(GELÖST) Unifi AP -> VLAN -> WLAN/LAN Bridge

JeGr · April 18, 2018, 12:43:01 PM

Aye eben das. Und man kann auch über die UI bei einem User einfach mal schnell das Tag ändern und beim nächsten connect ist der User einfach im anderen VLAN. Funktioniert einfach und schnell.

Selbst die Radius Loginzeiten werden tatsächlich genutzt: bei Einstellung bspw. bis 2300 kann ab 2301 keine neue Verbindung mit dem WLAN aufgebaut werden. Wenn der Client noch verbunden ist, bleibt er natürlich verbunden, das wollte ich aber noch untersuchen, ob sich hier eine zwangstrennung nach x min ggf. realisieren lässt, damit der reconnect erzwungen wird.

theq86 · April 18, 2018, 07:10:57 PM

Welche Einstellung ist das denn mit dem Zeitlimit? Sehe da nichts in den FreeRADIUS Einstellungen außer einem Session Limit.

JeGr · April 19, 2018, 10:15:36 AM

Ich bin noch unschlüssig ob die Unifi Kisten bzw. die User den "Session Timeout" von Radius auslesen und nutzen, aber die Possible Login Times (bspw. Any0800-2300) wird definitiv befolgt und bei einem neuen/Re-Connect nach 2300 bspw. kommt der User nicht mehr ins WLAN.

theq86 · April 19, 2018, 09:54:18 PM

Ja, verstehe. Was ich meine ist: Wo finde ich diese Einstellung: Possible Login Times

In der FreeRADIUS GUI sehe ich sie nicht. Und im Controller sehe ich auch nichts, es sei denn ich übersehe etwas.

JeGr · April 21, 2018, 10:41:47 AM

Ah my bad. Der AP und die Produktivumgebung zu Hause laufen auf pfSense, das Labor auf OPNsense. Das FreeRadius Package von OPNsense hat leider einige der User Settings von pfSense nicht. Z.B. habe ich hier pro User:

Time Config:
- Expiration Date
- Session Timeout
- Possible Login Times (Format Example: Wk0855-2305,Sa,Su2230-0230)
- Amount of Time
- Time Period (Daily/Weekly/Monthly/Forever)

Bei gesetzten Login Times mit Wk0800-2300,Sa,So bspw. kann man sehen, dass alle Anmeldungen ab 23h Werktags abgelehnt werden mit User denied. Was sehr schick ist. Ich muss nur noch ausknobeln, ob Session Timeout bzw. Amount of Time hier in Kombination genutzt werden können, damit die Re-Auth nach bspw. 30min o.ä. stattfindet, damit man wirklich spätestens bspw. nach Login Time + Re-Auth (bspw. 2330) dann aus dem WLAN fliegt. Das wäre schick ;)

you · April 26, 2018, 07:37:28 AM

Ich stehe im Wald und sehe keinen einzigen Baum mehr. Je mehr ich lese, umso verwirrter bin ich. Ich habe jetzt einen managed Switch (US-8, Ubiquiti) und drehe mich mächtig im Kreis :(

Quote from: nasq on April 15, 2018, 07:42:32 PMedit:
sehe gerade eins der Drahtlos-Netze soll direkt ins LAN gehen. Dann stimmt es, brauchst du Bridging.

Der AP soll in drei Netze/an drei Ports der Sense:
1. WLAN-Guest (neu, 192.168.100.x)
2. Lan (WLAN-Familie soll in das vorhandene 192.168.10.x)
3. Server (Admin soll in das vorhandene 192.168.1.x).

Ist es überhaupt möglich, 2. und 3. über den Switch ohne Bridge in die vorhandenen Netze zu bringen? Der Switch kann VLAN, Trunked.

Meine Vermutung: Ich kann das eine AP Kabel nur über VLANs in 3 Segmente teilen. Und, wenn ich das mache, komme ich nicht umhin, zusätzliche Subnetze anzulegen und zu managen ODER zwei Bridges zu bauen.

Eine weitere Frage: Wie verhalten sich dann die Clients, die sich im WLAN-Guest anmelden? Ist der VLAN-Status transparent? Eingeben kann ich eine VLAN ID bspw. bei macos für WLAN nicht so ohne Weiteres.

Danke für Eure Geduld mit mir ... die Fragen sind sicherlich sehr "Basic" :-[

theq86 · April 26, 2018, 11:19:35 AM

Quote from: you on April 26, 2018, 07:37:28 AM
Ist es überhaupt möglich, 2. und 3. über den Switch ohne Bridge in die vorhandenen Netze zu bringen? Der Switch kann VLAN, Trunked.

Ja, das ist möglich.

Code Select


                     [AP][?] [?] [?] [?] [?] [?]  
                      |   |   |   |   |   |   |
[ UniFi Switch | [1] [2] [3] [4] [5] [6] [7] [8] | ]
                  |
                  |
[OPNsense      | [1] [2] [3] | ]
                      |   |
                     [?] [?]

Wenn du dir obiges Schaubild ansiehtst: Deine Sense mit 3 Ethernet-Ports (wieviele deine wirklich hat und wie sie belegt sind spielt bei dieser Betrachtung keine Rolle) ist an einem Port mit dem Switch verbunden.

Sagen wir mal es ist der LAN Port deiner OPNsense und er hat das Gerät eth0.
Jetzt legst du 2 VLAN Interface an. Beide VLAN Interfaces bekommen eth0 als physische Schnittstelle.
Dadurch entsteht ein sogenannter Trunk-Port an der OPNsense.

Am UniFi Switch legst du jetzt über den Controller deine gewünschten Netze an und konfigurierst den Port, der mit der Sense verbunden ist (im obigen Fall Port 1) UND den Port, der mit dem AP verbunden ist (im obigen Fall Port 2) so, dass auf diesen Ports auch alle VLANs anliegen. Ist standardmäßig der Fall. Oder du gibst den Port das Profil "All".

Jetzt kannst du die Drahtlos-Netze mit dem Controller einrichten. Drahtlos-Netze, die in ein VLAN routen sollen denen gibst du das gewünschte VLAN Tag.

Sowohl AP, Switch, als auch OPNsense haben nun konfigurierte Trunk-Ports. Das sind Netzwerkports, die Traffic für verschiedene VLANs zugleich weiterleiten. Da nun alle Geräte in der Kette VLAN-aware sind reicht diese eine Kabelverbindung aus. Da auch das Hauptnetz über den Trunk-Port läuft brauchst du nirgends eine Bridge, von der ich dir auch eher abrate, da sie mMn. das Setup nur verkompliziert.

Quote from: you on April 26, 2018, 07:37:28 AM
Eine weitere Frage: Wie verhalten sich dann die Clients, die sich im WLAN-Guest anmelden? Ist der VLAN-Status transparent? Eingeben kann ich eine VLAN ID bspw. bei macos für WLAN nicht so ohne Weiteres.

Clients bekommen nichts vom VLAN-Tagging mit und müssen auch kein VLAN-Tagging beherrschen. Switch und AP sorgen dafür, dass das eventuell vorhandene VLAN Tag automatisch entfernt wird, bevor sie das Ethernet-Frame weiterleiten.

you · April 26, 2018, 11:49:26 AM

Vielen lieben Dank, nasq ! Super Hilfestellung. Jetzt hat es Klick gemacht.

Ich habe mittels der Controller Software jetzt

1) die benötigten VLANs unter Netzwerke angelegt (in meinem Fall 2 für WLAN-Family und WLAN-Guest). Das Standard-Netzwerk (Subnetz der Controller-Software) ist mein drittes Netzwerk, genannt "Management".

2) im AP die SSIDs mit VLANs versehen (siehe Drahtlose Netzwerke)

3) korrespondierende Profile gefunden, inkl. "Management" (siehe Profile)

4) im USwitch die Ports benannt und als Switch-Port-Profil je einem Port VLANA, VLANB und Management, also analog Netzwerke aus (3), zugeordnet.

5) Vom USwitch geht an die Sense ein Kabel direkt (WLAN-Guest/VLANA an GUEST Port der Sense). Das Kabel WLAN-Family/VLANB geht an den dummen LAN Switch (von da an LAN Port der Sense) und das Kabel "Management" geht an den dummen SERVER Switch (von da an SERVER Port der Sense).

So hat alles geklappt ... WLAN-Family ist im LAN und es braucht keine Bridge :D ...

Hinweis:

Sobald man ein VLAN in der Controller Software anlegt (1), wird automatisch ein korrespondierendes Profil angelegt (3). Letzteres verweist dann ausschliesslich auf das jeweilige Netzwerk, also bspw. VLAN100 auf VLAN100 oder Management auf Management oder ... je nachdem, was man in den Netzwerken angelegt hat (1).

Diese automatisch generierten Profile sind nicht änderbar und weisen ausschliesslich auf das zugrunde liegende Netzwerk. Damit liegt an Ports auch jeweils nur das zugeordnete Netzwerk an. Will man mehr über eine Leitung tragen, muss man ein Profil Manuell anlegen.

Ich bin seelig :D

(GELÖST) Unifi AP -> VLAN -> WLAN/LAN Bridge

JeGr

April 18, 2018, 12:43:01 PM #15

theq86

April 18, 2018, 07:10:57 PM #16

JeGr

April 19, 2018, 10:15:36 AM #17

theq86

April 19, 2018, 09:54:18 PM #18

JeGr

April 21, 2018, 10:41:47 AM #19

you

April 26, 2018, 07:37:28 AM #20 Last Edit: April 26, 2018, 07:41:31 AM by you

theq86

April 26, 2018, 11:19:35 AM #21 Last Edit: April 26, 2018, 11:22:51 AM by nasq

you

April 26, 2018, 11:49:26 AM #22 Last Edit: April 26, 2018, 11:59:47 AM by you