Beiträge von hoppel118

Achja, stimmt. Die HueBridge ist per Eth angeschlossen. 😃

Port Profile anpassen ist ja genauso schnell gemacht.

Ich habe Radius bspw. nicht auf allen Switchen laufen. Muss auch jeder für sich selbst wissen, wo das brauchbar ist. 😉

Viel Spaß noch

Ok, das wollte ich wissen.

Häng dein iPhone in dein IoT VLAN und schaue mit der Discovery App, welche mDNS Services du zu deiner HueBridge findest.

Mache am besten Screenshots, damit du besser vergleichen kannst was fehlt, wenn du dein iPhone wieder in dein normales VLAN hängst.

Achso, falls du per Firewall verbietest, dass deine IoT Geräte untereinander kommunizieren können, diese Regel entweder pausieren oder eine zusätzliche Regel davor setzen, damit dein iPhone direkt kommunizieren kann.

Alternativ kannst du deine HueBridge natürlich auch einfach nochmal in dein normales VLAN hängen. Je nachdem, was weniger Aufwand verursacht.

Tja, das mit der Verteilung in verschiedene VLANs ist nicht ganz ohne. Das gute ist, dass du deine Geräte jederzeit einfach über den Radius User in ein anderes VLAN Schieben kannst.

So kannst du immer dann weiter machen, wenn du Zeit und Lust hast, bis du alles fertig hast.

Ok, und wie ist deine HueBridge nun an Apple Home angebunden?

Mein Home Assistant stellt per mDNS einen _hap._tcp. Service für Apple Home bereit.

Wenn du deine HueBridge also direkt an Apple Home angebunden hast, musst du wohl danach suchen. Da kann ich dir aber nicht wirklich helfen, da ich die HueBridge so nicht angebunden habe. 😉

Ok, das sollte passen. Meine Firewallregeln sind nach dem alten Artikel hier im Wiki konfiguriert.

Kennst du diese App für iOS Geräte?

‎Discovery - DNS-SD Browser

‎Discovery is a utility that displays all of the Bonjour services available on the local network or on Wide-Area Bonjour domains. Use it to debug your latest…

apps.apple.com

Damit kannst du dir die mDNS Services in deinem Netzwerk ansehen.

Siehst du einen Eintrag in der App, der wie folgt aussieht?

Philips Hue Protocol
_hue._tcp.

Dort sollte auch deine aktuelle IP Adresse der HueBridge aus deinem IoT VLAN zu sehen sein.

Wenn du diesen Eintrag nicht findest, stimmt etwas mit den Multicast Einstellungen in deinem Netzwerk nicht.

Du könntest dann nochmal schauen, ob du diesen Eintrag findest, wenn die Bridge nicht im IoT VLAN hängt.

Meine HueBridge ist nicht direkt mit HomeKit verbunden, sondern über Home Assistant und per Homebridge.

Kann also sein, dass sich das irgendwie anders verhält.

Gruß Hoppel

Ich würde den HomePod in VLAN10 lassen.

Meine HueBridge ist auch in einem anderen VLAN und funktioniert.

Globale Netzwerk Einstellungen:

• Multicast DNS: habe ich in den relevanten VLANs aktiviert
• IGMP Snooping: habe ich in allen VLANs aktiviert

Wifi Einstellungen (WLAN in dem sich Apple Geräte inkl. HomePod befinden)

• Multicast Enhancements: aktiviert
• Multicast and Broadcast control: deaktiviert

Wifi Einstellungen (Radius MAC Auth, IoT)

• Multicast Enhancements: deaktiviert
• Multicast and Broadcast control: deaktiviert

Das müssten die relevanten Einstellungen zw. dem normalen und dem IoT VLAN sein. Ausprobieren schadet nichts.

Hast du eine Firewall zw. deinen VLANs? Wenn ja, wie ist die konfiguriert?

Saimon71 Halte uns bitte auf dem Laufenden. 😉

Zitat von Saimon71

• VLAN 30 "IOT": hier befinden sich derzeit 3 AppleTVs per LAN und per Mac Authentifizierung aus WLAN B. Später sollen hier alle anderen IoT Geräte über Mac Authenfizierung aus WLAN B landen.

Hi,

warum packst du deine Apple TVs in ein gesondertes VLAN? Deinen Smartphones von Apple vertraust du, aber deinen Apple TVs nicht? Gleiches gilt für SONOS? Vertraust du dem Unternehmen oder nicht? Überlege dir, welchen Geräten du traust und welchen nicht und baue deine VLANs entsprechend auf.

Ich würde meine Apple TVs zumindest nicht in das IoT VLAN zu den wirklichen IoT Geräten packen.

In meinem Haupt-VLAN befinden sich alle Apple und Sonos Geräte. Wenn du mDNS richtig konfiguriert hast, kannst du die SONOS Geräte später (wenn erstmal alles läuft) einfach in ein anderes VLAN "schieben". Die SSID muss dann ja nicht mehr angepasst werden. Der Netzwerkunterbau (VLAN) ist für Sonos dann intransparent.

Zumal du dann keine Probleme mit Streaming über VLANs hinweg hast, weil sich diese Geräte alle im selben VLAN befinden.

Aber gut, dass muss am Ende jeder selbst entscheiden.

Zitat von Saimon71

Ich habe verstanden, dass sich die Sonos Geräte und das Gerät mit der Sonos App (iPhone/iPad) im selben VLAN befinden müssen.

Das hieße, ich muss die Sonos Geräte über den User (Mac Authentifizierung) - Eintrag im Radius Server ins VLAN 10 "USER" leiten, wo sich ja mein iPhone/iPad mit der Sonos App befindet. Sonst findet die Sonos App das Sonos System nicht. Oder habe ich hier ein generelles Verständnisproblem.

Wie gesagt, die SONOS Geräte müssen sich nicht unbedingt im selben VLAN befinden. Es ist aber nicht trivial das über VLANs hinzubekommen. Es ist also erstmal zu empfehlen die SONOS Geräte in das selbe VLAN zu packen in dem auch deine iPhones und Co sind.

Zitat von Saimon71

Und hier beginnt mein eigentliches Problem:

Sobald ich ein oder mehrere Sonos Geräte über WLAN B mit Mac Authentifizierung ins VLAN 10 "USER" verfrachte, komme ich plötzlich nicht mehr per WLAN von meinem iPad/iPhone ins Internet. Verbindung am PC per LAN ins Internet funktioniert weiterhin wunderbar aus dem VLAN 10 "USER".

Verknüpfe ich jetzt das WLAN A mit VLAN 30 "IOT", so funktioniert der Internetzugang per WLAN A wieder. Das funktioniert ebenso, wenn ich WLAN A mit "ADMIN" verlinke.

Ändere ich WLAN A wieder zurück auf VLAN 10 "USER", so habe ich wieder kein Internet. Im iPhone wird in den Einstellungen die WLAN A Verbindung übrigens als verbunden angezeigt. Die IP Adressen sind auch alle korrekt. "Private WLAN Adresse" ist übrigens deaktiviert.

Das ergibt für mich irgendwie keinen Sinn. Ich kann mir gerade nicht erklären, wie dieses Verhalten zu Stande kommt. Was haben deine SONOS Geräte mit dem Internetzugang deines iPhones zu tun...

Wieso verknüpfst du WLAN A mit VLAN 30 "IoT"? Was bedeutet für dich verknüpfen? Ich denke in WLAN A befinden sich deine iPhones/iPads...

Das Netzwerk in WLAN A bleibt "USER" und wird nicht mit "IoT" verknüpft. Das Netzwerk "IoT" wird also nicht in WLAN A hinterlegt, falls du das meinst.

Zitat von Saimon71

Ich habe dies mehrfach durchgeführt, und auch die UDM-Pro V3.0.19 (Network 7.4.149) mehrfach neugestartet. Das Verhalten kann ganz klar reproduziert werden.

Erst, wenn die User Einträge im Radius Server wieder entfernt werden funktioniert nach einem Neustart der UDM-Pro das WLAN A aus dem VLAN 10 "USER" wieder...

Spannend...

Zitat von Saimon71

Hat irgendjemand von Euch eine Idee? Ich bin mit meinem Latein am Ende.

PS: Ich kann grade keine Screenshot machen, da ich nicht zuhause bin. Die würde ich dann nachreichen, wenn diese benötigt werden.

Vielen lieben Dank im Voraus

Simon

Alles anzeigen

Hm..., schwierig.

Ich würde wie folgt vorgehen:

1. iPhones/iPads an WLAN A anmelden (Das Netzwerk von WLAN A ist VLAN 10 "USER")
2. Radius MAC Accounts für alle SONOS Geräte anlegen und dort ebenfalls VLAN 10 in der Radius User Konfiguration angeben
3. SONOS Geräte mit WLAN B verbinden

Deine SONOS Geräte und deine iPhones/iPads befinden sich nun im selben VLAN und sollten miteinander kommunizieren können.

Gibt es bis hierhin deinerseits schon Probleme?

Wenn das läuft, sollte sich der Rest für dich von selbst erschließen. Wenn nicht, stelle deine Fragen.

Deine IoT Geräte sind alle mit WLAN B zu verbinden. Bei den entsprechenden Radius MAC Usern gibst du das VLAN 30 (IoT) an. Dann werden diese Geräte automatisch von Radius in das IoT VLAN geschoben.

Gruß Hoppel

Also beim iPhone kann man die sogenannte „Private WLAN-Adresse“ deaktivieren, bevor man sich das erste Mal mit dem WLAN verbindet. Dafür einfach rechts beim entsprechenden WLAN auf das blaue „i“ tippen und den Schalter deaktivieren. Ich bin mir sicher, dass das bei Android auch irgendwie geht.

Was hast du für Smartphones, Android oder iOS?

TWIN013 Ich würde auch auf private MAC-Adresse tippen. Hast du die bei der SSID deaktiviert?

swag Die Radius User findest du hier:

/etc/freeradius/3.0/users

Da gehören die Fallback Einträge ja grundsätzlich rein. Ich hatte mich da damals auch mal dran probiert. Allerdings habe ich nicht herausgefunden, wie ich die Radius User mit den auf der Command Line vorgenommenen Anpassungen, neu Laden kann, so dass das Fallback VLAN aktiviert wird.

Folgendes hat damals nicht funktioniert, da der freeradius Service gar nicht gestartet war:

service freeradius restart

Es sieht auch immer noch so aus. Der Service ist zwar geladen, läuft aber anscheinend nicht („running“ würde ich als Status erwarten):

service freeradius status
● freeradius.service - FreeRADIUS multi-protocol policy>
     Loaded: loaded (/lib/systemd/system/freeradius.ser>
     Active: inactive (dead)
       Docs: man:radiusd(8)
             man:radiusd.conf(5)
             http://wiki.freeradius.org/
             http://networkradius.com/doc

Wie gesagt, hatte dann aufgegeben.

Aber vielleicht kommst du ja weiter.

Gruß Hoppel

swag

Jo, hatte auch schon überlegt, ob man die gesamte freeradius Datei ersetzen kann, so dass das Fallback VLAN enthalten ist:

Tunnel-Private-Group-ID = "<your fallback VLAN"

Ich denke, dass das grundsätzlich funktionieren würde. Insbesondere mit UnifiOS >=2.x ist dahingehend eine Menge möglich. Ich will meine UDM-SE aber eigentlich nicht so stark verbiegen. Nein, das will ich nicht. 😃

Deshalb habe auch ich eine separate Gäste SSID. Kenne dafür keinen Workaround.

Leider musst du bei eigenen Geräten auch immer erstmal die MAC-Adresse herausfinden, damit du sie mit dieser MAC Auth SSID Verbinden kannst.

Dafür habe ich folgende Workarounds (ggf. mit tail -f arbeiten):

1. Im eigenen syslog Server oder im syslog des entsprechenden APs schauen, welche MAC Adresse gerade abgelehnt wird/wurde

2. Gerät im Gäste WLAN anmelden und MAC ermitteln

Anschließend die MAC Adresse dann als Radius User anlegen.

Das ist momentan leider der Preis dafür. Gibt wohl wichtigere Themen als Radius hübsch machen…

Das coole ist, dass du diese Geräte jetzt ganz einfach in ein anderes VLAN schieben kannst, wenn du möchtest. 😃

Zitat von TWIN013

Ich wollte ja ursprünglich mit den Sonos Geräten anfangen, weil sich diese bisher immer als größte Hürde hinsichtlich VLAN etc. präsentiert haben - in Verbindung mit 802.1x bin ich aber mit der Mac-Authentifizierung komplett gescheitert, sprich habe nicht mal einen Staubsauger hin bekommen. Ich muss das nochmal mit einem ollen Tablet oder dergleichen testen. Per Nutzername und individuellen PW hat es sofort geklappt.

Einfach das machen, was im Wiki-Beitrag von mir beschrieben wurde. Wenn irgendwas nicht so funktioniert, wie beschrieben, gib Bescheid. Bei mir läuft es so. Das ist auch wirklich nicht schwer, wenn man sich an die Anleitung hält:

Ich glaub die Menüpunkte haben sich mittlerweile leicht verschoben. Aber im Großen und Ganzen sollte das aber auffindbar sein. 😃

Zitat von swag

Danke hoppel118 !!

Wer suchen kann ist klar im Vorteil aber ich glaube das es der Artikel war der mich auf die WPA3 Enterprise schiene gebracht hatte.

Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten

Die fehlende Fallback VLAN fähigkeit ist sehr schade.

Alles anzeigen

Jo, keine Ahnung, warum Ubiquiti das Fallback VLAN nicht implementiert, zumal Freeradius das von Haus aus kann (Freeradius wird auch von Ubiquiti genutzt).

Bitte auf jeden Fall diesen Feature Request upvoten:

https://community.ui.com/questions/Radius-Users-and-Radius-Profile-improvement-suggestions/41760fec-f6b0-4d09-ae12-bffa14a6a664

Hier ist der Beitrag für die Switch Konfiguration:

Radius-Server mit MAC-Authentication an den Switchen einrichten - ubiquiti - Deutsches Fan Forum

Zitat von TWIN013

Verdammt gutes Argument. Morgen wird mal getestet...

Edit: Zwei Fragen... wieso kann ich bei der Anlage des Radius Servers zwischen Wired Networks und Wireless Networks wählen, wenn Wired sozusagen Grundvoraussetzung ist? Und wenn ich hier gemäß des von Dir verlinkten Artikels vorgehe, ist es dann zwingend notwendig z.B. zuerst die Mac des Administrations-PCs zu hinterlegen, da ich mich ansonsten selbst von allen Netzen aussperren kann?

Wired ist nicht Grundvoraussetzung.

Wenn du nur im WLAN per 802.1x authentifizieren möchtest, geht das und andersherum ist es das gleiche. Pauschal willst du aber sicherlich irgendwann beides, wenn du erstmal auf den Geschmack gekommen bist. Also einfach beide Häkchen setzen. 😉

Ich würde mir sicherheitshalber zu deinem Admin-PC erstmal zwei Ports schalten. Einer mit 802.1x und ein Port ohne direkt im richtigen VLAN mit Zugriff auf die Management-Oberfläche. Über dein Habdy kommst du aber notfalls auch noch an die (Radius User) Config und kannst dort ggf. Fehlkonfigurationen rückgängig machen. 😉

Ich hatte damals zwei Wiki-Einträge erstellt. Einen für Wired und einen für Wireless. Wenn du Änderungs- oder Konkretisierungswünsche hast, halte sie einfach als Kommentar bei den Wiki-Einträgen fest oder passe die Wiki-Einträge direkt selbst an. 😉

Wenn du sonstige Fragen hast, melde dich einfach.

Authentifizieren sich deine Sonos mittlerweile korrekt mit ihrer MAC-Adresse?

Ich habe jetzt nur noch 3 SSIDs.

1. WPA3-Enterprise: iPhones, iPads, Apple Watches, MacBooks, etc.

2. WPA2/3: alle anderen Geräte in 5 verschiedenen VLANs

3. WPA2/3: Gäste

Gruß Hoppel

Ja, da hast du recht. Aber wie geht PoE über Glasfaser? 😉

Hier wurde das getestet:

Beitrag

RE: G4 Doorbell Pro

mein 0,2m USB-C Flachkabel mit dem Abgewickelten Stecker aus Amazon + USB-A-auf C Adapter aus der Krempelbox


ubiquiti-networks-forum.de/attachment/14365/


ubiquiti-networks-forum.de/attachment/14366/

Wie nicht anders zu erwarten geht jedes vollbeschaltete USB-C Kabel am 1GbE-PoE-Adapter.
Auch das ellenlange schwarze vom DB4Pro Netzteil
ubiquiti-networks-forum.de/attachment/14367/

Auch getestet.....das USB A-auf-C Kabel der G3-Instant mit USB-A auf C Adapter

ubiquiti-networks-forum.de/attachment/14368/

Grendelbox

6. September 2022

Allerdings hat USB eine Maximallänge von 5m. Keine Ahnung, ob das auch für USB-C gilt und was Ubiquiti gemacht hat, damit auch deren 7m Kabel funktioniert. Ausprobieren kann man es auf jeden Fall mal.

Dafür muss man allerdings immer noch diesen USB-C-PoE-Adapter haben. 😉

Er sucht dieses Teil für die G4 DB Pro mit 7m USB-C Kabel:

PoE Adapter for Protect WiFi Cameras

Transforms a Protect WiFi Camera into a wired PoE camera.

eu.store.ui.com

Gruß Hoppel