Anbindung Unifi

Hallo zusammen

wie wird die Anbindung der Unifi-Infrastruktur realisiert. Dazu brauchen wir doch wieder einen freeradius auf dem Server … ?

Grüße Rainer

Hallo Rainer,

Ja, den brauchst Du. Solltest Du mit XCP-ng virtualisiert haben, könnte ich Dir eine virtuelle Maschine zur Verfügung stellen.

Gruß Alois

Alternativ Netzint unifi-auth

Hallo Kai,

ist in der virtuellen Maschine mit drin :wink:

Gruß

Alois

Ich habe vmware, aber kanns du nicht eine ova exportieren?
Wenn das geht sende ich dir einen Link zum upload.

Nut zum Verständnis: Der Freeradius ist also bei der auf einer externen VM und stellt so die Verbindung zum Unifi-Server her?

Wo kann ich darüber ein wenig mehr lesen?

Hallo Rainer,

allgemein hier: http://docs.linuxmuster.net/de/v7/systemadministration/network/unifiwifi/index.html?highlight=unifi%20wlan

Viele Grüße, Wilfried

1 Like

Ich glaube eine Info-Seite oder ähnliches haben wir gar nie erstellt. Ich schau aber mal ob wir da was zusammenstellen können (oder doch schon haben).

In ein paar Sätze gefasst:
Es handelt sich um eine art Captive Portal - der Traffc geht dabei aber zu jeder Zeit den direkten Weg, ohne umweg über eine VM wie bei Cova-Chilli. Es wird nur in einem “Gast-Netz” angezeigt, der AP an dem man Verbunden ist blockiert den Traffic solange bis unifi-auth den Client freischällt. Dann macht der AP auf und der Client ist direkt in dem Netz in dem er sein soll. Bis zur erfolgreichen authentifizierung kommt der Client also nur bis zum ersten AP, alles dahinter wird nicht erreicht.
Unifi-auth ist direkt auf dem Unifi-Controller installiert und fragt das LDAP bzw. auch AD oder edirectory direkt ab. Du brauchst also keinen Radius-Server als vermittler. Dabei kannst du beispielsweise konfigurieren dass in einem Netz per Voucher oder LDAP-Account authentifiziert werden kann. Je nach Gruppe die du erlaubst kannst du einstellen wie lange man online bleiben darf, wieviel Volumen man verbrauchen darf oder welche Up/Down-Geschwindigkeiten erlaubt sind. Das bietet sich natürlich sehr an für Lehrer oder User einer Gruppe wie p_wifi unterschiedlich zu handhaben.

Das zusätzlich die Voucher funktionieren ist natürlich auch schön, so kann der technisch schwächere Lehrer auch einfach einen Voucher an die Tafel schreiben mit dem sich die Schüler anmelden statt alle zunächst in die richtige Gruppe zu packen.
Alle Authentifizierten Clients oder auch welche die sich eingewählt haben, aber nicht authentifiziert haben, werden im Unifi-Controller angezeigt. Du kannst sie dort dann wieder vorzeitig rauswerfen oder aber auch manuell authentifizieren.

Nicht zuletzt kannst du Nutzungbedingungen hinterlegen um dich rechtlich abzusichern.

Ich hab auf die schnelle keinen richtig guten Screenshot gefunden wie das ausschaut, aber hier ein halb abgeschnittener von einem Smartphone:

3 Like

Hallo Kai!

Das wäre super! Danke.

Lieben Gruß

Thorsten

Hallo zusammen
alternativ kann man auf der opnsense einen Radius-Addon laufen lassen.
Ist das eine Alternative?

Grüße Rainer

Hallo @Kai,

Das heißt aber vermutlich, dass Netzint unifi-auth nicht auf einem der Unifi HW-Controller (CloudKey) läuft, oder!?
Ich bin nämlich gerade am überlegen, ob ein solcher nicht “sexy” wäre, da man das ganze Geraffel mit Java-Versionen etc nicht ständig anpassen muss.
Andererseits sind die Teile HW-mäßig ziemlich schwachbrüstig, so dass ich wiederum nicht sicher bin, ob die für unsere irgendwann mal ca. 40 APs ausreichen würden…!?

Hast Du sonst noch ein paar mehr Informationen zu Netzint unifi-auth? Was macht es besser/anders als die RADIUS-Geschichte?

Bzw. anders herum, was möchte ich erreichen:

  • WLAN für Schüler/Lehrer, Authentifizierung per Radius (oder Alternative!?)
  • WLAN für schuleigene Geräte, WPA2
  • WLAN für Externe/Fortbildner, Authentifizierung per Voucher/Captive Portal

Ist das mit netzint unifi-auth oder besser herkömmlich umzusetzen?

Vielen Dank und viele Grüße,
Jochen

Hi Jochen,

aud den CloudKeys läuft ein Debian - grundsätlich würde das auch laufen, wurde aber noch nicht getestet.
Es gibt mitlerweile die Gen2 und davon eine “plus” Variante - aber wenn du etwas mehr Performance möchtest gibt es auch noch den Application Server (Unifi XG Server).

Ich bin aktuell auch meist bei einer VM da man diese recht unkompliziert im Backup hat, teilweise lohnt es aber auch den Controller auf einer separaten HW zu haben.

Die drei Punkte die du aufgeführt hast sind gängige Standardanforderungen.

Für die Schüler/Lehrer kannst du die Authentifiziereung per Username/Passwort verwenden - geht direkt gegen das LDAP (AD/eDir). Hier wie gesagt ist auch recht schön dass du vorgeben kannst, dass “teachers” 5 Tage aktiv bleiben, “p_wifi” nur 30min und “p_Internet-AG” 8h …

Schuleigene Geräte können per WPA2 PSK verbunden werden und landen nach möglichkeit direkt im grünen Netz. Sollte ein Schüler den WLAN-Key auslesen landet er auch im grünen Netz und kann erstmal nicht viel damit anfangen. Ist das selbe als würde er sich an ein Netzwerkkabel hengen - was für die meisten gleich einfach ist. Dennoch kannst du aber noch weiter absichern dass fremde Geräte nicht ins grüne Netz kommen.

WLAN für Externe, Fortbilder, Gäste, der Heizungsprüfer usw. können per Voucher ins Netz. Hier kann man die gewohne Unifi-Oberfläche zur Verwaltung verwenden. Verschiedene Bandbreiten, Zeit- oder Volumenlimits etc. Aber auch im Klassenraum finde ich die Voucher sehr gut. Ein Voucher an die Tafel und die Klasse kann für Zeit X ins Internet.

Netzint Unifi-auth bildet dabei den ersten Punkt ab und hat auch noch die Voucher auf der selben Seite. Nutzungsbedingungen hinterlegt man einmal auf der Seite - dann hat man es eigentlich auch schon.

Schön bei der ganzen Sache ist dass man einen Log hat in dem am Ende steht zu der Zeit hat sich User xy mit dem Gerät mit der MAC soundso über die Gruppe teachers authentifiziert. Dadurch kannst du erst eine Zuordnung herstellen mit deinen Firewall-Logs.

Hallo Kai,

vielen Dank für Deine Antwort!

Ist halt die Frage, wie viel Bums der Controller haben sollte. An einem Seminar betreiben wir einen CloudKey der ersten Generation mit mittlerweile 36 APs. Das funktioniert schon aber der Controller reagiert in einigen Fällen ziemlich zäh. Und in der Schule werden wir über kurz oder lang wie gesagt noch etwas mehr APs haben. DIe Gen2 Geräte haben etwas mehr RAM und CPU aber so üppig scheint das auch nicht.
Da sieht der Unifi Application Server von der HW-Ausstattung her schon passend aus aber der ist natürlich auch nicht gerade günstig und die HW-Specs bekomme ich in ner VM natürlich deutlich günstiger. Vermutlich wird’s darauf rauslaufen…
Und dann kann ich auch die Netzint unifi-auth problemlos verwenden.

Danke Dir und viele Grüße,
Jochen

Hallo @Kai,

auf welchen OSs läuft denn netzint-unifi-auth? Windows? Linux?
Wo kann ich das denn herunterladen und gibt’s irgendeine Form von Doku?

Danke und liebe Grüße,
Jochen

Hallo Jochen,

es läuft auf Ubuntu 18.04.

Herunter geladen habe ich es hier:

http://pkg.netzint.de/pool/main/n/netzint-unifi-auth2/

Viele Grüße

Alois

Hallo Alois,

super, vielen Dank!

Ist das halbwegs selbsterklärend oder bist Du nach einer Anleitung vorgegangen?

Viele Grüße,
Jochen

Hallo Jochen,

als selbsterklärend würde ich es nicht bezeichnen. Ich habe die Installation weitgehend vorgenommen und mir dann von Netzint Support geholt. Inzwischen bekomme ich die Installation in der 6.2 hin (bzw. habe fertige virtuelle Maschinen), aber bei der 7.0 müsste ich wieder von vorn anfangen.

Viele Grüße

Alois