Unifi: WLAN abschalten über Schulkonsole

Hallöle,

habe nach ein bisschen gefrickel unser Unifi AP’s wie in der Doku beschrieben zum Laufen bekommen.
Schulgeräte in grün kommen ins WLAN.
Mein Testschüler kommt über das Schülernetz (blau; 172.16.16.0/24) auch ins Internet, nachdem ich in der Schulkonsole den Unterricht begonnen und ihm das WLAN angeschalten habe.
Alles super soweit.
Allerdings bleibt die WLAN Verbindung des Testschülers bestehen, wenn ich ihm über die Schulkonsole das WLAN wieder entziehe und den Unterricht beende.
Solange bis die Verbindung am Smartphone unterbrochen (WLAN aus) wird. Schält man das WLAN am Smartphone wieder an, dann kommt der Testschüler nicht ins Netz (wie gewünscht), solange bis ich ihm wieder WLAN über die Schulkonsole gebe. Schalte ich WLAN über Schulkonsole wieder ab so kann er weiter surfen…

Ist das prinzipiell so, dass ich ihm über die Schulkonsole das WLAN nicht mehr entziehen kann, wenn er mal drin ist und zwar solange bis er das WLAN am Smartphone abschlaltet/bzw. die Verbindung verliert oder liegt da ein Fehler an meiner config vor?
Kennt in diesem Fall evtl. jemand das Problem bereits und hat’s vielleicht schon gelöst?

Vielen Dank vorab und viele Grüße,

David

Hallo David,

schau mal. ob du irgendwo ein RADIUS Session Timeout im Unify Controller konfigurieren kannst. Da sollte es ein Idle- und Hard-Timeout geben. Ich weiß aber nicht, ob es diese Option wirklich gibt, da wir Unify nicht verwenden.

vG Stephan

1 Like

Guten Morgen Stephan,

danke für die Rückmeldung.
Habe eben mal durchgeklickt.
Leider kann ich die Einstellung nicht finden.
Evtl. ist diese Einstellung nur möglich, wenn man ein Unifi Security Gateway (USG) verwendet, was ich aber nicht habe…

Grüße.

Hallo Daniel,

danke für die Rückmeldung.
Habe eben mal durchgeklickt.
Leider kann ich die Einstellung nicht finden.
Evtl. ist diese Einstellung nur möglich, wenn man ein Unifi Security
Gateway (USG) verwendet, was ich aber nicht habe…

nein: daran kann es nicht liegen.
Bei dem normalen unifi Setting (wie ich es auch habe) ist der RADIUS
Client im AccessPoint.

Ein solches Timeout müßte also bei den Accesspoints oder generell bei
der radius config eingestellt werden sollen.

Du hast ja gesehen, dass die Cleints, obwohl ihnen “das Recht auf
Internet” in der SchuKo entzogen wurde, weiter surfen können, solange
sie ihre Verbindunge halten.
Jetzt gibt es zwei Möglichkeiten:

  1. alle 45 Minuten (oder 90) alle Clients vom WLAN abmelden (so hatte es
    mal jemand im Forum mit dem CoovaChilli gemacht, wenn ich das richtig
    erinnere)

  2. das was Stephan vorschlägt: dem RADIUS sagen: deine session ist nur
    45 minuten Gültig: dann mußt du erneut nachfragen, ob du noch darfst.

2 wäre natrlich besser.
Vielelicht könnte man auch mal nach
unifi radius session timeout
suchen (im Internet).

Ich würds ja machen, aber Heute ist leider ganz schlecht :frowning:

LG

Holger

Hallo zusammen,

wenn ich das richtig verstehe, muss man das beim Radius-Server einstellen. Vielleicht ja so (in /etc/freeradius/users):

DEFAULT Ldap-Group == "cn=p_wifi,ou=groups,dc=meine-schule,dc=de"
   Session-Timeout := 60

Dann muss der Client alle 60 Sekunden neu authentifizieren.

Beste Grüße

Jörg

Ja, das waren Yannick und ich:

https://www.linuxmuster.net/wikiarchiv/anwenderwiki:benutzerrechner:wlan:coovachilli-disconnect?s[]=disconnect

Mit dem coova klappt das. Wäre schön, wenn man das mit dem Unifi Controller oder dem OPNSense als Captive Portal auch hinbekommen könnte
Übrigens: So ein Soft-/Hardlimit alleine ist nicht ausreichend…

Schönen Gruß
Michael

Hallo zusammen,

dieses Phänomen kenne ich auch.
Wenn man die Netzint-Lösung verwendet, dann haben diese ein Skript dabei, welches regelmäßig die Verbindung am Unifi-AP trennt. Alois hat dazu einmal etwas geschrieben. Nach Unterrichtsende: WLAN Zugriff für Schüler bleibt bestehen

Ich selber habe auch nicht die Lösung von Netzint und wäre daher auch an einer Lösung dieses Problems interessiert. :slight_smile:

VG Daniel

Hallo,

ich glaube, wir müssen aufpassen, dass die Lösung zu der Voucher-Geschiche passt.

Viele Grüße, Wilfried

Wir überlegen auch gerade, ob wir den Zugang zum WLAN nicht vollständig über Voucher regeln sollten. Das ist vom Verfahren viel einfacher und man hat auch nicht das Problem, dass man zunächst Kurse als Projekt anlegen muss, bevor man die online gehen lassen kann. Einfach den Zugangscode unter die Elmo und alle im Raum sind für 100 Minuten online – fertig. Klingt einfach… Natürlich hätte man auch hier das gleiche Timeout Problem, wenn man zB erst gegen Ende der (Doppel)Stunde den Code verteilt.
Dann würden die Schüler die Restzeit mit in die nächste Stunde nehmen können. Konsequenz daraus: “So what?” Oder: “Katastrophe!” ?? :thinking:

Michael

Hallo Jörg,

vielen Dank.
Das werde ich am Wochenende mal austesten.
Gebe dann Bescheid ob’s klappt.

Grüße an alle und ein schönes Wochenende.

Hallo Michael,

Wer zahlt bei illegalen Downloads?

Gruß Alois

Hallo Jörg,

leider kann der Schüler auch nach Setzen des Session Timeouts und Neustarten von freeradius munter weiter surfen, wenn in der Schulkonsole der Unterricht beendet wurde.
Bin auch nochmals alle Einstellungen durchgegangen und hab die Dateien für freeradius/LDAP etc. abgeglichen. Leider ohne Erfolg.

Schade.

Eventuell muss ich mir dann auch die Voucher Geschichte überlegen; sprich 45min. und 90min. Vouchers für die Schüler; wobei mir die Steuerung über die Schulkonsole schon wesentlich lieber gewesen wäre.

Grüße

Hallo David,

inzwischen habe ich einige Seiten im Netz zum Thema “Unifi ignoriert Session-Timeout” gefunden …

Beste Grüße

Jörg

Hallo zusammen,

https://wiki.freeradius.org/guide/FAQ#common-problems-and-their-solutions_how-can-i-disconnect-user-with-freeradius

Im Wiki von Freeradius gibt es dazu auch einen Eintrag. Habe aber noch nichts getestet.

VG Daniel

1 Like