Aruba WLAN mit Windows NPS (Radius) - Eine SSID mehrere VLANs

freak-on-silicon
Goto Top
Servus;

Ich tüftle jetzt schon seit Ewigkeiten an meinem neuen WLAN an einem Standort.
Es kommen knapp 50 Aruba 515.

Was will ich eigentlich?
Ich will dass es nachher zwei SSIDs gibt, SSID_Firma-Gast und SSID_Firma.
SSID_Firma-Gast, soll so wie der Name es schon sagt ein Gast-Wlan mit WPA2-PSK werden mit Internet only, kein Zugriff auf sonstige Netzwerkressourcen, das hab ich eigentlich schon soweit (von da holen die User sich dann auch das Zertifikat).
SSID-Firma soll so sein dass man sich an einem Radius (Windows NPS) anmeldet und je nach User man in ein bestimmtest VLAN kommt und von dem dortigen DHCP dann seine Adresse.

Es gibt dafür VLAN_3, VLAN_5, VLAN_6 und VLAN_7
VLAN_3: dort sind alle Arubas.
VLAN_5 und 6 sind in der domäne1.local
VLAN_7 ist in der domäne2.local
Das macht es natürlich schonmal nicht einfacher.
Die beiden Domänen haben eine Vertrauenstellung zueinenander.
Leider kann ich erst in etwa einem Jahr eine große Domäne machen.

Ich gehe mal davon aus dass die Ports an den Switches wo die APs hängen Untagged ins VLAN_3 und Tagged in 5, 6 und 7 müssen.

Der Radius ist in der domäne1.local.

Ich habe echt einige Anleitungen durch, nur jede Anleitung mach im NPS was anders, ich blick bei dem Ding absolut überhaupt nicht durch.

Eigentlich müsst ich nur wissen wie die Einstellungen im NPS bei Verbindungsanforderungsrichtlinien und bei Netzwerkrichtlinien ausschauen sollten.
Am Aruba-Master hab ich mal ein RadiusTest Netzwerk erstellt, dort hab ich bei VLAN "default" gelassen und bei Security meinen NPS eingetragen.
Leider gibt es auch da soviele Optionen...
EAP Offload hab ich aktiviert.
Access hab ich auf Unrestircted.

Ich frage mich natürlich ob es überhaupt geht dass der Radius der in domäne1.local steht irgendwie den DC von der domäne2.local zwecks Userabfrage kontaktieren kann. (Firewall Regel ist fürs testen alles offen)
EDIT: Im Schlimmsten Fall gibt es halt dann SSID_Firma1 und SSID_Firma2

Und nein, ich kann mir keinen Dienstleister holen, sonst hätt ich das schon lange gemacht.

Content-Key: 1764487167

Url: https://administrator.de/contentid/1764487167

Ausgedruckt am: 17.08.2022 um 06:08 Uhr

Mitglied: aqui
Lösung aqui 27.01.2022 aktualisiert um 11:26:46 Uhr
Goto Top
Ich gehe mal davon aus dass die Ports an den Switches wo die APs hängen Untagged ins VLAN_3 und Tagged in 5, 6 und 7 müssen.
Das ist richtig !
3 ist das Management VLAN sprich muss als Native / PVID VLAN am Switchport definiert sein und die MSSIDs mappen dann entsprechend nach User auf die anderen VLAN IDs die dort tagged anliegen müssen. Deren MSSID wird ja immer mit dem entsprechend zugewiesenen VLAN Tag am Kupferport ausgesendet. Alles richtig also.
in der domäne1.local
Keine gute Idee und ein grober DNS Design Fehler, denn .local ist eine weltweit von der IANA für mDNS reservierte TLD die man deshalb nie benutzen sollte. Selbst MS weist wegen möglicher Probleme in seiner Knowledgebase dediziert darauf hin. Siehe auch HIER. Aber...anderes Thema...und ganz andere Baustelle.
nur jede Anleitung mach im NPS was anders
Es gibt zig wenn man nach HP/Aruba NPS 802.1x dynamic VLAN sucht
https://www.expertnetworkconsultant.com/configuring/ieee-802-1x-authenti ...
https://content.spiceworksstatic.com/service.community/p/post_attachment ...
usw. usw. Auch YouTube ist voll davon.
Hier im Forum gibt es Anleitungen für FreeRaius. Gut, nützt dir primär nix aber man kann besser debugen und wenigstens die Setups der APs wasserdicht testen:
https://administrator.de/tutorial/sichere-802-1x-wlan-benutzer-authentis ...
Und dort weiterführende Links. Basis funktion erklärt auch ein hiesiges Tutorial was aber andere Hardware verwendet aber das 802.1x / MacBypass Verfahren an sich ist immer überall gleich.
https://administrator.de/tutorial/dynamische-vlan-zuweisung-fuer-wlan-u- ...
Vielleicht hilft es dir etwas beim Verständnis der Grundlagen.
Die Domänenproblematik deiner 2 DC hat per se erstmal nichts mit dem NPS und 802.1x an sich zu tun.
Es sollte aber klar sein das dort zwingend Vertrauensstellungen usw. konfiguriert sein müssen. Für die APs an sich spielt das aber keine Rolle. Die wollen nur wissen ob vom Radius ein Access accept oder ein /Access deny// mit der VLAN ID kommt.

Im Grunde ist das ein klassisches und banales Setup was in fast allen Firmen aus guten Gründen so zum Einsatz kommt. Du bist also in der Beziehung auf dem absolut richtigen Weg !
Sehr hilfreich wären die NPS Log Messages wenn Clients sich am AP anmelden. Leider lieferst du hier keinerlei zielführende und helfende Infos oder Setup Screenshots. Da ist dann oft nur ein Troubleshooting mit Kristallkugel möglich.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 27.01.2022 aktualisiert um 13:32:08 Uhr
Goto Top
Ich danke dir mal für die ausführliche Antwort.

domäne1.local war nur ein Beispiel, .local hab ich schon seit Jahren nirgends mehr face-smile

Habe eh schon überlegt auf FreeRadius zu gehen.
Aber ich und Linux stehen leider immer noch auf Kriegsfuß.
Aber vielleicht probier ichs mal.

Wegen den Logs, ja die wollte ich auch anhängen, nur hab ich zwischenzeitlich den Server komplett neu installiert um nochmal von Grund auf neu anzufangen. Aber die Logs hatten damals im Endeffekt einfach "deny" gesagt.

Die meisten Anleitungen hab ich schon am Schirm.
Ich werde mir das alles nochmal in Ruhe durchlesen.
Mitglied: aqui
aqui 27.01.2022 aktualisiert um 18:50:06 Uhr
Goto Top
Aber ich und Linux stehen leider immer noch auf Kriegsfuß.
Das ist heutzutage für einen in der IT Arbeitenden aber ein ziemliches Armutszeugnis. face-sad
Und mal ehrlich...das RasPi GUI bedient man doch genau wie Winblows. Das sollten Winblows Klicki Bunti Knechte also immer gewuppt bekommen.
Kann man sldo glücklicherweise immer alles schnell ändern.
Einen 30 Euro Raspberry Pi ist dein Lehrmeister und bezahlst du vom Taschengeld und den Rest erklärt dir das hiesige Forum mit "Learning by doing":
https://administrator.de/tutorial/netzwerk-management-server-mit-raspber ...
Danach machst du das FreeRadius Dings (und auch alles andere) mit links ! 😉
Mitglied: Freak-On-Silicon
Freak-On-Silicon 28.01.2022 um 11:00:52 Uhr
Goto Top
Auf Kriegsfuß nicht weil ich mich nicht auskenne face-wink

Hab einige PIs am laufen, Privat wie auch Business.
Auf meinem uralt IT-Admin Notebook läuft auch Linux.
Auch wenn der nur mehr aufgrund des echten Seriellen Anschlusses noch Verwendung findet.

Hab immer wieder was mit Ubuntu Server zB versucht, ist leider immer nur schief gelaufen.
Und dann war die Zeit wieder zu knapp.
Mitglied: aqui
aqui 28.01.2022 um 15:44:27 Uhr
Goto Top
ist leider immer nur schief gelaufen.
Na dann...RasPi hochfahren und los gehts ! 😉
Mitglied: aqui
aqui 03.02.2022 um 10:15:55 Uhr
Goto Top
Wenn's das denn nun war bitte deinen Thread dann auch als erledigt zu markieren !
https://administrator.de/faq/32