frontier
Goto Top

Freeradius mit Captive Portal - ohne MSSID

Hallo zusammen!

Da dies mein erster Post ist, möchte ich und meine Rahmenbedingungen kurz vorstellen. Ich betreibe als End-User ein kleines Netzwerk in unserem Haus. Das Netzwerk besteht aus einer alten Fritzbox 7490 (davor ist ein Glasfasermodem), einem alten Cisco SG300 (28 Ports), mehreren Raspberries sowie vier Unifi-APs (die Raspberries laufen eh – insofern ist die Controller-Software kein wirkliches Problem für mich). Ich habe das Netz gemäß der Anleitung

Verständnissproblem Routing mit SG300-28

eingerichtet (der Cisco-Switch arbeitet also im Layer-3-Modus und kümmert sich auch um das Inter-Vlan-Routing). An dieser Stelle bereits: vielen Dank für die zahlreichen Tipps und Anleitungen!

Ich würde das Netz gerne (1) mit Radius absichern und (2) Gäste über ein Captive Portal abwickeln. Beide Punkte funktionieren auch bereits. Für (1) habe gemäß der Anleitung

Freeradius Management mit WebGUI

Freeradius und die Webgui Daloradius verwendet. Für (2) verwende ich das Captive-Portal, welches bereits in der Controller-Software (Unifi) enthalten ist. Leider muss ich bis jetzt jedoch 2 SSIDs verwenden. Gerne würde ich den Radiusserver so einrichten, dass bei nicht erfolgter Authentisierung das/ein Captive-Portal aufgerufen wird (wie auch im obigen Link - jedoch für Mikrotik APs). Ich sehe hier drei Ansätze, für die ich jedoch noch keine Lösung gefunden habe (eventuell aber einfach übersehen).

(1) 802.1x über Daloradius und bei nicht erfolgter Authentisierung an das Unifi Captive-Portal weiterleiten
(2) 802.1x über Daloradius und bei nicht erfolgter Authentisierung an neu einzurichtendes Captive-Portal weiterleiten (ggf. bereits in Daloradius integriert)
(3) Unifi-Controller-Lösung (natürlich ohne zusätzliche Hardware)

Über Hilfe und/oder Links würde ich mich freuen.

Jo

Content-Key: 8150828723

Url: https://administrator.de/contentid/8150828723

Printed on: July 21, 2024 at 00:07 o'clock

Member: aqui
Solution aqui Aug 15, 2023 updated at 10:44:20 (UTC)
Goto Top
Hi Jo und willkommen im Forum! 😉
Du hast soweit alles richtig gemacht mit deinem Setup.
Es gibt generell 2 Optionen diese Anforderungen schnell und einfach zu lösen:
  • Deine APs bzw. der Controller haben eine sog. „Authentication Failure VLAN“ Option. Bedeutet das der AP oder Controller ein Feature hat was Nutzer bei einer fehlgeschlagenen Authentisierung automatisch in ein konfiguriertes VLAN legt.
  • Fehlt diese Option im Featureset deiner Hardware gibt es einen einfachen Workaround über den Radius Server über das sog. DEFAULT Statement.

Das obige Radius Tutorial belässt die Option das nach der Datenbankabfrage auch zusätzlich noch die statische User Datei befragt wird. Diese statische User Datei hat ganz am Ende ein auskommentiertes „DEFAULT“ Statement was so aussieht:
DEFAULT        Cleartext-Password := "%{User-Name}"  
                        Tunnel-Type = VLAN,
                        Tunnel-Medium-Type = IEEE-802,
                        Tunnel-Private-Group-Id = 99 
Dieser Eintrag bedeutet das alle nicht authentisierten User automatisch in das VLAN 99 geschoben werden.
Wenn du jetzt auf deinem Switch bzw. Controller das VLAN 99 als Gast VLAN einrichtest mit einem Captive Portal, dann landen alle nicht authentisierten User in diesem Netzwerk Segment und müssen sich dann über das CP authentisieren.
Member: Frontier
Frontier Aug 15, 2023 at 11:04:32 (UTC)
Goto Top
Vielen Dank für die schnelle Antwort - zudem von denjenigen, der die von mir verwendeten Anleitungen geschrieben hat!

Der von dir beschriebene Weg ist mir klar - das hätte ich natürlich auch zuvor schreiben sollen. Unklar ist mir, wie ich Clients im Default-VLAN an das Captive Portal weiterleite. Im Unifi-Controller habe ich nichts gefunden. Kann das der SG300 im Layer-3-Modus? Ich habe gelesen, dass man Daloradius mit Coova Chilli verbinden kann (bzw. integrieren kann). Wäre das ein Weg?

Grüße

Jo
Member: aqui
Solution aqui Aug 15, 2023 updated at 11:44:33 (UTC)
Goto Top
Unklar ist mir, wie ich Clients im Default-VLAN an das Captive Portal weiterleite.
Als Tip einmal lesen wie ein Captive Portal generell funktioniert:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

Mit anderen Worten: Du musst dort gar nichts einrichten bzw. nur die Captivel Portal Funktion aktivieren. Es reicht völlig das sich die Clients in diesem VLAN befinden. Der tiefere Sinn eines Captive Portal Segemtes... face-wink
Sobald die User dort einen Browser eröffnen fängt die Captive Portal Funktion (daher der Name 😉) allen TCP 80 bzw. 443 Traffic (HTTP bzw. HTTPS Browser Traffic) ab und redirected den Browser zwangsweise auf die lokale Portalseite zur Authentisierung.

Eigentlich eine sehr einfache Logik die hinter allen bekannten Captive Portal Funktionen steckt und primär erstmal nichts mit Radius und dynamischen VLANs zu tun hat. Diese Funktion dient ja erstmal einzig nur dazu deine unregistrierten User in eben dieses Captive Portal VLAN zu zwingen.

Der SG300 supported leider kein Web based Authentication bzw. Captive Portal Funktion wie die Catalyst Modelle. Dein CP VLAN darf deshalb keinesfalls eine IP Adresse auf dem Switch haben und muss dieses Netz zwingend als reines Layer 2 VLAN an das Unify Gerät durchreichen was die CP Funktion zur Verfügung stellt.
Member: Frontier
Frontier Aug 15, 2023 at 13:33:34 (UTC)
Goto Top
Noch einmal: Vielen Dank!

Leider funktioniert bei mir die Umsetzung mit dem Unifi Captive-Portal jedoch nicht. Wenn ich also Radius für eine fehlgeschlagene Authentisierung in das Unifi-Guest-VLAN umleite, wird das Captive Portal dort nicht aufgerufen. Kann es sein, dass dieses Captive Portal nur über die APs zu erreichen ist?

Vermutlich ist es am einfachsten, dass ich ein zusätzliches Portal einrichte (welches dann auch besser dokumentiert ist, als das von Unifi). kann das auch direkt in Daloradius umgesetzt werden?

Vielen Dank im Voraus

Jo
Member: Frontier
Frontier Aug 15, 2023 at 14:53:12 (UTC)
Goto Top
--- noch zwei ergänzende Punkte:

1.) Wenn ich das obige „DEFAULT“ Statement verwende, lande ich immer im Default-Netz - auch bei Usern, denen ich ein anderes VLAN zugewiesen habe (über Daloradius). Ohne das Statement wird das richtige VLAN verwendet.
2.) Das Unfi-Portal befindet sich in einem anderen Subnet als das Gast-Netz. Hierfür habe ich zwei Ausnahmeregeln in die ACL des SG300 aufgenommen, so dass Routing möglich ist.
Member: aqui
Solution aqui Aug 16, 2023 updated at 10:27:54 (UTC)
Goto Top
Kann es sein, dass dieses Captive Portal nur über die APs zu erreichen ist?
Das könnte sein. Entscheidend ist WELCHES Endgerät das CP realisiert. Im o.a. Tutorial macht es die Firewall und da ist dann die Infrastruktur völlig egal.
Bei manchen WLANs ist das ein zentraler Controller oder eben die APs selber.
Wenn das der Fall ist kann man es natürlich nicht über die Switch, Router oder Firewall Funktion und damit unabhängig von der Infrastruktur lösen.

In dem Falle stellt sich dann die Frage ob das nur bei statisch zugewiesenen SSIDs klappt oder auch bei dynamisch zugewiesenen mit einer MSSID Infrastruktur.
Das aber kann dir dann letztlich nur das Unify Handbuch oder der Hotline beantworten.
In jedem Falle ist es designtechnisch immer am besten dafür einen Router oder Firewall zu wählen um eben immer unabhängig von der Infrastruktur zu sein.
OPNsense/pfSense u d auch Mikrotik Router und Switches bieten diese Funktion onboard.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Captive Portal Gastnetz mit Mikrotik
Member: Frontier
Frontier Aug 16, 2023 at 13:47:05 (UTC)
Goto Top
Das hatte ich befürchtet - ein weiterer Grund für mich die Fritzbox durch pfSense zu ersetzen. Falls ein Unifi-Nutzer das liest, wäre ich natürlich dennoch über einen anderen Lösungsvorschlag dankbar - jedoch ohne die Einbindung weiterer UniFi-Ubiquiti-Geräte.