Привет, я пытаюсь настроить аутентификацию по RADIUS с динамически назначаемыми VLAN.
Первым делом - поддерживает ли UC-CK / Cloud Key Gen 1 динамически назначаемые VLAN? Я видел старый комментарий, в котором утверждалось, что техподдержка сказала им, что нет.
Проблема: WPA2/3 Enterprise аутентификация, кажется, работает. Действительные учетные данные аутентифицируются, а недействительные - нет. Но я подключаюсь только к VLAN по умолчанию, а не к указанному.
Настройка:
* RADIUSOne инстанс недавно настроенного daloRADIUS
* У меня есть профили с атрибутами ответа:
* Tunnel-Type = 13
* Tunnel-Medium-Type = 6
* Tunnel-Private-Group-Id := <vlan ID>
* А также некоторые пользователи, группы пользователей и "NAS" клиенты.
* Команда "radtest" успешно работает локально и удаленно (я получаю все атрибуты ответа для действительных учетных данных).
Оборудование:
* UniFi Cloud Key Gen 1; v7.2.97
* UniFi-AC-M; v6.6.77
Настройки:
* Settings -> Profiles -> Radius
* Добавил новый RADIUS согласно конфигурации NAS.
* "Wireless Networks" – отмечено. Я читал, что это включает динамическое назначение VLAN (для беспроводных клиентов).
* Settings -> WiFi
* Добавил новую WiFi сеть с WPA3 Enterprise и включил вышеуказанный RADIUS профиль.
Я не уверен, что нужно указывать в "Network", так как VLAN должны предоставляться только RADIUS. Но, кажется, это не играет роли, какой вариант я выбираю – "DEFAULT" или любой из "Vlan only" сетей (проверял с обоими).
Отладка:
* daloRADIUS принимает подключения от AP. Как упоминалось выше, аутентификация, кажется, работает. Действительные пользователи могут подключаться, а недействительные – нет.
* При выполнении следующей команды на AP:
* tcpdump -npi eth0 port 1812 -v
* Я вижу переписку между AP и daloRADIUS. Здесь я вижу в ответе "Tunnel-Private-Group-ID" и т.п.
XX:XX:XX.XXXXX IP (tos 0x0, ttl 62, id 63076, offset 0, flags [none], proto UDP (17), length 65)
xxx.xxx.xxx.xxx.1812 > xxx.xxx.xxx.xxx.34345: RADIUS, length: 37
Access-Accept (2), id: 0x25, Authenticator: xxxx
Tunnel-Type Attribute (64), length: 6, Value: Tag[Unused] VLAN
Tunnel-Medium-Type Attribute (65), length: 6, Value: Tag[Unused] 802
Tunnel-Private-Group-ID Attribute (81), length: 5, Value: xxxx
Первым делом - поддерживает ли UC-CK / Cloud Key Gen 1 динамически назначаемые VLAN? Я видел старый комментарий, в котором утверждалось, что техподдержка сказала им, что нет.
Проблема: WPA2/3 Enterprise аутентификация, кажется, работает. Действительные учетные данные аутентифицируются, а недействительные - нет. Но я подключаюсь только к VLAN по умолчанию, а не к указанному.
Настройка:
* RADIUSOne инстанс недавно настроенного daloRADIUS
* У меня есть профили с атрибутами ответа:
* Tunnel-Type = 13
* Tunnel-Medium-Type = 6
* Tunnel-Private-Group-Id := <vlan ID>
* А также некоторые пользователи, группы пользователей и "NAS" клиенты.
* Команда "radtest" успешно работает локально и удаленно (я получаю все атрибуты ответа для действительных учетных данных).
Оборудование:
* UniFi Cloud Key Gen 1; v7.2.97
* UniFi-AC-M; v6.6.77
Настройки:
* Settings -> Profiles -> Radius
* Добавил новый RADIUS согласно конфигурации NAS.
* "Wireless Networks" – отмечено. Я читал, что это включает динамическое назначение VLAN (для беспроводных клиентов).
* Settings -> WiFi
* Добавил новую WiFi сеть с WPA3 Enterprise и включил вышеуказанный RADIUS профиль.
Я не уверен, что нужно указывать в "Network", так как VLAN должны предоставляться только RADIUS. Но, кажется, это не играет роли, какой вариант я выбираю – "DEFAULT" или любой из "Vlan only" сетей (проверял с обоими).
Отладка:
* daloRADIUS принимает подключения от AP. Как упоминалось выше, аутентификация, кажется, работает. Действительные пользователи могут подключаться, а недействительные – нет.
* При выполнении следующей команды на AP:
* tcpdump -npi eth0 port 1812 -v
* Я вижу переписку между AP и daloRADIUS. Здесь я вижу в ответе "Tunnel-Private-Group-ID" и т.п.
XX:XX:XX.XXXXX IP (tos 0x0, ttl 62, id 63076, offset 0, flags [none], proto UDP (17), length 65)
xxx.xxx.xxx.xxx.1812 > xxx.xxx.xxx.xxx.34345: RADIUS, length: 37
Access-Accept (2), id: 0x25, Authenticator: xxxx
Tunnel-Type Attribute (64), length: 6, Value: Tag[Unused] VLAN
Tunnel-Medium-Type Attribute (65), length: 6, Value: Tag[Unused] 802
Tunnel-Private-Group-ID Attribute (81), length: 5, Value: xxxx