Я отключил соединение между роутером и USG (WAN). Cradlepoint Router -> UniFi Switch -> USG (LAN1). Эта схема у меня всё равно не работает. Когда выбираю SSID с настройкой WPA Enterprise, меня запрашивает ввести имя пользователя и пароль, но потом постоянно пишет «Проверка требований сети» и снова возвращается к запросу логина и пароля. Я также пробовал подключаться к портам на своём свитче — там запроса данных для входа нет, просто выдаётся DHCP.

Только что успешно всё проверил, но в моём случае пришлось заменить eth1 на eth0, чтобы назначить адрес интерфейса. Пока всё выглядит нормально.

Теперь, когда прошло некоторое время, мне интересно, использовалась ли эта прошивка на практике и удалось ли применять обновления прошивки к устройству, при этом сохраняя его конфигурацию? Я сейчас это исследую, но переживаю, что настройки могут сброситься и включится нежелательная служба.

Итак, после того как я всё откладывал, наконец-то занялся настройкой. Как сказал @, просто воткнуть LAN-порт USG в существующую сеть не сработало. Вот небольшой туториал. Мой текущий шлюз сети — 10.1.10.1/24.

Сначала подключите компьютер к LAN-порту USG. Он должен получить адрес по DHCP. (Можно вместо этого подключиться через консоль.)

Подключитесь по ssh к USG командой ssh ubnt@192.168.1.1, пароль — тоже "ubnt" (без кавычек).

Дальше удалите текущий LAN-адрес, назначьте USG новый адрес в вашей сети и задайте для него шлюз и DNS-сервер. Я также на всякий случай убрал правила файрвола для LAN.

ВАЖНО: если вы подключены по ssh, связь оборвётся после команды commit, но это норм, и вы исправите это на следующем шаге.

configure  
delete interfaces ethernet eth1 address  
set interfaces ethernet eth1 address 10.1.10.2/24  
delete interfaces ethernet eth1 firewall  
set system gateway-address 10.1.10.1  
set system name-server 10.1.10.1  
commit  
save

Теперь отключите компьютер от LAN-порта USG и подключите LAN USG к вашей сети. Компьютер подключите к вашей сети, зайдите по ssh обратно в USG (пароль — ubnt):

ssh ubnt@10.1.10.2

Если раньше не смогли сохранить изменения, сделайте это сейчас:

configure  
save  
exit

Теперь укажите USG на ваш контроллер. Мой контроллер размещён в облаке, и я подключаюсь к нему по DNS, а не по локальному IP — так что этот способ должен работать, где бы вы ни держали контроллер.

set-inform http://unificontrolleripordomain:8080/inform

ВАЖНО: не добавляйте USG в контроллер пока — на этом этапе он уже должен отображаться.

Дальше создайте файл config.gateway.json на контроллере Unifi, который сохранит ваши кастомные настройки USG даже после того, как его примут и настроят через контроллер. Если этого не сделать и просто принять USG, то изменения перезапишутся при процессе принятия/профилирования, и USG вылетит из сети или попытается сам себя сделать маршрутизатором/шлюзом.

Зайдите на веб-интерфейс контроллера Unifi, перейдите в сайт, куда добавляете USG, и возьмите выделенную (жирным) часть в URL:

https://unificontrolleroripaddress/manage/site/69a28bia/dashboard

Далее (предполагая, что контроллер запущен на Cloud Key или удалённом Linux-сервере) через ssh подключитесь к контроллеру, перейдите в папку сайта: <unifi_base>/data/sites/69a28bia и откройте пустой файл config.gateway.json в любом редакторе (я использую vim). <unifi_base> зависит от вашей ОС, подробно в документации. Для Ubuntu/Debian это /usr/lib/unifi. Если папки нет — создайте.

cd /usr/lib/unifi/data/sites/69a28bia  
vim config.gateway.json

Вставьте в редактор этот текст, подправьте IP по необходимости, сохраните файл:

{  
 "interfaces": {  
   "ethernet": {  
     "eth1": {  
       "address": [
         "10.1.10.2/24"  
       ],  
       "duplex": "auto",  
       "speed": "auto"  
     }  
   }  
 },  
 "system": {  
   "gateway-address": "10.1.10.1",  
   "name-server": [
     "10.1.10.1"  
   ]  
 }  
}

Теперь окончательно добавляйте USG в контроллер. Вернитесь по ssh к USG и снова выполните set-inform:

ssh ubnt@10.1.10.2  
set-inform http://unificontrolleripordomain:8080/inform

USG должен появиться как «Connected» в контроллере, обновите его прошивку.

Дальше настройте Radius-сервер в «Settings > Services > Radius». Контроллер Unifi в профиле по умолчанию — «Default» (Settings > Profiles) — ожидает, что USG будет шлюзом сети (обычно X.X.X.1), поэтому «Default» профиль не сработает, нужна своя настройка.

Нажмите «+ CREATE NEW RADIUS PROFILE». Назовите профиль (у меня «USG Custom»), укажите IP USG (у меня 10.1.10.2), порт совпадает с «Authentication Port» в Settings > Services > Radius (по умолчанию 1812), и введите Radius shared secret.

Для всех портов свитча и беспроводных сетей, где хотите Radius, выбирайте профиль «USG Custom».

Вот и всё! Я использую этот сервер для LAN, WiFi и L2TP VPN-аутентификации — всё отлично работает и теперь проще в управлении. Для моих простых задач это намного удобнее, чем держать отдельный Linux-сервер с FreeRADIUS, плюс есть удобный графический интерфейс.

Единственный минус, с которым столкнулся — в дашборде Unifi красным подсвечивается отсутствие WAN-подключения у USG.