14
Ubiquiti AC Mesh Pro mit PfSense und freeRadius
Hallo Zusammen,
ich habe ein kleines Problem mit meinen neuen Ubiquiti APs.
Ist Stand:
PfSense mit freeRadius und älteren WIFI APs.
Jeder WIFI AP ist als Radius Client mit IP, Benutzername und Passwort in der freeRadius Konsole angelegt.
System funktioniert.
Nun habe ich die neuen Ubiquiti APs eingerichtet.
Zunächst bei einem, was auch ohne Probleme funktioniert hat.
Allerdings habe ich bei der Definition des WLANs nur die Möglichkeit einen Radius Client anzugeben.
Ich kann zwar mehrere Radius Profile erstellen aber nur eines bei dem WLAN in Verbindung angeben.
Wie kann ich das lösen, dass ich mehrere Ubiquiti APs als Radius Client für das WLAN angeben kann.
Vielen Dank zunächst für eure Hilfe
ich habe ein kleines Problem mit meinen neuen Ubiquiti APs.
Ist Stand:
PfSense mit freeRadius und älteren WIFI APs.
Jeder WIFI AP ist als Radius Client mit IP, Benutzername und Passwort in der freeRadius Konsole angelegt.
System funktioniert.
Nun habe ich die neuen Ubiquiti APs eingerichtet.
Zunächst bei einem, was auch ohne Probleme funktioniert hat.
Allerdings habe ich bei der Definition des WLANs nur die Möglichkeit einen Radius Client anzugeben.
Ich kann zwar mehrere Radius Profile erstellen aber nur eines bei dem WLAN in Verbindung angeben.
Wie kann ich das lösen, dass ich mehrere Ubiquiti APs als Radius Client für das WLAN angeben kann.
Vielen Dank zunächst für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 398180
Url: https://administrator.de/contentid/398180
Ausgedruckt am: 08.11.2024 um 21:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
habe bisher das noch nicht mit Unfis gemacht, aber wenn ich es richtig im Kopf habe, ist doch das Radius Profil einfach nur die Info wie genau der Radius Server erreicht werden kann und man sich darüber dann authentifizieren kann, oder nicht? Hast du mehrere Radius Server im Einsatz?
LG
CC
habe bisher das noch nicht mit Unfis gemacht, aber wenn ich es richtig im Kopf habe, ist doch das Radius Profil einfach nur die Info wie genau der Radius Server erreicht werden kann und man sich darüber dann authentifizieren kann, oder nicht? Hast du mehrere Radius Server im Einsatz?
LG
CC
Klingt etwas wirr so das nicht wirklich klar ist was genau du meinst.
Normal definiert man im Radius eine Netzwerk Adresse. Sinnigerweise in dem Netzwerk in dem die Management IPs der APs enthalten sind.
Dann haben ALLE Accesspoints in diesem Netzwerk Zugriff auf den Radius Server.
Im FreeRadius ist das die Datei clients.conf die sieht dann so aus:
Damit haben dann alle APs (bzw. Radius Clients) aus dem IP Netz 192.168.100.0 /24 Erlaubnis auf den Radoius Server zuzugreifen.
Im FreeRadius der pfSense macht man das über einen GUI Eintrag.
Im AP selber gibst du dann unter der Schlüsselmethode einfach nur WPA Enterprise an, konfigurierst die IP Adresse des Radius Servers und das Passwort (hier: radiusgeheim)
Das wars....
Guckst du auch hier:
Freeradius Management mit WebGUI
Normal definiert man im Radius eine Netzwerk Adresse. Sinnigerweise in dem Netzwerk in dem die Management IPs der APs enthalten sind.
Dann haben ALLE Accesspoints in diesem Netzwerk Zugriff auf den Radius Server.
Im FreeRadius ist das die Datei clients.conf die sieht dann so aus:
client 192.168.100.0/24 {
secret = radiusgeheim
shortname = Machello-WLAN
} Im FreeRadius der pfSense macht man das über einen GUI Eintrag.
Im AP selber gibst du dann unter der Schlüsselmethode einfach nur WPA Enterprise an, konfigurierst die IP Adresse des Radius Servers und das Passwort (hier: radiusgeheim)
Das wars....
Guckst du auch hier:
Freeradius Management mit WebGUI
Moin,
beschreib mal bitte genauer was Du vor hast.
Im Profil der WLan Verbindung des unifi Controllers trägst Du die IP des Radius Servers ein und in der Config des Radius die IPs der APs.
Also prinzipiell wie vorher auch nur das nicht jeden AP einzeln konfigurieren musst.
-teddy
beschreib mal bitte genauer was Du vor hast.
Im Profil der WLan Verbindung des unifi Controllers trägst Du die IP des Radius Servers ein und in der Config des Radius die IPs der APs.
Also prinzipiell wie vorher auch nur das nicht jeden AP einzeln konfigurieren musst.
-teddy
Zitat von @aqui:
...Damit haben dann alle APs (bzw. Radius Clients) aus dem IP Netz 192.168.100.0 /24 Erlaubnis auf den Radoius Server zuzugreifen.
Im FreeRadius der pfSense macht man das über einen GUI Eintrag.
...Damit haben dann alle APs (bzw. Radius Clients) aus dem IP Netz 192.168.100.0 /24 Erlaubnis auf den Radoius Server zuzugreifen.
Im FreeRadius der pfSense macht man das über einen GUI Eintrag.
Im GUI ist eine Eingabe mit Netzmaske nicht möglich, gibt eine Fehlermeldung:
The following input errors were detected:
The 'Client IP Address' field must contain a valid IPv4 address when IPv4 is selected under 'Client IP Version'. -teddy
Eigentlich unverständlich.
OK, wenn dem wirklich so ist dann über die Shell gehen und die clients.conf händisch editieren.
Oder dann eben alle APs einzeln eintippern. Eigentlich Blödsinn aber wenn das GUI es so will dann ist es eben so...
OK, wenn dem wirklich so ist dann über die Shell gehen und die clients.conf händisch editieren.
Oder dann eben alle APs einzeln eintippern. Eigentlich Blödsinn aber wenn das GUI es so will dann ist es eben so...
Hatte ich mich auch schon drüber geärgert, habe sie dann jedoch einzeln eingetragen damit mir nicht die ganze Sache hinterher bei einer der nächsten Änderungen um die Ohren fliegt
-teddy
-teddy
Zitat von @Machello:
Hallo Zusammen,
ich habe ein kleines Problem mit meinen neuen Ubiquiti APs.
Ist Stand:
PfSense mit freeRadius und älteren WIFI APs.
Jeder WIFI AP ist als Radius Client mit IP, Benutzername und Passwort in der freeRadius Konsole angelegt.
System funktioniert.
Nun habe ich die neuen Ubiquiti APs eingerichtet.
Zunächst bei einem, was auch ohne Probleme funktioniert hat.
Allerdings habe ich bei der Definition des WLANs nur die Möglichkeit einen Radius Client anzugeben.
Ich kann zwar mehrere Radius Profile erstellen aber nur eines bei dem WLAN in Verbindung angeben.
Wie kann ich das lösen, dass ich mehrere Ubiquiti APs als Radius Client für das WLAN angeben kann.
Vielen Dank zunächst für eure Hilfe
Hallo Zusammen,
ich habe ein kleines Problem mit meinen neuen Ubiquiti APs.
Ist Stand:
PfSense mit freeRadius und älteren WIFI APs.
Jeder WIFI AP ist als Radius Client mit IP, Benutzername und Passwort in der freeRadius Konsole angelegt.
System funktioniert.
Nun habe ich die neuen Ubiquiti APs eingerichtet.
Zunächst bei einem, was auch ohne Probleme funktioniert hat.
Allerdings habe ich bei der Definition des WLANs nur die Möglichkeit einen Radius Client anzugeben.
Ich kann zwar mehrere Radius Profile erstellen aber nur eines bei dem WLAN in Verbindung angeben.
Wie kann ich das lösen, dass ich mehrere Ubiquiti APs als Radius Client für das WLAN angeben kann.
Vielen Dank zunächst für eure Hilfe
Moin,
Wenn es bei einem Unifi AP funktioniert, bist Du fertig mit der Konfiguration.
Alle weiteren APs bekommen vom Controller die selbe Config.
Voraussetzung hierfür ist aber, dass der Controller permanent online mit den APs verbunden ist.
Gruß
Looser
Zitat von @Looser27:
Wenn es bei einem Unifi AP funktioniert, bist Du fertig mit der Konfiguration.
Alle weiteren APs bekommen vom Controller die selbe Config.
Wenn es bei einem Unifi AP funktioniert, bist Du fertig mit der Konfiguration.
Alle weiteren APs bekommen vom Controller die selbe Config.
Der Radius muss den Zugriff auch zulassen! Deine Aussage betrifft nur die AP Seite.
Achso Fullquotes tun nicht Not
-teddy
Er schrieb doch, dass es bei einem AP funktioniert hat. Also stimmen Username und Passwort im Profil.
Das gilt aber nur für die Konfig der APs. Der Radius selber muss natürlich korrekt eingerichtet sein, damit die User sich auch anmelden können.
Das hatte ich aber vorausgesetzt.
Das gilt aber nur für die Konfig der APs. Der Radius selber muss natürlich korrekt eingerichtet sein, damit die User sich auch anmelden können.
Das hatte ich aber vorausgesetzt.
Zunächst vielen Dank für die Posts.
Vielleicht erkläre ich mein Denken noch etwas genauer.
Sagen wir mal ich hab 10 WLAN APs.
Jeder AP wird bei mir in der PfSense unter freeRadius / Clients mit IP, Benutzernamen und RadiusSecret eingepflegt.
AP1 / 192.1.....230 / Radiussecret1
AP2 / 192.1.....231 / Radiussecret2
AP2 / 192.1.....232 / Radiussecret3
..
AP10 ......
Nun habe ich bei den alten Geräten bei jedem einzelnen diese entsprechenden Daten eingepflegt und es hat alles funktioniert.
Bei den Ubiquiti Geräten kann ich aber nur ein Radius Profil für das WLAN zuweisen. Also nur einen AP betreiben weil der nächste eine andere IP Adresse hat und vom Radius Server als Client nicht akzeptiert wird.
Ein Bsp:
Radius Client:
Wlan Definition in der Ubiquiti Sw
Hier kann ich nur einen (den MeshPro_202 oder einen Anderen) angeben, der nächste WLAN AP (Bsp MeshPro_203) hat ein anderes Profil da andere IP und anderes RadiusSecret. Aber den WLAN AP den ich angeben, der wird auch akzeptiert und es geht alles. Nur eben nicht mehrere.
Radius Profil in der Ubiquiti Sw
Ich hab jeden WLAN AP als eigenen Radius Client definiert, die Möglichkeit dass ich mehrere APs mit den gleichen Benutzerdaten anmelde ist mir so nicht bekannt. Ich müsste ja dann eine Liste oder Range von IP Adressen angeben.
Vielleicht erkläre ich mein Denken noch etwas genauer.
Sagen wir mal ich hab 10 WLAN APs.
Jeder AP wird bei mir in der PfSense unter freeRadius / Clients mit IP, Benutzernamen und RadiusSecret eingepflegt.
AP1 / 192.1.....230 / Radiussecret1
AP2 / 192.1.....231 / Radiussecret2
AP2 / 192.1.....232 / Radiussecret3
..
AP10 ......
Nun habe ich bei den alten Geräten bei jedem einzelnen diese entsprechenden Daten eingepflegt und es hat alles funktioniert.
Bei den Ubiquiti Geräten kann ich aber nur ein Radius Profil für das WLAN zuweisen. Also nur einen AP betreiben weil der nächste eine andere IP Adresse hat und vom Radius Server als Client nicht akzeptiert wird.
Ein Bsp:
Radius Client:
Wlan Definition in der Ubiquiti Sw
Radius Profil in der Ubiquiti Sw
Ich hab jeden WLAN AP als eigenen Radius Client definiert, die Möglichkeit dass ich mehrere APs mit den gleichen Benutzerdaten anmelde ist mir so nicht bekannt. Ich müsste ja dann eine Liste oder Range von IP Adressen angeben.
Das Radius Passwort ist doch für alle gleich ! Ebenso der Shortname ! Das musst du niemals für alle unterschiedlich machen das ist sinnloser Aufwand.
Deshalb ja oben auch schon die Erklärung in der Datei clients.conf. Das ist die relevante Datei für den FreeRadius.
Dort steht generell eine Netzwerk Adresse und EIN Passwort und EIN Shortname !
Dieser gilt dann für ALLE Radius Clients in dem Netz.
Alle haben damit das gleiche Passwort und alle den gleichen Short Name. Es ist doch sinnfrei in einem heimnetz das alles unterschiedlich zu machen.
Der FreeRadius akzeptiert dann eingehende Radius Requests von allen diesen Clients im gesamten Netz.
Deshalb ja oben auch schon die Erklärung in der Datei clients.conf. Das ist die relevante Datei für den FreeRadius.
Dort steht generell eine Netzwerk Adresse und EIN Passwort und EIN Shortname !
Dieser gilt dann für ALLE Radius Clients in dem Netz.
Alle haben damit das gleiche Passwort und alle den gleichen Short Name. Es ist doch sinnfrei in einem heimnetz das alles unterschiedlich zu machen.
Der FreeRadius akzeptiert dann eingehende Radius Requests von allen diesen Clients im gesamten Netz.
Du machst es Dir unnötig schwer.
Du brauchst EINEN Radius-Server mit EINEM Passwort.
Hiermit legst Du in der GUI unter "Profile" EIN Radius-Profil an.
Unter "Drahtlos-Netzwerke" legst Du nun Dein WLAN-Netz an und hinterlegst das Radius-Profil.
Wenn Du nun einen AP ins LAN einsteckst, erkennt der Controller das und zeigt Dir den AP an.
Jetzt mußt Du den AP nur noch provisionieren. Hiermit wird er mit der Konfig betankt und läuft danach sofort.
Das wiederholst Du mit allen APs in der Controller-GUI und das WLAN rennt.
Gruß
Looser
Du brauchst EINEN Radius-Server mit EINEM Passwort.
Hiermit legst Du in der GUI unter "Profile" EIN Radius-Profil an.
Unter "Drahtlos-Netzwerke" legst Du nun Dein WLAN-Netz an und hinterlegst das Radius-Profil.
Wenn Du nun einen AP ins LAN einsteckst, erkennt der Controller das und zeigt Dir den AP an.
Jetzt mußt Du den AP nur noch provisionieren. Hiermit wird er mit der Konfig betankt und läuft danach sofort.
Das wiederholst Du mit allen APs in der Controller-GUI und das WLAN rennt.
Gruß
Looser
Super vielen Dank, mit der Angabe des kompletten Netzes in der clients.conf ging es dann. In der GUI ist das leider nicht möglich.... Muss man wissen. 
Das mit dem provisionieren klappt auch super, ich muss lediglich dann noch den Namen und die IP Adresse des APs anpassen und es läuft.
Klasse, noch mal vielen Dank für eure Hilfe.
Grüße
Das mit dem provisionieren klappt auch super, ich muss lediglich dann noch den Namen und die IP Adresse des APs anpassen und es läuft.
Klasse, noch mal vielen Dank für eure Hilfe.
Grüße
Gewusst wie... !
