Neue Doku: WLAN mit Unifi


#1

Hallo Leute,

ich habe meine erste Dokumentation auf docs.linuxmuster.net gestellt: Unifi-WLAN-Lösung

Natürlich bin ich neugierig, ob sie nachvollziehbar bzw. hilfreiich ist. Vielleicht gibt’s ja auch Stellen, die ich nochmals überarbeiten sollte.

Lasst’s mich wissen…

Gruß,

Mathias


#2

Wow – ist super geworden!

Ich kann als Ergänzung zu den Tickets/Vouchers noch dieses Script empfehlen, das einem Klickerei abnehmen kann:

Kleinigkeit:
Ein Typo fiel mir auf … unter “Der Switch” ist ein “e” zuviel bei “verwandet”.

Und eine Rückfrage: Wenn man sowieso schon VLANs/Subnetting eingerichtet hat – muss man dann evtl noch mehr auf dem Cisco-Switch einstellen? Vgl z.B. Abschnitt ACL/ACE für die neu hinzugekommenen VLANs?
http://www.linuxmuster.net/wiki/dokumentation:addons:subnetting:l3switch


#3

Hallo zusammen,

ich habe eine Frage zur der Unifi-Lösung, die gerade beschrieben wurde:

Unifi-WLAN-Lösung
http://docs.linuxmuster.net/de/latest/addons/unifiwlan/index.html

Unser Schulhaus hat überall LAN. Die Kollegen verbinden sich per Kabel
und Coova. Die vorgestellte Lösung macht offensichtlich APs zwingend.
Oder geht es auch per Kabel ? (also insg. eine Mischlösung aus Kabel und
WLAN?)

Grüße Rainer


#4

Hallo Michael.

Kleinigkeit:
Ein Typo fiel mir auf … unter “Der Switch” ist ein “e” zuviel bei “verwandet”.

Vielen Dank. Ich sammle noch ein paar Fehlerchen und lade es dann wieder hoch…

Und eine Rückfrage: Wenn man sowieso schon VLANs/Subnetting eingerichtet hat – muss man dann evtl noch mehr auf dem Cisco-Switch einstellen? Vgl z.B. Abschnitt ACL/ACE für die neu hinzugekommenen VLANs?

In diese Beschreibung nutze ich nur VLAN um zwei getrennte Netze zum AP zu bringen.

Bei Subnetting fungiert ein Switch (bei docs.linuxmuster.net ebenfalls ein cisco SG300) als Gateway zwischen den VLANS. Das ist hier nicht nötig. Daher müssen auch keine ACE/ACLs eingerichtet werden.

Ich persönlich halte eine Netzsegmentierung für sehr sinnvoll (Sicherheit, Netzbrief, …). Eine gute Anleitung findet man hier.

Gruß,

Mathias


#5

Hallo Rainer,

Unser Schulhaus hat überall LAN. Die Kollegen verbinden sich per Kabel
und Coova. Die vorgestellte Lösung macht offensichtlich APs zwingend.
Oder geht es auch per Kabel ? (also insg. eine Mischlösung aus Kabel und
WLAN?)

Leider nicht. Die vorgestellte Lösung nutzt die Funtionalität der APs.

Gruß,

Mathias


#6

HI Mathias,

ich würde auf der Seite http://docs.linuxmuster.net/de/latest/addons/unifiwlan/unifiinst.html

Editieren Sie die Datei /etc/apt/sources.list und fügen Sie die folgende Zeile hinzu:
deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti

ändern in:
> deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti

sonst bleiben die leute auf v5 hängen.

oder ausführlich:
# deb http://www.ubnt.com/downloads/unifi/debian testing ubiquiti
# deb http://www.ubnt.com/downloads/unifi/debian unifi5 ubiquiti
deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti
# deb http://www.ubnt.com/downloads/unifi/debian oldstable ubiquiti
# deb http://www.ubnt.com/downloads/unifi/debian unifi4 ubiquiti
# deb http://www.ubnt.com/downloads/unifi/debian unifi3 ubiquiti

Edit: ggf. kannst du bei den Vouchern (Gutscheinen) noch dazu schreiben das es von Netzint eine Erweiterung gibt mit der man gegen den LDAP mit Benutzername/Passwort authentifizieren kann.


#7

Hallo Rainer,

mit den unifi switchen kannst du auch LAN Geräte anbinden.


#8

Hallo Kai,

vielen Dank für deine Hinweise. Die nehme ich mit auf.

Edit: ggf. kannst du bei den Vouchern (Gutscheinen) noch dazu schreiben das es von Netzint eine Erweiterung gibt mit der man gegen den LDAP mit Benutzername/Passwort authentifizieren kann.

Das mach’ ich doch glatt. Kannst du mir da noch ein paar Infos zukommen lassen? Die würde ich vorher noch ganz gerne ausprobieren.

Gruß,

Mathias


#9

Hallo Mathias,

sehr schönes how-to - vielen Dank, das hat mir sehr geholfen. Unser Unifi-WLAN-Netz steht jetzt einmal testweise mit 2 APs und diversen SSIDs, VLAN samt Gastportal und allem drum und dran.

Bei der Einrichtung des LDAP bin ich allerdings an drei Stellen hängen geblieben (das ist aber ein anderes How-To):

1.: in http://docs.linuxmuster.net/de/latest/howtos/radius/ldap.html#zugriffsbeschrankung-aktivieren
Ich denke, dass an folgender Stelle ein “==” hin muss und kein “|=”

DEFAULT Group != p_wifi

Man will ja, dass die Leute aus der p_wifi Group ins Netz kommen und nicht umgekehrt.

2.: Außerdem hatte ich das selbe Problem wie du:

Das sollte man umbedingt in das LDAP-How-To aufnehmen.

3.: war mir erst nicht ganz klar, dass ich ja alle Unifi-APs in die clients.conf eintragen muss.

viele Grüße
Manuel


#10

Hallo Manuel,

1.: in http://docs.linuxmuster.net/de/latest/howtos/radius/ldap.html#zugriffsbeschrankung-aktivieren2
Ich denke, dass an folgender Stelle ein “==” hin muss und kein “|=”

da hast du absolut Recht. Bei mir steht da:

# linuxmuster.net -- automatic entries below this line
DEFAULT Group == teachers
DEFAULT Group == p_wlan
DEFAULT Auth-Type := REJECT
    Reply-Message = "Sie dürfen momentan nicht auf das WLAN zugreifen."
# linuxmuster.net -- automatic entries above this line

Da habe ich einen Tippfehler gemacht. Das LDAP-How-To war völlig korrekt.

Ich versuche mal heraus zu bekommen, wer das LDAP-How-To geschrieben hat und frage mal an, ob man (oder auch ich) eine kleine Veränderung vornehmen kann.

Viele Grüße,

Mathias


WLAN mit Unifi / WPA-Enterprise / Freeradius
#11

Hallo,

Ich habe den Teil der Doku geschrieben und habe das so aus der Default-Config übernommen. (https://github.com/linuxmuster/linuxmuster-base/blob/master/var/config-static/etc/freeradius/users). Falls das damit nicht geht (wonach es ja aussieht), dann am besten ein Bugreport/Issue in diesem Repo anlegen.

Wir haben bei uns die zweite Variante (mit LDAP Groups) laufen.

Kann jmd. kurz bestätigen, dass das so passt mit DEFAULT Group == p_wifi? Dann würde ich das ändern.

vG


#12

Hallo Mathias,

vielen Dank für deine Doku, die ich gerade umsetze. Ich habe jetzt eine Nachfrage zu Chromecast-Sticks:

Wir haben an unserer Schule bislang das WLAN über den Coova-Chilli laufen lassen, und haben unsere Chromecast-Sticks mit ihrer MAC-Adresse als erlaubte Geräte im Coova-Chilli hinterlegt, die sich also nicht authentifizieren mussten. Das hat auch funktioniert, sprich das Streaming war möglich. Nun bin ich vom Coova-Chilli weg (der upload war zu niedrig - siehe meine andere Diskussion), und ich setze deine Lösung ein. Mein Handy und der Chromecast-Stick stehen jetzt in der workstations-Datei.

Seltsamerweise bekommt der Chromecast keine Verbindung zum Internet. Er verbindet sich zwar mit dem WLAN, und bekommt auch die richtige IP über die workstations zugewiesen, aber bekommt wie gesagt keine Verbindung. Wie kann das sein, da es doch über den Umweg Coova-Chilli funktioniert hat? Das einzige was nach meiner Ansicht anders ist, ist der default-Gateway und die Netzmaske, jetzt bin ich aber mit meinem Latein am Ende.

Wenn ich mich recht erinnere hast du ebenfalls Chromecast im Einsatz. Muss ich da etwas spezielles beachten?

LG Alex


#13

Hallo Alex,

Seltsamerweise bekommt der Chromecast keine Verbindung zum Internet. Er
verbindet sich zwar mit dem WLAN, und bekommt auch die richtige IP über
die workstations zugewiesen, aber bekommt wie gesagt keine Verbindung.
Wie kann das sein, da es doch über den Umweg Coova-Chilli funktioniert
hat? Das einzige was nach meiner Ansicht anders ist, ist der
default-Gateway und die Netzmaske, jetzt bin ich aber mit meinem Latein
am Ende.

Wenn ich mich recht erinnere hast du ebenfalls Chromecast im Einsatz.
Muss ich da etwas spezielles beachten?

der “Raum” in dem der Stick in der workstations steht muss natürlich
Internetzugriff per Default erlaubt haben.
Hast du eine Proxyauthentifizierung im IPFire an?

Viele Grüße

Holger


#14

Zugriff für den Raum ist an, keine Proxy-Authentifizierung nötig…
LG Alex


#15

Hallo Alex,

kommst du mit deinem Handy auf die YouTube-Seite? Das sollte eigentlich funktionieren, wenn du über https (Port 443) raus kommst.
Wenn der Chrom-Cast im richtigen Netz ist, sollte alles funktionieren.

Gruß,

Mathias


#16

Habe jetzt youtube speziell nicht ausprobiert, aber ich kann problemlos surfen. Kann das morgen noch mal testen. Wie gesagt, über das captive-portal kam ich mit dem Handy raus, und der Chromecast auch, nur war alles sehr langsam. Seit ich den Coova rausgeschmissen habe, und die Geräte direkt in die workstation aufgenommen habe, habe ich super Down- und upload-Raten bei allen mobilen Endgeräten, nur die Chromecasts wollen nicht mehr…

LG Alex


#17

Hallo Mathias,

also YouTube vom Handy geht, aber der Chromecast will nicht.

Kannst du mir mal sagen, was du in deinem Controller unter Einstellungen->Netzwerke eingetragen hast? Besonders interessiert mich das Gateway/Subnetz

Gruß, Alex


#18

Hallo Alex,
wenn du mit dem Handy raus kommst und auch YouTube-Filmchen abspielen kannst, dann liegt’s nicht am Netz.

Bist du dir sicher, dass die Chromcasts im richtigen Netz sind?
Du müsstest sie dann im YouTube des Handys oder aller Geräte sehen, die im gleichen Subnet sind.

Gruß,

Mathias


#19

Ich fürchte es liegt daran, dass die Chromecast den Google DNS 8.8.8.8 nicht kontaktieren können. Woran das jetzt wieder liegt versuche ich gerade herauszufinden

LG Alex


#20

Hi Alex,

In dem Fall gibt es einen Unterschied zwischen dem Netz in dem sich dein WLAN befindet und dem Netz in dem sich der Chilli befand.
Vielleicht grenzt das die Suche etwas ein …

Gruß,

Mathias