Radius über Site to Site VPN
Hallo zusammen,
ich habe folgende Wlan Infrastruktur:
Als Controller kommt ein Unifi Network Controller zum Einsatz (Basis = Ubuntu)
Als Radiusserver ein Windows Server 2022 mit entsprechender NPS
Am Controller ist ein entsprechendes Profil hinterlegt.
Beides funktioniert einwandfrei seit Jahren.
Nun hab ich eine Außenstellen, die via VPN angebunden ist.
Ein enstrechender Unifi Controller ist bereits dort eingerichtet und konfiguriert.
Als Radius soll natürlich der Server am Hauptstandort dienen.
Vor ich mich jetzt mit den Accesspoints auf den Weg zur Außenstelle mache,
hat jemand Erfahrung oder Infos ob es Probleme mit dem Radius via VPN geben könnte?
LG
Christian
ich habe folgende Wlan Infrastruktur:
Als Controller kommt ein Unifi Network Controller zum Einsatz (Basis = Ubuntu)
Als Radiusserver ein Windows Server 2022 mit entsprechender NPS
Am Controller ist ein entsprechendes Profil hinterlegt.
Beides funktioniert einwandfrei seit Jahren.
Nun hab ich eine Außenstellen, die via VPN angebunden ist.
Ein enstrechender Unifi Controller ist bereits dort eingerichtet und konfiguriert.
Als Radius soll natürlich der Server am Hauptstandort dienen.
Vor ich mich jetzt mit den Accesspoints auf den Weg zur Außenstelle mache,
hat jemand Erfahrung oder Infos ob es Probleme mit dem Radius via VPN geben könnte?
LG
Christian
Please also mark the comments that contributed to the solution of the article
Content-ID: 83431720507
Url: https://administrator.de/contentid/83431720507
Printed on: December 3, 2024 at 12:12 o'clock
9 Comments
Latest comment
Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.
Und wenn, hast du ja sicher jederzeit Zugriff auf deine Server der Hauptstelle um was vergessenes zu fixen 🤪, aber zur Sicherheit nochmal vorher deine Checkliste abhaken.
Gut geplant sollte das ein "Andübeln-Test-Und-Tschüß-Job" werden. Good Luck 😉
☠️
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.
Und wenn, hast du ja sicher jederzeit Zugriff auf deine Server der Hauptstelle um was vergessenes zu fixen 🤪, aber zur Sicherheit nochmal vorher deine Checkliste abhaken.
Gut geplant sollte das ein "Andübeln-Test-Und-Tschüß-Job" werden. Good Luck 😉
☠️
Infos ob es Probleme mit dem Radius via VPN geben könnte?
Funktioniert wie oben schon vom Kollegen @11078840001 gesagt fehlerlos wenn das S2S VPN aktiv ist und die lokale Winblows Firewall Radius Pakete aus fremden IP Netzen passieren lässt für den NPS. Guckst du auch HIER.Fragt sich warum du nicht wie beim Radius einfach den WLAN Controller am Hautptstandort nutzt anstatt einen überflüssigen, weiteren remote zu installieren?! 🤔
Mahlzeit.
Spricht etwas dagegen am Hauptstandort den Controller auch für die Nebenstandorte zu verwenden?
Ich würde den Controller und die AP dafür in eine separate DMZ stellen und diese dann über den Tunnel kommunizieren lassen.
Der Traffic is ja verschwindend gering, da nur ein bisschen Telemetrie von den APs an den Controller geschubst werden muss.
Ansonsten der Kollege @11078840001 hat ja einen passenden Vorschlag unterbreitet.
Gruß
Marc
Spricht etwas dagegen am Hauptstandort den Controller auch für die Nebenstandorte zu verwenden?
Ich würde den Controller und die AP dafür in eine separate DMZ stellen und diese dann über den Tunnel kommunizieren lassen.
Der Traffic is ja verschwindend gering, da nur ein bisschen Telemetrie von den APs an den Controller geschubst werden muss.
Ansonsten der Kollege @11078840001 hat ja einen passenden Vorschlag unterbreitet.
Gruß
Marc
Zitat von @MarkBeaker:
Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
Evt. mal auf den APs direkt schauen.Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
https://community.ui.com/questions/Extend-Radius-Timeout-for-purpose-of- ...
Sollte wenn vom Netzwerk her alls richtig konfiguriert ist funktionieren.
Wir betreiben ein ähnliches Setup für mehrere Standorte von unserem Hauptsitz aus.
Dort haben wir 2 Cisco Controller und 2 oder 3? NPS in der DMZ stehen.
Wichtig ist Routing / Firewall und das die Subnetze im AD gepflegt sind.
Das ganze braucht jetzt nicht wirklich viel Bandbreite.
Ich kenn jetzt die AP´s nicht aber bei den Cisco AP´s war es mal meine zeitlang so das man den
lokalen Traffic Breake Out konfigurieren muss denn wenn nicht wandert alles zum Controller und geht dann vom da aus ins Netz. Belastet das VPN.....
Kommt alles auf die Konfig an aber den Breake Out würde ich wenn es möglich ist IMMER lokal lassen
Wir betreiben ein ähnliches Setup für mehrere Standorte von unserem Hauptsitz aus.
Dort haben wir 2 Cisco Controller und 2 oder 3? NPS in der DMZ stehen.
Wichtig ist Routing / Firewall und das die Subnetze im AD gepflegt sind.
Das ganze braucht jetzt nicht wirklich viel Bandbreite.
Ich kenn jetzt die AP´s nicht aber bei den Cisco AP´s war es mal meine zeitlang so das man den
lokalen Traffic Breake Out konfigurieren muss denn wenn nicht wandert alles zum Controller und geht dann vom da aus ins Netz. Belastet das VPN.....
Kommt alles auf die Konfig an aber den Breake Out würde ich wenn es möglich ist IMMER lokal lassen
Richtig! Dieser Break Out oder auch local Termination genannt ist bzw. sollte mittlerweile überall Standard sein wenn man skalierbare WLAN Netze mit Controllern betreibt.
Bei Cisco heisst das übrigens "FlexConnect". 😉
https://www.cisco.com/c/de_de/support/docs/wireless/catalyst-9800-series ...
Bei Cisco heisst das übrigens "FlexConnect". 😉
https://www.cisco.com/c/de_de/support/docs/wireless/catalyst-9800-series ...