7875545307
17.07.2023, aktualisiert um 10:20:34 Uhr
2099
12
0
Fallback VLAN mit FreeRADIUS nur für eine SSID
Hallo zusammen,
ich möchte in Zukunft mein UniFi USG ablösen und es durch eine OPNsense ersetzen.
In dem Zuge möchte ich auch meine WLAN-Abdeckung optimieren und das ganze auf 3 SSIDs (Intern, Gast und SmartHome) beschränken.
Dazu benötige ich aber dynamische VLANs in den SSIDs.
Aktuell habe ich den FreeRADIUS-Dienst auf der OPNsense installiert und an meine UniFi APs angebunden.
Das Intern-WLAN ist via WPA2 Enterprise abgesichert und authentifiziert sich gegenüber FreeRADIUS mit Benutzer und Passwort. Das VLAN nimmt er sich dann aus dem RADIUS.
Das SmartHome-WLAN ist via WPA2 PSK abgesichert, verwendet nachträglich aber noch RADIUS MAC Authentifizierung, sodass ich auch hier je nach Gerät ein VLAN festlegen kann.
Das Gast-WLAN ist mit WPA2 abgesichert und hat ein fixes Netz, das ist hier also irrelevant.
Das ist der Stand, der bereits einwandfrei funktioniert.
Meine Herausforderung ist nun aber, dass ich im SmartHome-WLAN auch Geräte erlauben möchte, die nicht im RADIUS hinterlegt sind. Hier soll dann ein Fallback VLAN greifen. Das ist auch nicht weiter schlimm, da das Netzwerk ja sowieso vorab mit einem PSK geschützt ist. Das Intern-WLAN soll aber natürlich nur die Benutzer durchlassen, die auch wirklich im RADIUS hinterlegt sind.
Ist dieses Szenario mit einem einzigen FreeRADIUS überhaupt möglich? Ich habe gesehen, dass man "Reply" manipulieren kann, aber wie bekomme ich es hin, dass das nur für das SmartHome-WLAN passiert?
Vielen Dank für eure Unterstützung!
ich möchte in Zukunft mein UniFi USG ablösen und es durch eine OPNsense ersetzen.
In dem Zuge möchte ich auch meine WLAN-Abdeckung optimieren und das ganze auf 3 SSIDs (Intern, Gast und SmartHome) beschränken.
Dazu benötige ich aber dynamische VLANs in den SSIDs.
Aktuell habe ich den FreeRADIUS-Dienst auf der OPNsense installiert und an meine UniFi APs angebunden.
Das Intern-WLAN ist via WPA2 Enterprise abgesichert und authentifiziert sich gegenüber FreeRADIUS mit Benutzer und Passwort. Das VLAN nimmt er sich dann aus dem RADIUS.
Das SmartHome-WLAN ist via WPA2 PSK abgesichert, verwendet nachträglich aber noch RADIUS MAC Authentifizierung, sodass ich auch hier je nach Gerät ein VLAN festlegen kann.
Das Gast-WLAN ist mit WPA2 abgesichert und hat ein fixes Netz, das ist hier also irrelevant.
Das ist der Stand, der bereits einwandfrei funktioniert.
Meine Herausforderung ist nun aber, dass ich im SmartHome-WLAN auch Geräte erlauben möchte, die nicht im RADIUS hinterlegt sind. Hier soll dann ein Fallback VLAN greifen. Das ist auch nicht weiter schlimm, da das Netzwerk ja sowieso vorab mit einem PSK geschützt ist. Das Intern-WLAN soll aber natürlich nur die Benutzer durchlassen, die auch wirklich im RADIUS hinterlegt sind.
Ist dieses Szenario mit einem einzigen FreeRADIUS überhaupt möglich? Ich habe gesehen, dass man "Reply" manipulieren kann, aber wie bekomme ich es hin, dass das nur für das SmartHome-WLAN passiert?
Vielen Dank für eure Unterstützung!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7875567612
Url: https://administrator.de/forum/fallback-vlan-mit-freeradius-nur-fuer-eine-ssid-7875567612.html
Ausgedruckt am: 22.04.2025 um 04:04 Uhr
12 Kommentare
Neuester Kommentar
Ja das ist mit dem Freeradius problemlos möglich.
Damit authentisiert der Radius Server alle eingehenden, unbekannten User automatisch und weist ihnen hier im Beispiel das VLAN 99 zu.
Alternativ ginge auch ein "DEFAULT Auth-Type := Accept" plus der VLAN Credentials.
Ein zusätzliches Fall-Through = Yes bei den anderen Usern erhöht noch etwas die Sicherheit und bewirkt das bei einem Match die Users Datei nicht weiter abgearbeitet wird. Ist aber nicht zwingend.
Hier soll dann ein Fallback VLAN greifen.
Das ist eigentlich recht einfach hinzubekommen. In der user bzw. authorize Datei machst du ganz am Ende den folgenden Eintrag:DEFAULT Cleartext-Password := "%{User-Name}"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-Id := 99 Alternativ ginge auch ein "DEFAULT Auth-Type := Accept" plus der VLAN Credentials.
Ein zusätzliches Fall-Through = Yes bei den anderen Usern erhöht noch etwas die Sicherheit und bewirkt das bei einem Match die Users Datei nicht weiter abgearbeitet wird. Ist aber nicht zwingend.
Danke für deinen Vorschlag!
Habe ich bei deiner Lösung aber nicht dann das Problem, dass diese Einstellung auch für mein WPA2 Enterprise WLAN gilt, wo ich aber ausschließlich authentifizierte Nutzer haben möchte?
Die Fallback-Lösung soll nur auf der SSID SmartHome (mit WPA2 PSK) gelten, nicht aber bei der SSID Intern (mit WPA2 Enterprise).
Kann ich diesen SSID-Filter irgendwie mit in FreeRADIUS einbauen?
Habe ich bei deiner Lösung aber nicht dann das Problem, dass diese Einstellung auch für mein WPA2 Enterprise WLAN gilt, wo ich aber ausschließlich authentifizierte Nutzer haben möchte?
Die Fallback-Lösung soll nur auf der SSID SmartHome (mit WPA2 PSK) gelten, nicht aber bei der SSID Intern (mit WPA2 Enterprise).
Kann ich diesen SSID-Filter irgendwie mit in FreeRADIUS einbauen?
wo ich aber ausschließlich authentifizierte Nutzer haben möchte?
Das ist richtig!Das SmartHome-WLAN ist via WPA2 PSK abgesichert, verwendet nachträglich aber noch RADIUS MAC
Aber dann hast du doch eine Lösung?! Scheitert die Dot1x Auth dann macht der AP weiter mit der Mac Auth und da kannst du dann doch die Macs deiner SmartHome Geräte erfassen und gut iss.Mit dualer Authentisierung am AP stellt sich deine Frage doch gar nicht erst?! 🤔
Genau, für das SmartHome WLAN wäre deine Lösung passend. Das hab ich so getestet und das funktioniert auch.
Allerdings ist mein Internes WLAN (ohne MAC Authentifizierung, nur Benutzer+Passwort) ja dadurch quasi offen, weil alles akzeptiert wird, egal ob der Benutzer existiert oder nicht.
Oder wo ist hier mein Denkfehler?
Allerdings ist mein Internes WLAN (ohne MAC Authentifizierung, nur Benutzer+Passwort) ja dadurch quasi offen, weil alles akzeptiert wird, egal ob der Benutzer existiert oder nicht.
Oder wo ist hier mein Denkfehler?
ohne MAC Authentifizierung, nur Benutzer+Passwort
Was meinst du genau damit?? Normales WPA2 mit preshared Key?? Das ist leider etwas missverständlich.Bei preshared Key hängt natürlich immer alles an dem Key aber in dem Falle ist Radius ja auch gar nicht involviert.
Du setzt ein Dot1x MSSID WLAN auf und eins mit WPA2-PSK für die Smart Home Geräte wo du zusätzlich Mac Authentisierung machst. Damit hast du doch alles umgesetzt?!
Okay, vielleicht war das etwas kompliziert ausgedrückt.
Ich habe 3 SSIDs mit folgenden Sicherheitseinstellungen:
Gast - WPA2 PSK (für das Thema irrelevant)
Intern - WPA2 Enterprise mit 802.1X (angebunden an FreeRADIUS)
Hier möchte ich Nutzern (Smartphones und Laptops) anhand Benutzername (nicht MAC-Adressen) und Passwort ein VLAN zuweisen.
SmartHome - WPA2 PSK mit nachgeschalteter 802.1X Authentifizierung
Hier kommen SmartHome-Geräte rein, die kein WPA2 Enterprise können. Sie authentifizieren sich also nur mit einem PSK, der AP macht dann noch eine Abfrage an den FreeRADIUS um zu schauen, ob die MAC-Adresse als Benutzer vorhanden ist und falls ja, wird das VLAN zugewiesen.
Falls nein, wird die Verbindung abgelehnt. Und genau den Part will ich ändern. Wenn die MAC-Adresse von dem Gerät nicht gefunden wird, soll die Verbindung trotzdem zugelassen werden und das Gerät soll in einem Fallback VLAN landen.
Wenn ich das Fallback VLAN jetzt global im FreeRADIUS aktiviere, hat aber auch mein Internes WLAN den Fallback, sodass Benutzer und Passwort quasi obsolet sind. Diese Fallback-Lösung darf also nur funktionieren, wenn die SSID "SmartHome" ist.
Ich habe 3 SSIDs mit folgenden Sicherheitseinstellungen:
Gast - WPA2 PSK (für das Thema irrelevant)
Intern - WPA2 Enterprise mit 802.1X (angebunden an FreeRADIUS)
Hier möchte ich Nutzern (Smartphones und Laptops) anhand Benutzername (nicht MAC-Adressen) und Passwort ein VLAN zuweisen.
SmartHome - WPA2 PSK mit nachgeschalteter 802.1X Authentifizierung
Hier kommen SmartHome-Geräte rein, die kein WPA2 Enterprise können. Sie authentifizieren sich also nur mit einem PSK, der AP macht dann noch eine Abfrage an den FreeRADIUS um zu schauen, ob die MAC-Adresse als Benutzer vorhanden ist und falls ja, wird das VLAN zugewiesen.
Falls nein, wird die Verbindung abgelehnt. Und genau den Part will ich ändern. Wenn die MAC-Adresse von dem Gerät nicht gefunden wird, soll die Verbindung trotzdem zugelassen werden und das Gerät soll in einem Fallback VLAN landen.
Wenn ich das Fallback VLAN jetzt global im FreeRADIUS aktiviere, hat aber auch mein Internes WLAN den Fallback, sodass Benutzer und Passwort quasi obsolet sind. Diese Fallback-Lösung darf also nur funktionieren, wenn die SSID "SmartHome" ist.
SmartHome - WPA2 PSK mit nachgeschalteter 802.1X Authentifizierung
Das ist so technisch gar nicht möglich. Ein WPA2-Enterprise WLAN hat ein entsprechendes Beaconing was das an die WLAN Clients signalisiert und dann einen 802.1x Client auf dem WLAN Client erzwingt.Ein Mischbetrieb innerhalb einer SSID sieht der WiFi Standard gar nicht vor. Das geht also so nicht.
Das was du beschreibst ist kein Dot1x bzw. WPA2-Entrerprise sondern einfache Mac Authentisierung auf dem AP und entspricht genau dem was oben schon geschrieben wurde.
Gut, letzlich für deine Problematik aber auch egal.
Das lässt sich m.E. so ohne Scripting im Freeradius nicht lösen, weil die Default Anweisung ja immer am Ende steht und diese Nutzerdaten zentral für alle gelten. Sprich alle Clients die nicht registriert sind landen dann alle in dem Fallback VLAN egal ob .1x oder MAB.
Das kann nur so gehen das man im Freeradius die NAS ID abfragt und auf Basis des MSSID Namens dann eine separate User Datei verwendet. Da muss man dann in der Tat ans Policy Scripting ran.
https://wiki.freeradius.org/guide/mac-auth
Ich will nicht ausschließen, dass ich die Begriffe etwas durcheinander gebracht habe, bin noch recht neu in dem Thema. Ein echtes 802.1X ist es vermutlich nicht, aber es tut das, was ich erwarte. Der PSK erlaubt den Zugang und der RADIUS gibt an in welches VLAN der Client muss.
Das habe ich in UniFi konfiguriert:
In der OPNsense kommen die Anfragen dann auch an und werden angenommen oder abgelehnt:
Den Vorschlag von dir werde ich mir mal ansehen, vielleicht finde ich da ja was passendes.
Das habe ich in UniFi konfiguriert:
In der OPNsense kommen die Anfragen dann auch an und werden angenommen oder abgelehnt:
Den Vorschlag von dir werde ich mir mal ansehen, vielleicht finde ich da ja was passendes.
Hab gerade noch einen dummen Fehler bemerkt. Wenn jemand die MAC-Adresse von einem der SmartHome-Geräte kennt, könnte er sich auch einfach damit ins Intern WLAN anmelden, indem er als Benutzernamen und Passwort die MAC-Adresse angibt...
Das kann so also nicht bleiben. Da ist mir aber gerade noch eine Idee gekommen:
Ich könnte in UniFi ja zwei RADIUS Profile einrichten. Eines für die richtige 802.1X Authentifizierung und eins für die MAC Authentifizierung. Im FreeRADIUS dann entsprechend auch zwei Clients anlegen.
Mithilfe dieser Information sollte ich doch steuern können, dass Client 1 sich nur mit Zugangsdaten aus Quelle 1 und Client 2 sich nur mit Zugangsdaten aus Quelle 2 verbinden darf, oder?
Das kann so also nicht bleiben. Da ist mir aber gerade noch eine Idee gekommen:
Ich könnte in UniFi ja zwei RADIUS Profile einrichten. Eines für die richtige 802.1X Authentifizierung und eins für die MAC Authentifizierung. Im FreeRADIUS dann entsprechend auch zwei Clients anlegen.
Mithilfe dieser Information sollte ich doch steuern können, dass Client 1 sich nur mit Zugangsdaten aus Quelle 1 und Client 2 sich nur mit Zugangsdaten aus Quelle 2 verbinden darf, oder?
Ein echtes 802.1X ist es vermutlich nicht
Es gibt kein echtes oder unechtes Dot1x! 
Es gibt einzig nur Dot1x oder MAB oder beides. An LAN Ports gibt es optional eine duale Authentisierung mit beidem, am WLAN aber prinzipbedingt nicht.In deinem Setup Screenshot oben ist nur Mac Authentisierung aktiv, kein Dot1x.
In der OPNsense kommen die Anfragen dann auch an
Jepp, ist identisch zu diesem Thread hier.
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Naja wirklich erledigt ist das Thema nicht. Ich hab es jetzt anders gelöst und werde alle Geräte in dem WPA2 WLAN ins gleiche VLAN packen, da mir aktuell keine bessere Lösung einfällt.
Wenn noch jemand eine Idee hat, wie man das ganze mit nur einem RADIUS-Server lösen kann, bin ich gerne offen dafür.
Wenn noch jemand eine Idee hat, wie man das ganze mit nur einem RADIUS-Server lösen kann, bin ich gerne offen dafür.
