Unifi: Controller im getrennten Netzwerk betreiben oder nicht?

Michael · 4. Juni 2020 um 13:30

Hallo.
Ich weiß, dass diese Frage schon mal hier lief – ich finde sie aber gerade nicht wieder: Wir strukturieren unser Netzwerk gerade um, da der Umbau auf 10GBit das erforderlich macht.

Im gleichen Atemzug wollen wir endlich alle Geräte, die nicht für irgendwelche User erreichbar sein sollen endgültig in ein eigenes Managemant-VLAN stecken. Dazu zählen also auch alle Weboberflächen von sämtlichen Geräten, die kein User erreichen können soll oder darf (Switche, Hypervisor usw usw)

Die Frage ist nun, ob man den Unifi-Controller auch in das Management Netz stecken kann oder ob’s das nicht bringt? Im Moment haben wir das so, dass die Unifi-VM zwei virt NICs hat, damit sie aus zwei Netzen erreichbar ist; ich bin aber nicht ganz sicher, ob das zwingend so sein muss oder ob es für das neue Szenario dann sogar kontraproduktiv ist? Mir geht es in diesem Fall auch gar nicht so sehr darum, dass der unifi-Controller im WLAN erreichbar ist. Vielmehr haben wir einen Unifi-Switch für die Glasfaserleitungen (unifi 16XG), der eigentlich ins Management-Netz gehört aber dort natürlich nur vom Controller gefunden wird, wenn auch der Controller im Management-Netz ist. Und wenn der sich dort befindet, müssten auch die AccessPoints dort sein … so schließt sich der Kreis.
Wie macht ihr das?
Schöne Grüße,
Michael

baumhof · 4. Juni 2020 um 18:49

Hallo Michael,

Die Frage ist nun, ob man den Unifi-Controller auch in das Management
Netz stecken kann oder ob’s das nicht bringt? Im Moment haben wir das
so, dass die Unifi-VM zwei virt NICs hat, damit sie aus zwei Netzen
erreichbar ist; ich bin aber nicht ganz sicher, ob das zwingend so sein
muss oder ob es für das neue Szenario dann sogar kontraproduktiv ist?
Mir geht es in diesem Fall auch gar nicht so sehr darum, dass der
unifi-Controller im WLAN erreichbar ist. Vielmehr haben wir einen
Unifi-Switch für die Glasfaserleitungen (unifi 16XG), der eigentlich ins
Management-Netz gehört aber dort natürlich nur vom Controller gefunden
wird, wenn auch der Controller im Management-Netz ist. Und wenn der sich
dort befindet, müssten auch die AccessPoints dort sein … so schließt
sich der Kreis.

Der Controller braucht nur eine Netzwerkkarte und die steckst du ins
Management LAN.
Ebenso mußt du alle Switches und alle APs ins Management LAN stecken:
und da wird es doof, da jeder AP selbst den Radius befragt: also mußt du
vom Management LAN eine Verbindung zum Server erstellen und dem RADIUS
auf dem Server sagen, dass die anfragen dürfen (oder hast du den auf der
OPNsense laufen?).

Wie macht ihr das?

ich hab nur APs und den Controller: und die sind in Grün…
Ja: suboptimal, aber noch ist das halt so.

LG

Holger

Michael · 4. Juni 2020 um 17:59

Hallo Holger.

Ok, ich habe da scheinbar irgendwie eine falsche Vorstellung davon, wie der AP das macht: Er bietet also ein WLAN an, muss aber nicht selbst in diesem WLAN sein?!
Wieder ein typischer Fall von „Wie laufen da die Pakete?“, würde ich sagen!?

Die Firewall-Regeln müssten dann aber doch noch weitergehen also nur die RADIUS-Anfragen durchzulassen??

Was die RADIUS-Auth angeht: Ja, der RADIUS-Server läuft bei uns aufgrund der Schwierigkeit „OPNSense <-> Unifi <-> FreeRadius“ direkt auf dem v7-Server. Die Anfrage aus dem WiFi-Netz auf den Radius-Server ist auch bereits erlaubt; reicht aber dann offenbar nicht mehr, wenn der Controller sich neuerdings im Management-VLAN befindet!?

Schöne Grüße,
Michael

baumhof · 4. Juni 2020 um 18:30

Hallo Michael,

Ok, ich habe da scheinbar irgendwie eine falsche Vorstellung davon, wie
der AP das macht: Er bietet also ein WLAN an, muss aber nicht selbst in
diesem WLAN sein?!

…zu ungenau: es gibt ja nciht „das WLAN“: bei mir sind es 4 Stück.
Meine APs sind ungetagged in Grün: das ist ihr „management LAN“
Sie sind aber auch getagged in Blau und in Rot.

Wieder ein typischer Fall von „Wie laufen da die Pakete?“, würde ich sagen!?

kommen sie aus dem Schüler WLAN, dann laufen sie zum AP: der fragt über
grün beim Radius nach, ob der Nutzer rein darf: bekommt er grünes Licht
laufen die Pakete weiter zur OPNsense (Blau).
Wo die Pakete (aus Nutzersicht) „nach“ dem AP hinlaufen, entscheidest du
beim Einrichten des WLANs.

Die Firewall-Regeln müssten dann aber doch noch weitergehen also nur die
RADIUS-Anfragen durchzulassen??

ja: aber halt aus dem management LAN: und ob das überhaupt an deiner
OPNsense anliegt?

Was die RADIUS-Auth angeht: Ja, der RADIUS-Server läuft bei uns aufgrund
der Schwierigkeit „OPNSense <-> Unifi <-> FreeRadius“ /direkt/ auf dem
v7-Server. Die Anfrage aus dem WiFi-Netz auf den Radius-Server ist auch
bereits erlaubt; reicht aber dann offenbar nicht mehr, wenn der
Controller sich neuerdings im Management-VLAN befindet!?

ich denke nein: die Anfragen stellt der PA ja über sein ungetaggtes LAN,
dann also das management LAN.
Aber vielelicht kann man dem AP auch sagen, welches LAN er für die
RADIUS Abfrage benutzt …

LG

Holger

Michael · 4. Juni 2020 um 18:33

… das ergibt alles Sinn … ich werde es mir nochmal ansehen. Danke!

Michael · 5. Juni 2020 um 10:16

Hi. Ich habe es mir gerade angesehen: das Gastportal verlangt, dass der Controller für die Clients erreichbar ist. Dazu habe ich eine Firewall Regel erstellt. Genauer kann ich es aber gerade nicht testen.

jochen · 5. Juni 2020 um 14:46

Hallo Michael,

wie Du weißt, haben wir die netzint Lösung am Laufen. Dafür musste ich den Controller auch im BYOD-Netz erreichbar machen. Ansonsten hängt er, wie Holger auch schrieb, tagged in seinen WLAN-Netzen und untagged im Managment-Netz, genau wie die APs.

Viele Grüße,
Jochen

irrlicht · 5. Juni 2020 um 15:06

Hallo ihr,

was habt ihr eigentlich fuer Hochsicherheitsumgebungen in der Schule?

Da unser ganzes Verwaltungsnetz mit Zeugniskram usw. usf. physikalisch vom paedagogischen Netz getrennt ist, mache ich mir keinen grossen Kopf um Zonen, Firewallgefrickel und Managementnetze, ich bin froh, dass ich von jedem Rechner per ssh an die Server komme.

Ich gehe davon aus, dass mindestens einer meiner Schueler Rootrechte auf allen Servern hat, darauf baut mein restliches „Sicherheitskonzept“ auf.

Ich weiss, dass das in Produktivumgebungen so nicht geht, aber im paedagogischen Netz ist das von Vorteil. Wenn ich manchmal sehe was ihr fuer einen Aufwand treibt um kaum interessante und schuetzenswerte Daten einzumauern, dann muss ich mich schon wundern.

Da ich grosser Freund von Freifunk bin, juckt es mich auch nicht wenn das Lehrer-WLAN auf den gleichen APs ist, wie der Rest bzw. im gleichen Netz, die Sicherheit nimmt nicht wirklich zu, da muss sich jeder schon selbst schuetzen.
Smartfons sind sowieso schon sehr schwierig anzugreifen und die Sicherheit von Windowsnotebooks und Tablets haengt nicht von eigenen Netzen ab, die boesen Jungs nutzen reverse-tcp-Verbindungen, das kann jeder Trojaner und da scheitert sowieso mal so gut wie jede Firewall dran.

Gruss Harry

jochen · 5. Juni 2020 um 15:28

Hallo Harry,

ich nehme nicht für mich in Anspruch, dass ich ein Hochsicherheitsnetz am Laufen habe!

Ich seh z.B. unsere Netzdesign als Kombination, den Netzbrief so gut wie möglich umzusetzen gepaart mit ein paar technischen Features wie Verkleinerung der Broadcast-Domänen, ein bisschen ‚best practice‘, wobei hier für mich das Thema dazugehört, Netzwerkinfrastruktur halt in ein separates Netz zu hängen und ein bisschen Spielwiese nach dem Motto „hab ich Spaß dran, das technisch Mögliche auszutesten“. Dass so ein Konstrukt nie zu 100% sicher ist, bezweifle ich nicht aber darum geht’s wie gesagt auch nicht.

Andersrum: wenn man haarspalterisch sein wollte, würde ich bezweifeln, dass Dein Verwaltungsnetz wirklich „physiklisch“ von Deinem pädagogischen Netz getrennt ist, sofern beide irgendwie - und sei es über x Firewalls - eine Verbindung in’s Internet haben!?

Viele Grüße,
Jochen

irrlicht · 5. Juni 2020 um 15:38

Ja sicher, die groesste Gefaehrdung fuer die Daten sind allerdings keine Hacker, die sicher per Hydra und Co. bzw. ueber Sicherheitsluecken der Serverdienste in diese reinhacken sondern die Windowsclients, die so doof sind, dass sie auf jeden noch so bescheuert programmierten Trojaner im Mailanhang reinfallen und dann anfangen entweder die Daten in ihrem Umfeld (Festplatte Netzlaufwerke,…) zu verschluesseln oder diese fuer spaetere Nutzung irgendwo im Internet abladen oder beides. VLANs, Virenscanner und Firewall/ACLs sind da leider ziemlich machtlos, loesen kann dieses Problem nur Microsoft…die machen’s aber nicht.

Gruss Harry

Michael · 5. Juni 2020 um 16:20

Hallo Jochen!

Ja, genau dabei habe ich das Problem heute bemerkt Die Portalseite wurde nicht ausgeliefert. In den unifi-Controller-Settings steht das auch mit so einem kleinen gelben Icon: „Controller muss erreichbar sein!“

In den UnboundDNS-Einstellungen der OPNSense wird zwar auf die IP des Controllers (jetzt im Management-Netz) umgeleitet, doch die Seite erscheint trotzdem nicht. Die Firewallregel von diesem WiFi in das Management-Netz alleine reichte jedenfalls scheinbar nicht!??

Daher habt ihr vermutlich dem Controller auch einfach eine 2. NIC spendiert, die untagged im BYOD-Netz (also genauergesagt in dem Netz, wo das Gastportal läuft) liegt und somit den Controller direkt erreichen kann, richtig?

Ach ja: Eine Alternative wäre übrigens: Den Controller in dem BYOD-Gastportal-WiFi lassen und die Firewallregel so anpassen, dass er die anderen Unifi-Geräte im Management-Netz finden kann! Ist das besser oder schlechter als die Variante mit der 2. NIC?

Hallo Harry

Bin ich prinzipiell auch – allerdings ist die Erreichbarkeit des Servers eine andere Liga als die Erreichbarkeit des Hypervisors. Den sollte meiner Meinung nach niemand erreichen können, der auf der Kiste nichts zu suchen hat… von daher würde ich das gerne einschränken. Das gleiche gilt für die Switches … am besten, wenn die niemand erreichen kann, der darauf nichts zu suchen hat. Klar ist ein Schulnetzwerk kein Fort Knox – aber so offen wie du an die Sache herangehst, würde ich es dann auch wieder nicht machen. Mir geht es auch gar nicht so sehr um schützenswerte Daten sondern um ein schützenswertes Setup, das niemand durcheinanderbringen soll…
Die Umstellung auf VLAN/Subnetting war zwar echt 'ne Hausnummer; bereut habe ich das aber noch nie.

Bis später,
Michael

jochen · 5. Juni 2020 um 17:40

Hallo Michael,

Exakt.

Gute Frage! Musste halt schnell funktionieren, deswegen haben wir’s so gemacht. Da unser Routing momentan noch teilweise über den Coreswitch und teilweise die OPNsense läuft, war das einfacher.

Viele Grüße,
Jochen

baumhof · 5. Juni 2020 um 17:40

Hallo Harry,

spaetere Nutzung irgendwo im Internet abladen oder beides. VLANs,
Virenscanner und Firewall/ACLs sind da leider ziemlich machtlos, loesen
kann dieses Problem nur Microsoft…die machen’s aber nicht.

ich habe mein Netz nicht nur wegen dem Lehrernetz (sicherheit)
gesubnettet, sondern auch, weil es mit >280 Clients zu groß wurde für
ein flaches Netz.
Es macht schon ein UNterschied, ob ein Broadcast auf eine 24er oder eine
12er Netzwerk losgelassen wird (z.B. DHCP)

LG

Holger

jochen · 5. Juni 2020 um 17:41

Hallo Harry,

Ersetze Windowsclients durch User und ich bin bei Dir…

Gruß,
Jochen

irrlicht · 5. Juni 2020 um 17:58

Noenoe, ein gutes System muss selbst einen bescheuerten Benutzer schuetzen koennen, selbst wenn der so doof ist auf jeden Anhang zu klicken.

Jeder Prozess, der die Festplatte durchsucht und anfaengt Daten zu verschluesseln muss (!) eine Abfrage zur Folge haben.
UAC ist ja bei Windows auch schon immer kaputt, keiner gibt mehr den Tipp nicht als Administrator zu arbeiten, da das sowieso keine Rolle spielt. Jeder noch so dumme Trojaner geht da einfach durch, eskaliert seine Rechte.

Gruss Harry