Radius Identifikation Switch oder Access Point
Hallo!
Auf meiner pfSense läuft ein Radius Server, daran hängt ein Switch und daran wiederum ein Accesspoint (Unifi UAP-AP-PRO) als Authenticator. Das funktioniert auch ohne Probleme. Jetzt tausche ich jedoch den Switch auf einen Unifi US-16-150W aus, der ebenfalls als Authenticator arbeiten kann - mit den Access Point dahinter wäre das jedoch nicht sinnvoll, da der Client ja dann doppelt identifiziert werden würde.
Wir muss die richte Konfiguration aussehen wenn ich sowohl die WLAN-Clients als auch die LAN-Clients über Radius indentifizieren möchte.
Danke für Eure Tipps.
Thomas
Auf meiner pfSense läuft ein Radius Server, daran hängt ein Switch und daran wiederum ein Accesspoint (Unifi UAP-AP-PRO) als Authenticator. Das funktioniert auch ohne Probleme. Jetzt tausche ich jedoch den Switch auf einen Unifi US-16-150W aus, der ebenfalls als Authenticator arbeiten kann - mit den Access Point dahinter wäre das jedoch nicht sinnvoll, da der Client ja dann doppelt identifiziert werden würde.
Wir muss die richte Konfiguration aussehen wenn ich sowohl die WLAN-Clients als auch die LAN-Clients über Radius indentifizieren möchte.
Danke für Eure Tipps.
Thomas
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 353253
Url: https://administrator.de/forum/radius-identifikation-switch-oder-access-point-353253.html
Ausgedruckt am: 03.06.2025 um 23:06 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
ich würde den Radius Server von der pfSense benutzen wollen. Zum einen habe ich dort dann alles zusammen an
einem Punkt zum administrieren und zum Anderen hat man dann auch die Möglichkeit dort mehrere Gruppen
anzulegen und man kann zusätzlich noch diesen Radius Server für das "Captive Portal" benutzen wenn man
möchte.
Gruß
Dobby
ich würde den Radius Server von der pfSense benutzen wollen. Zum einen habe ich dort dann alles zusammen an
einem Punkt zum administrieren und zum Anderen hat man dann auch die Möglichkeit dort mehrere Gruppen
anzulegen und man kann zusätzlich noch diesen Radius Server für das "Captive Portal" benutzen wenn man
möchte.
Gruß
Dobby
Schon klar pfSense als Server steht auch für mich außer Frage.
Der Punkt ist jedoch der Authenticator, der für die WLAN-Clients jetzt auf dem Access Point läuft. Ich möchte jedoch auch die LAN-Clients über Radius authentifizieren, da würde ich dann den Switch als Authenticator einsetzen.
Für die LAN-Clients würde das auch funktionieren. Die WAN-Clients würden dann doppelt authentifiziert, Switch und dann nochmals Access Point. Das kann nicht richtig sein. Wie geht's richtig.
Thomas
Der Punkt ist jedoch der Authenticator, der für die WLAN-Clients jetzt auf dem Access Point läuft. Ich möchte jedoch auch die LAN-Clients über Radius authentifizieren, da würde ich dann den Switch als Authenticator einsetzen.
Für die LAN-Clients würde das auch funktionieren. Die WAN-Clients würden dann doppelt authentifiziert, Switch und dann nochmals Access Point. Das kann nicht richtig sein. Wie geht's richtig.
Thomas
Der reguläre Weg dafür ist: Die Ports, an denen regulär mehrere Clients hängen (WLAN-AP, weiterer Switch,...) werden schlicht von der Authentifizierung ausgenommen und diese stattdessen nach hinten verlagert - in deinem Fall auf den WLAN-AP.
Moin,
du willst den Netzwerkport an dem Accesspoints oder der WLC hängen als "automatic authenticated" haben - es sei denn die Ports wären irgendwie zugänglich dann machst du am Switch die Port-Auth via MAC-Adresse für den Access-Point/WLC, aber nicht mehr für die Gast-Geräte. Denn an dem Port braucht sich ja nur der AP / WLC anmelden, den Rest hat der ja schon beglaubigt...
du willst den Netzwerkport an dem Accesspoints oder der WLC hängen als "automatic authenticated" haben - es sei denn die Ports wären irgendwie zugänglich dann machst du am Switch die Port-Auth via MAC-Adresse für den Access-Point/WLC, aber nicht mehr für die Gast-Geräte. Denn an dem Port braucht sich ja nur der AP / WLC anmelden, den Rest hat der ja schon beglaubigt...
