kodach
Goto Top

Windows NPS Server - UniFi AP - Netz wählen

Guten Abend

Ich habe auf einem Windows Server 2019 den NPS Server installiert und natürlich auch die Zertifizierungsstelle.

Anschliessend habe ich mit dem Assistenten die Verbindung für WLAN eingerichtet. Die Authentifizierung ist auf "Microsoft: Geschütztes EAP (PEAP) und als Typ Gesichertes Kennwort EAP MSCHAP v2. Das Zertifikat wurde selber erkannt. Der Server hat von der Zertifizierungsstelle ein Computerzertifikat erhalten.
Die Verbindung darauf klappt sehr gut. Als Bedingung habe ich dann noch eine Benutzergruppe hinzugefügt.

Einerseits würde ich natürlich gerne wissen ob so eine "Standardkonfiguration" in Ordnung ist oder ob ihr andere Einstellungen empfehlen würdet.

Und dann hätte ich noch eine Frage zur Verbindung. Ich habe zwei Netzwerkrichtlinien erstellt. Eine für Gruppe A, und eine für Gruppe B. Bei der für Gruppe B habe ich noch unter Einstellungen die Attribute für Tunnel-Type Virtual LANs (VLAN), Tunnel-Medium-Type 802 sowie die Tunnel-Pvt-Group-ID mit der VLAN ID versehen. Auch das klappt sehr gut.
Auf dem UniFi AP habe ich das 2.4 und 5 GHz Netz kombiniert und eingestellt er soll 5 GHz priorisieren. Das Smartphone wählt sich immer ins 5 GHz Netz ein, und wechselt kurz darauf ins 2.4. Ich gehe davon aus weil das 2.4 GHz stärker ist. Nun würde ich gerne wissen ob ich das irgendwie mit NPS einstellen kann wer in welches Netz soll. Es wäre ja schön wenn der User nicht zwischen mehreren SSIDs wählen müsste wenn es um 2.4 und 5 GHz geht. Ich habe schon versucht die zweite SSID als Empfangs ID anzugeben (https://winxperts4all.at/index.php/software/205-wlan/1202-mehrere-wlan-s ..). Ich hatte irgendwie die Hoffnung das er den User dann automatisch in die andere SSID verschiebt. Leider ohne erfolg.

Gruss

Koda

Content-Key: 527331

Url: https://administrator.de/contentid/527331

Ausgedruckt am: 28.03.2024 um 23:03 Uhr

Mitglied: aqui
aqui 19.12.2019 um 16:44:04 Uhr
Goto Top
Mitglied: KodaCH
KodaCH 19.12.2019 um 16:52:10 Uhr
Goto Top
Danke dir. Den zweiten Link kenne ich schon teilweise. Muss ihn mir aber noch genauer zu gemüte ziehen face-smile Vorallem das die Einstellungsmöglichkeiten angeht.
Jaja ich weiss gibt einige die von UniFi Geräten nicht viel halten. Ich habe mir beim Kauf eigentlich eine stabilere Umgebung mit angenehmer Verwaltung gehofft. Ich habe weniger Probleme als mit den alten Zyxel Geräten, aber ich denke es gibt auch in diesem Segment sicherlich besseres.
Mitglied: aqui
aqui 19.12.2019 um 17:28:26 Uhr
Goto Top
Achso, nochwas zur 5Ghz Priorisierung. Nein, das kann man nicht per Radius mitgeben. Es sei denn Ubiquity hat einen entsprechenden Dictionary File dafür mit Hersteller spezifischen Attributen.
Von Billigheimer Unify gibts aber nichtmal das.... Siehe:
https://github.com/redBorder/freeradius/blob/master/share/dictionary
Also geht das nicht.
Normal wird sowas auch bei billigen APs, wenn überhaupt supportet, immer direkt über die Firmware gemacht. Der AP erkennt das daran das von einem Dual Radio Client 2 Association Frames kommen. Wenn das der Fall ist hält er den Reply auf 2,4Ghz ein paar Millisekunden zurück bis die Anbindung via 5Ghz durch ist. Dadurch wird 5Ghz generell dann immer bevorzugt. Reisst die 5Ghz Verbindung ab geht das Spielchen von vorne los und wenn das 2,4Ghz Radio dann einen besseren RSSID Wert im Offer hat nimmt der Client dann das. Ohne proaktives Roaming in einem Controller basierten WLAN kommt es dann beim Bandwechsel zu einer Unterbrechung. Meist gibt es in der Firmware bzw. Setup deshalb nur einen Schalter an/aus dafür.
Radius würde auch deshalb schon scheitern weil es noch gar keine WPA2 Authentisierung in dem Stadium der AP Assoziierung gibt. Diese kommt viel später im Ablauf wäre aber zwingend, wenn man es mit einem Radius Attribut steuern könnte und wollte.
Auch ein Grund warum es nicht geht.
Mitglied: KodaCH
KodaCH 19.12.2019 um 18:05:45 Uhr
Goto Top
Nun hätte ich noch eine Frage zum NPS.

Ich habe hier ein Gerät welches eine WLAN Verbindung aufbauen sollte aber nur normales WPA2 Unterstützt. Dieses möchte immer den WPA2 Schlüssel den es ja nicht mehr gibt mit WPA2-Enterprise (802.1x).
Ich habe nun einen AD User erstellt welcher als Benutzername und Kennwort die MAC Adresse hat. Nur was muss ich nun als WLAN Kennwort angeben?
Mitglied: aqui
aqui 19.12.2019 aktualisiert um 18:18:11 Uhr
Goto Top
aber nur normales WPA2 Unterstützt
Was meinst du damit ?? WPA2 Enterprise ist ja auch "normal" ?!
Vermutlich meinst du das er nur rein die NON Enterprise also nur WPA2-PSK only kennt, richtig ?
Den kannst du dann so nicht integrieren. Du kannst ja nicht eine User bezogene Encryption bzw. Authentisierung auf einer SSID implementieren wenn die auf ein globales Authentisierungsverfahen festgenagelt ist. Es also quasi per User dann wieder außer Kraft setzen. Das geht so nicht.
Wenn der Client kein WPA2-Enterprise supportet, dann kann er sich schlicht nicht mit der SSID verbinden. Das kann auch der tollste Radius Server nicht ändern. face-wink
Da hast du dann nur die Chance mit den o.a. schon genannten Dynamic VLANs zu arbeiten oder du muss eine separate SSID anlegen die dann nur WPA2-PSK only Clients bedient.
Mitglied: KodaCH
KodaCH 19.12.2019 um 18:26:55 Uhr
Goto Top
Hallo aqui

Danke. Dann habe ich das in einem Beitrag mal falsch Verstanden. Ich war der Meinung mittels MAC Authentifizierung kann ich Drucker und andere Geräte welche das übliche WPA2-PSK können trotzdem in den Radius einbinden kann ohne eine weitere SSID erstellen zu müssen.

PS. Ich glaube ich muss mehr über Dynamic VLANs lesen. Es ist mir noch nicht ganz klar wie das helfen sollte oder was es mir für Vorteile bringt face-smile
Mitglied: aqui
aqui 19.12.2019 aktualisiert um 18:43:57 Uhr
Goto Top
Ja, das geht natürlich auch. Das hast du aber nicht gesagt...oben. Mac Authentication Bypass nennt man das.
Das o.a. Mikrotik Tutorial beschreibt genau das.
In der Regel lautet die Fonfig im Radius so (Beispiel FreeRadius):
"00abce813abc" Cleartext-Password := "00abce813abc"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 10

Wie du siehst ist hier immer die Mac Adresse sowohl UserID als auch Passwort.
Die ganzen "Tunnel xyz" Parameter kannst du dir wegdenken, die sind rein nur für die dynamische VLAN Zuweisung gedacht !
Allerdings liegt hier der Teufel im Detail. Viele der Billigheimer supporten kein gemeinsames 802.1x mit Mac Authentication. Da geht nur entweder oder.
Normal macht man das über ein Radius Attribut entweder 802.1x before Mac oder andersrum.
Das bewirkt dann das mit dem Client zuerst 802.1x gemacht wird, schlägt das fehl oder timed aus, weil der Client es nicht kann, folgt ein Mac Bypath über die Mac Authentisierung.
Alle großen Hersteller supporten sowas. Ob deine Unifys das können sagt dir das Datenblatt.
Ich befürchte aber da es noch nicht einmal sowas Banales wie einen Radius Dictionary File für die Produkte gibt (dort wäre das Vendor Attribut definiert) können die Teile das vermutlich nicht....
Es ist mir noch nicht ganz klar wie das helfen sollte oder was es mir für Vorteile bringt
Einfach mal das Tutorial lesen, da werden sie geholfen... face-wink
Erspart dir ne Menge Management und die aufwendige MSSID Konfig auf der WLAN Infrastruktur.
Mitglied: KodaCH
KodaCH 19.12.2019 um 19:12:46 Uhr
Goto Top
Danke. Denke das geht nicht mit UniFi

PS:

Zitat von @aqui:

Die ganzen "Tunnel xyz" Parameter kannst du dir wegdenken, die sind rein nur für die dynamische VLAN Zuweisung gedacht !
Verwende ich ja (siehe Beitrag 1). Also nutze ich wohl schon Dynamisches VLAN. Aber wie gesagt ich lese mir das mal durch
Mitglied: aqui
aqui 20.12.2019 aktualisiert um 14:18:06 Uhr
Goto Top
Also nutze ich wohl schon Dynamisches VLAN. Aber wie gesagt ich lese mir das mal durch
Klingt eher als ob du da im freien Fall rätst statt es wirklich zu wissen ?!
Bei dynamischen VLANs hast du nur eine einzige SSID mit der sich die WLAN Clients verbinden. Keine MSSID Konfig !
Der Radius sorgt dann dafür das die Clients je nach Authentisierung oder Mac in ihr entsprechendes VLAN kommen was man ihne über den Radius Server zuweist.
Check das mit den o.a. URLs dort ist das ja für Unify explizit erklärt. Wenn du Dr. Google nach "Dynamic Vlans Unify" befragst gibt es noch eine Menge Tutorials mehr.
Mitglied: tech-flare
tech-flare 20.12.2019 aktualisiert um 21:21:58 Uhr
Goto Top
Also ich kann dir sagen dass UniFi NICHT unify(denn das ist Telefonie) 802.1x mit Mac Bypass Problemlos unterstützt wird face-smile

Auch ein Billigheimer wie aqui immer wieder darauf schimpft kann das... wir nutzt eine einzige SSID mit ca 50 VLAN und 500-600 WiFi Clients (ganz dumme Geräte, Barcodescanner, mobile Drucker, Win Client, Mac)

Als NAC setzten wir nicht Windows NPS ein, sonder Packetfence in der Version 9.1

Zusätzlich gibt es eine weitere SSID für Gäste mit einem CaptivePortal über Packetfence... ohne Voucher, sondern mit Sponsor Funktion
Mitglied: KodaCH
KodaCH 23.12.2019 um 07:23:57 Uhr
Goto Top
Danke. WIe konfiguriere ich denn das Mac Bypass an den UniFi Geräten? Ich habe zwar eine Option gefunden mit "RADIUS MAC AUTHENTICATION", aber diese scheint alleine nicht auszureichen. Ggf habe ich auch am NPS etwas vergessen einzhurichten
Mitglied: aqui
aqui 23.12.2019 um 11:06:10 Uhr
Goto Top
Doch letztlich ist das immer die Mac Authentication.
https://help.ubnt.com/hc/en-us/articles/115004589707-UniFi-USW-Configuri ...
Man kann aber pro SSID immer nur .1x oder Mac Bypath machen oder muss sofern der Hersteller das Radius Attribut supportet dann beides machen sprich Mac after .1x
Die meisten der Billigprodukte supporten aber diese duale Konfig mit Mac und .1x oft nicht. Da musst du mal im Handbuch nachsehen. Im Zweifel wenn das nicht supportet ist muss man dann mit 2 SSIDs arbeiten oder mit dynamischer VLAN Zuweisung.