Captive Portal Unifi vs. PfSense
Hallo liebe Community,
wir betreiben seit ca. 3 Monaten ein Unifi WLAN-Netz mit 71 Access Points. Aktuell sind zwischen 200 - 400 Clients angemeldet. Der Unifi Controller ist auf einem Windows 10 PC installiert. Der Controller und die APs befinden sich im 172.16.0.0/24 Netz. Ich habe am Controller das Netzwerk VLANGAST mit der VLAN ID 11 hinzugefügt. DHCP ist auf diesem Netzwerk an der PfSense aktiviert. Für den Gastzugang wurde ein offenes Gast Netz mit der SSID "Gast", und dem Haken Gastrichtlinien anwenden erstellt. Das WLAN Gast verwendet das VLANGAST Netzwerk. Die Gäste melden sich an der SSID „Gast“ an und werden dann auf die Anmeldeseite (Angular JS) vom Unifi Controller gelenkt. Dort müssen die Nutzungsbedingungen akzeptiert und ein Voucher Code eingetragen werden. Anschließend steht dem Gast das Internet zur Verfügung. Soweit zur Theorie😉. Leider funktioniert es mit unseren iOS Gästen nicht immer, bzw. wir haben massive Probleme damit. Es wird einfach die Anmeldeseite nicht angezeigt. Zum Teil sind die Gäste einfach ohne Codeeingabe verbunden. Dazu gibt es auch relativ viel im Netz zu lesen, wo auch die iOS Problematik versucht wird zu lösen. Mit den Tipps konnte ich es auch erreichen die Gast Anmeldung etwas zu verbessern, allerdings kamen immer wieder Beschwerden auf. Die letzten Tage kam seitens Apple wieder ein neues iOS auf dem Markt. Vorgestern hatte ich dann prompt schon die erste Beschwerde mit einem iPhone und aktueller iOS.
An einem anderen Standort habe ich ebenfalls ein Captive Portal allerdings mit der PfSense. Klar dieser Standort ist viel kleiner mit 5 APs, aber hier bekam ich noch nie die Beschwerde das sich die Anmeldeseite nicht öffnen ließ.
Jetzt spiele ich mit dem Gedanken ob ich nicht auch die PfSense als Captive Portal konfigurieren soll. Die erste Frage wäre da reicht für das Captive Portal die Hardware wenn auch einmal 500 Clients verbunden sind? Wir verwenden die Netgate SG-5100 Hardware.
Für Eure Unterstützung wäre ich sehr dankbar.
wir betreiben seit ca. 3 Monaten ein Unifi WLAN-Netz mit 71 Access Points. Aktuell sind zwischen 200 - 400 Clients angemeldet. Der Unifi Controller ist auf einem Windows 10 PC installiert. Der Controller und die APs befinden sich im 172.16.0.0/24 Netz. Ich habe am Controller das Netzwerk VLANGAST mit der VLAN ID 11 hinzugefügt. DHCP ist auf diesem Netzwerk an der PfSense aktiviert. Für den Gastzugang wurde ein offenes Gast Netz mit der SSID "Gast", und dem Haken Gastrichtlinien anwenden erstellt. Das WLAN Gast verwendet das VLANGAST Netzwerk. Die Gäste melden sich an der SSID „Gast“ an und werden dann auf die Anmeldeseite (Angular JS) vom Unifi Controller gelenkt. Dort müssen die Nutzungsbedingungen akzeptiert und ein Voucher Code eingetragen werden. Anschließend steht dem Gast das Internet zur Verfügung. Soweit zur Theorie😉. Leider funktioniert es mit unseren iOS Gästen nicht immer, bzw. wir haben massive Probleme damit. Es wird einfach die Anmeldeseite nicht angezeigt. Zum Teil sind die Gäste einfach ohne Codeeingabe verbunden. Dazu gibt es auch relativ viel im Netz zu lesen, wo auch die iOS Problematik versucht wird zu lösen. Mit den Tipps konnte ich es auch erreichen die Gast Anmeldung etwas zu verbessern, allerdings kamen immer wieder Beschwerden auf. Die letzten Tage kam seitens Apple wieder ein neues iOS auf dem Markt. Vorgestern hatte ich dann prompt schon die erste Beschwerde mit einem iPhone und aktueller iOS.
An einem anderen Standort habe ich ebenfalls ein Captive Portal allerdings mit der PfSense. Klar dieser Standort ist viel kleiner mit 5 APs, aber hier bekam ich noch nie die Beschwerde das sich die Anmeldeseite nicht öffnen ließ.
Jetzt spiele ich mit dem Gedanken ob ich nicht auch die PfSense als Captive Portal konfigurieren soll. Die erste Frage wäre da reicht für das Captive Portal die Hardware wenn auch einmal 500 Clients verbunden sind? Wir verwenden die Netgate SG-5100 Hardware.
Für Eure Unterstützung wäre ich sehr dankbar.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 605004
Url: https://administrator.de/forum/captive-portal-unifi-vs-pfsense-605004.html
Ausgedruckt am: 23.12.2024 um 05:12 Uhr
23 Kommentare
Neuester Kommentar
Moin,
Da hat der Controller in Deiner Umgebung mal genau gar nichts zu suchen.
Setz eine schlanke Ubuntu-Server-VM auf und lass dort den Controller mitlaufen. Damit ist das Leistungsproblem in den Griff zu bekommen.
Was iOS-Geräte angeht, so habe ich folgendes bisher erlebt:
- Gerät wird ohne Anmeldung als "verbunden" angezeigt: Dem ist nicht so. Das ist ein Fehler im iOS. Im WLAN-Controller wird das Gerät als "nicht-verbunden" geführt.
- Anmeldeseite bei iOS-Geräten: Wenn die Anmeldeseite nicht angezeigt wird, liegt das meist an einer Firewall, die da reingrätscht. Kannst Du umgehen, in dem Du den Controller auf einem entsprechenden Server laufen lässt.
Es kann aber auch sein, dass wenn ein iOS Client schon mal in dem Netz angemeldet war, dieser sich wieder in das Netz einbuchen will und dann aber die CP Seite nicht anzeigt. Wieder ein iOS Bug, denn wenn man das Netzwerk einmal ignoriert und neu verbindet, klappt das reibungslos.
- Vouchereingabge: Hier einfach mal die Voucher-Codes ohne "-" eingeben. Hat bei uns geholfen.
Gruß
Looser
Der Unifi Controller ist auf einem Windows 10 PC installiert.
Da hat der Controller in Deiner Umgebung mal genau gar nichts zu suchen.
Setz eine schlanke Ubuntu-Server-VM auf und lass dort den Controller mitlaufen. Damit ist das Leistungsproblem in den Griff zu bekommen.
Was iOS-Geräte angeht, so habe ich folgendes bisher erlebt:
- Gerät wird ohne Anmeldung als "verbunden" angezeigt: Dem ist nicht so. Das ist ein Fehler im iOS. Im WLAN-Controller wird das Gerät als "nicht-verbunden" geführt.
- Anmeldeseite bei iOS-Geräten: Wenn die Anmeldeseite nicht angezeigt wird, liegt das meist an einer Firewall, die da reingrätscht. Kannst Du umgehen, in dem Du den Controller auf einem entsprechenden Server laufen lässt.
Es kann aber auch sein, dass wenn ein iOS Client schon mal in dem Netz angemeldet war, dieser sich wieder in das Netz einbuchen will und dann aber die CP Seite nicht anzeigt. Wieder ein iOS Bug, denn wenn man das Netzwerk einmal ignoriert und neu verbindet, klappt das reibungslos.
- Vouchereingabge: Hier einfach mal die Voucher-Codes ohne "-" eingeben. Hat bei uns geholfen.
Gruß
Looser
Also ich kann dir sagen, dass das ganze funktioniert... wir hatten das so mit ca 100 AP im Einsatz, jedoch läuft mittlerweile ein NAC dazwischen, welches das Captive Portal stellt.
Wie hast du das captive Portal hinterlegt? Per ip oder DNS name? Ist der DNS Name aus dem Gast VLAN auflösbar?
Trotz Gast musst du bestimmte Ports von Gast zum Controller freigeben. Dies ist bei UniFi sehr gut dokumentiert
Auch muss die IP von Controller bei dem Punkt
„Verbindung vor der Anmeldung und nach der Anmeldung“ als erlaubt hinterlegt sein
Schon allein wegen der Windows 10 Firewall ist das nicht so gut geeignet. Besser wäre ein Ubuntu / Debian etc
Ach und noch was... die AP holen sich aus jeden VLAN auch eine IP... du hast 71 AP + 200 Clients... das geht so nicht... darauf bin ich auch schon reingefallen :/ das hat sich bei uns so geäußert, dass einige User auch ein Portal angezeigt bekommen haben.
Also mache ein 23 oder 22 Netz draus.
Bzgl ios14.... Apple hat ab da eine wechselnde MAC eingestellt... das führt zu Problemen beim Gast wlan oder eben auch bei 802.1x... du muss den Haken „private Adresse“ im iPhone dann deaktivieren.... wenigstens geht das Pro SSID bei IOS
Wie hast du das captive Portal hinterlegt? Per ip oder DNS name? Ist der DNS Name aus dem Gast VLAN auflösbar?
Trotz Gast musst du bestimmte Ports von Gast zum Controller freigeben. Dies ist bei UniFi sehr gut dokumentiert
Auch muss die IP von Controller bei dem Punkt
„Verbindung vor der Anmeldung und nach der Anmeldung“ als erlaubt hinterlegt sein
Schon allein wegen der Windows 10 Firewall ist das nicht so gut geeignet. Besser wäre ein Ubuntu / Debian etc
Ach und noch was... die AP holen sich aus jeden VLAN auch eine IP... du hast 71 AP + 200 Clients... das geht so nicht... darauf bin ich auch schon reingefallen :/ das hat sich bei uns so geäußert, dass einige User auch ein Portal angezeigt bekommen haben.
Also mache ein 23 oder 22 Netz draus.
Bzgl ios14.... Apple hat ab da eine wechselnde MAC eingestellt... das führt zu Problemen beim Gast wlan oder eben auch bei 802.1x... du muss den Haken „private Adresse“ im iPhone dann deaktivieren.... wenigstens geht das Pro SSID bei IOS
Zitat von @Looser27:
Läuft das vernünftig? Auf meinem RasPi2 war das noch das Grauen.....
Auch ein Raspi 4 eignet sich um den Controller darauf zu installieren...
Läuft das vernünftig? Auf meinem RasPi2 war das noch das Grauen.....
Ja. Der hat genug Leistung
Da würde ich schnell wieder zurück gehen auf die letzte 5er Version, siehe Link
Diese Problematiken kommen mir auch bekannt vor. Schau dir nochmal wie schön angesprochen die freigegebenen Ports an und schmeiß den Controller auf ein Linux.
Diese Problematiken kommen mir auch bekannt vor. Schau dir nochmal wie schön angesprochen die freigegebenen Ports an und schmeiß den Controller auf ein Linux.
Genau wg. dem Captive Portal direkt am Controller läuft das mit dem Cloud Key Gen2 Plus nicht mehr. Die Systemauslastung lag bei 100%. Eine Bedienung fast unmöglich.
JA der CloudKey ist dafür nicht geeignet bei so einer Anzahl Geräte. Aber nichtsdestotrotz würde ich dafür keine Windows Maschine einsetzen.Wie kann ich das CP mit ip oder dns hinterlegen?
DNS Name des Unifi Controller ist im Gast WLAN Auflösbar?Die Ports wurden auf der Win10 Firewall geöffnet. Die Firewall wurde auch schon zum testen deaktiviert.
Werde noch Ports im VLAN durch ACL oder einer FW blockiert?Die Gäste bekommen von der PfSense aus dem VLANGAST 10.10.0.0/22 eine IP Adresse. Der DHCP Bereich ist von 10.10.0.10 - 10.10.3.254. Also ein wenig über 1000 Hosts. Das dürfte reichen.
Ok. Die Leastime passt auch? Sodass immer genügend Adressen frei sind?Wo kann der Haken im iPhone deaktiviert werden?
Ich konnte das gerade selber nachstellen.....es scheint, als habe das Update auf Controllerversion 6.0.2 einen Bug in der Gastnetzsteuerung.
Es erfolgt keine Umleitung auf das CP, folglich auch keine Anmeldung.
Nach Recovery auf Version 5.14.23 läuft alles wieder wie gewohnt und zuverlässig.
Ich werde das Update auf die neue Version wohl erstmal überspringen und weiter beobachten.
Gruß
Looser
Es erfolgt keine Umleitung auf das CP, folglich auch keine Anmeldung.
Nach Recovery auf Version 5.14.23 läuft alles wieder wie gewohnt und zuverlässig.
Ich werde das Update auf die neue Version wohl erstmal überspringen und weiter beobachten.
Gruß
Looser
Zitat von @Looser27:
Ich konnte das gerade selber nachstellen.....es scheint, als habe das Update auf Controllerversion 6.0.2 einen Bug in der Gastnetzsteuerung.
Danke für die Info......Daher bleibe ich derzeit auch erst mal bei der 5.xIch konnte das gerade selber nachstellen.....es scheint, als habe das Update auf Controllerversion 6.0.2 einen Bug in der Gastnetzsteuerung.
Daher testet man dies ja auch, bevor man pauschal ein Update macht @ersteller.....oder geht im zweifel per Backup zurück (gutes Vorbild Looser27 ) ....dafür hat man ja Backups
Es gibt mittlerweile schon eine 6.0.22 RC.....
Fazit: Mit Mikrotik und CapsMan oder pfSense CP wäre das nicht passiert:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wie auch bei der pfSense mit der idealen Voucher Verwaltung vom Kollegen @eagle2 rennt das Captive Portal da ohne jegliche Hänger.
Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo. Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen. Kein moderner Hersteller macht sowas heutzutage noch.
Aber egal...muss ja jeder selber wissen an welchem Fliegenfänger er hängen will....
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wie auch bei der pfSense mit der idealen Voucher Verwaltung vom Kollegen @eagle2 rennt das Captive Portal da ohne jegliche Hänger.
Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo. Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen. Kein moderner Hersteller macht sowas heutzutage noch.
Aber egal...muss ja jeder selber wissen an welchem Fliegenfänger er hängen will....
Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo. Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen.
Den Controllerzwang hast du aber auch bei den Mikrotiks, willst Du die vernünftig managen und nicht jeden einzeln. Ergo...so schlimm ist das nicht.
Cloudzwang hast Du bei Unifi nicht; Du kannst den Conroller komplett ohne Cloud-Anbindung laufen lassen.
Edit: Wenn man zurück auf Version 5.x von 6.0.2 geht, muss man an den APs das Meshing (für 2,4 & 5 GHz) deaktivieren, da es ansonsten zu einem Loop kommt, der ansonsten vom Switch abgefedert werden muss, wenn er denn richtig konfiguriert ist (vgl. hier auch Link von @LauneBaer).
Nein aqui......überhaupt nicht! Es gab noch nie einen Bug pfSense.....so ein Käse...natürlich gab es den schon!
Nur mal um paar Beispiele zu nennen
redmine.pfsense.org/issues/8616
redmine.pfsense.org/issues/9010
Das ganze System kann ohne Cloud laufen und wird auch so supported....
Cisco hat bei Meraki Cloud Zwang! Da gibts gar nicht anderes....
Nur mal um paar Beispiele zu nennen
redmine.pfsense.org/issues/8616
redmine.pfsense.org/issues/9010
Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo.
Da sieht man mal wieder, dass du permanent gegen UBQT schießt und überhaupt keine Ahnung von Unifi hast! Denn wo haben die Cloud Zwang? Nur weil der kleine Controller CloudKey heißt? Da bist du aber gewaltig auf dem Holzweg.Das ganze System kann ohne Cloud laufen und wird auch so supported....
Cisco hat bei Meraki Cloud Zwang! Da gibts gar nicht anderes....
Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen. Kein moderner Hersteller macht sowas heutzutage noch.
Echt nicht? HP....AlcatelDenn wo haben die Cloud Zwang?
War ja nicht der Punkt. Sie haben Controller Zwang auf einen proprietären Hardware Controller, was noch schlimmer ist. (Ausfall, Supportende, Software usw.) So ein Fliegenfänger führt zu einem Vendor Lock, ein NoGo.Steinzeitlich ist und bleibt es. Keiner der renomierten Hersteller erzwingt in WLANs bis 50 Access Points heute noch Controller. Sowas machen die APs nebenbei.
Klar, aus Unify Sicht ist das natürlich gut, denn sie zwingt Nutzer indirekt in eine reine UniFi Umgebung. Hersteller bezogen also verständlich. Ob man das als User mitmachen will ist aber eine ganz andere Frage. In einem Firmenumfeld wäre das ein klares NoGo.
Von den schrottigen Kabelprodukten die nichtmal von UniFi kommen mal gar nicht zu reden... Siehe oben !
Wie gesagt....muss jeder selber wissen.
Zitat von @aqui:
Falsch! Den Controller kannst du als hardware Controller von Unifi einsetzen, oder als Software Controller auf Linux, Mac oder Windows. Davon mal abgesehen haben die Switches ein vollwertiges CLI, wenn man weiß, wie man drauf kommt.Denn wo haben die Cloud Zwang?
War ja nicht der Punkt. Sie haben Controller Zwang auf einen proprietären Hardware Controller, was noch schlimmer ist.Steinzeitlich ist und bleibt es. Keiner der renomierten Hersteller erzwingt in WLANs bis 50 Access Points heute noch Controller. Sowas machen die APs nebenbei.
Was sind denn bei dir renomierte Hersteller? Bei Cisco läuft mit Meraki auch nichts ohne Controller und dieser ist leider in der Cloud.Klar, aus Unify Sicht ist das natürlich gut, denn sie zwingt Nutzer indirekt in eine reine UniFi Umgebung. Hersteller bezogen also verständlich. Ob man das als User mitmachen will ist aber eine ganz andere Frage. In einem Firmenumfeld wäre das ein klares NoGo.
Eh....bei Cisco nichts anderes! Ich kann die Cisco Meraki Switche auch nicht ohne deren Cloud Controller verwenden, ganz zu schweigen von der Firewall !Den Controller kannst du als hardware Controller
Der Punkt ist ja nicht WIE man ihn einsetzt sondern DAS man ihn (zwangsweise) einsetzen muss. Ein steinzeitliches NoGo.Meraki ist technisch hier der ganz falsche Vergleich. Äpfel mit Birnen, denn das ist vom Konzept schon so ausgelegt. Nutzer die sich dafür entscheiden, entscheiden sich dediziert für Fremdmanagement. Auch das Lizensierungsmodell ist ein ganz anderes. Von der Produktqualität und leistung ist es mit Unify auch nicht zu vergleichen.
Cisco, Aruba und auch Marktführer Ruckus lassen mit ihren High End Lösungen dem User freie Wahl ob AP Management, Cloud oder eigenes on Premise. So wie es auch sein sollte....
Wie gesagt...muss jeder ja für sich selber entscheiden welchen Weg er geht.