Beiträge von UbiMyNetwork

Hallo Zusammen,

also soweit komme ich keinen Schritt weiter. Was ich dennoch Stückchenhaft immer wieder finde ist, dass man was im AAA Verfahren im Switch noch einstellen muss.

default.list und network.list. etc.

vermutlich ist dass das Problem. Im CLI habe ich soweit versucht den Fehler zu finden. Aber ehrlich gesagt kann ich dort auch nichts finden was verkehrt sein sollte.

Hat hier wer eine Info was man dort einstelle sollte? In einer Einstellung habt ich mit meinen Zugang zum Switch selbst verschlossen und musste ihn dann neu aufsetzen.

Daher bin ich jetzt vorsichtig mit Einstellungen dort.

Hi erstmal.

Danke für deine Rückmeldung. Also soweit ist laut Info aus dem Switch auch keine Request auszulesen. Sprich der Switch schickt überhaupt nichts?!? Das ist ja das was ich nicht verstehe. Wenn wenigstens dort stehen würde dass eine Anfrage weggeschickt werden würde. Dann könnte man den Fehler dort auch eingrenzen. Ich habe jetzt erstmal zum Testen auch nur einen Port damit angesteuert.

Mir kommt es so vor als wenn garkein anderer Switch aussser die Unifi Switche selbst (also auch nicht der EdgeSwitch da er ja von Ubiquiti ist) mit diesem Radius kommunizieren kann oder ich mache irgendwas generell verkehrt...

Hab schon etwas von wegen AAA gelesen aber gestern habe ich mir doofer Weise erstmal meinen eigenen Zugriff gesperrt weswegen ich jetzt erstmal den Swicht komplett Resetten musste.

Es ist ja an sich kein Hexenwerk, aber wenn da garnichts kommt weiß man auch nicht mehr wo man suchen soll bzw ansetzen muss.

Hallo nochmal zusammen,

Also ich komme hier nicht mehr weiter. Hat wer einen Leitfaden was man an einem EdgeSwitch einstellen muss damit dieser in der Lage ist mit dem UDM SE Radius Server zu kommunizieren?

Ich stehe aktuell sowas von auf dem Schlauch.

Gehen wir mal von folgenden Situationen aus

UDM SE Radius Server 192.168.1.1

EdgeSwitch 192.168.1.2

per NTRadPing kann ich alles abfragen und bekomme auch die gewollten Antworten.

Aber

Im Switch sieht es folgt aus.

Port 1 ist Trunk und hat die direkte Verbingung zum Port 8 der UDM-SE. Dort (UDM SE) sind auch alle VLANS durchgeführt.

Im Switch ist die UDM SE als Named und Accounting Server angelgt mit dem jeweiligen SECRET.

Der Switch ist mit seiner IP als NAS angelegt - somit sollte die UDM SE als Secondary Server angelegt sein?!?

Die Port Security ist enabled; VLAN Assignment Mode ist enabled; Dynamic VLAN Creation Mode ist enabled

der ausgewählte Port ist MAC Based und hat MAB enabeld.

jetzt die Frage was habe ich vergessen und / oder falsch gemacht?

Soweit habe ich sämtlich Einstellungen nach der Anleitung: https://community.ui.com/quest…08-40c7-9bb5-2d052c39b0a5

ausprobiert. Leider wird der MAB Operational nie aktiv und ich bekomme vom Switch selber aus zum Radius(-profil)-Server keine Rückmeldung zum Switch. Lediglich wenn ich einen PC per NTRadPing Software eine Frage mit den dementsprechenden MAC Adressen Anfrage bekomme aber über die Ports vom Switch die dementsprechende richtige Antwort. Für mich heißt das in erster Hinsicht, dass der Radius Server korrekt läuft.

Aufgrund der dynamischen VLAN's musste ich alles angelegten VLAN im Switch selbst entfernen und habe nur das default LAN stehen lassen.

An Einstellungen über den Reiter Security habe ich sämtliche Angaben befolgt. Unter denn Port Details war der Punkt MAB Operationg aber nie "enabled".

Da es an dem Gerät ja nun auch "dutzende" Möglichkeiten gibt etwas verkehrt zu machen bin ich aktuell komplett auf dem Schlauch was ich verkehrt gemacht habe.

Hier ein Beispiel wie ein Port dann nach letzten Einstellungen ausgesehen hat:

Port........................................... 0/3
PAE Capabilities............................... Authenticator
Control Mode................................... mac-based
Quiet Period (secs)............................ 60
Transmit Period (secs)......................... 30
Guest VLAN ID.................................. 0
Guest VLAN Period (secs)....................... 3
Supplicant Timeout (secs)...................... 30
Server Timeout (secs).......................... 30
Maximum Requests............................... 2
Configured MAB Mode............................ Enabled
Operational MAB Mode........................... Disabled
Reauthentication Period (secs)................. 30
Reauthentication Enabled....................... TRUE
Maximum Users.................................. 48
Unauthenticated VLAN ID........................ 50

Das ist jetzt nicht aus meiner Console, da ich in der Befehlszeile nicht richtig bewandert bin.

Soweit habe ich jetzt erstmal die Switching Einstellung MAC-Based VLAN benutzt um dort alles Händisch einzutragen. Dies ist aber nicht wirklich meine Endlösung.

Diverse IOT Geräte und weitere haben da auch so ihre Probleme mit der Adressübernahme. RasPi' zicken mein annehmen der Tagged VLAN etc.

Gibt es generell einen Kontakt über Unifi von wem man genaue Info's erhalten kann?

Man liest immer wieder dass es über das MAB Probleme gibt.

Daher wurde von Unifi Seiten eine seperate Funktion MAC BASED VLAN unter Switching eingepflegt.

Das funktioniert auch, aber nur intern und muss dann ja bei jedem Gerät einzeln eingepflegt werden.

Da muss es doch ne bessere Lösung geben?!?

Also kurzes Feedback:

habe soweit alles nach den Parametern eingestellt. bis auf den Punkt des MAB Operational Mode.... den kriege ich irgendwie nicht eingestellt dass er auf enabled geht.

Requests werden laut Web Interface auch nicht wirklich übernommen.

Nach dem Punkt der dynamic VLAN's habe ich auch alle vorher angelegten VLAN im Switch bis auf den default gelöscht.

Irgendwie bin ich echt ratlos was ich noch machen kann außer alles Händisch im Switch selber über MAC BAsed VLAN in ihm einzutragen

Hallo Zusammen,

ich wolte eben bescheid geben das ich hier nicht kommentarlos verbleibe. Habe gerade einen familiären Notfall und daher nicht so viel Zeit zum ausprobieren. Heute Abend bzw morgen im Laufe des Tages werde ich wohl dazu kommen das auszuprobieren und sobald ich das ans laufen bekommen habe oder noch Fehler drin habe gebe ich euch Feedback.

Bei Lösung will ich das Problemfeld natürlich aufschlüsseln. Es soll ja allen auch helfen die ähnlich Probleme haben.

Zitat von NetNovice

Er hat oben geschrieben, dass er sich den Edge Switch besorgt hat, weil es mit der UDM SE noch nicht funktioniert. Ich wollte nur darauf hinweisen, dass ich es in den Einstellungen bei meiner SE aktivieren kann.

Ja du kannst es aktivieren nur funktionieren tut es (noch?) nicht weil die Anschlüsse der UDM SE das selbst (nocht) nicht umgesetzt bekommen.

Kannst es ja mal einstellen und dann dein Gerät anschließen. Aber es wird nicht funktionieren.

Zitat von DoPe

Also bei der Masse an Einstellungsmöglichkeiten, würde es mich wundern wenn es nicht funktioniert. Hab da aber auch nur was uraltes gefunden ... was wohl Anfangs auch nicht lief. https://community.ui.com/quest…08-40c7-9bb5-2d052c39b0a5

Nur Radius Eintragen reicht mit Sicherheit nicht. Da müssen auch die Ports konfiguriert werden (ist bei den Unifi Switchen auch notwendig).

Was evtl. ein Problem sein könnte, Der Radius bekommt die Clients normalerweise mitgeteilt, die Abfragen dürfen. Entweder alle Einzelnd mit IP oder auch ein komplettes IP Netz ... Keine Ahnung wie das bei UniFi läuft, das passiert ja scheinbar im Hintergrund völlig automatisch.

Danke für das Feedback an alle bisher. Ich werde mich mal an diese Anleitung halten und mal sehen ob ich das damit ans laufen bekomme.

Ich habe unter dem Reiter Security den Punkt Radius. (IN DER ALTEN ANSICHT)

Grundsätzlich unterstützt der Switch MAC Filter per 802.1 & auch RADIUS.

Frage ist halt inwiefern Das UNIFI System andere Geräte zulässt.

Hallo Zusammen,

ich habe mich nun schon seit längerem mit dem Problem vom integrierten Radius Server der UDM SE beschäftigt. Dieser soll meine Ports am EdgeSwitch 48 Lite per 802.1 MAC Adressfilterung vor "ungeschützten Verkehr" schützen.

An der UDM SE habe ich alles nach der vorhandenen Anleitung (welche hier auch schon oft angezeigt worden ist) eingerichtet und kann diesen Radius Server auch per NTRadPing Software mit den MAC Adressen anfragen und bekommen auch die richtigen Antworten.

Also läuft dieser an sich einwandfrei. Damit der Adressenfilter nun auch funktioniert muss ja ein separater Swicht angeschlossen werden, da die UDM SE ja (noch?) nicht in der Lage ist diesen Filter auf seine eigenen Ports anzuwenden.

Nun habe ich mich kurzfristig um einen Unifi (Ubiquiti) EdgeSwitch 48 Lite bemüht um dort dieses dann auch anwenden zu können.

Konfiguration ist wie folgt:

Port: 1,49-52(SFP & +) sind Trunk

alle anderen Ports sind Tagged

VLAN 1 ist default/Management

In den Reitern Radius habe ich nach besten (Ge)Wissen die UDM SE eingetragen.

Leider komme ich irgendwie nicht zum Ziel. Hat jemand einen kleinen Leitfaden für mich bzw. Punkte die speziell eingetragen werden müssen?

Bei dem Thema Radius bin ich ziemlich neu und versuche mich noch in meinen Anfängen und bitte daher um Unterstützung eines erfahrenen Kollegen hier.

Der interne VLAN MAC Based Filter des Switches funktioniert einwandfrei.