xaero1982

Unifi Switche VLAN

Moin Zusammen,

Ich habe hier folgende Geräte:

1: Unifi UDM Pro Max
2: Unifi Aggregation (8xSFP+)
3: Unifi USW-24 PoE
4: Unifi USW-48 PoE
5. Diverse Unifi U6 Pro

Aufbau:
1 ist über SFP mit 2 verbunden - auf den SFP Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
2 ist über SFP mit 4 verbunden - auf den SFP Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt
1 ist über RJ45 mit 3 verbunden - auf den RJ45 Port ist das Native VLAN das default und alle anderen Tagged sind erlaubt

Es gibt mehrere VLANS u.A. fürs WLAN. 100, 101, 4000
Im VLAN 95 hängen die ganzen Unifi U6 Pro mit fester IP.

Die Geräte werden alle über einen Windows NPS authentifiziert und mit IP Adressen versorgt.

Das Interessante ist nun, dass die APs, die an der USW-24 PoE, die per RJ45 an der Dream Machine hängt, problemlos funktionieren. Man kann sich anmelden und ins Netz. So wie es sein soll.

Die APs, die an dem USW-48 PoE hängen funktionieren hingegen nicht. Ich kann sie erreichen, konfigurieren etc. Das WLAN wird ausgestrahlt, aber eine Verbindung wird mit folgenden Meldungen im Windows Eventlog quittiert:

Es wurde eine "Access-Request"-Meldung vom RADIUS-Client 172.16.95.28 mit einem ungültigen "Message Authenticator"-Attribut empfangen.  

Auf Port 1813 des RADIUS-CLients 1234 - U6 Pro wurde eine RADIUS-Meldung mit dem ungültigen Codefeld 1 empfangen. Gültige Werte des RADIUS-Codefelds sind in RFC 2865 dokumentiert.

Das passiert bei den anderen nicht und es ist alles gleich konfiguriert.

(lassen wir mal die Zusammenstellung außen vor, da ich hier noch mit dem Verbauer in Kontakt stehe um zu klären, warum hier Standard Switche verbaut worden sind mit 1GB SFP und dann aber noch Pro Max Switche mit 10GBit und mehr PoE Budget)

Jemand eine Idee an was das liegt?
Die Fehler sind da glaube ich nicht zielführend aus dem Eventlog.

Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672880

Url: https://administrator.de/forum/unifi-switche-vlan-672880.html

Ausgedruckt am: 05.06.2025 um 09:06 Uhr

aqui
Lösung aqui 15.05.2025 aktualisiert um 14:17:57 Uhr
Goto Top
"Message Authenticator" könnte ein falsches Radius Passwort beim Authenticator mit der IP 172.16.95.28 sein?! (Geraten)
Deine Aussage "Die Geräte werden alle über einen Windows NPS authentifiziert" ist etwas unpräzise und verwirrt leider.

Grundsätzlich kann man sich daraus zusammenreimen das es nichts mit VLANs an sich zu tun hat sondern du eine 802.1x oder MAB Authentisierung mit Radius realisiert hast und auch WLAN APs mit im Spiel sind zusammen mit den Switches und es primär darum geht.
Völlig unklar ist aber WAS dort genau authentisiert wird... 🤔
  • Die APs als 802.1x Clients am Kupferport des Switches. Sprich AP=Supplicant und Switch= Authenticator.
  • Oder WLAN Clients als Supplicants am AP als Authenticator
  • Oder beides in Kombination
Das solltest du nochmal klären.
Xaero1982
Xaero1982 15.05.2025 um 14:55:25 Uhr
Goto Top
Und genau das glaube ich nicht, da ich immer eine Vorlage verwende und es alle Geräte von dem USW-48 PoE betrifft und die anderen nicht. Deswegen denke ich ist die Meldung eher eine false positive Meldung im Eventlog.

Hast recht, die Nutzer werden darüber authentifiziert und auch die Geräte face-smile Mal so mal so.

Wie gesagt: Auf den alten Cisco Switchen mit den angeschlossenen APs - keine Probleme. Auf dem einen neuen 24 PoE von Unifi keine Probleme, aber auf dem 48er PoE gibt es Probleme.

Die APs sind als Radius-Clients im Windows NPS hinterlegt. Dazu gibt es entsprechende Richtlinien für verschiedene Geräte und alle Nutzer. Aber aus meiner Sicht liegt das nicht daran.

Grüße
AK-47.2
AK-47.2 15.05.2025 um 22:36:14 Uhr
Goto Top
Hi,

Poste mal die vollständige Konfiguration der Switche und vom NPS. Insbesondere ob und welche Radius Attribute bei der Authentifizierung eventuell mitgegeben werden. Bitte auch die Konfiguration der Radius Clients, sowie mal den vollständigen log von einer fehlgeschlagenen Authentifizierung.
Dann finden wir das vermutlich deutlich schneller heraus.
Da kann alles mögliche ein Problem sein.

Sind die Switche auf aktuellem Firmwarestand?
radiogugu
radiogugu 16.05.2025 um 07:10:03 Uhr
Goto Top
Morschen.

Wir setzen ebenfalls Unifi APs und auch Switches im Mix mit Cisco ein.

Eine unserer SSIDs ist ebenfalls über einen Windows NPS abgewickelt.

Hier sind die APs als Radius-Clients und nur diese eingetragen.

Es wird in den Richtlinien nach der Domänen-Mitgliedschaft "gefragt", dann gibt es WiFi in einem eigenen VLAN.

Daher wird vielleicht irgendwo ein Schluckauf in der Config vorliegen.

Das Default VLAN ist über die UDM Pro Max definiert und die Switches sind dort korrekt zu finden?

Ist am Unifi Controller in der Radius Config sowohl die Authentifizierung als auch das Accounting konfiguriert?

Das hatte bei uns zu Problemen geführt, weshalb wir das deaktiviert haben und danach fluppte es.

Gruß
Marc
aqui
aqui 16.05.2025 aktualisiert um 12:21:06 Uhr
Goto Top
Eine unserer SSIDs ist ebenfalls über einen Windows NPS abgewickelt.
Kollege @Xaero1982 geht es aber allein nur um die .1x (Kupfer) Port Authentisierung am Switch und nicht den WLAN Clients bzw. WLAN APs wie er oben ja klargestellt hat.
Die APs agieren als .1x Clients am Switch um sich selber zu authentisieren. (Siehe dazu auch hier)
Da der gleiche AP ja als Supplicant an einem Cisco Switch und auch an allen der 24er UBQT Gurken problemlos rennt, kann es ja einzig nur an der Authenticator Funktion der 48 Port Switches liegen. Ob Konfig Fehler oder Firmware Bug gilt es dann herauszufinden.
NPS als Ursache scheidet dann auch aus denn sonst wären ja durchweg alle Switches betroffen.
Xaero1982
Xaero1982 19.05.2025 um 09:03:10 Uhr
Goto Top
Moin Zusammen,
sorry für die späte Rückmeldung. War/bin heute erst wieder vor Ort und du hattest natürlich Recht @aqui. Ich hatte einen Fehler im Schlüssel. Ein kleines b, statt eines großen B's an einer Stelle. Habs wohl mal falsch kopiert, wie auch immer das geht.

Besten Dank und Grüße