machello
Goto Top

Ubiquiti AC Mesh Pro mit PfSense und freeRadius

Hallo Zusammen,

ich habe ein kleines Problem mit meinen neuen Ubiquiti APs.

Ist Stand:
PfSense mit freeRadius und älteren WIFI APs.
Jeder WIFI AP ist als Radius Client mit IP, Benutzername und Passwort in der freeRadius Konsole angelegt.
System funktioniert.

Nun habe ich die neuen Ubiquiti APs eingerichtet.
Zunächst bei einem, was auch ohne Probleme funktioniert hat.
Allerdings habe ich bei der Definition des WLANs nur die Möglichkeit einen Radius Client anzugeben.
Ich kann zwar mehrere Radius Profile erstellen aber nur eines bei dem WLAN in Verbindung angeben.

Wie kann ich das lösen, dass ich mehrere Ubiquiti APs als Radius Client für das WLAN angeben kann.

Vielen Dank zunächst für eure Hilfe

Content-ID: 398180

Url: https://administrator.de/contentid/398180

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

Cometcola
Cometcola 14.01.2019 um 08:53:38 Uhr
Goto Top
Moin,

habe bisher das noch nicht mit Unfis gemacht, aber wenn ich es richtig im Kopf habe, ist doch das Radius Profil einfach nur die Info wie genau der Radius Server erreicht werden kann und man sich darüber dann authentifizieren kann, oder nicht? Hast du mehrere Radius Server im Einsatz?

LG
CC
aqui
aqui 14.01.2019, aktualisiert am 15.05.2023 um 16:40:24 Uhr
Goto Top
Klingt etwas wirr so das nicht wirklich klar ist was genau du meinst.
Normal definiert man im Radius eine Netzwerk Adresse. Sinnigerweise in dem Netzwerk in dem die Management IPs der APs enthalten sind.
Dann haben ALLE Accesspoints in diesem Netzwerk Zugriff auf den Radius Server.
Im FreeRadius ist das die Datei clients.conf die sieht dann so aus:
client 192.168.100.0/24 {
       secret          = radiusgeheim
       shortname       = Machello-WLAN
} 
Damit haben dann alle APs (bzw. Radius Clients) aus dem IP Netz 192.168.100.0 /24 Erlaubnis auf den Radoius Server zuzugreifen.
Im FreeRadius der pfSense macht man das über einen GUI Eintrag.
Im AP selber gibst du dann unter der Schlüsselmethode einfach nur WPA Enterprise an, konfigurierst die IP Adresse des Radius Servers und das Passwort (hier: radiusgeheim)
Das wars....

Guckst du auch hier:
Freeradius Management mit WebGUI
magicteddy
magicteddy 14.01.2019 aktualisiert um 09:05:43 Uhr
Goto Top
Moin,

beschreib mal bitte genauer was Du vor hast.
Im Profil der WLan Verbindung des unifi Controllers trägst Du die IP des Radius Servers ein und in der Config des Radius die IPs der APs.
Also prinzipiell wie vorher auch nur das nicht jeden AP einzeln konfigurieren musst.

-teddy
magicteddy
magicteddy 14.01.2019 aktualisiert um 09:28:55 Uhr
Goto Top
Zitat von @aqui:
...Damit haben dann alle APs (bzw. Radius Clients) aus dem IP Netz 192.168.100.0 /24 Erlaubnis auf den Radoius Server zuzugreifen.
Im FreeRadius der pfSense macht man das über einen GUI Eintrag.

Im GUI ist eine Eingabe mit Netzmaske nicht möglich, gibt eine Fehlermeldung:
The following input errors were detected:

    The 'Client IP Address' field must contain a valid IPv4 address when IPv4 is selected under 'Client IP Version'.  


-teddy
aqui
aqui 14.01.2019 um 09:29:38 Uhr
Goto Top
Eigentlich unverständlich.
OK, wenn dem wirklich so ist dann über die Shell gehen und die clients.conf händisch editieren. face-wink
Oder dann eben alle APs einzeln eintippern. Eigentlich Blödsinn aber wenn das GUI es so will dann ist es eben so...
magicteddy
magicteddy 14.01.2019 aktualisiert um 09:39:59 Uhr
Goto Top
Hatte ich mich auch schon drüber geärgert, habe sie dann jedoch einzeln eingetragen damit mir nicht die ganze Sache hinterher bei einer der nächsten Änderungen um die Ohren fliegt face-wink

-teddy
Looser27
Looser27 14.01.2019 um 09:38:34 Uhr
Goto Top
Zitat von @Machello:

Hallo Zusammen,

ich habe ein kleines Problem mit meinen neuen Ubiquiti APs.

Ist Stand:
PfSense mit freeRadius und älteren WIFI APs.
Jeder WIFI AP ist als Radius Client mit IP, Benutzername und Passwort in der freeRadius Konsole angelegt.
System funktioniert.

Nun habe ich die neuen Ubiquiti APs eingerichtet.
Zunächst bei einem, was auch ohne Probleme funktioniert hat.
Allerdings habe ich bei der Definition des WLANs nur die Möglichkeit einen Radius Client anzugeben.
Ich kann zwar mehrere Radius Profile erstellen aber nur eines bei dem WLAN in Verbindung angeben.

Wie kann ich das lösen, dass ich mehrere Ubiquiti APs als Radius Client für das WLAN angeben kann.

Vielen Dank zunächst für eure Hilfe

Moin,

Wenn es bei einem Unifi AP funktioniert, bist Du fertig mit der Konfiguration.
Alle weiteren APs bekommen vom Controller die selbe Config.
Voraussetzung hierfür ist aber, dass der Controller permanent online mit den APs verbunden ist.

Gruß

Looser
magicteddy
magicteddy 14.01.2019 um 09:43:54 Uhr
Goto Top
Zitat von @Looser27:
Wenn es bei einem Unifi AP funktioniert, bist Du fertig mit der Konfiguration.
Alle weiteren APs bekommen vom Controller die selbe Config.

Der Radius muss den Zugriff auch zulassen! Deine Aussage betrifft nur die AP Seite.
Achso Fullquotes tun nicht Not

-teddy
Looser27
Looser27 14.01.2019 um 09:46:20 Uhr
Goto Top
Er schrieb doch, dass es bei einem AP funktioniert hat. Also stimmen Username und Passwort im Profil.

Das gilt aber nur für die Konfig der APs. Der Radius selber muss natürlich korrekt eingerichtet sein, damit die User sich auch anmelden können.
Das hatte ich aber vorausgesetzt.
Machello
Machello 14.01.2019 aktualisiert um 10:27:38 Uhr
Goto Top
Zunächst vielen Dank für die Posts.
Vielleicht erkläre ich mein Denken noch etwas genauer.

Sagen wir mal ich hab 10 WLAN APs.
Jeder AP wird bei mir in der PfSense unter freeRadius / Clients mit IP, Benutzernamen und RadiusSecret eingepflegt.
AP1 / 192.1.....230 / Radiussecret1
AP2 / 192.1.....231 / Radiussecret2
AP2 / 192.1.....232 / Radiussecret3
..
AP10 ......

Nun habe ich bei den alten Geräten bei jedem einzelnen diese entsprechenden Daten eingepflegt und es hat alles funktioniert.

Bei den Ubiquiti Geräten kann ich aber nur ein Radius Profil für das WLAN zuweisen. Also nur einen AP betreiben weil der nächste eine andere IP Adresse hat und vom Radius Server als Client nicht akzeptiert wird.

Ein Bsp:
Radius Client:
bildschirmfoto 2019-01-14 um 10.14.14

Wlan Definition in der Ubiquiti Sw
wlan_def
Hier kann ich nur einen (den MeshPro_202 oder einen Anderen) angeben, der nächste WLAN AP (Bsp MeshPro_203) hat ein anderes Profil da andere IP und anderes RadiusSecret. Aber den WLAN AP den ich angeben, der wird auch akzeptiert und es geht alles. Nur eben nicht mehrere.

Radius Profil in der Ubiquiti Sw
radius_profiel

Ich hab jeden WLAN AP als eigenen Radius Client definiert, die Möglichkeit dass ich mehrere APs mit den gleichen Benutzerdaten anmelde ist mir so nicht bekannt. Ich müsste ja dann eine Liste oder Range von IP Adressen angeben.
aqui
Lösung aqui 14.01.2019 um 10:36:15 Uhr
Goto Top
Das Radius Passwort ist doch für alle gleich ! Ebenso der Shortname ! Das musst du niemals für alle unterschiedlich machen das ist sinnloser Aufwand.
Deshalb ja oben auch schon die Erklärung in der Datei clients.conf. Das ist die relevante Datei für den FreeRadius.
Dort steht generell eine Netzwerk Adresse und EIN Passwort und EIN Shortname !
Dieser gilt dann für ALLE Radius Clients in dem Netz.
Alle haben damit das gleiche Passwort und alle den gleichen Short Name. Es ist doch sinnfrei in einem heimnetz das alles unterschiedlich zu machen.
Der FreeRadius akzeptiert dann eingehende Radius Requests von allen diesen Clients im gesamten Netz.
Looser27
Lösung Looser27 14.01.2019 um 11:01:29 Uhr
Goto Top
Du machst es Dir unnötig schwer.

Du brauchst EINEN Radius-Server mit EINEM Passwort.
Hiermit legst Du in der GUI unter "Profile" EIN Radius-Profil an.

Unter "Drahtlos-Netzwerke" legst Du nun Dein WLAN-Netz an und hinterlegst das Radius-Profil.

Wenn Du nun einen AP ins LAN einsteckst, erkennt der Controller das und zeigt Dir den AP an.
Jetzt mußt Du den AP nur noch provisionieren. Hiermit wird er mit der Konfig betankt und läuft danach sofort.
Das wiederholst Du mit allen APs in der Controller-GUI und das WLAN rennt.

Gruß

Looser
Machello
Machello 15.01.2019 um 10:02:46 Uhr
Goto Top
Super vielen Dank, mit der Angabe des kompletten Netzes in der clients.conf ging es dann. In der GUI ist das leider nicht möglich.... Muss man wissen. face-smile

Das mit dem provisionieren klappt auch super, ich muss lediglich dann noch den Namen und die IP Adresse des APs anpassen und es läuft.

Klasse, noch mal vielen Dank für eure Hilfe.

Grüße
aqui
aqui 15.01.2019 um 10:04:07 Uhr
Goto Top
Gewusst wie... ! face-wink