Beiträge von swag

Läuft das VPN auf dem Raspberry Pi dann hast Du einen extra Hop und die UDM kennt das VPN nicht.

Du wirst dann ggf keine Routen zum Zielnetzwerk haben. Zielnetz, GaterwayRouter (Raspberry Pi) Z.B. 192.168.4.0 192.168.225.10 255.255.255.0 wenn das Zielnetz 192.168.4.0 wäre . Das wird dann genau so rückwärts auf dem Raspberry Pi benötigt. VPN Clients oder die UDM legen diese normal automatisch an, das klappt aber nur für die beklannten Netze.

(Wenn der PI das Internet durch die DMP routet geht es ggf ohne (default)

Gateway in der UDM-pro stand auf 192.168.225.1 Ist eigentlich korrekt. Die UDM stellt für jedes von Ihr verwaltete Netz ein Gateway zur Verfügung. Unter dieser IP erreichst Du sie dann aus dem Netz. Die IP ist egal sollte aber nicht die IP des Raspberry Pi sein

Beispiel

UDM Vlan 255 192.168.225.1

Raspberry 192.168.225.10

Ich tippe wirklich auf die Port Profil einstellungen des USW-16 PoE Lite. Eine Übersicht oder ein Bild könnte hier helfen.

@Salmon

ich kenne die UDM-Pro V3.0.19 leider noch nicht. Aber auf dem erstren Blick sieht er korrekt aus.

Dein Problem betrifft nur Dein iphone oder sind alle apple Geräte betroffen?

P.S. Radius änderung werden zumindestens auf der V2.5 sofort aktiv

Danke Hoppel

Den Radius process kann ich sehen

root 2274 1164 0 12:29 ? 00:00:00 /usr/sbin/freeradius -f

er wird durch den unifi server gestartet /usr/bin/ubios-udapi-server -c /data/udapi-config/ubios-udapi-server/ubios-udapi-server.state --silent

und automatisch neu gestartet

kill 2274

dannach konnte ich einen neuen prozess sehen

root 9504 1164 3 12:47 ? 00:00:00 /usr/sbin/freeradius -f

meine Änderung in der Datei

root@DreamMachinePro:/etc/freeradius/3.0/mods-config/file/authorize

    DEFAULT Called-Station-Id =~ :WifiTest$, Auth-Type := Accept

wurde dadurch auch aktiv .

Dann konnte sich mein Iphone auch mit privater Adresse anmelden und wurde dem Wifi defaul Netzwerk zugewisen.

Klappt soweit gut aber

root@DreamMachinePro:/etc/freeradius/3.0/mods-config/file/authorize

wird automatisch durch unifi generiert und bei jeder Änderung und Neustart überschriebem

Sorry Twin wenn ich hier sehr kryptisch schreibe, ich bin kein guter schreiber, wenn Dich spezielle Details interessieren führe ich die gern weiter aus.

Ist bei Deinem iPhone die private-wlan Adresse deaktiviert?

Wollte ich gerade auch fragen

Hoppel Ich würde es auf meiner DMP im free radius ausprobieren. Finde aber die freeradius Files nicht. Habe in /data/.. gesucht. Weißt Du wo sie liegen?

gerne

auf der Opensense

LAN 192.168.1.1 (hier läuft auch das Management LAN des Controllers

IoT 192.168.10.1

Mitarbeiter 192.168.20.1

Gäste 172.16.1.1

sind dort jeweils getrennte Nics (Netzwerkkarten) ohne Vlan ?

wie läuft die Verbindung von Frau un Kinder zur OpenSense

LAN 192.168.1.1 (hier läuft auch das Management LAN des Controllers

Durch einen Unify switch ?

ja auch wieder wahr.

Ich hab das mal kurz mit dem Raius ausprobiert

- freeradius auf ein en rasbpi nach anleitung im Internet installiert.

- meine DMP und das LAN der AP dort freigeschaltet. (Unwissend bin ich auf nummer sicher gegangen, der rasbpi hängt an eine Sophos die Ost-West zur DMP routed )

- mein Client Mac dort eingetragen anderes VLAN

den Raius als Radius server für mein Test Wifi eingetragen

geklapt

dann habe ich einen defaul eingetragen - ( entsprechen dem Unifi Forum request von Hoppel)

DEFAULT Called-Station-Id =~ :TestWifi$, Auth-Type := Accept

Tunnel-Type = VLAN,

Tunnel-Medium-Type = IEEE-802,

Tunnel-Private-Group-ID = "<your fallback VLAN"

geklapt eingetragene Clients bekommen jetzt Ihr VLan unbekannte das default VLan.

wer jetzt genau schaut ich habe wirklich

Tunnel-Private-Group-ID = "<your fallback VLAN"

eingetrage ich war so doof bzw ich hab das nich angepasst und nur kopiert.

sprich es gibt eigentlich nur das Auth-Type := Accept zurück und behält das default VLan aus der Wifi Netzwerkeinstellung

Clients melden sich nun per WPA passwort an und Ihnen wird das Wifi Netzwerk zugewiesen, aber im Radius konfigurierte Clients ( Mac ) bekommen das eingetragenen VLan.

wäre nicht auch ein workaround einen eigenen zweiten Radius server anzulegen der eine default zuordnung hat. Klar ist blöd wenn man die Mac Adressen in einem anderen System einfügt.

Auch halte ich Deinen Vorschlag den Default beim Wifi Netz zu konfigurieren am besten.

Defaul für einen AP macht glaub ich keinen Sinn.

Denke zwar nicht das ein Default in dei Radius konfiguration gehört, aber wäre einfach :).

Mit einem zweiten Radius würden auch nicht die Switch default VLans überschrieben werden.

Wobei ich mich frage warum es defaults für einen Switch und nicht defaults für ein Port Profile gibt. Ich würde intuitiv es dort einstellen wollen.

(Aber mit der kommmenden Version 3 änders sich wohl die Port Profile, hab ich jedenfalls gehört)

Danke hoppel118 !!

Wer suchen kann ist klar im Vorteil aber ich glaube das es der Artikel war der mich auf die WPA3 Enterprise schiene gebracht hatte.

Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten

Die fehlende Fallback VLAN fähigkeit ist sehr schade.

Ja die Anleitung ist super, hat mir geholfen Rechner im Netzwerk zu aktivieren.

Für die AP wird aber 802.1x auf dem Switch wohl nicht benötigt.

( Ich habe es gerade zur kontrolle auf dem Switch abgeschaltet und AP login funktioniert weiterhin mit Radius.)

Hatte am WE etwas Zeit und ein bisschen rumprobiert.

Hab nun auch WP2 mit Radius zum laufen bekommen, aber konnte dann nur im Radius eingetragene Geräte anmelden.

Passwort ist die MAC

WLAN Addressformat ist

aa:bb:cc:dd:ee:ff

die Anmeldung ans defaul lan ist mir dann nicht gelungen,

wenn das routing nich klapp würde ich vermuten das es auch hier an den Portprofilen liegt. Richtiges Lan am richtigen Port im richtigen Modus (Lan, VLan) ?

Wenn Du VLan in der open sense aktivierst hast Du im Swicth das portprofil vom Port der zur open sense verbindet angepasst. Falls ja hast Du ggf dann die Ports zu den Endgeräten ggf von Native auf VLan umgestellt ?

Oder ist hängt der Controller jetzt direct an der Open Sense ? Fall ja hast due den DNS server dann vom "normalen Netz" umgezogen oder einen zweiten DNS Eintrag eerstellt.

=========

Die Ports auf dem Unifi Switch sind

Port 9 VLAN 40 -> geht zum NIC Opnsense Gäste

Port 11 VLAN 20 -> geht zum NIC Opnsense Mitarbeiter

Port 12 VLAN 10 -> geht zum NIC Opnsense IoT

sind Deine Frau und Kinder "Gäste" oder Mitarbeiter ?

=====

Ist Dein Netzwerk ausgefallen ? Dann kann aber auch sein das Du Dir ein roundtrip eingebaut hast und Dein Netz dann quasi mit einem slbstgemachten DoS lahmlegst.

z.B Paket über Vlan rein und übers Native Lan wieder ohne Tag raus.

Ja kann nur beipflichen zwei WAN sind möglich

3.0.19 Early Access kann laut dem Post bei der Einstellung des Netzwerk das Wan auswählen.

2.5.17 aktuelle Version, (Ich persöhnlich nutze diese) kann Lastverteilung

2.4.27 und davor konnten nur aktiv und standby aber das standby interface ist trotzdem in Betrieb. Z.B. läßt sich ein Router am zweiten Interfaace erreichen und ping ist möglich. Das Verwenden durch Einragen einer Route ist geht auch.

Eine andere Variante ist es ein Netzwerk (Vlan oder eigenes Kabel) von der FW zur DMP zu legen. In der DMP wird es als externes Netzwerk eingetragen. Du kannst es dann für die AP und Swicth VLan konfiguration verwenden. Oder Geräte aud den DMP Netzwerk dorthin routen. Eintrag einer Route in FW und DMP wird aber dazu benötigt.

P.S. port 8 nutze ich nicht mehr da ich Probleme mit Aussetzern hatte und bei WLAN auf Port 9 und 10 waren die dann wieder weg.. War aber unter 1.x.x. ( Bei mir hängt ein USW-Aggregation an Port 11 der auch an einer FW hängt )

Keine Ahnung ob das hier noch relevant ist. Evt hab ich mich auch verschaut aber auf dem Bild vom Swicth scheint es mir als wenn die Ports 7 und 12 scheinen das Port Profil IOT Lan zu haben.

"Das Portprofil ist angelegt und wird den Switchports 7 und 12 zugewiesen."

müsstes doch eigentlich VLAN-Promox-LCX auf dem Bild stehen.

Das wönnte erklären warum der Swicth vlan 120 nicht transportiert

Leider eher nicht. Ich glaub ich hab Dich gerade auf den Holzweg geschickt. Sorry

Für die Sonos brauchst Du natürlich WPA personal.

Enterprise hat wohl auch ein Mac Authentication Bypass MAB feature aber auc hie rmuss ich passen.

Ja müßte es schon ein Profi sein der es ersthaft meint.

Aber die Konsolidierung geht auch ggf auch über die Benutzer.

WLan auf WPA Enterprise -> Radius

im Radius

Benutzer_1 Passwort_1 VLAN_Benutzer

Benutzer_Sophos Passwort_Sophos VLAN_Sophos

(ok ich habe keine Sophos Geräte aber nutze so unterschidliche Devices über den selben Wifi Zugang )

Ich meine Radius Mac Adressen Zuordnung funktioniert nur im Netzwerk, für WLAN bracht es einen User und Passwort. Ich hab es mit Mac Adressen im WLAN nicht zum Laufen gebracht. Macht ja auch irgendwie Sinn denn die Mac Adresse könnte sonst ja auch jeder vorgaukeln.

( Mit dem Radius kann aber das VLAN vom WLAN überschrieben werden, sprich das Gerät kann dann die IP eines "anderen" Netzwerks beziehen )

Wäre ich mir nicht sicher ob das sogar klappen kann wenn alles passt. Aber WAN und local Netz kling nicht gut könnte aber funktionieren wenn es ein Third party ist, Würde es aber für's Lan ein eigenens Netzt nehmen bzw n utze ich für den Traffic den ich über eine zwite Firewall schicke. (Ich bin ein Spielkind)

Und um es gleich zu erwähnen für den Cisco "Third Party Gateway" werden VLan einstellungen (Port Profile) benötigt.

Das default darf auch nicht mit dem Netz vom Cisco überlappen.

Z.B.

Cisco 192.168.0.1

DMP WLAN bekommt IP 192.168.0.99

die Geräte sollten die IP auch vom DHCP vom Cisco bekommen.

Im Lan der UDM sollte kein DHCP im gleichen IP Bereich sein und die Gateway IP des LAN muss auch eindeutig sein. Z.B. 192.168.0.2 oder halt eine ganz andere wie 192.168.83.1. Aber natürlich von den Devices ereichbar sein ! Passende IP zuweisen und UDM IP dort eintragen. Ich habe soetwas aber bisher nur bei unfifi switches gemacht.

Thoretisch geht auch über routing über den Cisco und UDM aber dann müssen auf beiden Geräten

Ob ich soetwas im Frimennetzwerk ausprobieren würde lasse ich mal dahingestellt.

(ggf wäre es eine Möglichkeit die Updates manuell zu machen )

Sind die neuen SFP+ 10GbE RJ45 Module. Steht aber in der Beschreibung vom Shop, UACC-CM-RJ45-MG meine ich.

Selber nutze ich die Ipolex ASF-10G-T und MikroTik S+RJ10 (bin Privatanwender).

Wie oben geschreiben laufen die SFP+ Ports des switch dann weiterhin auf 10gb und die Module stellen intern dann ggf. niedrigere Geschwindigkeiten intern ein. Die Gegenstelle z.B. Flex xg kann hier die Geschwindigkeit vorgeben und korrekt anzeigen der Agg wird im 10gb anzeigen.

(ausser es ist auch ein sfp+ Modul auf der Gegenseite )

P.S. laut der Doku kann der Agg nur max 4 RJ10 - ich selber nutze nur 3 RJ10 und 3 LWL

Ich nutze ein offizielles cert für meine Domäne. (Self signed geht aber eigentlich auch muß aber halt dem Browser bekannt sein und über die Domäne aufgerufen werden.

Habe es als PEM Datei mit dem Key und den intermediate certs importiert. Allerdings für die UDM admin Seite (folder) und nochmal extra für das User Portal (java keystore)

a)

cd /data/unifi-core/config/
scp /root/certkey.key unifi-core.key
scp /root/certificate_.xxxx.pem  unifi-core.crt

b)

keytool -importkeystore -deststorepass aircontrolenterprise  -destkeystore .keystore -srckeystore xxxx.p12 -srcstoretype PKCS12

Habe die Anleitungen vom OS1 genutzt und es irgendwie hinbekommen.

(typos sind der Uhrzeit geschuldet)