markbeaker
Goto Top

Radius über Site to Site VPN

Hallo zusammen,

ich habe folgende Wlan Infrastruktur:
Als Controller kommt ein Unifi Network Controller zum Einsatz (Basis = Ubuntu)
Als Radiusserver ein Windows Server 2022 mit entsprechender NPS
Am Controller ist ein entsprechendes Profil hinterlegt.

Beides funktioniert einwandfrei seit Jahren.

Nun hab ich eine Außenstellen, die via VPN angebunden ist.
Ein enstrechender Unifi Controller ist bereits dort eingerichtet und konfiguriert.
Als Radius soll natürlich der Server am Hauptstandort dienen.

Vor ich mich jetzt mit den Accesspoints auf den Weg zur Außenstelle mache,
hat jemand Erfahrung oder Infos ob es Probleme mit dem Radius via VPN geben könnte?

LG
Christian

Content-ID: 83431720507

Url: https://administrator.de/contentid/83431720507

Printed on: December 3, 2024 at 12:12 o'clock

11078840001
Solution 11078840001 Mar 05, 2024 updated at 15:04:00 (UTC)
Goto Top
Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.

Und wenn, hast du ja sicher jederzeit Zugriff auf deine Server der Hauptstelle um was vergessenes zu fixen 🤪, aber zur Sicherheit nochmal vorher deine Checkliste abhaken.

Gut geplant sollte das ein "Andübeln-Test-Und-Tschüß-Job" werden. Good Luck 😉

☠️
aqui
aqui Mar 05, 2024 updated at 14:12:18 (UTC)
Goto Top
Infos ob es Probleme mit dem Radius via VPN geben könnte?
Funktioniert wie oben schon vom Kollegen @11078840001 gesagt fehlerlos wenn das S2S VPN aktiv ist und die lokale Winblows Firewall Radius Pakete aus fremden IP Netzen passieren lässt für den NPS. Guckst du auch HIER.
Fragt sich warum du nicht wie beim Radius einfach den WLAN Controller am Hautptstandort nutzt anstatt einen überflüssigen, weiteren remote zu installieren?! 🤔
radiogugu
radiogugu Mar 05, 2024 at 14:53:27 (UTC)
Goto Top
Mahlzeit.

Spricht etwas dagegen am Hauptstandort den Controller auch für die Nebenstandorte zu verwenden?

Ich würde den Controller und die AP dafür in eine separate DMZ stellen und diese dann über den Tunnel kommunizieren lassen.

Der Traffic is ja verschwindend gering, da nur ein bisschen Telemetrie von den APs an den Controller geschubst werden muss.

Ansonsten der Kollege @11078840001 hat ja einen passenden Vorschlag unterbreitet.

Gruß
Marc
MarkBeaker
MarkBeaker Mar 05, 2024 at 15:27:38 (UTC)
Goto Top
Zitat von @11078840001:

Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.

Das mit AD unter Sites and Services ist ein guter Punkt, dass muss ich noch checken.


Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.

Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.

Ich werde nochmals berichten sobald der Ausflug beendet ist face-smile

LG
11078840001
11078840001 Mar 05, 2024 at 17:11:52 (UTC)
Goto Top
Zitat von @MarkBeaker:

Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
Evt. mal auf den APs direkt schauen.
https://community.ui.com/questions/Extend-Radius-Timeout-for-purpose-of- ...
Mr-Gustav
Mr-Gustav Mar 06, 2024 at 10:38:42 (UTC)
Goto Top
Sollte wenn vom Netzwerk her alls richtig konfiguriert ist funktionieren.

Wir betreiben ein ähnliches Setup für mehrere Standorte von unserem Hauptsitz aus.
Dort haben wir 2 Cisco Controller und 2 oder 3? NPS in der DMZ stehen.
Wichtig ist Routing / Firewall und das die Subnetze im AD gepflegt sind.
Das ganze braucht jetzt nicht wirklich viel Bandbreite.

Ich kenn jetzt die AP´s nicht aber bei den Cisco AP´s war es mal meine zeitlang so das man den
lokalen Traffic Breake Out konfigurieren muss denn wenn nicht wandert alles zum Controller und geht dann vom da aus ins Netz. Belastet das VPN.....
Kommt alles auf die Konfig an aber den Breake Out würde ich wenn es möglich ist IMMER lokal lassen
aqui
aqui Mar 06, 2024 updated at 11:02:33 (UTC)
Goto Top
Richtig! Dieser Break Out oder auch local Termination genannt ist bzw. sollte mittlerweile überall Standard sein wenn man skalierbare WLAN Netze mit Controllern betreibt.
Bei Cisco heisst das übrigens "FlexConnect". 😉
https://www.cisco.com/c/de_de/support/docs/wireless/catalyst-9800-series ...
Mr-Gustav
Mr-Gustav Mar 06, 2024 at 14:07:11 (UTC)
Goto Top
Genau Flexconnect einrichten andernfalls geht der Traffic über den Tunnel es sei denn es ist so gewollt.
Kann ja durchaus auch Vorteile haben für Verwaltungsnetze usw..... Spart u.U. Firewallregeln
MarkBeaker
Solution MarkBeaker Mar 13, 2024 at 13:05:28 (UTC)
Goto Top
Hallo zusammen,
hier mein kurzes Feedback noch:

Die Umsetzung hat wie angedacht funktioniert.
Eine neue Site im AD anlegen war nicht nötig, auch hat es keine Anpassungen weiter an den Accesspoints gebraucht.

Besten Dank für euren Input.

LG
Christian