Mal wieder Unifi: Coova weg -- alles via Unifi regelbar?


#1

Hi.
Ich habe gesehen, dass der Unifi-Controller auch MAC-based Auth. beherrscht, wenn man ein WPA2-Enterprise WLAN einsetzt:

Damit kann man also einigen Geräten im schulweiten WLAN den Dauer-WLAN-Zugang ohne Anmeldung ermöglichen! Das wirft erneut die Frage auf, ob man auf den CoovaChilli vollkommen verzichten kann und alles über den Unifi-Controller abbilden kann?!?

Allerdings sind ein paar Features, die im Moment problemlos funktionieren, per Unifi weiterhin unklar. Wir nutzen im Moment die “Standard-Lösung”: Freigabe für Schüler via Schulkonsole (p_wifi) und CoovaChilli dazwischen. Dort läuft ein Script, das die Schüler nach einer Doppelstunde automatisch wieder rauskickt. Das klappt im Moment sehr zuverlässig. Kann man auch das mit einem Unifi-Controller hinbekommen? Dort ist zwar auch ein zeitbasierter Zugang möglich; aber nur für feste Intervalle (z.B. jeden Morgen von 9-11), wenn ich das richtig sehe? Oder regelt ihr diesen Fall bei euch per Gast-WLAN mit Voucher: 90 Minuten-Ticket an die Klasse rausgeben und alle sind glücklich?

Vielleicht kann ja auch nochmal jemand kurz erläutern, wie das mit V7 demnächst umgesetzt wird? Bleibt es beim Coova oder was ist die offizielle Emfpehlung? Wir hatten ja schon mal kurz die Diskussion hier, dass es neben der Unifi-Lösung evtl auch eine OSS-Lösung geben sollte? Oder wird das CaptivePortal von OPNSense Standard werden?

Nachtrag: Ich kann den Artikel leider nicht mehr löschen (warhscheinlich, da er bereits von jemand anderem aufgerufen wurde???). Jedenfalls hätte ich das besser an diesen Thread angehängt … leider zu spät.
X-Post: Zukünftiges WLAN-Management neben Unifi

Schöne Grüße,
Michael


#2

Das mache ich so.
NetzInt hat ein Plugin geschrieben für den Unifi-Controller. Damit funktioniert alles wie gewohnt:

Die Schüler verbinden sich mit einem WPA2-Key, der allen bekannt ist mit dem WLAN. Die Unifi-APs lassen den Traffic aber zunächst mal nicht ins Netz, sondern zeigen ein Captive-Portal an, wo sich -wie beim coova- die Schüler mit Nutzernamen und Passwort authentifizieren müssen.
Wer Mitglied der Projektgruppe p_wifi ist, darf rein, alle anderen bekommen die Meldung “user has no Rights”.

klappt bei uns problemlos. (ich musste in der Vergangenheit zwei drei mal den Controller neu starten, weil ich keine Zeit für Debuggen hatte und es dann funktioniert hat, wars mir Wurscht.

ich weiß leider nicht genau, wo das Plugin zu finden ist… ich hab mir das von NetzInt installieren lassen.
LG Jesko


#3

Hi Jesko. Klingt alles gut.

… und der oft zitierte automatische disconnect
nach der abgelaufenen Zeit? Kann das Plugin das auch?


#4

Hmmm. Weiß ich grad nicht.
Tut mir leid…

Herzliche Grüße

Jesko


#5

Vielleicht versteh ich Dich auch falsch, aber die MAC-Adresse als Authentifizierung zu missbrauchen ist alles andere als sicher, kann ja beliebig gefaelscht/-aendert werden.


#6

Hi. Du verstehst es nicht falsch. Ich weiß, dass man die MAC Adresse fälschen kann. Das ist in diesem Fall aber ein geringes Risiko, da es nur darum geht Beamer-/Laptop-Wagen ohne Auth ins WLAN zu bekommen. Wenn ein Schüler schlau genug ist, das herauszufinden und entsprechend zu spoofen kann ich nur sagen: “dann hat er den WLAN-Zugang (fast) verdient” :slight_smile:
(Man kann sich aber -wie im Parallel-Thread schon geschrieben- auch Gedanken über ein weiteres WLAN für Geräte usw machen. Ich finde es aber zZ gerade ganz OK, dass wir nur ein einziges schulweites WLAN haben – das verringert Missverständnisse)
Schöne Grüße
Michael


#7

Hallo Michael,

Ja, das ist einstellbar.

Gruß

Alois