Anbindung Unifi

Hallo zusammen

wie wird die Anbindung der Unifi-Infrastruktur realisiert. Dazu brauchen wir doch wieder einen freeradius auf dem Server … ?

Grüße Rainer

Hallo Rainer,

Ja, den brauchst Du. Solltest Du mit XCP-ng virtualisiert haben, könnte ich Dir eine virtuelle Maschine zur Verfügung stellen.

Gruß Alois

Alternativ Netzint unifi-auth

Hallo Kai,

ist in der virtuellen Maschine mit drin :wink:

Gruß

Alois

Ich habe vmware, aber kanns du nicht eine ova exportieren?
Wenn das geht sende ich dir einen Link zum upload.

Nut zum Verständnis: Der Freeradius ist also bei der auf einer externen VM und stellt so die Verbindung zum Unifi-Server her?

Wo kann ich darüber ein wenig mehr lesen?

Hallo Rainer,

allgemein hier: http://docs.linuxmuster.net/de/v7/systemadministration/network/unifiwifi/index.html?highlight=unifi%20wlan

Viele Grüße, Wilfried

1 Like

Ich glaube eine Info-Seite oder ähnliches haben wir gar nie erstellt. Ich schau aber mal ob wir da was zusammenstellen können (oder doch schon haben).

In ein paar Sätze gefasst:
Es handelt sich um eine art Captive Portal - der Traffc geht dabei aber zu jeder Zeit den direkten Weg, ohne umweg über eine VM wie bei Cova-Chilli. Es wird nur in einem “Gast-Netz” angezeigt, der AP an dem man Verbunden ist blockiert den Traffic solange bis unifi-auth den Client freischällt. Dann macht der AP auf und der Client ist direkt in dem Netz in dem er sein soll. Bis zur erfolgreichen authentifizierung kommt der Client also nur bis zum ersten AP, alles dahinter wird nicht erreicht.
Unifi-auth ist direkt auf dem Unifi-Controller installiert und fragt das LDAP bzw. auch AD oder edirectory direkt ab. Du brauchst also keinen Radius-Server als vermittler. Dabei kannst du beispielsweise konfigurieren dass in einem Netz per Voucher oder LDAP-Account authentifiziert werden kann. Je nach Gruppe die du erlaubst kannst du einstellen wie lange man online bleiben darf, wieviel Volumen man verbrauchen darf oder welche Up/Down-Geschwindigkeiten erlaubt sind. Das bietet sich natürlich sehr an für Lehrer oder User einer Gruppe wie p_wifi unterschiedlich zu handhaben.

Das zusätzlich die Voucher funktionieren ist natürlich auch schön, so kann der technisch schwächere Lehrer auch einfach einen Voucher an die Tafel schreiben mit dem sich die Schüler anmelden statt alle zunächst in die richtige Gruppe zu packen.
Alle Authentifizierten Clients oder auch welche die sich eingewählt haben, aber nicht authentifiziert haben, werden im Unifi-Controller angezeigt. Du kannst sie dort dann wieder vorzeitig rauswerfen oder aber auch manuell authentifizieren.

Nicht zuletzt kannst du Nutzungbedingungen hinterlegen um dich rechtlich abzusichern.

Ich hab auf die schnelle keinen richtig guten Screenshot gefunden wie das ausschaut, aber hier ein halb abgeschnittener von einem Smartphone:

3 Like

Hallo Kai!

Das wäre super! Danke.

Lieben Gruß

Thorsten

Hallo zusammen
alternativ kann man auf der opnsense einen Radius-Addon laufen lassen.
Ist das eine Alternative?

Grüße Rainer

Hallo @Kai,

Das heißt aber vermutlich, dass Netzint unifi-auth nicht auf einem der Unifi HW-Controller (CloudKey) läuft, oder!?
Ich bin nämlich gerade am überlegen, ob ein solcher nicht “sexy” wäre, da man das ganze Geraffel mit Java-Versionen etc nicht ständig anpassen muss.
Andererseits sind die Teile HW-mäßig ziemlich schwachbrüstig, so dass ich wiederum nicht sicher bin, ob die für unsere irgendwann mal ca. 40 APs ausreichen würden…!?

Hast Du sonst noch ein paar mehr Informationen zu Netzint unifi-auth? Was macht es besser/anders als die RADIUS-Geschichte?

Bzw. anders herum, was möchte ich erreichen:

  • WLAN für Schüler/Lehrer, Authentifizierung per Radius (oder Alternative!?)
  • WLAN für schuleigene Geräte, WPA2
  • WLAN für Externe/Fortbildner, Authentifizierung per Voucher/Captive Portal

Ist das mit netzint unifi-auth oder besser herkömmlich umzusetzen?

Vielen Dank und viele Grüße,
Jochen