Unifi AP und freeRadius auf OPNsense, wie wird es klappen?

Started by karl047, February 28, 2020, 01:05:16 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
February 28, 2020, 01:05:16 AM
Hi Forum,
hat jemand diese Kombination am laufen? und wie hat es geklappt?
ich suche seit ein paar Tagen nach einem Tutorial für OPNsense, und bis jetzt nichts gefunden!

VG,
Karl
February 28, 2020, 06:00:57 AM #1
Für Unify nimmst du den pfsense installer, wenn das läuft machen wir weiter :)


Ich kann aber nur davon abraten, der Controller ist nicht für den Betrieb auf OPNsense gedacht.
February 28, 2020, 05:57:54 PM #2
Quote from: mimugmail on February 28, 2020, 06:00:57 AM
Für Unify nimmst du den pfsense installer, wenn das läuft machen wir weiter :)


Ich kann aber nur davon abraten, der Controller ist nicht für den Betrieb auf OPNsense gedacht.
Also der Controller nutzt schon einige Ressourcen. Ich nutzen ihn selbst auf ein paar OPNsense Systemen.
Tipp: aktiviere ihn nur wenn du ihn gerade brauchst, ansonsten würde ich den runterfahren:)

Aber die Anleitung für die Pfsense klappt.

Falls du den Controller nicht brauchst kann du bei den APs doch auch den Radiusserver so angeben oder ?
Weil für 2-3 APs lohnt sich der Controller nicht wirklich

Gesendet von meinem MI 9 mit Tapatalk

(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
February 28, 2020, 09:49:19 PM #3 Last Edit: February 28, 2020, 10:01:04 PM by karl047
Danke euch für die Antworten...
und jetzt kommen ein paar Fragen dazu, vlt werde ich das ganze Thema irgendwie verstehen!

1. was soll ich auf meinem OPNsense installieren? freeRadius plugin oder was genau?
2. UniFi Controller läuft 24 Std. (mit VM Installation, extra Interface mit allen APs), trotzdem für 5 oder 6 APs ist kein Problem deren IP Adressen einzutragen (als Clients bestimmt)
3. im UniFi Controller werde ich ein Radius Profile anlegen, aber welche IP Adresse soll ich eingeben (als Server)? freeRadius läuft mit dem localhost 127.0.0.1 ?! es wird aber nicht anerkannt (glaube ich) von den APs!
4. in freeRadius Konfiguration : Welche Punkte sollen genau aktiviert werden? natürlich ,,enable" :-p  und was noch?
5. gibt es extra Firewall Rules die angelegt werden sollen?

Danke euch wieder für die Hilfe dabei :-)

VG;
Karl
February 28, 2020, 11:05:00 PM #4 Last Edit: February 28, 2020, 11:08:34 PM by stefanpf
Anbei Mal ein paar Screenshots von einer fix zusammen gedengelten Konfig.
Dazu noch eine FW Regel für Port 1812/1813 und
dann sollte die VLAN Zuweisung bereits funktionieren.
(alles noch ohne Zertifikate)





[





February 28, 2020, 11:21:28 PM #5 Last Edit: February 28, 2020, 11:34:47 PM by karl047
@stefanpf: freeRadius auf OPNsense ist weiter mit localhost IP Adresse konfiguriert, woher kommt denn die IP Adresse im Radius Profile? ich meine 10.11.1.254 !
und wo sollen die Firewall Rules angelegt werden?

Der UniFi Controller ist aber nicht auf OPNsense installiert? oder?

VG;
Karl
February 28, 2020, 11:34:26 PM #6 Last Edit: February 28, 2020, 11:38:46 PM by stefanpf
10.11.1.254 ist die IP meiner Opnsense im Management Netz (in dem auch die APs hängen).
Ja, ich nutze den Unifi Controller auf einem UCK.
Außerhalb eines Containers würde ich persönlich den auf keiner Maschine installieren. Unifi hat dort ein paar veraltete Abhängigkeiten die nervig werden können wenn auf dem System noch andere aktuelle Software läuft.

Ich weiß nicht so ganz was du mit deinem localhost meinst... eventuell den Vorgegebenen Client?
Du legst für jeden AP einen Client im Freeradius mit Secret und der IP des Radius-Clients (des APs an). Alternativ
lassen sich auch mehrere APs wie im Screenshot zusammenfassen (indem ein Subnetz hinterlegt wird)
February 28, 2020, 11:48:04 PM #7
freeRadius plugin wurde installiert, dann die standard Konfiguration für das Server ist mit IP Adresse vom localhost (das ist genau was ich meine mit localhost).

du hast geschrieben: dazu noch FW Regel für Port 1812/1813 , wo soll dieser Regel angelegt werden? im Management Interface? und wie? ich meine IPv4 UDP any to any ?
February 29, 2020, 12:11:27 AM #8
Naja, die Pakete müssen von den APs in die Sense.
Also auf dem entsprechenden Interface
UDP
Erst: this Firewall
dest-port 1812/1813
February 29, 2020, 12:16:54 AM #9
einverstanden :-) werde ich morgen alles tun wie du es beschreiben hast.
Meine letzte Frage (für heute :-p) ist: in eap , was soll ich genau nehmen? MD5 (as default) oder ein anderes Protokoll?
February 29, 2020, 06:56:52 AM #10 Last Edit: February 29, 2020, 07:57:27 AM by stefanpf
Learn to go before you run :)
Ich würde vorschlagen, du schaust erst einmal ob du es ohne Zertifikate ans laufen bekommst.
Danach musst du dich primär entscheiden ob TLS oder Peap bzw TTLS.
vgl. https://www.intel.de/content/www/de/de/support/articles/000006999/network-and-i-o/wireless-networking.html

Ich muss aber auch gestehen, dass ich die eap Konfig von Freeradius nicht ganz durchblicke.
Selbst wenn ich TLS (also mit Client Zertifikat) konfiguriert habe, scheint dies auf den Endgeräten optional zu sein, da ein nicht konfigurierter Client dann auch mit einem Fallback auf Benutzer/Passwort durchkommt.

Edit:
Gerade ist mir noch eingefallen das Unifi immer eine fiese Einschränkung hatte: man konnte ein einer SSID statisch zugewiesene VLAN nicht dynamisch per Radius einem Benutzer zuweisen.
Dies ist inzwischen gefixt. Da ich aber die Beta Firmware nutze, kann ich dir nicht sagen ob dies in der normalen stable auch schon angekommen ist (habe das Thema nicht aktiv verfolgt).
May 27, 2024, 11:02:32 PM #11
Hallo an die Runde,

ich stehe ebenso vor der Herausforderung, meine WLAN Geräte mittels FreeRADIUS zu authentifizieren. Leider sind die erwähnten Konfigs und Bilder nicht mehr in den Posts ersichtlich  :-\

Zu meiner Konfiguration:
- opnsense mit FreeRADIUS Plugin
- Raspi mit Unifi Controller in einem Docker Container
- RADIUS nur für WLAN Devices
- Unifi Access Point


Kann mir vielleicht jemand helfen, was genau auf der opnsense im FreeRADIUS Plugin eingestellt werden muss?
Als Client habe ich den Unifi AP angegeben. Was muss jedoch unter Benutzer eingetragen werden? Alle WLAN Geräte? Wenn dem so ist, muss denn hier keine MAC Adresse der WLAN Clients eingetragen werden?

Danke vorab  :)
May 28, 2024, 08:57:28 AM #12
Was willst du denn erreichen? Zertifikate, AD Anmeldung, lokale User?
May 28, 2024, 11:06:58 AM #13
Ich möchte Devices im WLAN automatisch in deren zugeordnetes VLAN routen, um die Anzahl an SSIDs möglichst gering zu halten.

Im Unifi Controller bin ich laut dieser Anleitung vorgegangen:
https://ubiquiti-networks-forum.de/wiki/entry/76-radius-server-mit-802-1x-und-mac-authentication-im-wlan-einrichten/

Ich stehe derzeit vor der Frage, was im FreeRADIUS Plugin auf opnsense zu konfigurieren ist und ob neben FW-Regeln auch noch NAT Portweiteitungen oder Routing manuell einzurichten sind oder auch ein RADIUS Benutzer unter Server einzutragen ist?
May 28, 2024, 08:19:30 PM #14
Ich bin mittlerweile einige Schritte weiter gekommen und bekomme bereits eine Verbindung. Im FreeRADIUS Log taucht jedoch noch die Fehlermeldung laut Anhang auf, sobald ich ein Device ins WLAN verbinden möchte.

Ich habe nun schon zig mal in FreeRADIUS unter Clients ein Secret eingetragen und dieses dann auch in Unifi RADIUS Authentifizierungsserver und im Unifi RADIUS Accounting Server eingetragen.

Ist das Secret sonst noch irgendwo einzutragen?
Muss das Secret irgendeiner Syntax folgen oder gewisse Zeichen / Zeichenlängen aufweisen?
Muss die Aktivierung im Unifi Controller oder im opnsense Plugin irgendeiner besonderen Reihenfolge folgen?
Print
Go Up Pages1 2
User actions