BYOD und Unifi, keine IP im blauen Netz

1

Hallo zusammen,

ich habe eine komische Situation. Meine Kollegen meinen, dass unser WLAN für BYOD mit WPA2 Enterprise bis vor ca. 10 Tagen noch funktioniert hat und es jetzt nicht mehr geht. Also, dass jetzt keine Verbindung mehr zustande kommt, kann ich bestätigen. Die einzige bewusste Änderung meinerseits war in den letzten Wochen ein update des Unificontrollers auf die Version 8.0.28.

Unser Aufbau:
LMN 7.2
WLAN intern in grün (10.16.1.1/12)
WLAN BYOD in blau (172.16.65.1/24)
WLAN GAST in blau (172.16.65.1/24)
Auf der OPNsense habe ich dazu DHCP im blauen Netz aktiviert und funktioniert auch grundsätzlich.
Auf dem Unificontroller hatte ich DHCP Guarding mit der IP der OPNsense in diesem Netz (172.16.65.1) an und aus, es hat nichts geändert.
Freeradius (3.0.26) läuft auf dem lmn-server im grünen Netz.
Als Fehlermeldung sehe ich dort:

ERROR: (1059) eap_peap: ERROR: (TLS) Alert read:fatal:unknown CA

Daraufhin habe ich das CACert (cacert.pem) exportiert und auf meinem Endgerät installiert. So weit ich nun beobachten konnte, taucht zwar der Fehler nicht mehr auf, aber es kommt auch keine Verbindung zustande. Mit „freeradius -X“ (leider habe ich die Infos nicht kopiert) hat sinngemäß die Anmeldung akzeptiert. Am Endgerät wird entweder der Verbindungsaufbau abgebrochen oder auf eine IP-Adresse gewartet. Es kann auch vorkommen, dass mein Gerät die IP-Adresse aus dem grünen Netz bekommt und dann mit dem WLAN verbunden ist. Das ist aber nicht zielführend, da ja auch Endgeräte, die nicht im grünen Netz registriert sind, mit den erlaubten Zugangsdaten im blauen Netz surfen dürfen.

Jetzt noch meine letzte Beobachtung: wenn ich mit Gast-Portal in Unifi unter Authentifizierung noch den Radius-Server angebe, kann ich mich dort mit den Zugangsdaten anmelden und bekomme eine IP-Adresse im blauen Netz.

Hat mir jemand einen Tipp, wie ich von hier aus strukturiert die Fehlersuche weiterbetreiben kann? Ich eiere gerade etwas ziellos herum.

Viele Grüße
Christian

P.S.: Ich habe eine Einstellung gefunden, die ich möglicherweise falsch gesetzt habe. Und zwar hatte ich im Unificontroller für das Radius Profil die Unterstützung von Radius zugewiesenen VLANs für LANs und WLANs aktiviert. Das habe ich jetzt rausgenommen und schaue gleich mal in der Schule nach.

Ich vermute, dass mein Problem, das gleiche ist, wie in diesem ungelösten Thread: Anleitung/Tipp: Radius Peap-Mschapv2 mit ntlm_auth für WPA2-Enterprise - #77 von Laura

2

Hallo Christian,

bei mir war das in einer Einrichtung im Januar der Fall: ich hatte ganrnichts geändert (und genau das war der Fehler :slight_smile: ) und eingeie Geräte kamen nicht mehr ins WLAN …
Es stellte sich heraus: das Cert war abgelaufen im Dezember.
Ich hab dann ein neues erstellt, dann ging es wieder.
Hab aber schon länger suchen müssen: vor allem, weil nur einige Clients betroffen waren (ich glaube nur Windows hat es gestört: iOS und Android war es wurscht).

LG

Holger

3

Hallo Holger,

die Zertifikate sind vom 23.8.2023 gewesen, laufen die nach 6 Monaten ab?
Jedenfalls hatte ich nach der Anleitung Netzwerkzugriff über Radius — linuxmuster.net 7.1 Dokumentation die Zertifikate neu erstellt und das hat nicht geholfen.

Zeitgleich mit deinem Beitrag hatte ich noch zwei Punkte ergänzt.
Morgen bin ich wieder in der Schule, dann kann ich genauer protokollieren, was bei der versuchten Anmeldung passiert.

VG
Christian

4

Hallo Christian,

wie lange die Cert gültig sind, kann man beim Erstellen angeben.

LG

Holger

5

Hallo Holger,

die Gültigkeit habe ich wie in der Anleitung auf 365 Tage gesetzt.
Auch das heute erstellte Zertifikat hat eine Gültigkeit von 365 Tagen.
Ich starte mal freeradius, samba und den unificontroller neu …
LG
Christian

6

Hallo Holger und alle anderen Mitdenker,

heute bin ich erfolgreich mit drei verschiedenen Geräten ins BYOD-WLAN bekommen. Die IP-Adresse bekamen die Geräte aus dem blauen Netz und der Zugriff auf externe Seiten im Internet hat geklappt.
Außer der Änderung von hier …

… habe ich noch genauer die VLANs für die Access-Points eingestellt. Grün untagged und (nur) Blau tagged. Vorher waren noch mehr Netze dabei, aber das war sowieso nicht gut und musste bereinigt werden.

Viele Grüße
Christian