phil100vol
Goto Top

PFsense mit FreeRadius und Auffang (Gummizellen) VLan

Guten Abend zusammen,

ich habe bei mir folgenden Aufbau :

d9e579460252e69d7554850dc4fdf5d1

Hierfür habe ich auch aquis Anleitungen Mikrotik VLAN Konfi verwendet. Da ich in nächster Zeit den Switch vergrössern muss und dieser auch wieder ein MikroTik wird, wollte ich die Konfiguration im kleinen Maßstab (hap ac2) vorbereiten.

Aktuell werden die Wlan Clients mit unterschiedlichen SSID Wlans und ether Ports separiert. Das soll künftig auch mit einer SSID realisiert werden. Zudem stört mich die Bindung der ether Ports an das letztendliche Vlan.

Daher wollte ich einen Radius Server nach dem Vorbild von Dyn. Vlan Zuweisung aufsetzen. Die Clients sollen anhand der MAC den Vlans zugewiesen werden und wenn nicht in ein AuffangVlan abgeschoben werden.

Da aktuell DHCP, Firewall Regeln, VPN etc. über die pfSense läuft, wollte ich im ersten Zuge auch hier den RadiusServer aufsetzen. Klar gibt es diesen, aber ich kann nichts zu einem AuffangVlan (Gäste Vlan) o.Ä. finden, in welches mir die unbekannten MACs abgeschoben werden.
Gibt es auch auf der pfSense (FreeRadius) die Möglichkeit das zu konfigurieren? Wenn ja, wie?

Macht es bei dieser Aufbau überhaupt Sinn den Radius auf der pfSense laufen zu lassen oder ist es besser nach der o.g. Anleitung diesen auf dem Switch (MikroTik) zu platzieren?

Danke für die Hilfe und bleibt gesund!

Content-ID: 569447

Url: https://administrator.de/forum/pfsense-mit-freeradius-und-auffang-gummizellen-vlan-569447.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

ChriBo
ChriBo 04.05.2020 um 09:05:38 Uhr
Goto Top
Hallo,
Macht es bei dieser Aufbau überhaupt Sinn den Radius auf der pfSense laufen zu lassen oder ist es besser nach der o.g. Anleitung diesen auf dem Switch (MikroTik) zu platzieren?
Meiner Meinung nach macht es keinen Sinn den Radius mit diesen Einstellungen auf der pfSense laufen zu lassen.
Du kannst auf der pfSense die Einstellungen welche nicht über das Web Frontend zu erreichen sind zwar durch direktes Editieren der entsprechenden Dateien (clients.conf) durchführen, mußt aber wahrscheinlich auch Anpassungen durchführen damit diese manuellen Änderungen nicht nach einem Reboot überschrieben werden.
Ganz problematisch wird es wenn ein Update/Upgrade der pfSense Version durchgeführt wird.
Dabei werden wahrscheinlich die angepassten Dateien mit Defaults überschrieben.
-
Nimm den Switch und gut ist.

CH
aqui
aqui 04.05.2020, aktualisiert am 15.05.2023 um 16:51:53 Uhr
Goto Top
Klar gibt es diesen, aber ich kann nichts zu einem AuffangVlan
Das gibt es so auch nicht denn dieses VLAN bestimmst ja immer DU selber !
Im Grunde ist es doch kinderleicht.

Durch das Default Setting im FreeRadius (nutzt die pfSense auch mit dem FreeRad Package !) weist du allen unbekannten Mac Adressen ja immer fest eine VLAN ID zu z.B. die 99.
#       Gummizellen VLAN
DEFAULT        Cleartext-Password := "%{User-Name}"
                        Login-Time := "Wk0800-1800" 
                        Tunnel-Type = 13,
                        Tunnel-Medium-Type = 6,
                        Tunnel-Private-Group-Id = 99 
Das bewirkt z.B. das alle Clients die sich zwischen 8 Uhr und 18 Uhr werktags einloggen automatisch ins VLAN 99 kommen. Außerhalb dieser Uhrzeit fliegen sie gleich sofort raus.
Das VLAN 99 richtest du dann ganz einfach auf der pfSense als Captive_Portal VLAN ein.
Hier machst du die User Authentisierung dann mit Gast Vouchers oder wie auch immer.

Das ist doch ganz einfache VLAN Logik ! Mit einer speziellen Radius "Gast" Funktion hat das doch nichts zu tun, die es zudem ja auch gar nicht gibt !
Siehe auch HIER.