3
Radius Vlan Dedicated Server VPN
Hallo zusammen,
derzeit habe ich zu Hause einen Proxmox Server auf dem u.a. FreeRadius (dynamisches VLAN) und der Unifi Controller läuft. Der Radius Server sortiert anhand der MAC Adressen die verschiedenen WLAN Geräte den VLANs zu. Der Freeradius Server läuft im Management VLAN 192.168.1.X. Das funktioniert auch sehr gut.
Aus verschiedensten Gründen haben ich mir bei Hetzner einen Dedicated Server gemietet. Dieser ist per Wireguard VPN mit der Firewall verbunden. Der Hetzner Server hat die Erlaubnis mit allen VLANS zu Hause zu kommunizieren. Jetzt würde ich auch gerne den Radius Server auf den Hetzner Server umziehen. Sobald er allerdings eine IP 192.168.11.X aus dem Hetzner Netzwerk bekommt, erfolgt keine Radius Zuweisung mehr. Erreichbar ist der RadiusServer von zu Hause aus, d.h. ich komme auf die GUI und kann ihn auch pingen.
Der Unifi Controller läuft bereits auf dem Hetzner Server.
Gibt es eine Möglichkeit, dass ich den Radius Server umziehen kann und er dann noch funktioniert? Ich stehe glaube ich da derzeit auf dem "Schlauch".
Grüße
Rafael
derzeit habe ich zu Hause einen Proxmox Server auf dem u.a. FreeRadius (dynamisches VLAN) und der Unifi Controller läuft. Der Radius Server sortiert anhand der MAC Adressen die verschiedenen WLAN Geräte den VLANs zu. Der Freeradius Server läuft im Management VLAN 192.168.1.X. Das funktioniert auch sehr gut.
Aus verschiedensten Gründen haben ich mir bei Hetzner einen Dedicated Server gemietet. Dieser ist per Wireguard VPN mit der Firewall verbunden. Der Hetzner Server hat die Erlaubnis mit allen VLANS zu Hause zu kommunizieren. Jetzt würde ich auch gerne den Radius Server auf den Hetzner Server umziehen. Sobald er allerdings eine IP 192.168.11.X aus dem Hetzner Netzwerk bekommt, erfolgt keine Radius Zuweisung mehr. Erreichbar ist der RadiusServer von zu Hause aus, d.h. ich komme auf die GUI und kann ihn auch pingen.
Der Unifi Controller läuft bereits auf dem Hetzner Server.
Gibt es eine Möglichkeit, dass ich den Radius Server umziehen kann und er dann noch funktioniert? Ich stehe glaube ich da derzeit auf dem "Schlauch".
Grüße
Rafael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667295
Url: https://administrator.de/contentid/667295
Printed on: May 8, 2024 at 15:05 o'clock
3 Comments
Latest comment
Eigentlich ist das ein simples Standard Design und sollte fehlerfrei funktionieren. Details zu so einem Standard Setup findest du auch HIER.
Man kann nur vermuten das in deiner Radius Server Konfig die Netzzuweisungen nicht stimmen oder das Radius Passwort.
Siehe auch: Freeradius Management mit WebGUI
Um das zu verifizieren solltest du den Daemon einmal mit systemctl stop freeradius stoppen und ihn dann im Debug Mode mit freeradius -X starten.
Dann nimmst du ein Radius Client Test Tool wie z.B. NTRadPing
oder auch das Linux bordeigene Radus Testtool radtest.
Damit lässt du mal einen Test Radius Request auf den FreeRadius los und checkst einmal das wer Debugger dir dann rausgibt.
Kommen dort keinerlei Debugger Meldungen, kommen die Radius Request Frames gar nicht erst beim Server an.
Dann hast du wahrscheinlich primär erstmal ein VPN Problem !
Dann hilft ein tcpdump port 1812 auf dem Server um zu sehen ob dort überhaupt Radius Frames ankommen aus deinem Netzwerk. Siehst du dort auch nichts ist deine Wireguard Konfig sehr wahrscheinlich falsch so das das Absender IP Netz des Authenticators der die Radius Requests an den Server sendet (AP oder Controller) vermutlich nicht im VPN Tunnel geforwardet wird.
Hilfe findest du zu den VPN Themen auch hier.
Möglich ist ggf. auch eine falsch konfigurierte Firewall (iptables) auf dem Server sofern dort eine aktiv ist.
Wie die FreeRadius Debug Messages aussehen kannst du u.a. hier sehen.
Wäre also zielführend wenn du für ein Troubleshooting die Ursache zumindestens mit diesen simplen Tests erstmal grob einkreisen könntest.
Man kann nur vermuten das in deiner Radius Server Konfig die Netzzuweisungen nicht stimmen oder das Radius Passwort.
Siehe auch: Freeradius Management mit WebGUI
Um das zu verifizieren solltest du den Daemon einmal mit systemctl stop freeradius stoppen und ihn dann im Debug Mode mit freeradius -X starten.
Dann nimmst du ein Radius Client Test Tool wie z.B. NTRadPing
Damit lässt du mal einen Test Radius Request auf den FreeRadius los und checkst einmal das wer Debugger dir dann rausgibt.
Kommen dort keinerlei Debugger Meldungen, kommen die Radius Request Frames gar nicht erst beim Server an.
Dann hast du wahrscheinlich primär erstmal ein VPN Problem !
Dann hilft ein tcpdump port 1812 auf dem Server um zu sehen ob dort überhaupt Radius Frames ankommen aus deinem Netzwerk. Siehst du dort auch nichts ist deine Wireguard Konfig sehr wahrscheinlich falsch so das das Absender IP Netz des Authenticators der die Radius Requests an den Server sendet (AP oder Controller) vermutlich nicht im VPN Tunnel geforwardet wird.
Hilfe findest du zu den VPN Themen auch hier.
Möglich ist ggf. auch eine falsch konfigurierte Firewall (iptables) auf dem Server sofern dort eine aktiv ist.
Wie die FreeRadius Debug Messages aussehen kannst du u.a. hier sehen.
Wäre also zielführend wenn du für ein Troubleshooting die Ursache zumindestens mit diesen simplen Tests erstmal grob einkreisen könntest.
Super..... hat funktionert.
Vielen Dank.
Es war am Ende einfach ein Fehler in der Clients.conf. Mit NTRADPING habe ich mehr oder weniger gleich gefunden.
Vielen Dank
Rafael
Vielen Dank.
Es war am Ende einfach ein Fehler in der Clients.conf. Mit NTRADPING habe ich mehr oder weniger gleich gefunden.
Vielen Dank
Rafael
👍
