Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Packetfence 7.1 внеполосный режим (Dynamic VLAN) с Unifi, UniFi Network
 
#1
12.07.2017 16:42:00
Всем привет. Я пытаюсь понять, подходит ли Packetfence для организации NAC с Unifi UAP-AC и динамическим VLAN. Согласно новому релизу Unifi Controller 5.5.19, Dynamic Wireless VLAN с RADIUS теперь вышел из беты, и Packetfence использует это для аутентификации пользователей по беспроводной сети с последующим изменением VLAN. Однако я нигде не могу найти документацию, подтверждающую, что это реально работает. Особенно интересует Packetfence Out of Band (Dynamic VLAN) с Unifi. Кто-нибудь смог это настроить? С наилучшими пожеланиями, Майк
 
 
 
#2
11.11.2017 17:45:00
UBNT приоритезирует разработку новых функций из раздела запросов на фичи. К счастью, уже существует запрос на функцию для packetfence здесь: https://community.ui.com/feature-requests

Очень важно, чтобы вы нажали на значок «палец вверх», чтобы поддержать эту идею. Именно это учитывается, а не количество сообщений в комментариях, "+1" в ответах или темы на форумах — так что если вам важна интеграция с packetfence, хотя бы перейдите по ссылке на запрос функции и нажмите значок «палец вверх», чтобы выразить поддержку.
 
 
 
#3
11.11.2017 17:20:00
Привет,  
я тот парень, который делал PR в PacketFence для поддержки Out of Band.  
Аутентификация по MAC должна работать как есть, единственная проблема — с 802.1x, потому что нам нужно отключить pmksa_caching=1, чтобы при отключении устройства pf приходил новый запрос radius.  
Как видно из другой темы, этот кеш нужно отключать на конкретном индексе, а чтобы его найти — надо проверять каждый AP...  
Вот почему я и просил добавить галочку в настройках защищённого SSID, чтобы выключать этот кеш.  
Ещё есть ограничение: допустим, у вас есть открытый SSID, привязанный к VLAN 2, и другой SSID с аутентификацией по MAC — тогда вы не сможете вернуть VLAN 2 в ответе radius, это просто не сработает (если я правильно помню, это ограничение hostapd).  

Если хотите протестировать, просто установите PacketFence и в /usr/local/pf выполните:  
curl https://patch-diff.githubusercontent.com/raw/inverse-inc/packetfence/pull/2735.diff | patch -p1  
И не забудьте оставить сообщение в этой теме с просьбой добавить кнопку в админку контроллера: https://community.ui.com/questions/b4456763-4a01-430a-b56a-02359b957f24  

Надеюсь, это поможет.  
Кстати, помощь можно попросить и на рассылке PacketFence.  

С уважением,  
Fabrice
 
 
 
#4
10.11.2017 23:59:00
Похоже, это сейчас ожидает проверки: https://github.com/inverse-inc/packetfence/pull/2735
 
 
 
#5
08.11.2017 20:03:00
Разработчик Packetfence был здесь пару недель назад и, судя по всему, активно работал над интеграцией PF с Unifi. В той ветке рекомендовали установить свойство aaa.X.auth_cache=disabled на контроллере, чтобы при отправке PF сервера kick-sta для клиента происходила новая RADIUS-аутентификация.

https://community.ui.com/questions/b4456763-4a01-430a-b56a-02359b957f24/

В обсуждении не было окончательных выводов, так что непонятно, действительно ли это свойство включает динамическую поддержку VLAN в PF или нет.
 
 
 
#6
08.11.2017 19:46:00
В этой документации описана реализация captive portal и не предусмотрена поддержка динамического VLAN.

Из моего опыта тестирования, реализация Captive Portal в PacketFence нуждается в добавлении двух функций, чтобы быть действительно эффективной. Во-первых, необходимо передавать длительность авторизации доступа для пользователей, а во-вторых — передавать MAC-адрес AP, через который регистрируются пользователи, в контроллер Unifi для ускорения авторизации.

См. https://github.com/inverse-inc/packetfence/issues/2731
 
 
 
#7
08.11.2017 18:32:00
Unifi упоминается в официальной документации PacketFence: https://packetfence.org/doc/PacketFence_Network_Devices_Configuration_Guide.html#_ubiquiti_2
 
 
 
#8
07.11.2017 19:00:00
Надеюсь скоро разобраться с этим, так что было бы здорово, если бы это сработало.
 
 
 
#9
20.10.2017 16:18:00
Моя оценка полностью совпадает с мнением mikewest08. Нам действительно необходима смена авторизации (Change of Authorization, CoA), чтобы PacketFence работал так, как задумано.
 
 
 
#10
01.10.2017 12:14:00
@mikewest08

Вот инструкция, как зарегистрироваться для доступа к бете — How To Sign Up for Beta Access. Мне тоже интересно использовать продукты Unifi вместе с PacketFence — думаю, это было бы отличным сочетанием. Есть открытый запрос на добавление поддержки PacketFence — PacketFence NAC support, но его давно не обновляли, так что, может, стоит выразить своё мнение.
 
 
 
Страницы: 1
Читают тему (гостей: 1)