe nur das default LAN stehen lassen.


    An Einstellungen über den Reiter Security habe ich sämtliche Angaben befolgt. Unter denn Port Details war der Punkt MAB Operationg aber nie "enabled".


    Da es an dem Gerät ja nun auch "dutzende" Möglichkeiten gibt etwas verkehrt zu machen bin ich aktuell komplett auf dem Schlauch was ich verkehrt gemacht habe.


    Hier ein Beispiel wie ein Port dann nach letzten Einstellungen ausgesehen hat:


    Das ist jetzt nicht aus meiner Console, da ich in der Befehlszeile nicht richtig bewandert bin.



    Soweit habe ich jetzt erstmal die Switching Einstellung MAC-Based VLAN benutzt um dort alles Händisch einzutragen. Dies ist aber nicht wirklich meine Endlösung.


    Diverse IOT Geräte und weitere haben da auch so ihre Probleme mit der Adressübernahme. RasPi' zicken mein annehmen der Tagged VLAN etc.

    Hallo nochmal zusammen,


    Also ich komme hier nicht mehr weiter. Hat wer einen Leitfaden was man an einem EdgeSwitch einstellen muss damit dieser in der Lage ist mit dem UDM SE Radius Server zu kommunizieren?


    Ich stehe aktuell sowas von auf dem Schlauch.


    Gehen wir mal von folgenden Situationen aus


    UDM SE Radius Server 192.168.1.1

    EdgeSwitch 192.168.1.2


    per NTRadPing kann ich alles abfragen und bekomme auch die gewollten Antworten.


    Aber


    Im Switch sieht es folgt aus.


    Port 1 ist Trunk und hat die direkte Verbingung zum Port 8 der UDM-SE. Dort (UDM SE) sind auch alle VLANS durchgeführt.


    Im Switch ist die UDM SE als Named und Accounting Server angelgt mit dem jeweiligen SECRET.


    Der Switch ist mit seiner IP als NAS angelegt - somit sollte die UDM SE als Secondary Server angelegt sein?!?


    Die Port Security ist enabled; VLAN Assignment Mode ist enabled; Dynamic VLAN Creation Mode ist enabled


    der ausgewählte Port ist MAC Based und hat MAB enabeld.


    jetzt die Frage was habe ich vergessen und / oder falsch gemacht?

    Hi erstmal.


    Danke für deine Rückmeldung. Also soweit ist laut Info aus dem Switch auch keine Request auszulesen. Sprich der Switch schickt überhaupt nichts?!? Das ist ja das was ich nicht verstehe. Wenn wenigstens dort stehen würde dass eine Anfrage weggeschickt werden würde. Dann könnte man den Fehler dort auch eingrenzen. Ich habe jetzt erstmal zum Testen auch nur einen Port damit angesteuert.


    Mir kommt es so vor als wenn garkein anderer Switch aussser die Unifi Switche selbst (also auch nicht der EdgeSwitch da er ja von Ubiquiti ist) mit diesem Radius kommunizieren kann oder ich mache irgendwas generell verkehrt...


    Hab schon etwas von wegen AAA gelesen aber gestern habe ich mir doofer Weise erstmal meinen eigenen Zugriff gesperrt weswegen ich jetzt erstmal den Swicht komplett Resetten musste.


    Es ist ja an sich kein Hexenwerk, aber wenn da garnichts kommt weiß man auch nicht mehr wo man suchen soll bzw ansetzen muss.