pipen1976
Goto Top

Captive Portal Unifi vs. PfSense

Hallo liebe Community,
wir betreiben seit ca. 3 Monaten ein Unifi WLAN-Netz mit 71 Access Points. Aktuell sind zwischen 200 - 400 Clients angemeldet. Der Unifi Controller ist auf einem Windows 10 PC installiert. Der Controller und die APs befinden sich im 172.16.0.0/24 Netz. Ich habe am Controller das Netzwerk VLANGAST mit der VLAN ID 11 hinzugefügt. DHCP ist auf diesem Netzwerk an der PfSense aktiviert. Für den Gastzugang wurde ein offenes Gast Netz mit der SSID "Gast", und dem Haken Gastrichtlinien anwenden erstellt. Das WLAN Gast verwendet das VLANGAST Netzwerk. Die Gäste melden sich an der SSID „Gast“ an und werden dann auf die Anmeldeseite (Angular JS) vom Unifi Controller gelenkt. Dort müssen die Nutzungsbedingungen akzeptiert und ein Voucher Code eingetragen werden. Anschließend steht dem Gast das Internet zur Verfügung. Soweit zur Theorie😉. Leider funktioniert es mit unseren iOS Gästen nicht immer, bzw. wir haben massive Probleme damit. Es wird einfach die Anmeldeseite nicht angezeigt. Zum Teil sind die Gäste einfach ohne Codeeingabe verbunden. Dazu gibt es auch relativ viel im Netz zu lesen, wo auch die iOS Problematik versucht wird zu lösen. Mit den Tipps konnte ich es auch erreichen die Gast Anmeldung etwas zu verbessern, allerdings kamen immer wieder Beschwerden auf. Die letzten Tage kam seitens Apple wieder ein neues iOS auf dem Markt. Vorgestern hatte ich dann prompt schon die erste Beschwerde mit einem iPhone und aktueller iOS.
An einem anderen Standort habe ich ebenfalls ein Captive Portal allerdings mit der PfSense. Klar dieser Standort ist viel kleiner mit 5 APs, aber hier bekam ich noch nie die Beschwerde das sich die Anmeldeseite nicht öffnen ließ.
Jetzt spiele ich mit dem Gedanken ob ich nicht auch die PfSense als Captive Portal konfigurieren soll. Die erste Frage wäre da reicht für das Captive Portal die Hardware wenn auch einmal 500 Clients verbunden sind? Wir verwenden die Netgate SG-5100 Hardware.
Für Eure Unterstützung wäre ich sehr dankbar.

Content-ID: 605004

Url: https://administrator.de/forum/captive-portal-unifi-vs-pfsense-605004.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Looser27
Looser27 16.09.2020 um 10:59:08 Uhr
Goto Top
Moin,

Der Unifi Controller ist auf einem Windows 10 PC installiert.

Da hat der Controller in Deiner Umgebung mal genau gar nichts zu suchen.
Setz eine schlanke Ubuntu-Server-VM auf und lass dort den Controller mitlaufen. Damit ist das Leistungsproblem in den Griff zu bekommen.

Was iOS-Geräte angeht, so habe ich folgendes bisher erlebt:
- Gerät wird ohne Anmeldung als "verbunden" angezeigt: Dem ist nicht so. Das ist ein Fehler im iOS. Im WLAN-Controller wird das Gerät als "nicht-verbunden" geführt.

- Anmeldeseite bei iOS-Geräten: Wenn die Anmeldeseite nicht angezeigt wird, liegt das meist an einer Firewall, die da reingrätscht. Kannst Du umgehen, in dem Du den Controller auf einem entsprechenden Server laufen lässt.
Es kann aber auch sein, dass wenn ein iOS Client schon mal in dem Netz angemeldet war, dieser sich wieder in das Netz einbuchen will und dann aber die CP Seite nicht anzeigt. Wieder ein iOS Bug, denn wenn man das Netzwerk einmal ignoriert und neu verbindet, klappt das reibungslos.

- Vouchereingabge: Hier einfach mal die Voucher-Codes ohne "-" eingeben. Hat bei uns geholfen.

Gruß

Looser
pipen1976
pipen1976 16.09.2020 um 11:32:13 Uhr
Goto Top
Ich habe auf dem Standort keine möglichkeit eine VM zu installieren weil kein Server vor Ort ist. Deshalb wurde ein Shuttle mit Windows 10 aufgesetzt. Der Shuttle ist mit 32GB, i7 und SSD ausgestattet. Leistungsprobleme hat der nicht. Komisch ist nur dass aktuell ca. 80 angemeldete iOS Geräte angemeldet sind. Wenn ich auf dem iPhone die Adresse 172.16.0.9:8880/guest eintrage dann komme ich sofort auf die Anmeldeseite.
Looser27
Looser27 16.09.2020 um 11:39:46 Uhr
Goto Top
Du hättest auch einfach nen Ubuntu Server auf das Shuttle installieren können.... face-wink

Komisch ist nur dass aktuell ca. 80 angemeldete iOS Geräte angemeldet sind.

Was ist daran komisch?
pipen1976
pipen1976 16.09.2020 aktualisiert um 12:02:06 Uhr
Goto Top
Weil da die Anmeldung funktioniert. Und bei ein paar, aktuell 2 mit iOS 13.7 nicht funktioniert.
Was spricht eigentlich gegen Controller auf Win10?
Looser27
Looser27 16.09.2020 um 12:04:07 Uhr
Goto Top
Der Controller gehört m.M.n. auf einen Server. Windows 10 ist dafür schlicht nur bedingt geeignet.
Für CP-Betrieb ist zwingend eine ständige Erreichbarkeit des Controllers erforderlich.

Läuft der Controller in der aktuellsten Version?
pipen1976
pipen1976 16.09.2020 um 12:37:13 Uhr
Goto Top
Ja der Controller wird immer aktuell gehalten. Seit gestern Version 6.0.20.
monstermania
monstermania 16.09.2020 um 13:02:30 Uhr
Goto Top
Was spricht eigentlich gegen die Nutzung des Unifi-Cloudkey?
Dann spart man sich das 'gefrickel' mit dem Controller auf einem Windows 10-PC. Auch ein Raspi 4 eignet sich um den Controller darauf zu installieren...
Looser27
Looser27 16.09.2020 um 13:18:53 Uhr
Goto Top
Auch ein Raspi 4 eignet sich um den Controller darauf zu installieren...

Läuft das vernünftig? Auf meinem RasPi2 war das noch das Grauen.....
pipen1976
pipen1976 16.09.2020 aktualisiert um 14:21:27 Uhr
Goto Top
Hast du schon einmal einen Cloudkey in Verbindung mit 71 APs im Einsatz gesehen? Funktioniert nicht, viel zu schwach. Der Cloudkey v2 ist für max. 40 APs. Und dann kann man nicht sagen der läuft gut. Im kleinen Bereich ist der sicher geeignet, aber bei einem grösseren Netzwerk unbrauchbar.
tech-flare
tech-flare 16.09.2020 aktualisiert um 18:05:35 Uhr
Goto Top
Also ich kann dir sagen, dass das ganze funktioniert... wir hatten das so mit ca 100 AP im Einsatz, jedoch läuft mittlerweile ein NAC dazwischen, welches das Captive Portal stellt.

Wie hast du das captive Portal hinterlegt? Per ip oder DNS name? Ist der DNS Name aus dem Gast VLAN auflösbar?

Trotz Gast musst du bestimmte Ports von Gast zum Controller freigeben. Dies ist bei UniFi sehr gut dokumentiert

Auch muss die IP von Controller bei dem Punkt
„Verbindung vor der Anmeldung und nach der Anmeldung“ als erlaubt hinterlegt sein

Schon allein wegen der Windows 10 Firewall ist das nicht so gut geeignet. Besser wäre ein Ubuntu / Debian etc

Ach und noch was... die AP holen sich aus jeden VLAN auch eine IP... du hast 71 AP + 200 Clients... das geht so nicht... darauf bin ich auch schon reingefallen :/ das hat sich bei uns so geäußert, dass einige User auch ein Portal angezeigt bekommen haben.
Also mache ein 23 oder 22 Netz draus.

Bzgl ios14.... Apple hat ab da eine wechselnde MAC eingestellt... das führt zu Problemen beim Gast wlan oder eben auch bei 802.1x... du muss den Haken „private Adresse“ im iPhone dann deaktivieren.... wenigstens geht das Pro SSID bei IOS
tech-flare
tech-flare 16.09.2020 um 18:03:47 Uhr
Goto Top
Zitat von @Looser27:

Auch ein Raspi 4 eignet sich um den Controller darauf zu installieren...

Läuft das vernünftig? Auf meinem RasPi2 war das noch das Grauen.....

Ja. Der hat genug Leistung
LauneBaer
LauneBaer 16.09.2020 um 20:16:30 Uhr
Goto Top
Da würde ich schnell wieder zurück gehen auf die letzte 5er Version, siehe Link

Diese Problematiken kommen mir auch bekannt vor. Schau dir nochmal wie schön angesprochen die freigegebenen Ports an und schmeiß den Controller auf ein Linux.
pipen1976
pipen1976 17.09.2020 um 08:00:45 Uhr
Goto Top
Zitat von @tech-flare:

Also ich kann dir sagen, dass das ganze funktioniert... wir hatten das so mit ca 100 AP im Einsatz, jedoch läuft mittlerweile ein NAC dazwischen, welches das Captive Portal stellt.

Genau wg. dem Captive Portal direkt am Controller läuft das mit dem Cloud Key Gen2 Plus nicht mehr. Die Systemauslastung lag bei 100%. Eine Bedienung fast unmöglich.
Wie hast du das captive Portal hinterlegt? Per ip oder DNS name? Ist der DNS Name aus dem Gast VLAN auflösbar?

Wie kann ich das CP mit ip oder dns hinterlegen?
Trotz Gast musst du bestimmte Ports von Gast zum Controller freigeben. Dies ist bei UniFi sehr gut dokumentiert

Die Ports wurden auf der Win10 Firewall geöffnet. Die Firewall wurde auch schon zum testen deaktiviert.
Auch muss die IP von Controller bei dem Punkt
„Verbindung vor der Anmeldung und nach der Anmeldung“ als erlaubt hinterlegt sein
Die Verbindung zum Controller nach der Anmeldung ist nicht hinterlegt.

Schon allein wegen der Windows 10 Firewall ist das nicht so gut geeignet. Besser wäre ein Ubuntu / Debian etc

Ach und noch was... die AP holen sich aus jeden VLAN auch eine IP... du hast 71 AP + 200 Clients... das geht so nicht... darauf bin ich auch schon reingefallen :/ das hat sich bei uns so geäußert, dass einige User auch ein Portal angezeigt bekommen haben.
Also mache ein 23 oder 22 Netz draus.

Die Gäste bekommen von der PfSense aus dem VLANGAST 10.10.0.0/22 eine IP Adresse. Der DHCP Bereich ist von 10.10.0.10 - 10.10.3.254. Also ein wenig über 1000 Hosts. Das dürfte reichen.
Bzgl ios14.... Apple hat ab da eine wechselnde MAC eingestellt... das führt zu Problemen beim Gast wlan oder eben auch bei 802.1x... du muss den Haken „private Adresse“ im iPhone dann deaktivieren.... wenigstens geht das Pro SSID bei IOS
Wo kann der Haken im iPhone deaktiviert werden?
tech-flare
tech-flare 17.09.2020 um 08:26:56 Uhr
Goto Top
Genau wg. dem Captive Portal direkt am Controller läuft das mit dem Cloud Key Gen2 Plus nicht mehr. Die Systemauslastung lag bei 100%. Eine Bedienung fast unmöglich.
JA der CloudKey ist dafür nicht geeignet bei so einer Anzahl Geräte. Aber nichtsdestotrotz würde ich dafür keine Windows Maschine einsetzen.

Wie kann ich das CP mit ip oder dns hinterlegen?
unifi
DNS Name des Unifi Controller ist im Gast WLAN Auflösbar?

Die Ports wurden auf der Win10 Firewall geöffnet. Die Firewall wurde auch schon zum testen deaktiviert.
Werde noch Ports im VLAN durch ACL oder einer FW blockiert?

Die Gäste bekommen von der PfSense aus dem VLANGAST 10.10.0.0/22 eine IP Adresse. Der DHCP Bereich ist von 10.10.0.10 - 10.10.3.254. Also ein wenig über 1000 Hosts. Das dürfte reichen.
Ok. Die Leastime passt auch? Sodass immer genügend Adressen frei sind?

Wo kann der Haken im iPhone deaktiviert werden?
ios14
Looser27
Looser27 17.09.2020 um 08:35:50 Uhr
Goto Top
Ich konnte das gerade selber nachstellen.....es scheint, als habe das Update auf Controllerversion 6.0.2 einen Bug in der Gastnetzsteuerung.
Es erfolgt keine Umleitung auf das CP, folglich auch keine Anmeldung.
Nach Recovery auf Version 5.14.23 läuft alles wieder wie gewohnt und zuverlässig.

Ich werde das Update auf die neue Version wohl erstmal überspringen und weiter beobachten.

Gruß

Looser
tech-flare
tech-flare 17.09.2020 aktualisiert um 09:26:16 Uhr
Goto Top
Zitat von @Looser27:

Ich konnte das gerade selber nachstellen.....es scheint, als habe das Update auf Controllerversion 6.0.2 einen Bug in der Gastnetzsteuerung.
Danke für die Info......Daher bleibe ich derzeit auch erst mal bei der 5.x

Daher testet man dies ja auch, bevor man pauschal ein Update macht @ersteller.....oder geht im zweifel per Backup zurück (gutes Vorbild Looser27 face-smile ) ....dafür hat man ja Backups

Es gibt mittlerweile schon eine 6.0.22 RC.....
aqui
aqui 17.09.2020 aktualisiert um 10:01:50 Uhr
Goto Top
Fazit: Mit Mikrotik und CapsMan oder pfSense CP wäre das nicht passiert:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wie auch bei der pfSense mit der idealen Voucher Verwaltung vom Kollegen @eagle2 rennt das Captive Portal da ohne jegliche Hänger.
Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo. Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen. Kein moderner Hersteller macht sowas heutzutage noch.
Aber egal...muss ja jeder selber wissen an welchem Fliegenfänger er hängen will....
Looser27
Looser27 17.09.2020 aktualisiert um 10:09:14 Uhr
Goto Top
Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo. Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen.

Den Controllerzwang hast du aber auch bei den Mikrotiks, willst Du die vernünftig managen und nicht jeden einzeln. Ergo...so schlimm ist das nicht.
Cloudzwang hast Du bei Unifi nicht; Du kannst den Conroller komplett ohne Cloud-Anbindung laufen lassen.

Edit: Wenn man zurück auf Version 5.x von 6.0.2 geht, muss man an den APs das Meshing (für 2,4 & 5 GHz) deaktivieren, da es ansonsten zu einem Loop kommt, der ansonsten vom Switch abgefedert werden muss, wenn er denn richtig konfiguriert ist (vgl. hier auch Link von @LauneBaer).
tech-flare
tech-flare 17.09.2020 aktualisiert um 10:39:12 Uhr
Goto Top
Zitat von @aqui:

Fazit: Mit Mikrotik und CapsMan oder pfSense CP wäre das nicht passiert:
Nein aqui......überhaupt nicht! Es gab noch nie einen Bug pfSense.....so ein Käse...natürlich gab es den schon!
Nur mal um paar Beispiele zu nennen

redmine.pfsense.org/issues/8616
redmine.pfsense.org/issues/9010

Allein schon der Cloud und Controller Zwang bei UBQT ist schon ein NoGo.
Da sieht man mal wieder, dass du permanent gegen UBQT schießt und überhaupt keine Ahnung von Unifi hast! Denn wo haben die Cloud Zwang? Nur weil der kleine Controller CloudKey heißt? Da bist du aber gewaltig auf dem Holzweg.

Das ganze System kann ohne Cloud laufen und wird auch so supported....
Cisco hat bei Meraki Cloud Zwang! Da gibts gar nicht anderes....

Vom steinzeitlichen Zwang auf einen physischen Controller mal ganz abgesehen. Kein moderner Hersteller macht sowas heutzutage noch.
Echt nicht? HP....Alcatel
Looser27
Looser27 21.09.2020 um 10:18:42 Uhr
Goto Top
Kleine Ergänzung zu oben angeführter Version 6.0.22:

Der Bug mit dem automatischen Meshing ist behoben. Was immer noch nicht funktioniert ist das Captive Portal in Verbindung mit VLAN-Zuweisung.
Also wieder Rollback auf Version 5.xx

Gruß

Looser
aqui
aqui 21.09.2020 aktualisiert um 13:07:04 Uhr
Goto Top
Denn wo haben die Cloud Zwang?
War ja nicht der Punkt. Sie haben Controller Zwang auf einen proprietären Hardware Controller, was noch schlimmer ist. (Ausfall, Supportende, Software usw.) So ein Fliegenfänger führt zu einem Vendor Lock, ein NoGo.
Steinzeitlich ist und bleibt es. Keiner der renomierten Hersteller erzwingt in WLANs bis 50 Access Points heute noch Controller. Sowas machen die APs nebenbei.
Klar, aus Unify Sicht ist das natürlich gut, denn sie zwingt Nutzer indirekt in eine reine UniFi Umgebung. Hersteller bezogen also verständlich. Ob man das als User mitmachen will ist aber eine ganz andere Frage. In einem Firmenumfeld wäre das ein klares NoGo.
Von den schrottigen Kabelprodukten die nichtmal von UniFi kommen mal gar nicht zu reden... Siehe oben !
Wie gesagt....muss jeder selber wissen.
tech-flare
tech-flare 22.09.2020 aktualisiert um 00:22:15 Uhr
Goto Top
Zitat von @aqui:

Denn wo haben die Cloud Zwang?
War ja nicht der Punkt. Sie haben Controller Zwang auf einen proprietären Hardware Controller, was noch schlimmer ist.
Falsch! Den Controller kannst du als hardware Controller von Unifi einsetzen, oder als Software Controller auf Linux, Mac oder Windows. Davon mal abgesehen haben die Switches ein vollwertiges CLI, wenn man weiß, wie man drauf kommt.

Steinzeitlich ist und bleibt es. Keiner der renomierten Hersteller erzwingt in WLANs bis 50 Access Points heute noch Controller. Sowas machen die APs nebenbei.
Was sind denn bei dir renomierte Hersteller? Bei Cisco läuft mit Meraki auch nichts ohne Controller und dieser ist leider in der Cloud.

Klar, aus Unify Sicht ist das natürlich gut, denn sie zwingt Nutzer indirekt in eine reine UniFi Umgebung. Hersteller bezogen also verständlich. Ob man das als User mitmachen will ist aber eine ganz andere Frage. In einem Firmenumfeld wäre das ein klares NoGo.
Eh....bei Cisco nichts anderes! Ich kann die Cisco Meraki Switche auch nicht ohne deren Cloud Controller verwenden, ganz zu schweigen von der Firewall !
aqui
aqui 22.09.2020 um 08:34:13 Uhr
Goto Top
Den Controller kannst du als hardware Controller
Der Punkt ist ja nicht WIE man ihn einsetzt sondern DAS man ihn (zwangsweise) einsetzen muss. Ein steinzeitliches NoGo.
Meraki ist technisch hier der ganz falsche Vergleich. Äpfel mit Birnen, denn das ist vom Konzept schon so ausgelegt. Nutzer die sich dafür entscheiden, entscheiden sich dediziert für Fremdmanagement. Auch das Lizensierungsmodell ist ein ganz anderes. Von der Produktqualität und leistung ist es mit Unify auch nicht zu vergleichen.
Cisco, Aruba und auch Marktführer Ruckus lassen mit ihren High End Lösungen dem User freie Wahl ob AP Management, Cloud oder eigenes on Premise. So wie es auch sein sollte....
Wie gesagt...muss jeder ja für sich selber entscheiden welchen Weg er geht.