WLAN mit Unifi AccessPoints

Hallo,

ich möchte gerne die WLAN Lösung mit Uniti AP von Netzint umsetzen. Ich habe das jetzt mal vorsichtig soweit vorsortiert, dass ich denke, auf dem Controllserver das Paket netzint-unifi-auth installiere?
Nur was mach ich dann? Ich vermute, dass ich im Unify Controller selbst etwas einrichten muss, der Teil der Geschichte ist mir allerdings völlig unklar. Gibt es hierzu irgendwo eine Dokumentation?

Grüße
Björn

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Björn!

Haben wir uns am Donnerstag auf der Didakta unterhalten und ich konnte
dir dort nicht helfen?

Ich habe jetzt in unserer Doku nachgesehen und habe den Eintrag aus 2015
gefunden, als wir die Netzint-Erweiterung eingebaut haben. An ein paar
Stellen habe ich Anpassungen vorgenommen. Außerdem waren nicht alle
Eintragungen logisch. Ich hoffe, ich habe nicht zu viel korrigiert und
das stimmt jetzt so:

Authentifizierung über Unifi-APs (05.11.2015)

Unifi-Controller

zusätzliche Pakete unifi-beta und netzint-unifi-auth
mit Paketquellen

deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti
deb http://pkg.netzint.de/ precise main

Änderungen der Konfiguration in /var/www/guest/s/default/maincfg.php

<snip>
  <?php                                                     
  // Unfi Connection                                        
  $unifiServer = "https://127.0.0.1:8443";                  
  $unifiUser = "unifi";                                     
  $unifiPass = "*****************";                               
  $unifiVersion = "4"; // 3,4                               
  $unifiSite = "default"; // default                        
  $unifiAuthTime = "1440"; // in min.                       
  $unifiWaitTime = "16"; //time for authorisazion wait in Seconds
                                                                 
  // MySQL Database Connection OPTIONAL (BETA)                   
  $dbServer = 'localhost';                                       
  $dbUser = 'unifi';                                             
  $dbPassword = 'changeme';                                      
  $dbName = 'unifi';                                             
                                                                 
  // LDAP Server                                                 
  $ldap_type = "LMN"; // LMN (linuxmuster.net) or AD (MS ActiceDirectory)
  $ldap_host = "10.32.1.1, 636"; // LDAP-Server IP/Hostname              
  $ldap_version = "3"; //LMN 3, AD X                                      
  $ldap_dn = "dc=bszleo,dc=de"; // LMN dc=linuxmuster-net,dc=lokal, AD
CN=Users,DC=domain,DC=local
  $ldap_user_group = "p_wlan"; // Valid Group secondary, example: LMN
p_wifi, AD WifiAllow         
  $ldap_manager_group = "teachers"; // Valid Group primary, example: LMN
teachers, AD WifiAdmins   
  $ldap_usr_dom = ""; // Domain, for purposes of constructing $user; LMN
"" , AD @domain.local     
                                                                                                 
 
  //
Logging                                                                                     
 
  $log_file = "/var/log/netzint/UnifiLdapAuth.log"; // Path to Logfile
(must exist and have to be writeable)
                                                                                                           
 
  //
Terms                                                                                                 
 
  $terms_file = "terms.html" // Path to
Termsfile                                                            
 ?>                                                                                                        
 
 <snap>

/var/www/guest/s/default/terms.html -> Nutzungsvereinbarungen

ldap-Zugriff auf Schulserver erlauben:
zusätzlicher Eintrag in /etc/ldap/slapd.conf

<snip>
 access to
attrs=sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,userPassword
      by anonymous peername.ip=10.32.1.254 auth
      by anonymous peername.ip=10.32.1.1 auth
      by anonymous peername.ip=10.32.1.122 auth       <<<<<-----
unifi-controller
      by anonymous peername.ip=127.0.0.1 auth
 <snap>

/etc/init.d/slapd restart

Einstellung in Unifi-Controller
-> Settings -> Guest Controll -> Enable Guest Portal; Custom Portal:
10.32.1.122 (IP-Adresse des Unifi-Controllers im Netz), Portal URL:
unifi, Access Control: Restricted: 192.168.0.0/16; 172.16.0.0/16;
10.0.0.0/9, Allowed: 10.1.254.254/32 (=ip des Unifi-Controler

-> Settings -> User Group -> Traffic beschränken (down- und upload)
-> …

Logging u.a. in /var/log/netzint/UnifiLdapAuth.log

Managementnetz für APs und Switche -> VLAN *****
192.168.***.***

WLAN-Netz mit AP-Authentifizierung auf Blau von Ipfire (172.16.175.254)
172.16.165.254/255.255.240.0
DHCP-Range: 172.16.160.0-172.16.175.255 (4094 Adressen)

Gruß - Rainer

Eine Ergänzung dazu - hat oben gefehlt:

Konfiguration Freeradius auf dem unifi-controller:
Vorgehensweise s. LML Wiki & Forum:
https://www.linuxmuster.net/wiki/anwenderwiki:freeradius
http://www.linuxmuster.net/forum/forum.php?req=thread&id=963&unb661sess=dgjmqshljif89p6014bb97etr6
freeradius installieren

apt-get install freeradius freeradius-ldap freeradius-utils

Konfiguration:
/etc/freeradius/clients

#Freigabe aller APs im Managementnetz
client 192.168.0.0/24 {
secret = testXXXXX
shortname = unifi
}

/etc/freeradius/modules/ldap

ldap {
#
# Note that this needs to match the name in the LDAP
# server certificate, if you’re using ldaps.
server = “10.32.1.1”
#identity = “cn=admin,dc=bszleo,dc=de”
#password = mypass
basedn = "dc=bszleo,dc=de"
filter = "(uid=%u)"
base_filter = "(objectclass=posixAccount)"
groupname_attribute = cn
groupmembership_filter = (&(objectclass=posixGroup)(memberUid=%u))

/etc/freeradius/sites-avaiable/default & /etc/freeradius/sites-available/inner-tunnel gleich anpassen

authorize {

# auskommentiert ldap
ldap
}

post-auth {

LDAP Gruppen freigeben

    if (LDAP-Group == "p_wlan") {
            noop
    }
    elsif (LDAP-Group == "teachers") {
            noop
    }
    else {
            reject
    }

neues WLAN im Unifi Controller
SSID: BSZLeonbergLogin
Sicherheit: WPAEAP
VLAN: xxx
RADIUS Auth Server: 192.168.0.254 Port: 1812
WPA2 AES

Konfiguration am Client:
EAP-Methode: TTLS (getunneltes TLS)
Phase 2-Authentifizierung: PAP
kein Zertifikat
Benutzer: Schullogin
Passwort: Schullogin

Hallo,
ich möchte unser WLAN ebenfalls auf Unifi AP umstellen. Dazu habe ich die nativ mal ins grüne Netz gehängt. Zudem dürfen die vom Cisco-Switch aus VLAN-Trunking machen.

  • VLAN 7 (grün) nativ / Unifi-Management: 10.32.1.252
    AP erhalten vom DHCP eine IP aus 10.32.X.Y
    Zugang soll per WPA-Enterprise (Benutzername/Passwort) gegen den linuxmuster.net-Server gehen (freeradius oder LDAP)
  • VLAN 4 (direkter Internetzugang (nicht blau!)) / Unifi-Management: 192.168.100.4
    Zugang per Voucher

Irgendwas mache ich aber falsch:
Wenn ich den Gastzugang im ersten WLAN-Netz freigebe, dann werde ich auf die Voucher-Seite 10.32.1.252 umgeleitet, danach bin ich drin. Wenn ich mich dann ins andere WLAN-Netz begebe, dann bin ich mit meinem Voucher auch dort drin.
Wenn ich aber ins VLAN 4 gehe, will mein Browser auch auf 10.32.1.252 umleiten, den Server erreicht der da natürlich nicht - ich habe dann bei [Portal URL Hostname] [X] Redirect using hostname 192.168.100.4 eingetragen, dann will der Browser auf den umleiten, das Netz 192.168.100.X wird aber erstmal gesperrt.

Wo liegt mein Denkfehler?
Ist die Einrichtung des Unifi-Managements irgendwo dokumentiert?

Grüße
Jens

PS: Installiert ist unter Debian 8: deb http://www.ubnt.com/downloads/unifi/debian stable ubiquiti das Paket unifi

Keine Hilfe aber evtl ein Tipp in Sachen VLANs (tagged/untagged). Ist das bei dir so?

Hallo,
danke für die Links - es könnte sein, dass die Management-Software ebenfalls an einem Trunk hängen sollte, so dass die Pakete auch getagged zum Switch gehen. Bislang habe ich die VLANs auf dem Virtualisier-Host auf mehrere Brücken gelegt und jeweils als eigenen VNIC zur virtuellen Maschine geschickt.

Sodele, es tut jetzt:

  • Einstellungen-Gastkontrolle-[Umleitung durch Hostnamen]: http://[IP des Controllers]
    hier die IP des Unifi-Controllers im WLAN-Netz eingeben
  • Einstellungen-Gastkontrolle-[Zugriff vor Anmeldung]: [IP des Controllers]

Damit ermöglicht man die Umleitung VOR der Anmeldung auf den Controller, wo der Gast seinen Voucher eingeben kann und dann freigeschaltet ist.

Hallo,
ich habe mich die letzten Tage mit unifi beschäftigt.
Mein Stand: Lehrer-WLAN in grün, WLAN Passwort, Lehrergeräte in workstations.
Schüler-WLAN Blau: WPA Enterprise

Nun habe ich das Problem: Mit einem Andoid Gerät bin ich als Schüler sofort drin. Unter Win7 scheint es ein wildes Herumgeklicke zu sein, um die Zertifikatsprüfung abzuschalten. Meiner meiner Meinung nach zu kompliziert.

Nun sehe ich diesen Threat und habe eine Frage vorab. Da scheint ja eine Firma (NetzInt) dahinter zu stehen. Darf man das so einfach nehmen oder muss man da schon Kunde sein.

Falls man es so einfach nehmen kann: Bekommt man es mit der obigen Anleitung hin?

VG,
Markus

Hi.
Ich lese jetzt immer öfter hier im Forum, dass viele die Unifi-APs zusammen mit WPA2-Enterprise einsetzen wollen, um per Radius-Auth. die User in ein WLAN zu lassen.

Bisher haben wir noch den CoovaChilli dazwischen hängen und ich sehe bisher auch nicht nicht so ganz die Vorteile, die Unifi im Vergleich hat? Kann jemand nochmal die Gründe für den Umstieg nennen?
Beim Coova ist meiner Meinung nach weiterhin der Vorteil, dass User bei uns gezielt nach 90 Min wieder aus dem WLAN fliegen. Geht so etwas nach der Umstellung weiterhin oder regelt ihr das dann mit zeitlich begrenzten Vouchers?

@Tobias meinte in einem anderen Thread schon mal, dass er die OpenSource-Lösung à la CoovaChilli auch weiterhin bevorzugt, da nicht alle Unifi in den Schulen haben. Daraufhin wurde das Argument genannt, dass sich mit lml 7.0 eh alles ändert (direkt via OPNSense). Heißt das für mich, dass sich die Umstellung auf die Radius-Auth per Unifi eigentlich gar nicht mehr lohnt – oder wie seht ihr das?

Schöne Grüße,
Michael

Hallo,
ich kann Dir gerne meine Gründe nennen:

  1. Der Chilli funktioniert unzuverlässig. Dauernd gibt es Probleme. Holger meinte, es wird besser, wenn man den Unterbau Ubuntu durch eine höhere Version ersetzt. Das habe ich jetzt getan, mir fehlen aber noch die Erfahrungen. Nach den Ferien startet unsere Projektwoche, da wird es mit mitgebrachten Notebooks wieder heftig.

  2. Wir haben in jedem Klassenzimmer nur ein Netzwerkkabel. Ich habe und möchte weiterhin die APs in blau. Sprich: Wir setzen die Y-Verkabelung in Halbbelegung ein und verschenken damit gerade beim Klonen viel Bandbreite (2x 100 MBit statt 1x 1000 MBit). So bin ich überhaupt auf Unifi gestossen.:Ich war immer auf der Suche nach einem AP, der mindestens 2 Buchsen hat und (!) VLAN kann. Damit ist mein Problem gelöst: der Unifi AP pro.

  3. Was sich gut anhört: Es gibt bei Unifi mehrere Netze. Ein zusätzliches WLAN für Lehrer in grün das würde mir gut gefallen.

Jetzt die Cons:
Die Anleitung hier ist fehlerhaft. Allein der Zahlendreher beim Radius Port hat mich zwei Tage gekostet. Jetzt bin ich durch und habe gesehen, wie WPA2 Enterprise überhaupt aussieht. Sch … limmm. Mit Android bin ich sofort drin, mit Win7 scheint es ein wildes geklicke zu sein, wegen der Zertifikatsprüfung. Oder genauer gesagt der Abschaltung der Zertifikatsprüfung. Für “unsere” Schüler: unzumutbar. Wie es mit Win 10 aussieht, habe ich noch nicht probiert. Ob es einen einfacheren Weg gibt, weiss ich noch nicht. Holger hat mir für Win7 ein Dok geschickt, aber das sieht völlig anders aus, als bei mir.

Zur Zugangsdauer: Ich habe es noch nicht getestet, weil ich so grosse Schwierigkeiten hatte, “blau” zum Laufen zu bekommen. Aber in der Anleitung ist ein p_wifi Filter zu finden. Damit sollte es gehen, dass die Schüler wie gehabt über die SchuKo frei geschaltet werden können.

Das mit den Vouchern interessiert mich eher weniger. Aus meiner Sicht zu viel Aufwand. Wo man doch in der SchuKo frei schalten kann. Gäste in dem Sinne haben wir eher nicht. Kürzlich waren bei uns wieder die Berufstage, an denen alle möglichen Firmen kommen, um zu werben. Diesmal wollten zum ersten mal Adidas und Sparkasse ein Netzwerk. Die wollten gar kein WLAN, sondern waren mehr als dankbar, als ich mit dem 10m CAT Kabel kam.
Die haben wohl auch so ihre Erfahrungen mit WLAN :wink:

Unterm Strich: Ich würde für die Schüler eine Captive Portal Lösung vorziehen. Darum auch hier die Frage, ob man als “Nicht-Kunde” das Portal von NetzInt überhaupt verwenden darf?

Ansonsten: ich würde es auf jeden Fall begrüssen, wenn es auch künftig eine freie WLAN Lösung geben würde. Schließlich gibt man in Deutschland nur ungern Geld für Bildung aus und ich habe jetzt gerade mal einen Unifi AP zum testen. Wenn alles klappt, vorgestellt und für gut befunden ist, dann steht es in den Sternen, wann unsere 19 low cost APs durch Unifi ersetzt werden. Das kostet ja dann doch ein paar Euro.

Gruß,
Markus

Hallo Michael,

Kann jemand nochmal die Gründe für den Umstieg nennen?

die APs im Seminar waren alle zwischen 4 und 12 Jahren alt.
Es waren entweder sündhaft teure LANcom, die vor 8 Jahren kein Dual WLAN
beherschten (2,4 und 5 GHZ) und damit ziemlich bald Schrott waren (meine
Ciscos Consumer DSL Router von damals konnten das…).

Außerdem mußte ich einsehen, dass dem WLAN Aufkommen nach Anschaffung
von über 70 Tablets (Windows „Tablets“ nicht mitgerechnet) nicht mehr
mit normalen Routern/Aps bei zu kommen war.
Also wollte ich Geräte die mit Antennen nur so strotzten und MIMO
verwendeten.
Dass die unifi nicht so teuer sind und auch noch mit einem praktischen
und kostenfreien Controller daher kommen, hat dann zur Anschaffung geführt.

Beim Coova ist meiner Meinung nach weiterhin der Vorteil, dass User bei
uns gezielt nach 90 Min wieder aus dem WLAN fliegen.

das ist bei mir im Seminar nicht relevant: die sind alle immer on.
Enterprise hat vor allem einen Vorteil: man muss sich pro Gerät nur
einmal anmelden.
Beim Coova konnte ich das zwar auch bieten, aber nur mit Eintrag der MAC
Adresse, was mir nie so gut geschmeckt hat, weil ich wußte, wie einfach
ich mir eine neue MAC geben kann …

In der Schule muß ich mal sehen, ob das mit WPA2 Enterprise und der
SchuKo funktioniert.
Falls nicht gibt es zwei WLANs: ein WPA2 Enterprise für die Lehrer und
ein WPA2 Personal für die Schüler: weiterhin mit Capturing Portal.
Je nach dem ob mir das von unifi gefällt mit dem oder eben wieder der Coova.

Geht so etwas nach
der Umstellung weiterhin oder regelt ihr das dann mit zeitlich
begrenzten Vouchers?

noch nicht: ich hab die 30APs für die Schule, aber noch keine Zeit zum
Aufbauen gehabt.

LG

Holger

Hi.
Zwei-drei kleine Ergänzungen: ich finde es bei uns zZ ganz gut, dass es nur ein einziges schulweites WLAN gibt und nicht gleich drei oder vier und man jedes Mal schauen muss, ob man gerade im richtigen ist.
Wir starten den Coova per Cronjob morgens vor Schulbeginn einmal neu – seit mehreren Jahren keine Probleme mit Aussetzern (vorher hatten wir das allerdings auch ab und zu)

Die Sache mit den Vouchers ist sehr wenig Aufwand, wenn man z.B. 1000 passende Kärtchen ins Lehrerzimmer legt und sich jeder Kollege, der eine Gruppe online bringen will, ein Kärtchen mitnimmt. Dann ist das so wie auf diversen Campingplätzen – wer die Nummer kennt ist solange drin, wie das Ticket gültig ist. Klingt für mich nicht sehr kompliziert? (Es gibt hier ein Script, das diese Tickets automatisch passend für Unifi anlegt und ins richtige Format bringt… ich habe es probiert: Funktioniert problemlos!)

Das Netzint-Paket kann meines Wissens übrigens jeder nutzen – das wurde explizit als OSS geschrieben!
Steht nur netzint drin, aber sie haben es imho für die Community gemacht :slight_smile:

Ach ja, Holger: Dass man beim Coova die Geräte per MAC erfassen muss, die per default online sein sollen, passt mir auch nicht. Zumal man die offenbar alle in EINE einzige Zeile schreiben muss. Und die wird bei uns immer länger und länger … (Beamer/Laptop-Wagen usw).

Aber wenn OPNSense eh mit einem ganz neuen Captive Portal kommt, hat der Coova wahrscheinlich ausgedient, schätze ich? Dass wir die APs „dumm“ benutzen und gar nicht die vollen Möglichkeiten (RADIUS usw) ausschöpfen, ist nicht soooo schlimm, meine ich.

Schöne Grüße,
Michael

Nachtrag:
Also mit WPA Enterprise werde ich wohl nicht warm. Ich denke, es wird schon noch etliche geben, mit Win 7 Notebook. Ok, das bliebe zu klären…

Was ich aber gerade entdeckt habe: Man kann den Unifi den Hotspot einschalten und dort kann man gleichzeitig auf einer Seite Voucher und Radius anbieten. Voucher habe ich noch nicht getestet, aber Radius geht. Ich als Lehrer und freigeschaltete Schüler kommen rein. Das ist es!

Einziger Haken: Bei Radius kommen beim Passwort keine Sterne, sondern das Passwort im klartext. Irgendwo wird man das schon abschalten können. Hoffe ich :wink:

VG,
MArkus

Hallo,
da möchte ich doch ein paar Bemerkungen loswerden:

  • Die im WIKI vorgestellte Lösung nutzt nicht das Paket von NetzInt. Es ist eine reine Anwendung des Unifi-Kontrollers.
  • Das mit dem Zertifikatsprüfung bei Win7/Win10 ist nicht schön. Ist aber nur ein mal nötig und dann ist man, ohne Anmeldung drin.
    Bei uns kann man die Schüler, die mit Win7/Win10 kommen an einer Hand abzählen. Der Rest hat andere Geräte, die ohne Probleme reinkommen.

Gruß,

Mathias

Hallo Mathias

  • Das mit dem Zertifikatsprüfung bei Win7/Win10 ist nicht schön. Ist
    aber nur ein mal nötig und dann ist man, ohne Anmeldung drin.
    Bei uns kann man die Schüler, die mit Win7/Win10 kommen an einer
    Hand abzählen. Der Rest hat andere Geräte, die ohne Probleme reinkommen.

bei mir tritt das Zertifikatsproblem nur bei Win7 auf nicht bei Win10

LG

Holger

Hallo Holger,

das freut mich zu hören.
Ich hatte fälschlicher weise angenommen, dass Win7 und Win10 das gleiche Problem haben. Gemeldet hat sich bei mir bisher noch niemand. Und das obwohl sich in unserem Netz viele Geräte anmelden (heute waren es 270 Geräte gleichzeitig).

Gruß,

Mathias

Hallo Markus,

Was ich aber gerade entdeckt habe: Man kann den Unifi den Hotspot einschalten und dort kann man gleichzeitig auf einer Seite Voucher und Radius anbieten. Voucher habe ich noch nicht getestet, aber Radius geht. Ich als Lehrer und freigeschaltete Schüler kommen rein. Das ist es!

hast Du da noch irgendwas besonderes (am IPFire) eingestellt? Aus irgendeinem Grund funktioniert die Radius-Authentifizierung bei uns nicht.

Hallo Laura,

hast Du da noch irgendwas besonderes (am IPFire) eingestellt? Aus
irgendeinem Grund funktioniert die Radius-Authentifizierung bei uns nicht.

wenn du die normale radiusauth der unifis benutzt, dann muß jeder AP mit
IP in der Datei /etc/freeradius/clients.conf am Server drin stehen:
sonst antwortet der Server nicht.
Hast du die da drin stehen?

LG

Holger

Hallo Holger,

oder das Netzwerk in denen die AP´s sind.

client 172.16.0.0/16 {
secret = geheimnis
shortname = lehrernetz
}

Gruß

Alois

Hallo Holger,

das haben wir gemacht. Funktioniert jetzt auch, unklar, was genau da das Problem war.

Bei uns hängt die ganze Chose im grünen Netz, wir hatten die Hoffnung, dass wir mit den Wlan-Clients ins rote Netz kommen können ohne die MACs in der Schulkonsole eintragen zu müssen. Ist das überhaupt möglich/sinnvoll? Oder brauchen wir zwangsläufig ein blaues Netz?

Grüße

Laura

Hallo Laura,

das haben wir gemacht. Funktioniert jetzt auch,

super :slight_smile:

unklar, was genau da das
Problem war.

… vielleicht hat ein restart des freeradius gefehlt …

Bei uns hängt die ganze Chose im grünen Netz, wir hatten die Hoffnung,
dass wir mit den Wlan-Clients ins rote Netz kommen können ohne die MACs
in der Schulkonsole eintragen zu müssen. Ist das überhaupt
möglich/sinnvoll? Oder brauchen wir zwangsläufig ein blaues Netz?

nein, ihr braucht kein Blaues: man kann das schon auch in Rot hängen.
Dann sind die APs auch in Rot und man muss in der Firewall von Rot nach
Server den Port 636 frei machen: aber warum wollt ihr den kein Blaues Netz?
Da braucht man dann auch keien MAC Adressen in der workstations?
Dass der Vorschlag in der Doku so ist (mit Blau) hat durchaus seinen
Sinn :slight_smile:

Ich hab mit unifi z.B. 4 WLANs aufgespannt: drei in Blau und eines in Grün.
Man kann aber auch eines in Rot dazu machen, wenn man will…

LG

Holger