9
Radius über Site to Site VPN
Hallo zusammen,
ich habe folgende Wlan Infrastruktur:
Als Controller kommt ein Unifi Network Controller zum Einsatz (Basis = Ubuntu)
Als Radiusserver ein Windows Server 2022 mit entsprechender NPS
Am Controller ist ein entsprechendes Profil hinterlegt.
Beides funktioniert einwandfrei seit Jahren.
Nun hab ich eine Außenstellen, die via VPN angebunden ist.
Ein enstrechender Unifi Controller ist bereits dort eingerichtet und konfiguriert.
Als Radius soll natürlich der Server am Hauptstandort dienen.
Vor ich mich jetzt mit den Accesspoints auf den Weg zur Außenstelle mache,
hat jemand Erfahrung oder Infos ob es Probleme mit dem Radius via VPN geben könnte?
LG
Christian
ich habe folgende Wlan Infrastruktur:
Als Controller kommt ein Unifi Network Controller zum Einsatz (Basis = Ubuntu)
Als Radiusserver ein Windows Server 2022 mit entsprechender NPS
Am Controller ist ein entsprechendes Profil hinterlegt.
Beides funktioniert einwandfrei seit Jahren.
Nun hab ich eine Außenstellen, die via VPN angebunden ist.
Ein enstrechender Unifi Controller ist bereits dort eingerichtet und konfiguriert.
Als Radius soll natürlich der Server am Hauptstandort dienen.
Vor ich mich jetzt mit den Accesspoints auf den Weg zur Außenstelle mache,
hat jemand Erfahrung oder Infos ob es Probleme mit dem Radius via VPN geben könnte?
LG
Christian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83431720507
Url: https://administrator.de/contentid/83431720507
Ausgedruckt am: 21.11.2024 um 18:11 Uhr
9 Kommentare
Neuester Kommentar
Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.
Und wenn, hast du ja sicher jederzeit Zugriff auf deine Server der Hauptstelle um was vergessenes zu fixen 🤪, aber zur Sicherheit nochmal vorher deine Checkliste abhaken.
Gut geplant sollte das ein "Andübeln-Test-Und-Tschüß-Job" werden. Good Luck 😉
☠️
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.
Und wenn, hast du ja sicher jederzeit Zugriff auf deine Server der Hauptstelle um was vergessenes zu fixen 🤪, aber zur Sicherheit nochmal vorher deine Checkliste abhaken.
Gut geplant sollte das ein "Andübeln-Test-Und-Tschüß-Job" werden. Good Luck 😉
☠️
1
Infos ob es Probleme mit dem Radius via VPN geben könnte?
Funktioniert wie oben schon vom Kollegen @11078840001 gesagt fehlerlos wenn das S2S VPN aktiv ist und die lokale Winblows Firewall Radius Pakete aus fremden IP Netzen passieren lässt für den NPS. Guckst du auch HIER.Fragt sich warum du nicht wie beim Radius einfach den WLAN Controller am Hautptstandort nutzt anstatt einen überflüssigen, weiteren remote zu installieren?! 🤔
Mahlzeit.
Spricht etwas dagegen am Hauptstandort den Controller auch für die Nebenstandorte zu verwenden?
Ich würde den Controller und die AP dafür in eine separate DMZ stellen und diese dann über den Tunnel kommunizieren lassen.
Der Traffic is ja verschwindend gering, da nur ein bisschen Telemetrie von den APs an den Controller geschubst werden muss.
Ansonsten der Kollege @11078840001 hat ja einen passenden Vorschlag unterbreitet.
Gruß
Marc
Spricht etwas dagegen am Hauptstandort den Controller auch für die Nebenstandorte zu verwenden?
Ich würde den Controller und die AP dafür in eine separate DMZ stellen und diese dann über den Tunnel kommunizieren lassen.
Der Traffic is ja verschwindend gering, da nur ein bisschen Telemetrie von den APs an den Controller geschubst werden muss.
Ansonsten der Kollege @11078840001 hat ja einen passenden Vorschlag unterbreitet.
Gruß
Marc
1
Zitat von @11078840001:
Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.
Solange dein Routing steht, die Firewalls sowohl an den Routern als auch in der Windows Firewall des NPS den Traffic auf Port 1812,1813 UDP von den APs durchlassen und die Subnetze der Außenstellen im AD unter Sites and Services korrekt hinterlegt sind, die Radius-Clients für die APs korrekt im NPS hinterlegt sind, die NPS Policies stimmen und die Clients korrekte Credentials besitzen sollte es eigentlich keine Probleme geben.
Das mit AD unter Sites and Services ist ein guter Punkt, dass muss ich noch checken.
Falls das VPN höhere Laufzeiten/Latenzen haben sollte (z.B. wegen LTE oder ähnlich) , evt. die Radius-Timeouts an den APs etwas erhöhen.
Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
Ich werde nochmals berichten sobald der Ausflug beendet ist
LG
Zitat von @MarkBeaker:
Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
Evt. mal auf den APs direkt schauen.Daran hab ich schon gedacht, nur finde ich beim Unifi Controller keinen Punkt dazu.
https://community.ui.com/questions/Extend-Radius-Timeout-for-purpose-of- ...
Sollte wenn vom Netzwerk her alls richtig konfiguriert ist funktionieren.
Wir betreiben ein ähnliches Setup für mehrere Standorte von unserem Hauptsitz aus.
Dort haben wir 2 Cisco Controller und 2 oder 3? NPS in der DMZ stehen.
Wichtig ist Routing / Firewall und das die Subnetze im AD gepflegt sind.
Das ganze braucht jetzt nicht wirklich viel Bandbreite.
Ich kenn jetzt die AP´s nicht aber bei den Cisco AP´s war es mal meine zeitlang so das man den
lokalen Traffic Breake Out konfigurieren muss denn wenn nicht wandert alles zum Controller und geht dann vom da aus ins Netz. Belastet das VPN.....
Kommt alles auf die Konfig an aber den Breake Out würde ich wenn es möglich ist IMMER lokal lassen
Wir betreiben ein ähnliches Setup für mehrere Standorte von unserem Hauptsitz aus.
Dort haben wir 2 Cisco Controller und 2 oder 3? NPS in der DMZ stehen.
Wichtig ist Routing / Firewall und das die Subnetze im AD gepflegt sind.
Das ganze braucht jetzt nicht wirklich viel Bandbreite.
Ich kenn jetzt die AP´s nicht aber bei den Cisco AP´s war es mal meine zeitlang so das man den
lokalen Traffic Breake Out konfigurieren muss denn wenn nicht wandert alles zum Controller und geht dann vom da aus ins Netz. Belastet das VPN.....
Kommt alles auf die Konfig an aber den Breake Out würde ich wenn es möglich ist IMMER lokal lassen
1
Richtig! Dieser Break Out oder auch local Termination genannt ist bzw. sollte mittlerweile überall Standard sein wenn man skalierbare WLAN Netze mit Controllern betreibt.
Bei Cisco heisst das übrigens "FlexConnect". 😉
https://www.cisco.com/c/de_de/support/docs/wireless/catalyst-9800-series ...
Bei Cisco heisst das übrigens "FlexConnect". 😉
https://www.cisco.com/c/de_de/support/docs/wireless/catalyst-9800-series ...
Genau Flexconnect einrichten andernfalls geht der Traffic über den Tunnel es sei denn es ist so gewollt.
Kann ja durchaus auch Vorteile haben für Verwaltungsnetze usw..... Spart u.U. Firewallregeln
Kann ja durchaus auch Vorteile haben für Verwaltungsnetze usw..... Spart u.U. Firewallregeln
Hallo zusammen,
hier mein kurzes Feedback noch:
Die Umsetzung hat wie angedacht funktioniert.
Eine neue Site im AD anlegen war nicht nötig, auch hat es keine Anpassungen weiter an den Accesspoints gebraucht.
Besten Dank für euren Input.
LG
Christian
hier mein kurzes Feedback noch:
Die Umsetzung hat wie angedacht funktioniert.
Eine neue Site im AD anlegen war nicht nötig, auch hat es keine Anpassungen weiter an den Accesspoints gebraucht.
Besten Dank für euren Input.
LG
Christian
