Windows NPS Server - UniFi AP - Netz wählen
Guten Abend
Ich habe auf einem Windows Server 2019 den NPS Server installiert und natürlich auch die Zertifizierungsstelle.
Anschliessend habe ich mit dem Assistenten die Verbindung für WLAN eingerichtet. Die Authentifizierung ist auf "Microsoft: Geschütztes EAP (PEAP) und als Typ Gesichertes Kennwort EAP MSCHAP v2. Das Zertifikat wurde selber erkannt. Der Server hat von der Zertifizierungsstelle ein Computerzertifikat erhalten.
Die Verbindung darauf klappt sehr gut. Als Bedingung habe ich dann noch eine Benutzergruppe hinzugefügt.
Einerseits würde ich natürlich gerne wissen ob so eine "Standardkonfiguration" in Ordnung ist oder ob ihr andere Einstellungen empfehlen würdet.
Und dann hätte ich noch eine Frage zur Verbindung. Ich habe zwei Netzwerkrichtlinien erstellt. Eine für Gruppe A, und eine für Gruppe B. Bei der für Gruppe B habe ich noch unter Einstellungen die Attribute für Tunnel-Type Virtual LANs (VLAN), Tunnel-Medium-Type 802 sowie die Tunnel-Pvt-Group-ID mit der VLAN ID versehen. Auch das klappt sehr gut.
Auf dem UniFi AP habe ich das 2.4 und 5 GHz Netz kombiniert und eingestellt er soll 5 GHz priorisieren. Das Smartphone wählt sich immer ins 5 GHz Netz ein, und wechselt kurz darauf ins 2.4. Ich gehe davon aus weil das 2.4 GHz stärker ist. Nun würde ich gerne wissen ob ich das irgendwie mit NPS einstellen kann wer in welches Netz soll. Es wäre ja schön wenn der User nicht zwischen mehreren SSIDs wählen müsste wenn es um 2.4 und 5 GHz geht. Ich habe schon versucht die zweite SSID als Empfangs ID anzugeben (https://winxperts4all.at/index.php/software/205-wlan/1202-mehrere-wlan-s ..). Ich hatte irgendwie die Hoffnung das er den User dann automatisch in die andere SSID verschiebt. Leider ohne erfolg.
Gruss
Koda
Ich habe auf einem Windows Server 2019 den NPS Server installiert und natürlich auch die Zertifizierungsstelle.
Anschliessend habe ich mit dem Assistenten die Verbindung für WLAN eingerichtet. Die Authentifizierung ist auf "Microsoft: Geschütztes EAP (PEAP) und als Typ Gesichertes Kennwort EAP MSCHAP v2. Das Zertifikat wurde selber erkannt. Der Server hat von der Zertifizierungsstelle ein Computerzertifikat erhalten.
Die Verbindung darauf klappt sehr gut. Als Bedingung habe ich dann noch eine Benutzergruppe hinzugefügt.
Einerseits würde ich natürlich gerne wissen ob so eine "Standardkonfiguration" in Ordnung ist oder ob ihr andere Einstellungen empfehlen würdet.
Und dann hätte ich noch eine Frage zur Verbindung. Ich habe zwei Netzwerkrichtlinien erstellt. Eine für Gruppe A, und eine für Gruppe B. Bei der für Gruppe B habe ich noch unter Einstellungen die Attribute für Tunnel-Type Virtual LANs (VLAN), Tunnel-Medium-Type 802 sowie die Tunnel-Pvt-Group-ID mit der VLAN ID versehen. Auch das klappt sehr gut.
Auf dem UniFi AP habe ich das 2.4 und 5 GHz Netz kombiniert und eingestellt er soll 5 GHz priorisieren. Das Smartphone wählt sich immer ins 5 GHz Netz ein, und wechselt kurz darauf ins 2.4. Ich gehe davon aus weil das 2.4 GHz stärker ist. Nun würde ich gerne wissen ob ich das irgendwie mit NPS einstellen kann wer in welches Netz soll. Es wäre ja schön wenn der User nicht zwischen mehreren SSIDs wählen müsste wenn es um 2.4 und 5 GHz geht. Ich habe schon versucht die zweite SSID als Empfangs ID anzugeben (https://winxperts4all.at/index.php/software/205-wlan/1202-mehrere-wlan-s ..). Ich hatte irgendwie die Hoffnung das er den User dann automatisch in die andere SSID verschiebt. Leider ohne erfolg.
Gruss
Koda
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 527331
Url: https://administrator.de/contentid/527331
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
12 Kommentare
Neuester Kommentar
Vielleicht hilft das:
https://codebeta.com/unifi-with-freeradius-part-1-setup-radius-with-mari ...
Grundlagen (allerdings mit besserer WLAN Hardware ) auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
https://codebeta.com/unifi-with-freeradius-part-1-setup-radius-with-mari ...
Grundlagen (allerdings mit besserer WLAN Hardware ) auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Achso, nochwas zur 5Ghz Priorisierung. Nein, das kann man nicht per Radius mitgeben. Es sei denn Ubiquity hat einen entsprechenden Dictionary File dafür mit Hersteller spezifischen Attributen.
Von Billigheimer Unify gibts aber nichtmal das.... Siehe:
https://github.com/redBorder/freeradius/blob/master/share/dictionary
Also geht das nicht.
Normal wird sowas auch bei billigen APs, wenn überhaupt supportet, immer direkt über die Firmware gemacht. Der AP erkennt das daran das von einem Dual Radio Client 2 Association Frames kommen. Wenn das der Fall ist hält er den Reply auf 2,4Ghz ein paar Millisekunden zurück bis die Anbindung via 5Ghz durch ist. Dadurch wird 5Ghz generell dann immer bevorzugt. Reisst die 5Ghz Verbindung ab geht das Spielchen von vorne los und wenn das 2,4Ghz Radio dann einen besseren RSSID Wert im Offer hat nimmt der Client dann das. Ohne proaktives Roaming in einem Controller basierten WLAN kommt es dann beim Bandwechsel zu einer Unterbrechung. Meist gibt es in der Firmware bzw. Setup deshalb nur einen Schalter an/aus dafür.
Radius würde auch deshalb schon scheitern weil es noch gar keine WPA2 Authentisierung in dem Stadium der AP Assoziierung gibt. Diese kommt viel später im Ablauf wäre aber zwingend, wenn man es mit einem Radius Attribut steuern könnte und wollte.
Auch ein Grund warum es nicht geht.
Von Billigheimer Unify gibts aber nichtmal das.... Siehe:
https://github.com/redBorder/freeradius/blob/master/share/dictionary
Also geht das nicht.
Normal wird sowas auch bei billigen APs, wenn überhaupt supportet, immer direkt über die Firmware gemacht. Der AP erkennt das daran das von einem Dual Radio Client 2 Association Frames kommen. Wenn das der Fall ist hält er den Reply auf 2,4Ghz ein paar Millisekunden zurück bis die Anbindung via 5Ghz durch ist. Dadurch wird 5Ghz generell dann immer bevorzugt. Reisst die 5Ghz Verbindung ab geht das Spielchen von vorne los und wenn das 2,4Ghz Radio dann einen besseren RSSID Wert im Offer hat nimmt der Client dann das. Ohne proaktives Roaming in einem Controller basierten WLAN kommt es dann beim Bandwechsel zu einer Unterbrechung. Meist gibt es in der Firmware bzw. Setup deshalb nur einen Schalter an/aus dafür.
Radius würde auch deshalb schon scheitern weil es noch gar keine WPA2 Authentisierung in dem Stadium der AP Assoziierung gibt. Diese kommt viel später im Ablauf wäre aber zwingend, wenn man es mit einem Radius Attribut steuern könnte und wollte.
Auch ein Grund warum es nicht geht.
aber nur normales WPA2 Unterstützt
Was meinst du damit ?? WPA2 Enterprise ist ja auch "normal" ?!Vermutlich meinst du das er nur rein die NON Enterprise also nur WPA2-PSK only kennt, richtig ?
Den kannst du dann so nicht integrieren. Du kannst ja nicht eine User bezogene Encryption bzw. Authentisierung auf einer SSID implementieren wenn die auf ein globales Authentisierungsverfahen festgenagelt ist. Es also quasi per User dann wieder außer Kraft setzen. Das geht so nicht.
Wenn der Client kein WPA2-Enterprise supportet, dann kann er sich schlicht nicht mit der SSID verbinden. Das kann auch der tollste Radius Server nicht ändern.
Da hast du dann nur die Chance mit den o.a. schon genannten Dynamic VLANs zu arbeiten oder du muss eine separate SSID anlegen die dann nur WPA2-PSK only Clients bedient.
Ja, das geht natürlich auch. Das hast du aber nicht gesagt...oben. Mac Authentication Bypass nennt man das.
Das o.a. Mikrotik Tutorial beschreibt genau das.
In der Regel lautet die Fonfig im Radius so (Beispiel FreeRadius):
"00abce813abc" Cleartext-Password := "00abce813abc"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
Wie du siehst ist hier immer die Mac Adresse sowohl UserID als auch Passwort.
Die ganzen "Tunnel xyz" Parameter kannst du dir wegdenken, die sind rein nur für die dynamische VLAN Zuweisung gedacht !
Allerdings liegt hier der Teufel im Detail. Viele der Billigheimer supporten kein gemeinsames 802.1x mit Mac Authentication. Da geht nur entweder oder.
Normal macht man das über ein Radius Attribut entweder 802.1x before Mac oder andersrum.
Das bewirkt dann das mit dem Client zuerst 802.1x gemacht wird, schlägt das fehl oder timed aus, weil der Client es nicht kann, folgt ein Mac Bypath über die Mac Authentisierung.
Alle großen Hersteller supporten sowas. Ob deine Unifys das können sagt dir das Datenblatt.
Ich befürchte aber da es noch nicht einmal sowas Banales wie einen Radius Dictionary File für die Produkte gibt (dort wäre das Vendor Attribut definiert) können die Teile das vermutlich nicht....
Erspart dir ne Menge Management und die aufwendige MSSID Konfig auf der WLAN Infrastruktur.
Das o.a. Mikrotik Tutorial beschreibt genau das.
In der Regel lautet die Fonfig im Radius so (Beispiel FreeRadius):
"00abce813abc" Cleartext-Password := "00abce813abc"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10
Wie du siehst ist hier immer die Mac Adresse sowohl UserID als auch Passwort.
Die ganzen "Tunnel xyz" Parameter kannst du dir wegdenken, die sind rein nur für die dynamische VLAN Zuweisung gedacht !
Allerdings liegt hier der Teufel im Detail. Viele der Billigheimer supporten kein gemeinsames 802.1x mit Mac Authentication. Da geht nur entweder oder.
Normal macht man das über ein Radius Attribut entweder 802.1x before Mac oder andersrum.
Das bewirkt dann das mit dem Client zuerst 802.1x gemacht wird, schlägt das fehl oder timed aus, weil der Client es nicht kann, folgt ein Mac Bypath über die Mac Authentisierung.
Alle großen Hersteller supporten sowas. Ob deine Unifys das können sagt dir das Datenblatt.
Ich befürchte aber da es noch nicht einmal sowas Banales wie einen Radius Dictionary File für die Produkte gibt (dort wäre das Vendor Attribut definiert) können die Teile das vermutlich nicht....
Es ist mir noch nicht ganz klar wie das helfen sollte oder was es mir für Vorteile bringt
Einfach mal das Tutorial lesen, da werden sie geholfen... Erspart dir ne Menge Management und die aufwendige MSSID Konfig auf der WLAN Infrastruktur.
Also nutze ich wohl schon Dynamisches VLAN. Aber wie gesagt ich lese mir das mal durch
Klingt eher als ob du da im freien Fall rätst statt es wirklich zu wissen ?!Bei dynamischen VLANs hast du nur eine einzige SSID mit der sich die WLAN Clients verbinden. Keine MSSID Konfig !
Der Radius sorgt dann dafür das die Clients je nach Authentisierung oder Mac in ihr entsprechendes VLAN kommen was man ihne über den Radius Server zuweist.
Check das mit den o.a. URLs dort ist das ja für Unify explizit erklärt. Wenn du Dr. Google nach "Dynamic Vlans Unify" befragst gibt es noch eine Menge Tutorials mehr.
Also ich kann dir sagen dass UniFi NICHT unify(denn das ist Telefonie) 802.1x mit Mac Bypass Problemlos unterstützt wird
Auch ein Billigheimer wie aqui immer wieder darauf schimpft kann das... wir nutzt eine einzige SSID mit ca 50 VLAN und 500-600 WiFi Clients (ganz dumme Geräte, Barcodescanner, mobile Drucker, Win Client, Mac)
Als NAC setzten wir nicht Windows NPS ein, sonder Packetfence in der Version 9.1
Zusätzlich gibt es eine weitere SSID für Gäste mit einem CaptivePortal über Packetfence... ohne Voucher, sondern mit Sponsor Funktion
Auch ein Billigheimer wie aqui immer wieder darauf schimpft kann das... wir nutzt eine einzige SSID mit ca 50 VLAN und 500-600 WiFi Clients (ganz dumme Geräte, Barcodescanner, mobile Drucker, Win Client, Mac)
Als NAC setzten wir nicht Windows NPS ein, sonder Packetfence in der Version 9.1
Zusätzlich gibt es eine weitere SSID für Gäste mit einem CaptivePortal über Packetfence... ohne Voucher, sondern mit Sponsor Funktion
Doch letztlich ist das immer die Mac Authentication.
https://help.ubnt.com/hc/en-us/articles/115004589707-UniFi-USW-Configuri ...
Man kann aber pro SSID immer nur .1x oder Mac Bypath machen oder muss sofern der Hersteller das Radius Attribut supportet dann beides machen sprich Mac after .1x
Die meisten der Billigprodukte supporten aber diese duale Konfig mit Mac und .1x oft nicht. Da musst du mal im Handbuch nachsehen. Im Zweifel wenn das nicht supportet ist muss man dann mit 2 SSIDs arbeiten oder mit dynamischer VLAN Zuweisung.
https://help.ubnt.com/hc/en-us/articles/115004589707-UniFi-USW-Configuri ...
Man kann aber pro SSID immer nur .1x oder Mac Bypath machen oder muss sofern der Hersteller das Radius Attribut supportet dann beides machen sprich Mac after .1x
Die meisten der Billigprodukte supporten aber diese duale Konfig mit Mac und .1x oft nicht. Da musst du mal im Handbuch nachsehen. Im Zweifel wenn das nicht supportet ist muss man dann mit 2 SSIDs arbeiten oder mit dynamischer VLAN Zuweisung.