Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Клиентам не назначается VLAN для RADIUS., UniFi Network
 
#1
10.07.2017 05:52:00
Итак, мы рассматриваем возможность переноса некоторых крупных установок Wi-Fi Motorola на UniFi, но одно из обязательных требований — динамическое назначение VLAN через RADIUS. У меня есть pcap, который показывает, что параметр Tunnel-Private-Group-Id корректно отправляется сервером RADIUS, клиент успешно аутентифицируется, но вместо того, чтобы попадать в VLAN, который присылается, клиент оказывается в управляющем VLAN точки доступа. Не совсем понимаю, что я упустил, чтобы эта функция заработала с UniFi, надеюсь, кто-то сможет помочь. Используется AP-AC-Lite и контроллер UniFi версии 5.4.16. Сервис RADIUS — FreeRADIUS версии 2.2.6.
 
 
 
#2
04.03.2018 07:57:00
Я не хочу уводить тему в сторону, но у меня такая же проблема с FreeRadius 2.2.8 (на Ubuntu 16.04 LTS). Всё, что мне удаётся — это отправлять всех клиентов, аутентифицированных через Radius, в мой управляющий VLAN, а не в тот, что указан в Radius. Я назначил Radius WLAN на неиспользуемый VLAN-ID, чтобы у WLAN сети не было одинакового VLAN. Ранее писавшие говорили, что по-другому работать не будет. Я проверял вывод Radius, но VID не присваивается. Есть идеи, что можно попробовать, чтобы это заработало? Буду очень признателен за помощь.
 
 
 
#3
22.08.2017 09:52:00
Да, мы используем Radius 3, который является текущей стабильной версией. Ubuntu 16.04.3 подойдет, так как это текущая версия с долгосрочной поддержкой (LTS). Отладка freeradius в режиме отладки — лучший способ найти ошибки и понять, как работает аутентификация. Также можно обратиться к списку рассылки freeradius-users, прикрепив логи отладки.
 
 
 
#4
21.08.2017 21:05:00
Сейчас я рассматриваю вариант установки FreeRadius 3.0. Я не подозревал, что в Ubuntu 16.04 стоит старая версия. Фрагмент, который вы предоставили, работает только на FreeRadius 3.0. Посмотрим, будет ли у меня такая же проблема с FreeRadius 3.0. Я пока не пытался включать отладку на freeradius, потому что считал, что проблема на стороне Unifi — radtest выдавал правильные результаты. Точку доступа, правда, это, похоже, не устраивает, скорее всего потому, что всё это упаковано в туннель.
 
 
 
#5
21.08.2017 20:56:00
Привет! Раньше я точно использовал use_tunneled_reply, но не помню, в какой версии RADIUS. Кажется, Alan DeKok (разработчик freeradius) советовал использовать конфигурацию, которую я написал выше. Возможно, это как-то связано с нашей связкой LDAP-RADIUS, сейчас точно не уверен. Не мог бы ты выложить полный лог отладки RADIUS?
 
 
 
#6
21.08.2017 14:59:00
@DSnet, ты пробовал использовать старый, устаревший (но всё ещё работающий) use_tunneled_reply вместо нового синтаксиса? (Просто на всякий случай...)
 
 
 
#7
21.08.2017 14:10:00
Ладно, поехали: /etc/freeradius/sites-enabled/inner-tunnel...post-auth {…#VLAN outer tunnelupdate {&outer.session-state:Tunnel-Type := Tunnel-Type[*]&outer.session-state:Tunnel-Medium-Type := Tunnel-Medium-Type[*]&outer.session-state:Tunnel-Private-Group-Id := Tunnel-Private-Group-Id[*]&outer.session-state:User-Name := User-Name[*]}
 
 
 
#8
21.08.2017 11:45:00
Похоже, атрибуты VLAN не передаются во внешний туннель. Есть разные способы отправить внутренний access accept во внешний. Кажется, мы не используем рекомендованную опцию use_tunneled_reply, но я позже проверю нашу конфигурацию!
 
 
 
#9
21.08.2017 06:14:00
У меня такая же проблема — не получается заставить работать VLAN, назначенный через RADIUS, всегда присваивается VLAN 1. Запускаю Unifi Controller v5.4.15 на Ubuntu 16.04LTS с UniFi AP-AC-Pro на прошивке версии 3.4.14.3413. RADIUS-сервер — freeradius 2.2.8+dfsg-0.1ubuntu0.1. Radtest показывает ожидаемые атрибуты:  
Tunnel-Type:0 = VLAN  
Tunnel-Medium-Type:0 = IEEE-802  
Tunnel-Private-Group-Id:0 = "116"  

Контроллер UniFi настроен с профилем Radius, где включена опция «Enable RADIUS assigned VLAN for Wired Network». Беспроводная сеть настроена с включённой опцией «Enable RADIUS assigned VLAN (beta)». Перепробовал все варианты конфигурации copy_request_to_tunnel и use_tunneled_reply в freeradius. В конфигурации freeradius включён TTLS, но PEAP нет.
 
 
 
#10
20.08.2017 13:29:00
Не хочу захватывать эту тему, но, похоже, у меня очень похожая проблема. Мой RADIUS сервер — freeradius 3. В конфиге freeradius для тестовой группы пользователей я указал:  
Tunnel-Type = 13,  
Tunnel-Medium-Type = 6,  
Tunnel-Private-Group-Id = "149"  # <=== здесь нужно добавить VLAN ID для каждого пользователя.  

Согласно логам, нужные атрибуты реально отправляются:  
(8) Received Access-Request Id 45 from 192.168.1.44:51502 to 192.168.1.106:1812 length 280  
(8)   User-Name = "vlantest"  
(8)   NAS-IP-Address = 192.168.1.44  
(8)   Framed-IP-Address = 0.0.0.0  
(8)   NAS-Identifier = "f09fc2afd62e"  
(8)   Called-Station-Id = "02-9F-C2-AF-D6-30:myWyFy"  
(8)   NAS-Port-Type = Wireless-802.11  
(8)   NAS-Port = 0  
(8)   Calling-Station-Id = "70-3E-AC-35-27-22"  
(8)   Connect-Info = "CONNECT 0Mbps 802.11b"  
(8)   Acct-Session-Id = "E71C7E02-00000003"  
(8)   WLAN-Pairwise-Cipher = 1027076  
(8)   WLAN-Group-Cipher = 1027076  
(8)   WLAN-AKM-Suite = 1027073  
(8)   Framed-MTU = 1400  
(8)   EAP-Message = 0x02bc003f15800000003517030100309146d241bd4211bea6c171caed8a­a38c6e825793a4ae0ffd95e57a7e7a70cce28d97af4f9ee0b2bff4edba27­83ae71e5  
(8)   State = 0x0d2d832a0a9196fb085599419a247eeb  
(8)   Message-Authenticator = 0xb01d9c03fc6a3155cb11b072a5d7201b  
(8) session-state: No cached attribute[...]
(8) Virtual server sending reply  
(8)   Tunnel-Type = VLAN  
(8)   Tunnel-Medium-Type = IEEE-802  
(8)   Tunnel-Private-Group-Id = "50"  
(8)   MS-MPPE-Encryption-Policy = Encryption-Allowed  
(8)   MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed  
(8)   MS-MPPE-Send-Key = 0x95f8920150326b189908c8dffbfb1ea9  
(8)   MS-MPPE-Recv-Key = 0xa450851c3a662314645ddd599c3bc2e8  
(8)   EAP-Message = 0x03020004  
(8)   Message-Authenticator = 0x00000000000000000000000000000000  
(8)   User-Name = "vlantest"  
(8) eap_ttls: Got tunneled Access-Accept  

Но! К сожалению, клиент vlantest все равно попадает в обычный, неразмеченный VLAN, а не в VLAN с ID 50. В профиле radius у меня включена опция «Enable RADIUS assigned VLAN for Wired Network», соответственно, для беспроводной сети тоже активирована «RADIUS assigned VLAN». Версия контроллера актуальная (5.5.20). В работе участвуют два UniFi AP-AC-HD под прошивкой 3.8.6.6650.
 
 
 
Страницы: 1
Читают тему (гостей: 1)