Um schreiben oder kommentieren zu können, benötigen Sie ein Benutzerkonto.
Sie haben schon ein Benutzerkonto? Melden Sie sich hier an.
Jetzt anmeldenHier können Sie ein neues Benutzerkonto erstellen.
Neues Benutzerkonto erstellen
Ohh Du hast recht, bei 802.1x bei den Switchen gibts das nicht oder nicht mehr. Bei WLAN ist es noch da, wenn man Radius MAC Auth aktiviert, gibt e MAC Adress Format.
Trifft sich gut, muss ich im Hinterkopf behalten für ein aktuelles Projekt.
Freut mich das ich dir helfen konnte 🤣🤣🤣
Ich bin immer noch am suchen nach einer Lösung. Das mit den Telefonen ist einfach blöd. Verstehe auch nicht, warum man nicht das ein MAC Password vergeben kann. Ist doch viel sicherer. Aber ich suche weiter.
Wie das Format der MAC (und dann vermutlich auch das Passwort) aussehen soll, dass kann man einstellen. Großschreibung, Kleinschreibung, : - oder kein Trennungszeichen.
Das habe ich zwar schon gefunden, aber nur über CLI. Wo ist es denn sonst versteckt?
Das mit der AD geht leider nicht, da wir unsere PW Policy in der Default Domain Policy drin haben. Somit zieht die immer, selbst wenn ich Vererbung deaktiviere.
Ich glaub die Funktion gibt es leider nicht.
Ja, denke ich auch. Bin gerade am schauen, wie ich es hinbekomme, dass sich die Cisco Telefone mit einem Zertifikat anmelden statt der MAC. Wäre immerhin ne alternative. Bei den Druckern muss ich dann noch schauen.
Das sieht mir so aus als wenn das etwas HP Magie ist.
Genau, und das funktioniert auch sehr gut. Die Sicherheit ist dadurch natürlich auch nochmal wesentlich höher als bei User: MAC, PW: MAC. Ich konnte dort wählen wie die MAC Adresse aussehen soll (geht bei Unifi nur im CLI) und konnte auch das PW anpassen (finde ich bei Unifi nicht).
Bei MAC based auth ist Benutzer = Passwort = Mac Adresse. Das ist nicht änderbar.
Das ist ja auch eigentlich nur eine Notlösung für Geräte die 802.1x nicht wirklich unterstützen.
In einer Windows Domäne wird ja meist Computer oder Benutzer Authentifiziert mit den entsprechenden Daten aus dem AD.
Ja, das mit der AD stimmt schon. Allerdings lassen sich Telefone und auch Drucker nicht immer so einfach (oder auch gar nicht) in eine Domain einbinden. Das mit dem MAC-Based ist daher ne gute Lösung. Bei meinen HPE Switches kann ich das MAC PW frei setzen. Daher habe ich dann auch keine Probleme mit der PW-Policy.
Wieder ein Stück weiter.
Nachdem ich auf dem HPE erstmal das 802.1x und MAC-Based Auth deaktiviert habe, kann sich ein Laptop richtig verbinden, bekommt das richtige VLAN und ist auch im Netz 🎉🎉🎉. Beim Port habe ich als 802.1x Control auf Auto gestellt.
Bei einem Cisco Tel will Auto nicht. Da passiert einfach mal nichts. Wenn ich auf Mac-Based gehe, kommt eine Anfrage an den Radius mit Mac Adresse ohne : und -. In der AD habe ich aber die MAC mit - angelegt und ein festes PW vergeben (nicht MAC Adresse). Konnte per CLI die MAC Anmeldung vom Switch anpassen, dass er auch - verwendet. Leider weiss ich, dass dies nach einem Neustart weg ist. Was ich aber nicht gefunden habe, wie ich ein anderes PW als die MAC-Adresse hinterlegen kann. Dies brauch ich aber, da in der Windows AD hinterlegt ist, dass der Username und PW nicht gleich sein darf.
Kennt jemand ne Einstellung dafür?
Gruss, Sascha
Dann sollte das schon passen. Unifi APs?
Siehst Du diese Anfragen im Radius Log?
Ja, sehe diese Anfragen alle und es ist komplett Unifi.
Ich bin ein Stück weiter und sehe tatsächlich eine 802.1x Anfrage eines Laptops vom Unifi Switch kommend am Radius die auch Success zurückmeldet mit dem richtigen VLAN. Aber jetzt stimmt wohl noch was am HPE nicht. Denn dieser lässt trotzdem keinen Traffic durch.
Ich benutze den gleichen Radius auch für die Anmeldung am WLAN über WPA2/WPA3 Enterprise. Und da geht alles.
Alles anzeigenhttps://community.ui.com/quest…4d-4689-8cbd-846e29cf1fff
deutet darauf hin dass er es kann aber wetten würde ich nicht.
Ich selber hab nur die normalen.
mal ohne 802.1x Einstellungen probiert ?
Ja, scheint so. Aber egal was ich einstelle, ich bekomme keine Anmeldung vom Unifi an den Radius. Ich hab mal noch mein PW kontrolliert, was keine Sonderzeichen hat, aber recht lang war. Zur Sicherheit mal noch gekürzt, aber macht kein Unterschied.
So, gerade mal noch nen dummen Switch dran gehängt. Der meldet sich nicht mal beim HPE mit MAC. Aber sowohl das Telefon als auch ne Workstation können sich am Radius anmelden und bekommen sofort das richtige VLAN zugeteilt.
Kann ich denn den Unifi auf Dumm stellen?
Hi,
danke für deine Ideen. Bin eben auch kein Spezialist, auch wenn ich mich jeden tag damit beschäftigen muss. Das 802.1x ist neu für mich.
Alles was Unifi angeht konfiguriere ich über den Controller, der bei mir auf einer Linux-VM läuft. Das funktioniert auch alles ganz gut. Ich frage mich allerdings mittlerweile, ob der USW Lite 8-Port Switch überhaupt 802.1x beherrscht. Habe hier schon von anderen Unifi Geräten gehört, bei denen man zwar 802.1x auswählen kann, aber die das gar nicht können.
Auf meinem Windows NPS (kein Freeradius) sehe ich keinerlei Anmeldung vom Unifi Switch. Ich sehe aber, dass sich ein Telefon am Unifi Switch per MAC Adresse anmeldet - über den HPE Switch. Allerdings klappt dann die Zuweisung des VLAN nicht. Wenn ich das Telefon direkt anhänge an den HPE, dann meldet es sich an und bekommt vom Radius das richtige VLAN zugeteilt.
Auf dem HPE funktionieren auch mehrere Geräte gleichzeitig. Wenn ich zb ein Cisco Tel anschliesse und am Tel dann eine Workstation (wird durchgeschlauft), dann bekommt das Tel unser Voice VLAN und der Laptop kommt ins Client VLAN. Der Laptop meldet sich mit 802.1x (AD User/AD Computer) an und das Tel macht MAC-Based Auth.
Vom Netzwerk her ist es so aufgebaut
Die Etagen Switch haben den gleichen Radius hinterlegt wie auch der Unifi.
Hat jemand eine Info (habe nichts dazu gefunden), ob der UWS Lite 8 PoE überhaupt 802.1x kann?
Gruss, Sascha
Hallo Zusammen,
ich betreibe schon lange in unserer Firma ein Unifi WLAN mit einem eigenen Controller auf einem Linux Server. Seit letztem jahr sind nun auch ein paar kleinere und grössere Switch dazu kommen (für die Clients, die zu wenig LAN Ports haben). Unser restliches Netzwerk setzt sich aus HPE Aruba Switch zusammen, hauptsächlich HPE Aruba 2930F 48G PoE+ 4SFP+.
Derzeit bin ich dran, das ganze Netzwerk mit 802.1x zu schützen. Da ich aber diverse Geräte im Netz habe, die ich so nicht in der Domain habe, machen die HPE Switch alternativ (wenn 802.1x nicht geht) MAC-Based authentication mit User = MAC-Adresse und festgelegtem PW. Das funktioniert auch wudnerbar.
Nun wollte ich das ganze aber an einem Port aktivieren, an dem ein Unifi Switch hängt. Den Switch habe ich in der AD als User angelegt und er kann sich auch MAC-Based authentifizieren. Wenn ich nun aber etwas an den Switch dran hämnge, z.B. ein Telefone, dann bekommt dieses kein Netzwerk. Wenn ich auf dem Switch nix einstelle mit Authentification, dann meldet sich das Gerät brav über den HPE an und bekommt das passende VLAN zugewiesen. Aber hat trotzdem kein Netzwerk, also keine Verbindung.
Also dachte ich, ich lasse die Auth über den Switch laufen. Hier bekomme ich es aber nicht hin, dass eine Anmeldung am Radius erfolgt. Ich bin echt ratlos, wo ich den Fehler drin habe oder ob das so einfach nicht geht.
Hier mal meine Config
HPE Switch
interface 34
tagged vlan 10,14,103-104
untagged vlan 6
aaa port-access authenticator
aaa port-access authenticator client-limit 2
aaa port-access mac-based
aaa port-access mac-based addr-limit 8
aaa port-access mac-based unauth-vid 104
aaa port-access mixed
loop-protect
exitund Unifi Config
RADIUS
Port Profile
Switch Config
Auf dem Radius (Windows NPS) habe ich soweit alles richtig, mit VLAN Zuteilung. Sonst würde es mit den HPE nicht funktionieren.
Hat zufällig jemand ne Idee, wie ich das zum Laufen bekommen kann?
Danke und viele Grüsse, Sascha
zur Zeit sind 86 Mitglieder (davon 2 unsichtbar) und 712 Gäste online - Rekord: 129 Benutzer ()
