Messages

For Android use "FileOnly"
If  you use Opnvpn for Android it can imported directly

Kenne das Ausmaß der Infrastruktur ja nicht, aber wäre es nicht eventuell einfacher auf den Servern im alten Netz manuell einen Routing Eintrag anzulegen?

Hi,

you have to bind the Public Service to your
WAN address likewise
e.g.

Code Select Expand

192.168.0.254:443
80.11.12.13:443

If you are have no static IP at your WAN Interface (e.g. when using PPPOE), this can make Problems because the IP isn't available while haproxy ist starting the First time.

In this case you only use a local binding to the internal firewall address

Code Select Expand

192.168.0.254:443
and add a nat portforward

Code Select Expand

WAN address 443 -> 192.168.0.254:443

And as you mentioned:
Change the https Port of the web ui to 444 for example and activate "Disable web GUI redirect rule"

Maybe this option helps you Out:
Firewall > Settings > Advanced > "Gateway Monitoring" > Skip rules when gateway is down.

I am talking about situation when you have some new unifi devices and they need to be connected to cloud to change settings. You also need some account on unifi cloud to access controller.
If you have device with controller SW you need to connect to cloud to set it.
If there is closed network or is not access to internet....it is not easy

Never had to connect something of my unifi gear to the cloud.
Install the controller or use a cloud Key (which doesn't mean that you have to Connect it to the cloud.

And they never connected to china servers.
They use aws servers for update checks.

But I would never Install the controller on a opnsense because:
- General Security
- afaik they use outdated packages (mongodb, Java)

Learn to go before you run :)
Ich würde vorschlagen, du schaust erst einmal ob du es ohne Zertifikate ans laufen bekommst.
Danach musst du dich primär entscheiden ob TLS oder Peap bzw TTLS.
vgl. https://www.intel.de/content/www/de/de/support/articles/000006999/network-and-i-o/wireless-networking.html

Ich muss aber auch gestehen, dass ich die eap Konfig von Freeradius nicht ganz durchblicke.
Selbst wenn ich TLS (also mit Client Zertifikat) konfiguriert habe, scheint dies auf den Endgeräten optional zu sein, da ein nicht konfigurierter Client dann auch mit einem Fallback auf Benutzer/Passwort durchkommt.

Edit:
Gerade ist mir noch eingefallen das Unifi immer eine fiese Einschränkung hatte: man konnte ein einer SSID statisch zugewiesene VLAN nicht dynamisch per Radius einem Benutzer zuweisen.
Dies ist inzwischen gefixt. Da ich aber die Beta Firmware nutze, kann ich dir nicht sagen ob dies in der normalen stable auch schon angekommen ist (habe das Thema nicht aktiv verfolgt).

Naja, die Pakete müssen von den APs in die Sense.
Also auf dem entsprechenden Interface
UDP
Erst: this Firewall
dest-port 1812/1813

10.11.1.254 ist die IP meiner Opnsense im Management Netz (in dem auch die APs hängen).
Ja, ich nutze den Unifi Controller auf einem UCK.
Außerhalb eines Containers würde ich persönlich den auf keiner Maschine installieren. Unifi hat dort ein paar veraltete Abhängigkeiten die nervig werden können wenn auf dem System noch andere aktuelle Software läuft.

Ich weiß nicht so ganz was du mit deinem localhost meinst... eventuell den Vorgegebenen Client?
Du legst für jeden AP einen Client im Freeradius mit Secret und der IP des Radius-Clients (des APs an). Alternativ
lassen sich auch mehrere APs wie im Screenshot zusammenfassen (indem ein Subnetz hinterlegt wird)

Anbei Mal ein paar Screenshots von einer fix zusammen gedengelten Konfig.
Dazu noch eine FW Regel für Port 1812/1813 und
dann sollte die VLAN Zuweisung bereits funktionieren.
(alles noch ohne Zertifikate)





[

You could simply add this Server entries
into the advanced Options field or add an extra config File e.g. with

Code Select Expand

conf-file=/usr/local/etc/dnsstuff.conf


Der scheint garnichts senden zu wollen.
Versuch doch Mal bei den Empfängern alle Ereignisse anzuhalten. Bei mir hat es anfänglich auch ohne funktioniert, aber nachdem ich einmal daran rumgefummelt hatte, müsste ich die anhaken.
Das Negieren ohne Auswahl eines Ereignisses führt übrigens zu einer Fehlermeldung...also wirklich einzeln anhaken.

Ich vermute eher, dass es am TLS und oder dem Port liegt.
Was sagt denn dein Logo (System/Logfiles/General)?

Das hängt von deinem Anbieter ab. Im Zweifelsfall auf deren Homepage suchen oder ausprobieren.

Monit schickt dir eine Mail, wenn du oben auf den Reload Button drückst.

Nur geraten: hast du zufällig ein " in deinem Passwort des Mailaccounts?

Mit einem Windows DHCP Server oder einem "frei konfigurierbarem" DHCPD würde man ja nur
- ein Interface haben, dass mit dem L3 Switch verbunden ist
- für jedes VLAN einen separaten Bereich anlegen
- den IP Helper im Switch konfigurieren

Letztendlich legt ein in der Opnsense konfigurierter DHCP Bereich auch nur ein Subnetzt in der dhcpd.conf an

Code Select Expand


subnet 10.11.21.0 netmask 255.255.255.0 {
  pool {
    option domain-name-servers 10.11.21.254;
    range 10.11.21.150 10.11.21.199;
  }

  option routers 10.11.21.254;
  option domain-name-servers 10.11.21.254;
  option ntp-servers 10.11.21.254;

}


In der Opnsense kann man nun keinen DHCP Bereich ohne Interface konfigurieren.


Eventuell funktioniert es, wenn man die VLANs zwar in der Opnsense anlegt und IP4 Configuration Type auf "none" konfiguriert.
Ich hätte vermutet, dass dann die Routingprobleme aufgrund der fehlenden IP Adresse nicht auftreten.

Fraglich ist, ob der DHCP Bereich ohne IP Adresse auf dem Interface konfiguriert werden kann.
Wenn ich mich richtig erinnere, finden da ja einige Validierungen beim konfigurieren des DHCP Bereiches statt.

EDIT:
Hab es gerade ausprobiert... Klappt leider nicht. Weder "none" noch das nachträgliche Ändern der IP Adresse sind zielführend, da die Validierung der UI das gnadenlos abfängt und das Speichern verweigert oder den DHCP Bereich einfach deaktiviert :-(