Inhaltsverzeichnis

Installationsanleitung - Wlan, Radius und GastNetzwerk Installation

Version Status Datum Author URL
0.1 Erster Entwurf 09.08.2020 Aaron Gensetter
1.0 Freigabe 14.01.2021 Egil Rüefli

Kurzfassung

Diese Installationsanleitung beschreibt die Einrichtung dynamischer VLANs mit Unify AC pro (UAP-AC-PRO-3) und Radius Authentifizierung. Die Radius-Konten werden in einer Windows AD geführt. Bei Anmeldung an das WLAN-Netzwerk wird der Client aufgrund seiner AD-Gruppenzugehörigkeit mit dem vorgesehenen VLAN verbunden.

Unifi-radius-dokumentation

Dokumentation Unifi Radius Wlan

Vorbereitung

NOTE

vlan 1 (controller, AP) untagged, Vlan (other), Tagged

Windows Installieren

  1. Windows 10 Server 2019 Installieren (AD Controller)
  2. Windows 10 Server 2019 Installieren (Unifi Controller)

Installation

Windows Server: AD Controller

  1. AD Installieren:

https://www.youtube.com/watch?v=h3sxduUt5a8

Windows Server: Unifi Controller

  1. Java Installieren:

https://www.java.com/de/download/

  1. Unifi Controller Installieren:

https://www.ui.com/download/unifi/default/default/unifi-network-controller-51235-windows

Konfiguration

Windows Server: AD Controller

AD Zertifikat Dienste Installieren

  1. Server Manager > Manage > Add Roles and Features

“Active Directory Certificate Services“ Auswählen

„Certification Authority“ Auswählen

AD Zertifikat Dienste Konfigurieren

Im Server Manager auf das Gelbe Dreieck klicken und auf den Configure Link drücken.

Der Administrator Account kann gelassen werden

„Certification Authory“ Auswählen

„Enterprise CA“ Auswählen

„Root CA“ Auswählen

„Create a new private key“ Auswählen

Die vorgeschlagenen Einstellungen können so gelassen werden

Die vorgeschlagenen Einstellungen können so gelassen werden

Die vorgeschlagenen Einstellungen können so gelassen werden

Die vorgeschlagenen Einstellungen können so gelassen werden

Hier ist noch eine kleine Übersicht der ausgewählten einstellungen.

Netzwerk Richtlinien Server Installieren

1. Server Manager > Manage > Add Roles and Features

„Network Policy and Access Service“ Auswählen

Netzwerk Richtlinien Server Konfigurieren

  1. Server Manager > Tools:

Den „Network Policy Server“ Starten

Bei „NPS (local)“ Rechtsklick > Register in AD klicken

Einen neuen Radius für x802.1 konfigurieren

In diesem Fall erstelle ich das Ausbilder Netz

Auf „add“ klicken

Den gewünschten Accesspoint einbinden, Das Shared Secret wird im unifi Controller benötigt

„Microsoft EAP-MSCHAP v2“ Auswählen

Auf „add“ klicken

Hier, die gewünschte Windows Gruppe eintragen

Hier ist noch eine Kleine Zusammenfassung der einstellungen

Jetzt muss das eben erstellte file nochmals geöffnet werden

Hier muss auf den Tab „Settings“ und in die Kategorie Standard gewechselt werden

Folgende Values müssen eingetragen werden, das „Tunnel-Pvt-Group-ID“ ist die gewünschte Vlan ID des Netzwerkes, z.b. Ausbilder: 172.16.3.0/24

Unifi Controller Konfigurieren

1. in einem Browser auf folgende URL: https://IP_OF_SERVER:8443
in meinem Fall: https://172.16.1.30:8443

Setup

Hier kann dem Controller einen Namen gegeben werden

Beim nächsten schritt  sollte zum „Advanced Setup“ gewechselt werden

Temporäre Logindata: rafisa, password1

Im Advanced Setup sollten diese Einstellungen übernommen werden

Diese Einstellungen sollten so übernommen werden

Hier können noch die Localisation Einstellungen getroffen werden

Konfiguration

Als erstes sollten die Access-points in die Richtigen Trunks an den Switches gesteckt werden (Alle Netze müssen ge‘trunkt werden, aber der Port sollte nativ im Netz 1 sein!)

Stand 11.02.2020

In den Settings muss nun ein Radius Profil erstellt werden.

Im Unifi Controller auf das Zahnrad > Profiles

Auf „Create New Radius Profile“ Klicken

Hier kann ein beliebiger Name ausgewählt werden, die IP Adresse muss die vom AD-Controller sein, der Port ist 1812, das Secret ist das dass beim Radius Accespoint angegeben wurde

Im Unifi Controller auf das Zahnrad > Wireless Networks

Jetzt Kann ein Neues Netzwerk erstellt werden

Folgende Einstellungen können so übernommen werden

Guest Network

Jetzt Kann ein Neues Netzwerk erstellt werden

Folgende Einstellungen können so genommen werden, das Vlan kann auf das Gast Vlan gesetzt werden

Jetzt muss auf „Guest Controll“ gewechselt werden

1. Enable Guest portal 2. Simple Password (Rafisa-20) 3. Expiration: 8H 4. title: Rafisa Guest Access 5. Custom Wallpaper 6. Post-Authorisation Restrictions: 172.16.0.0/12

Endposition Accesspoints

2.OG-a

3.OG-a

3.OG-b

3.OG-c

NO HEATMAP

4.OG-c

Weitere Infos unter: wlan_accesspoints

Quellen

keine angegebenen quellen

Aaron Gensetter 2020/10/01 15:57