WLAN mit OPNsense und Unifi - Captive Portal - Workaroundkonfiguration

Server v7 v7-Betatest
1

Hallo!

Nachdem es ja anscheinend noch etwas dauert bis alles ordentlich läuft habe ich einen Workaround für mich zusammen gebaut.

Ich habe ein WLAN direkt nach GRÜN, damit sich die Benutzer am Betriebssystem-Login anmelden können, einfach mit WPA key und versteckter SSID. Ich habe nicht so viele Kabel. :wink:

Und für alle „Gäste“ (BLAU) ein Vouchersystem nach Anleitung am OPNsense eingerichtet. Ist natürlich nicht so schick wie mit Unifi aber es funzt. Mein Unifi-Controller läuft im Dockercontainer und „einfach“ eine Netzwerkkarte dazuklicken geht nicht ganz so einfach denke ich…

GRÜN und BLAU haben getrennte VLANs.

Screenshot_2019-09-16%20UniFi(3)
Screenshot_2019-09-16 UniFi(3).png1280×663 43.6 KB

Screenshot_2019-09-16%20UniFi(4)
Screenshot_2019-09-16 UniFi(4).png1280×663 49.1 KB

Screenshot_2019-09-16%20UniFi(2)
Screenshot_2019-09-16 UniFi(2).png1280×663 46 KB

Screenshot_2019-09-16%20UniFi(1)
Screenshot_2019-09-16 UniFi(1).png1280×663 60.2 KB

EDIT:
Kümmern wir uns nun um die Leute mit einem Account, diese sollen bei mir Zugriff auf GRÜN haben wegen Nutzung von Druckern und co.

hierzu einfach ein nun drittes WLAN mit eigenem VLAN aufspannen, bei mir Forscherlabor-Lehrer(VLAN 30). Ansonsten einfach die Einstellungen des blauen Gäste WLANs übernehmen.

Bildschirmfoto%20von%202019-10-08%2018-42-53%402x
Bildschirmfoto von 2019-10-08 18-42-53@2x.png3068×1992 464 KB

Am OPNsense nach oben genannter Anleitung mit ZWEI kleinen Änderungen verfahren.

Änderung 1: Beim Punkt Step 3 - Add Firewall Rules -> Block Local Networks, die Action „block“ in „allow“ ändern.

Änderung 2: Beim Anlegen des zweiten Captive Portals unter Authenticate using den linuxmuster auswählen.

Bildschirmfoto%20von%202019-10-08%2018-39-59%402x
Bildschirmfoto von 2019-10-08 18-39-59@2x.png3068×1992 534 KB

Und Fertig!(nicht vergessen ALLE VLANs auch am Switchport zum Server einzutragen)
Ich habe nun folgende drei WLANs

  • „Forscherlabor“ direkt nach grün damit sich die Nutzer am Rechner normal wie mit einer Kabelverbindung anmelden können.
  • „Forscherlabor-Lehrer“ für eigene nicht vom Admin gewartete Geräte mit Zugriff nach grün und Anmeldung am Captive Portal mit normalen Nutzerdaten.
  • „tickettest“ für Gäste die nur Zugriff aufs Internet benötigen mit Zeitbeschränkung und Gutscheinen/vouchers.

TODO:
Unifiticketsystem verwenden(ist hübscher)
Unificontroller nicht in GRÜN

Verbesserungsvorschläge sind willkommen.

Gruß Enrico

2

Hallo Enrico,

ich habe das nach der Anleitung von Dominik laufen:

Es fehlt nur eine Einstellung in der Anleitung.
Wenn du magst, dann suche ich sie noch mal raus.

LG

Holger

3

Hallo Holger,

da ich auch bald unseren Unifi Controller gegen unseren neuen Server authentifizieren lassen möchte, wäre es super wenn du die fehlende Einstellung in dem anderen Thread ergänzt. Das wird mir sicherlich weiterhelfen.

Vielen Dank

Christoph

4

Hallo Jungs!

Ich habe mal Enricos Beschreibung auf WIKI gesetzt!
([Drei Punkte …] neben [Antworten] -> [Schraubenschlüssel] ->[WIKI erstellen])
Damit sollte jeder der etwas dazu betragen kann, es gleich an passender Stelle tun.

Beste Grüße

Thorsten

5

Hallo Christoph,

da ich auch bald unseren Unifi Controller gegen unseren neuen Server
authentifizieren lassen möchte, wäre es super wenn du die fehlende
Einstellung in dem anderen Thread ergänzt. Das wird mir sicherlich
weiterhelfen.

hier ist die Einstellung, die bei mir fehlte:

In der Datei:

/freeradius/3.0/mods-available/eap

bei Zeile 786
folgende Zeile ändern:

use_tunneled_reply = no

zu

use_tunneled_reply = yes

und service freeradius restart

Wurde schon erwähnt, dass man natürlich in der opnsense auch den Verkehr von OPT1 (oder WLAN, wenn man es bennant hat) nach überall hin erlauben muß?
Und natürlich auch DNS (sonst wirds nix mit der Namensauflösung).

wlan-opt1-einstellung
wlan-opt1-einstellung1239×106 8.96 KB

LG

Holger