Мне нужна помощь с настройкой динамического назначения VLAN.

Мне нужна помощь с настройкой динамического назначения VLAN., UniFi Network

ikkuranus

Guest

28.08.2016 23:01:00

Вот небольшая информация о моей настройке. Я использую PfSense 2.3.2 с пакетом Freeradius 2, у меня есть коммутатор Dell Powerconnect 5324 и одна точка доступа Unifi AC Pro. Контроллер Unifi версии 5.0.7, на точке доступа стоит последняя прошивка.

Сейчас я использую WPA2 Enterprise с PEAP, и всё работает как надо. У меня настроено несколько SSID с разными VLAN, и по этой части тоже всё нормально. Я думал, что достаточно просто настроить учёт (accounting) на прослушивание порта 1813, добавить конфигурацию сервера учёта и включить опцию radius assigned vlans для конкретного SSID, а также назначить VLAN всем пользователям. К сожалению, это никак не помогает — все пользователи остаются в нетегированном VLAN.

Вот пример конфигурации пользователя в freeradius, которую я использую:
"ikktest" Cleartext-Password := "password"
Tunnel-Type = VLAN,
Tunnel-Medium-Type = IEEE-802,
Tunnel-Private-Group-ID = "20"

Что я упустил, из-за чего все клиенты остаются в нетегированном/стандартном VLAN? Если нужна дополнительная информация, спрашивайте.

arnolddechamps Guest	#2 24.07.2018 00:39:00 Большое спасибо, ты меня спас после нескольких часов мучений

ikkuranus

Guest

22.12.2016 00:15:00

Я наконец-то нашёл недостающий кусочек пазла — /etc/freeradius/eap.conf
peap {
# Туннелированная EAP-сессия требует типа EAP по умолчанию,
# который отличается от типа для нетуннелированного модуля EAP. Внутри
# туннеля PEAP мы рекомендуем использовать MS-CHAPv2,
# так как это тип по умолчанию, поддерживаемый клиентами Windows.
default_eap_type = mschapv2

# У модуля PEAP есть также такие настройки,
# как и у TTLS.
copy_request_to_tunnel = no
use_tunneled_reply = yes
Не хватало именно use_tunneled_reply = yes.

ikkuranus

Guest

21.12.2016 13:54:00

На тот момент у меня действительно была статическая карта для одной из динамических VLAN, но даже после удаления всех SSID с назначением статической VLAN проблема всё равно осталась. На самом деле, примерно через неделю после создания этой темы я наткнулся на пост с подробностями, но так и не нашёл решения.

dikkie

Guest

21.12.2016 08:38:00

Всем привет! У меня была та же проблема, но я наконец-то разобрался, в чем дело: https://help.ubnt.com/hc/en-us/articles/219654087-UniFi-Using-VLANs-with-UniFi-Wireless-Routing-Switching-Hardware

Важный момент такой: «На момент написания статьи известное ограничение с VLAN, управляемыми через RADIUS, заключается в том, что нельзя использовать один и тот же VLAN ID как для пользователей с RADIUS, так и для статического назначения VLAN на другом SSID на одной и той же точке доступа. То есть, если у SSID1 есть статический VLAN с ID 10, а SSID2 настроен на VLAN, управляемый через RADIUS, пользователи на SSID2 не могут использовать VLAN ID 10, но могут использовать любые другие. Если у вас есть третий SSID, который тоже работает с VLAN, управляемым через RADIUS, для него можно использовать те же VLAN ID, что и для пользователей SSID2 (кроме 10). Это ограничение действует для каждой точки доступа отдельно.»

Раньше читал про это, но совсем забыл. Может, кому-то пригодится при поиске решения.

Удачи!
Dirk

dikkie Guest	#6 22.12.2016 08:36:00 Да, я как раз собирался спросить об этом Я узнал об этом благодаря этой странице: https://stuff.purdon.ca/?page_id=279 Наслаждайтесь

Читают тему (гостей: 1)