Radius-Server mit 802.1x- und MAC-Authentication im WLAN einrichten

  • Dieser Beitrag konzentriert sich auf den Bereich WLAN.


    Folgende Sachen sind an diesem Wiki Beitrag noch zu überarbeiten:

    1. Konsolidierung mit dem Netzwerk Beitrag, bspw. das Anlegen eines Radius Profils und von Radius Usern in einen eigenen Beitrag auslagern und dann von hier darauf verweisen
    2. Prüfen, ob es möglich ist verschiedene Radius Profile zu erstellen, so dass MAC-Adressen-Radius-User nicht für die Auth an einem 802.1x WPA2-/3-Enterprise Wifi verwendet werden können
    3. Gebt gern Feedback unten in der Kommentarfunktion. Was fehlt euch, was ist unverständlich beschrieben, etc.?


    Was wollen wir?


    Radius in der Unifi Network Application (Controller) konfigurieren, damit wir dies als Basis für 802.1x oder MAC-Authentication verwenden können.


    Warum wollen wir das?


    Wir wollen, dass sich Geräte per 802.1x (User/Passwort) oder mit ihren MAC-Adressen authentifizieren, um diese dynamisch in unterschiedliche VLANs zu führen. Dies erspart uns die Erstellung diverser SSIDs (bspw. eine SSID pro VLAN) und reduziert somit die Kanalauslastung. Nach der Einrichtung verbinden sich Endgeräte, die normalerweise in unterschiedlichen VLANs und somit SSIDs (Management, IoT, Security, etc) liegen würden, mit max. 3 SSIDs, bspw.:

    • SSID1: WPA-3-Enterprise (PMF required, Fast Roaming enabled): Hier verbinden sich aktuelle Highend-Geräte, wie bspw. Smartphones, Notebooks oder Tablets
    • SSID2: WPA2/WPA3 (PMF optional): Hier verbinden sich alle anderen persönlichen Geräte, wie bspw. IoT, Sonos, Security Things, whatever
    • SSID3: WPA2/WPA3 (PMF optional): Hier verbinden sich Gäste


    Was ist 802.1x Authentication?


    Bei 802.1x erstellt man pro User einen Account mit Passwort und VLAN Zuweisung. Dieser Account kann von mehreren Endgeräten gleichzeitig genutzt werden. Voraussetzung ist, dass das OS des Endgerätes diese Art der Authentifizierung unterstützt.


    Unifi stellt dafür zwei Sicherheitsprotokolle bereit:

    1. WPA-Enterprise
    2. WPA3-Enterprise


    Was ist MAC-Authentication?


    Auf Basis der MAC-Adresse entscheidet der Radius Server, ob sich ein Gerät mit dem WLAN verbinden darf. Ist die MAC-Adresse nicht bekannt, wird der Verbindungsaufbau abgelehnt. Dieses Konzept ist erstmal losgelöst von 802.1x und ist als Ergänzung zu betrachten.


    Und wie geht das genau?

    1 Radius Profil anlegen

    Menü (v6.5.55): "Settings - Advanced Features - Radius" -> Einstellungen des Default Profiles wie folgt anpassen:


    Wenn sich meine Endgeräte mit Wifi-Schnittstelle am WLAN per Radius authentifizieren sollen, ist die Einstellung "Enable Wireless" im "Default" Radius Profil zu aktivieren. Wenn dieses Profil zusätzlich auch für Wired (verkabelte) Ethernet Endgeräte verwendet werden soll, ist zusätzlich die Option "Enable Wired" zu aktivieren, mehr dazu: >>> hier klicken <<<




    2 Radius User anlegen

    Menü (v6.5.55): "Settings - Advanced Features - Radius" -> "Default Profile - Radius Users" auswählen und Schaltfläche "Create New Radius User" betätigen:



    Unabhängig von 802.1x oder MAC-Authentication sind "VLAN ID", "Tunnel Type" und "Tunnel Medium Type" immer wie folgt zu konfigurieren:

    • VLAN ID: <vlan_id>
    • Tunnel Type: 13 - Virtual LANs (VLAN)
    • Tunnel Medium Type: 6 - 802 (includes all 802 media plus Ethernet "canonical format")

    Bei der VLAN ID tragt ihr einfach die ID eures VLANs ein, wie der Name schon sagt. Soll das entsprechende Gerät bzw. der User in das Default LAN lasst ihr das Feld einfach leer.


    Nun kommt der unterscheidende Teil: "Username" und "Password"

    2.1 802.1x-Authentication User anlegen

    • Username: <username>
    • Password: <password>
    • "VLAN ID", "Tunnel Type" und "Tunnel Medium Type" eingeben (siehe vorangegangenes Kapitel)

    2.2 MAC-Authentication User anlegen

    Hier wird kein herkömmlicher User mit Passwort angelegt, sondern die MAC-Adresse eures Gerätes als "User" und "Password" eingegeben.


    Es empfiehlt sich folgendes Format zu verwenden:

    aa:bb:cc:dd:ee:ff


    In dieser Schreibweise werden die MAC-Adressen auch in der Network Application unter "Client Devices" angezeigt. So können die MAC-Adressen von dort einfach kopiert werden. Aber Achtung, eine MAC-Adresse kann erst kopiert werden, wenn sich das dazugehörige Gerät einmal anmelden durfte. Wenn man die MAC-Adresse nicht kennt bzw. nicht ermitteln kann, könnte man das Gerät bspw. am Gäste-WLAN anmelden. Anschließend den User anlegen und dann das Gerät an der richtigen SSID anmelden.

    • Username: <mac-address>
    • Password: <mac-address>
    • "VLAN ID", "Tunnel Type" und "Tunnel Medium Type" eingeben (siehe vorangegangenes Kapitel)

    3 WLAN einrichten

    Wir bleiben bei den drei Beispiel-SSIDs aus dem Kapitel "Warum wollen wir das?" Alle Menüpunkte, die nachfolgend nicht aufgeführt werden, befinden sich in den Default-Einstellungen. Ihr könnt die natürlich eurer Erfahrung nach nach beliebig anpassen. :winking_face:

    3.1 SSID mit 802.1x anlegen

    Hier verbinden sich unsere High-Endgeräte. Dementsprechend empfiehlt sich folgende Konfiguration:

    • Enable: Enabled
    • Name: <Name der SSID>
    • Network: <Hauptnetzwerk> (Wenn ich ehrlich bin, bin ich mir unsicher, was hier zu konfigurieren ist, bzw. welche Auswirkungen das überhaupt hat, da man am Radius User das VLAN konfiguriert.)

    Advanced:

    • WiFi Band: 5GHz
    • BSS Transition: Enabled
    • Enable Fast Roaming: Enabled

    Security:

    • Security Protocol: WPA-2 Enterprise oder WPA-3 Enterprise (Wenn ihr aktuelle Endgeräte mit aktuellem OS habt, solltet ihr euer Glück mit WPA-3 Enterprise probieren)
    • PMF: Required (bei WPA-3 Enterprise) oder Optional (bei WPA-2 Enterprise)

    Es gibt Geräte, die mit PMF (Protected Management Frames) gar nicht zu recht kommen. Die gehören dann auf jeden Fall nicht in diese SSID.

    3.2 SSID mit Radius MAC-Authentication anlegen

    Hier verbinden sich all unsere anderen persönlichen Endgeräte (IoT, Sonos, Security Things, whatever). Dementsprechend empfiehlt sich folgende Konfiguration:

    • Enable: Enabled
    • Name: <Name der SSID>
    • Password: <Password>
    • Network: <Hauptnetzwerk> (Wenn ich ehrlich bin, bin ich mir unsicher, was hier zu konfigurieren ist, bzw. welche Auswirkungen das überhaupt hat, da man am Radius User das VLAN konfiguriert.)

    Advanced:

    • WiFi Band: 2.4GHz und 5GHz
    • BSS Transition: Enabled
    • Enable Fast Roaming: Enabled

    Security:

    • Security Protocol: WPA-2/WPA-3
    • PMF: Optional

    Es gibt Geräte, die mit PMF (Protected Management Frames) gar nicht zu recht kommen. Die gehören dann auf jeden Fall nicht in diese SSID.


    MAC Authorization:


    Hier ist folgende Konfiguration vorzunehmen. Diese Schreibweise von MAC-Adressen empfiehlt sich, da es die Schreibweise in der Network Application ist, siehe auch Kapitel "MAC-Authentication User anlegen":


    4 Tips und Tricks

    -> erstmal nur ein Sammler, wird später ausformuliert…

    1. Ein Gerät im IoT VLAN verlangt, die Inbetriebnahme mit einem Gerät im selben WLAN, welches sich aber in einem anderen VLAN/WLAN befindet

    5 Upvote des Feature Requests im offiziellen Ubiquiti Forum


    Wenn euch Radius, 802.1x, MAC Authentication und Co gefällt, lasst gerne ein Upvote bei folgendem Feature Request da und diskutiert mit, was euch fehlt:


    https://community.ui.com/questions/Radius-Users-and-Radius-Profile-improvement-suggestions/41760fec-f6b0-4d09-ae12-bffa14a6a664


    Disclaimer:

    Alle Anleitungen/Tutorials sind nach bestem Wissen und Gewissen verfasst, gehen immer von den definierten Software/Firmware-Versionen aus und sind auf das englische GUI ausgelegt.

    Es gibt keine Garantie auf Erfolg. Im Falle eines Misserfolges hilft aber die Community hier sicherlich weiter.

    Keiner der Autoren oder der Betreiber des Forums ist für die aus der Nutzung resultierenden Probleme/Herausforderungen verantwortlich.

    Jegliche hier beschriebenen Schritte erfolgen ausnahmslos in eigener Verantwortung des Durchführenden.

    Eltern haften für ihre Kinder.

Kommentare 18

  • Hallo Hoppel,


    in deiner Anleitung zum MAC Auth im LAN schreibst du die MAC Adresse mit AABBCCDD Format vor, wie auch in der Anleitung von Unifi selbst. Schreibst auch, dass man im W-Lan eine andere Form wählen kann.

    Ich habe jetzt die Erfahrung gemacht, dass falls man nur einen Radius Server für WLAN sowie LAN nutzt auch nur eine Format geht, also das von LAN, da man es ja nicht auswählen kann. Hatte im WLAN erfolgreich ein anderes Format und als ich LAN ergänzt habe, ging LAN nicht. Nachdem ich alles angepasst habe, funktionierte es.

    Andere Gründe nicht ausgeschlossen, aber das war mein Try&Error Ergebnis.


    Grüsse!

    • Ok, bei mir gingen auf jeden Fall unterschiedliche Formate für WLAN und LAN.


      Bin vor ein paar Monaten auf PPSK umgestiegen. Ich habe jetzt nur noch 2 SSIDs. Eine WPA3-Enterprise SSID für alle performanten Geräte und PPSK für alles andere. PPSK kann zwar nur WPA2, aber das ist alles viel komfortabler. Du musst nicht jedesmal erst eine MAC Adresse hinterlegen, um irgendein Gerät ins Wifi zu bringen. Du hast eine SSID und für jedes VLAN ein anderes Passwort. Funktioniert super hier.


      Nutzt du einen externen RADIUS Server? Ich nutze den von Unifi. Vielleicht liegts daran.

    • Ich habe auch eine Kombi mit PPSK gemacht, aber einige Geräte brauchten eben MAC-Auth, da sie gerne im gleichen W-LAN sind (10 Apple Home Pods und dessen wenigen W-LAN fähigen Clients).


      Radius läuft nur auf der UDM.

      Hatte auch gehofft mit MacAuth auf LAN eine Sicherheit für den AußenAP zu erhalten. Nur leider geht dann gar nichts mehr.


      Aber die kleine Fleißarbeit (MAC Export aus alter Fritz, über Excel, händisch eintippen) hat sich trotzdem gelohnt, so kann man ein paar LAN Ports flexibel nutzen ohne neu zu konfigurieren.


      Danke für deine Wiki Beiträge!

    • Ich habe hier auch 5 HomePods. Die laufen hier per PPSK, während unsere iPhones/iPads/Watches die andere SSID mit WPA3-Enterprise verwenden. Das funktioniert 1A. Die HomePods haben noch nie die SSID gewechselt. Ich besitze sie allerdings auch erst ein 3/4 Jahr. Meine HomePods befinden sich im selben VLAN, wie alle anderen Apple Geräte.


      Für Sicherheit zum AußenAP müsste Ubiquiti folgenden Feature Request implementieren:


      https://community.ui.com/quest…-8d0f-a997cfc9021e?page=1


      Daran bin ich auch seit Jahren interessiert. Keine Ahnung, ob es etwas bringt, aber vote den Eröffnungspost des Thread mal bitte.


      Jo, das mit der flexiblen LAN Port Nutzung ist schon eine tolle Sache. 😃


      Viel Spaß noch

  • @hoppel118: wie könnte ich einen ganzen Schwung von Radius-users über die console einrichten?

    • Hi, sorry, bin gerade im Urlaub. Kann ich dir momentan nicht helfen. Es gibt aber eine „radius users“ Datei. Da könntest du sie hinzufügen per copy-and-paste. Ich kann dir aber nicht sagen, welchen Service du genau Neustarten müsstest, damit die User geladen werden. Gib gern nochmal Bescheid, wenn du es herausgefunden hast bzw. noch besser ergänze es hier im Wiki Beitrag in Kapitel 4 „Tips und Tricks“. :winking_face:


      Gruß Hoppel

    • ja merci, jez hab ich die halbe Nacht rumgesucht und nix gefunden, hab auch auf ui.communitiy und anderen Stellen die selbe Frage gestellt... schau mer mal.......

      Gefällt mir 1
    • Halte das bitte hier fest, wenn du es herausgefunden hast. Danke 😉

  • Hallo @hoppel118, vielen Dank für den Wiki Eintrag, gute Arbeit!

    Gefällt mir 1
  • Salü,


    gute Anleitung, ich arbeite so schon länger.

    Leider können die User ihr Passwort nicht selber ändern und das finde ich echt schade, die UDMP kann ja User verwalten.


    Oder habe ich da etwas übersehen?

    Gefällt mir 1
    • Moin,


      danke! :winking_face: Ich hatte das eigentlich nur schnell zusammengeklimpert, weil danach in einem Thread von mir gefragt wurde.


      Mal sehen, demnächst will ich mich mit MAC-Auth auf den Switchen beschäftigen. Werde das dann versuchen hier gleich mitzudokumentieren.


      Passwörter durch die User ändern wäre klasse. Kenne mich damit aber auch nicht aus. Ich nutze das in der Form erst eine Woche. :winking_face:


      Wenn du es schon länger so nutzt, habe ich zwei Fragen an dich:


      1. Warum muss man beim Erstellen einer SSID mit WPA(3)-Enterprise oder aktivierter MAC-Auth ein Netzwerk angeben? (Welche Auswirkungen soll das haben, wenn man beim Radius User dann das VLAN konfiguriert.)
      2. Hast du irgendwelche Erfahrungen mit einem Fallback-VLAN? Wie funktioniert das im WLAN Bereich? Gibt es Abhängigkeiten zum Fallback-VLAN auf den Switchen?

      Gruß Hoppel

    • Hey SleepyHollow,


      damit Benutzer Ihre Passwörter selbst ändern können, konntest Du auf ein "externes" LDAP verweisen. Ich habe in Vorbereitung dazu auf meinen NAS das entsprechende Paket (Synology: LDAP Server) nachinstalliert. Ich habe auch schon ein paar User erzeugt, bin aber noch nicht das Thema 802.1X angegangen.

      Gefällt mir 1
    • Vielleicht hast du ja Lust die LDAP-Einrichtung auch hier im Wiki festzuhalten. LDAP Pakete gibt es ja für alle möglichen Plattformen. 😉

    • Das mit dem LDAP ist leider nur die halbe Wahrheit, denn ich will ja dem authentifizierten Benutzer via RADIUS ein bestimmtes VLAN zuordnen. Und das geht nicht über die GUI - wenigstens nicht bei Synology. Habe aber ein paar Ansätze - z.B. HIER oder HIER - gefunden. Wie so oft sollte man auch hier Benutzer in Gruppen zusammenfassen und diesen (Gruppen) dann VLANs zuordnen. Man kann das auch pro Benutzer tun, dann muss man die Config aber immer wieder anpassen. Bei Gruppen ist's natürlich einfacher.

      Ist aber auch noch nicht umgesetzt.

      Gefällt mir 1
    • Ok, es ist wie immer, alles nicht so einfach… 😉

      Gefällt mir 1