ich will bei uns auch auf unifi umstellen: 10 APs und 3 Switches von Ubiquiti sind schon da: jetzt geht es ans installieren des Servers.
Ich hatte mal eine Doku im Wiki gesehen: finde sie aber nicht mehr.
Hat jemand einen Link?
Und zum Verständnis:
Ich will WPA2 Enterprise im Grünen Netz und Voucher um direkt raus zu kommen.
“wo” steht der Server dann?
Drei Netzwerkkarten?
Eine Grün, eine Rot und eine in Richtung der APs?
Welche dr Netzwerkkarten ist getagged?
Die eine Nachricht von Jens lese ich so, dass der Server nur zwei Karten hat: eine getagged in Rot und Grün und die andere in Richtung der APs ebenfalls getagged mit zwei VLANs: eines für Grün und eines für “Rot”
die Einrichtung ist mir trotz Anleitung noch nicht ganz klar.
Ich hänge meine unifi Geräte (APs und Switches) also in Grün: dann findet sie der Controller, richtig?
Dann kann ich sie auch konfigurieren.
Da in der Anleitung das eine gefundene Gerät (ein AP) die IP 10.20.50.1 hat, nehme ich an, die müssen vorher in die Workstations: korrekt?
Auch die Switches?
Ich habe ubiquiti Switches.
Und dann sorge ich dafür, dass die APs an Port hängen, die grün ungetagged haben (PVID) und Blau getagged.
Richtig?
Hallo,
der neu installierte Controller (stable) hat ohne Probleme den unifi
Switch gefunden: sowohl mit als auch ohne EIntrag ind er workstations.
Allerdings hat er ihn “adoptieren” wollen, was kein einziges mal
geklappt hat: auch nach langer Wartezeit nicht.
Jetzt mach ich erst mal mit den Accesspoints weiter und versuche die
Switches von Hand zu konfigurieren.
Was mir einfällt, die Firmware des Switches könnte nicht up2date sein.
ich habe keien Möglichkeit gefudnen den Switch ohne den unifi Controller
up zu graden.
WebGUI gibt es keien und per ssh kam ich mit Defaultpasswörtern nicht drauf.
Weder:
ubnt:ubnt
noch
root:ubnt
Also habe ich ihn resettet und dann adoptiert indem ich Benutzernamen
und Passwort mitgegeben habe: ubnt:ubnt
Switch ist nun da.
Das mit dem VLAN ist ein wenig undurchsichtig: deswegen muss ich es
ausprobieren.
Ich will dem Switch kein getaggtes VLAN geben sondern an Port 1 das
Blaue Netz reinkommen lassen und an Port 2 das Grüne.
jetzt bin ich (endlich …) einen Schritt weiter.
Der Switch versteht jetzt VLANs ein bisschen.
Was in der Anleitung hier: http://docs.linuxmuster.net/de/latest/addons/unifiwlan/unifischuelernetz.html
nicht steht: man muss die VLANs in der unifi Adminseite unter „Networks“ definieren: alles andere ist quatch.
Und was da auch nicht steht: VLANs können die Dinger nicht so richtig: die setzten das z.B. erst um, wenn man sie neustartet, siehe:
Aber: WPA Enterprise funktioniert noch immer nicht: er läßt mich nicht rein. Die Kommunikation mit dem Radius funktioniert: das habe ich auf der console des 16.04 ubuntuservers auf dem der unifi läuft getestet.
Eingetragen hab ich das in der adminseite auch, aber es funzt nicht.
Das Pinhole in der Firewall von Blau nach Grün (auf den unifi) für Port 1812 hab ich gebohrt.
Beim Login werde ich nach Credentials gefragt: da gebe ich die eines Lehrers an: dann bleibt die Verbindung bei „Verbindung wird hergestellt“ …
Jemand eine Idee?
Aber: WPA Enterprise funktioniert noch immer nicht: er läßt mich nicht
rein. Die Kommunikation mit dem Radius funktioniert: das habe ich auf
der console des 16.04 ubuntuservers auf dem der unifi läuft getestet.
Eingetragen hab ich das in der adminseite auch, aber es funzt nicht.
Das Pinhole in der Firewall von Blau nach Grün (auf den unifi) für Port
1812 hab ich gebohrt.
Beim Login werde ich nach Credentials gefragt: da gebe ich die eines
Lehrers an: dann bleibt die Verbindung bei „Verbindung wird hergestellt“ …
Jemand eine Idee?
… jetzt hab ich es: der AP fragt nicht den unifi nach der Korrektheit
der Zugangsdaten, sondern er fragt selber beim Radius nach: und der
antwortet nur, wenn der AP (also jeder AP) in der
/etc/freeradius/clients.conf eingetragen ist …
Jetzt geht er also über das korrekte VLAN nach WPA2 Enterprise auth raus
… nur zerschellt er noch am IPFire … noch bin ich nicht durch.
Hallo zusammen,
Bei mir kommt die Anfrage der APs am Server an (sichtbar im LOG), leider behauptet freeradius, dass mein Login nicht erfolgreich war:
Thu Aug 31 16:36:04 2017 : Auth: Login OK: [bau/] (from client Access-Points_green port 0 via TLS tunnel)
Thu Aug 31 16:36:04 2017 : Auth: Login incorrect: [bau/] (from client Access-Points_green port 0 cli 84-3A-4B-B6-39-F8)
Komisch ist ja, dass er zunächst mal sagt, der Login sei erfolgreich und gleich darauf, er sei incorrect.
RadTest vom UniFi-Controller aus funktioniert problemlos.
Bei mir kommt die Anfrage der APs am Server an (sichtbar im LOG), leider
behauptet freeradius, dass mein Login nicht erfolgreich war:
Thu Aug 31 16:36:04 2017 : Auth: Login OK: [bau/] (from client
Access-Points_green port 0 via TLS tunnel)
Thu Aug 31 16:36:04 2017 : Auth: Login incorrect: [bau/] (from client
Access-Points_green port 0 cli 84-3A-4B-B6-39-F8)
Komisch ist ja, dass er zunächst mal sagt, der Login sei erfolgreich und
gleich darauf, er sei incorrect.
RadTest vom UniFi-Controller aus funktioniert problemlos.
das sagt ncihts.
Den Fehler hab ich auch erst gemacht.
Die Anfrage kommt nicht vom unifi Controller an den Freeradius, sondern
direkt vom AP aus: du mußt dem Freeradius also sagen, dass alle APs (IP
Adressen eintragen) den Freeradius abfragen dürfen.
Hallo,
ich habe das gesamte Subnet, welches ich für die WLAN-AP, den Controller und den linuxmuster.net-Server eingerichtet habe im freeradius freigegeben, in der Anleitung steht aber, dass man nur den Controller eintragen müsse - ich versuche es vielleicht mal so, mal sehen, ob dann nur noch eine Zeile im Log kommt - es ist ja schon erstaunlich, dass bei der ersten Zeile (TLS) ein Login OK kommt, bei der zweiten (PAP/EAP/MSCHAP) aber ein Login incorrect - das kann vielleicht bedeuten, dass der direkte und verschlüsselte Datenverkehr zwischen AP und freeradius nicht klappt, der zwischen AP und Controller und dann zwischen Controller und freeradius aber schon - mal sehen.
Falls der freeradius für alle AP freugeschaltet werden muss, so muss die Anleitung in der Dokumentation geändert werden.
Hallo,
das war mal nix:
Error: Ignoring request to authentication address * port 1812 from unknown client 10.1.7.117 port 45209
der will also auf jeden Fall alle AP für den freeradius-Zugang eingetragen haben. Eventuell müssen die einzeln rein?
Das bringt aber nur die beiden Fehlerzeilen, diesmal mit der AP-Bezeichnung:
das war mal nix:
Error: Ignoring request to authentication address * port 1812 from
unknown client 10.1.7.117 port 45209
der will also auf jeden Fall alle AP für den freeradius-Zugang
eingetragen haben.
… natürlich will der freeradius das: er nimmt keine requests von
unbekannten Anfragern entgegen.
In der Datei
/etc/freeradius/clients.conf
stehen sie bei mir so drin:
das ist zwar schon eine Weile her, aber trotzdem eine Frage:
Wenn ich WPA2 Enterprise richtig verstehe, dann sind Zertifkate erforderlich. Bei schuleigenen Geräten sehe ich keine Probleme. Wie sieht es aber bei den unterschiedlichen Geräten der Kollegen aus?
ich hatte bisher Zertifikate für schuleigene Geräte, und da das Ganze gut funktioniert hat, habe ich nicht weiter darüber nachgedacht. Jetzt plane ich den Ausbau des WLAN-Netzes für unterschiedliche Anforderungen und merke, dass es einiger grundsätzlicher Entscheidungen bedarf, die auch technisch nicht ganz einfach umzusetzen sind. Wird nicht langweilig …
bei uns habe ich im freeradius vor ein paar Wochen einfach ein LetsEncrypt-Zertifikat hinterlegt, seitdem meckern die Clients nicht mehr über selbstsignierte Zertifikate
Was bei mir noch fehlt, ist die automatische Erneuerung des Zertifikats. Aber alles zu seiner Zeit…
