markbeaker
Goto Top

Radius über Site to Site VPN

Hallo zusammen,

ich habe folgende Wlan Infrastruktur:
Als Controller kommt ein Unifi Network Controller zum Einsatz (Basis = Ubuntu)
Als Radiusserver ein Windows Server 2022 mit entsprechender NPS
Am Controller ist ein entsprechendes Profil hinterlegt.

Beides funktioniert einwandfrei seit Jahren.

Nun hab ich eine Außenstellen, die via VPN angebunden ist.
Ein enstrechender Unifi Controller ist bereits dort eingerichtet und konfiguriert.
Als Radius soll natürlich der Server am Hauptstandort dienen.

Vor ich mich jetzt mit den Accesspoints auf den Weg zur Außenstelle mache,
hat jemand Erfahrung oder Infos ob es Probleme mit dem Radius via VPN geben könnte?

LG
Christian

Content-ID: 83431720507

Url: https://administrator.de/forum/radius-ueber-site-to-site-vpn-83431720507.html

Ausgedruckt am: 22.12.2024 um 03:12 Uhr

11078840001
Lösung 11078840001 05.03.2024 aktualisiert um 16:04:00 Uhr
Goto Top
Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.

Und wenn, hast du ja sicher jederzeit Zugriff auf deine Server der Hauptstelle um was vergessenes zu fixen 🤪, aber zur Sicherheit nochmal vorher deine Checkliste abhaken.

Gut geplant sollte das ein "Andübeln-Test-Und-Tschüß-Job" werden. Good Luck 😉

☠️
aqui
aqui 05.03.2024 aktualisiert um 15:12:18 Uhr
Goto Top
Infos ob es Probleme mit dem Radius via VPN geben könnte?
Funktioniert wie oben schon vom Kollegen @11078840001 gesagt fehlerlos wenn das S2S VPN aktiv ist und die lokale Winblows Firewall Radius Pakete aus fremden IP Netzen passieren lässt für den NPS. Guckst du auch HIER.
Fragt sich warum du nicht wie beim Radius einfach den WLAN Controller am Hautptstandort nutzt anstatt einen überflüssigen, weiteren remote zu installieren?! 🤔
radiogugu
radiogugu 05.03.2024 um 15:53:27 Uhr
Goto Top
Mahlzeit.

Spricht etwas dagegen am Hauptstandort den Controller auch für die Nebenstandorte zu verwenden?

Ich würde den Controller und die AP dafür in eine separate DMZ stellen und diese dann über den Tunnel kommunizieren lassen.

Der Traffic is ja verschwindend gering, da nur ein bisschen Telemetrie von den APs an den Controller geschubst werden muss.

Ansonsten der Kollege @11078840001 hat ja einen passenden Vorschlag unterbreitet.

Gruß
Marc
MarkBeaker
MarkBeaker 05.03.2024 um 16:27:38 Uhr
Goto Top
Zitat von @11078840001:

Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.

Das mit AD unter Sites and Services ist ein guter Punkt, dass muss ich noch checken.


Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.

Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.

Ich werde nochmals berichten sobald der Ausflug beendet ist face-smile

LG
11078840001
11078840001 05.03.2024 um 18:11:52 Uhr
Goto Top
Zitat von @MarkBeaker:

Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
Evt. mal auf den APs direkt schauen.
https://community.ui.com/questions/Extend-Radius-Timeout-for-purpose-of- ...
Mr-Gustav
Mr-Gustav 06.03.2024 um 11:38:42 Uhr
Goto Top
Sollte wenn vom Netzwerk her alls richtig konfiguriert ist funktionieren.

Wir betreiben ein ähnliches Setup für mehrere Standorte von unserem Hauptsitz aus.
Dort haben wir 2 Cisco Controller und 2 oder 3? NPS in der DMZ stehen.
Wichtig ist Routing / Firewall und das die Subnetze im AD gepflegt sind.
Das ganze braucht jetzt nicht wirklich viel Bandbreite.

Ich kenn jetzt die AP´s nicht aber bei den Cisco AP´s war es mal meine zeitlang so das man den
lokalen Traffic Breake Out konfigurieren muss denn wenn nicht wandert alles zum Controller und geht dann vom da aus ins Netz. Belastet das VPN.....
Kommt alles auf die Konfig an aber den Breake Out würde ich wenn es möglich ist IMMER lokal lassen
aqui
aqui 06.03.2024 aktualisiert um 12:02:33 Uhr
Goto Top
Richtig! Dieser Break Out oder auch local Termination genannt ist bzw. sollte mittlerweile überall Standard sein wenn man skalierbare WLAN Netze mit Controllern betreibt.
Bei Cisco heisst das übrigens "FlexConnect". 😉
https://www.cisco.com/c/de_de/support/docs/wireless/catalyst-9800-series ...
Mr-Gustav
Mr-Gustav 06.03.2024 um 15:07:11 Uhr
Goto Top
Genau Flexconnect einrichten andernfalls geht der Traffic über den Tunnel es sei denn es ist so gewollt.
Kann ja durchaus auch Vorteile haben für Verwaltungsnetze usw..... Spart u.U. Firewallregeln
MarkBeaker
Lösung MarkBeaker 13.03.2024 um 14:05:28 Uhr
Goto Top
Hallo zusammen,
hier mein kurzes Feedback noch:

Die Umsetzung hat wie angedacht funktioniert.
Eine neue Site im AD anlegen war nicht nötig, auch hat es keine Anpassungen weiter an den Accesspoints gebraucht.

Besten Dank für euren Input.

LG
Christian