Einrichtung von 802.1X und Dynamic VLANs mit Ubiquiti USG Pro

Vorab ein kleiner Disclaimer: Für die Verständnis von diesem Artikel gehe ich davon aus, dass das Thema VLAN bekannt ist und das man weiß, wovon ich rede. Ich will hier kein Gemecker hören, ich hätte euch nicht gewarnt 😉

Wer mich kennt weiß, dass ich ein riesiger Fan von Ubiquiti-Hardware bin. Ich habe mittlerweile mehrere hundert Geräte verbaut, konfiguriert und installiert, viele davon sind weiterhin in meiner Pflege und ich schaue, dass es dem Geräte-Zoo gut geht und das er so weit wie möglich aktuell gehalten wird.

Dynamische VLANs

Ich möchte mit diesem Artikel aufführen und zeigen, wie man ein dynamisches VLANing einrichtet und konfiguriert. Um was genau handelt es sich dabei?
Wenn man einmal über das Thema VLANs gestolpert ist und verstanden hat, wie und warum das alles funktioniert, macht entweder nie wieder was im Leben damit oder lernt diese Technik ziemlich schnell absolut zu lieben. Bei mir war es so, dass ich mich recht schnell unglaublich in das Thema verliebt habe und diese mittlerweile an vielen Stellen einsetze: In meinem eigenen LAN/WLAN, bei meinen Eltern, in der von mir betreuten Freifunk-Infrastruktur und natürlich bei einigen meiner Kunden. Dank VLANs bieten sich unglaublich viele Möglichkeiten, die sonst gar nicht oder nur mit enorm viel Hardware erschlagen werden könnte.
Bei einer “normalen” VLAN-Nutzung ist es meist so, dass ein Port entweder tagged oder untagged arbeitet, je nach Bedarf. Fernseher, Drucker und sonstiges Geplänkel bekommt meist nen untagged-Port, Uplinks und Unifi-Teller bekommen meist tagged-Ports. So weit, so gut. Jetzt gibt es aber auch die Möglichkeit, einen Port an einer Switch oder ein WLAN so zu konfigurieren, dass sich jedes Gerät am gleichen WLAN anmeldet, im Hintergrund aber durch das Gerät bzw. Merkmale vom Gerät (MAC-Adresse, Zertifikat, …) dynamisch entschieden wird, in welches VLAN das Gerät kommt. Dies macht eine Konfiguration in größeren Umgebung sehr cool, da man durch ein Regelwerk sehr genau definieren kann, wer was darf.

Weiteres Beispiel gefällig?
Ihr bekommt öfters mal Besuch von Freunden, die natürlich euer WLAN nutzen möchten oder nen mitgebrachtes Notebook anstecken möchten, um “mal eben” was zu machen. Durch ein dynamisches Regelwerk könnt ihr euren Freunden den Zugang zu eurem WLAN gewähren, trotzdem landen sie im VLAN des Gästenetzes und können nix kaputt machen und trotzdem surfen. Ihr braucht nur ein WLAN ausstrahlen, trotzdem landen Geräte in anderen Netzen, je nach Regeln: Euer Handy im internen Netz, Gäste im seperaten. Cool 🙂

Diese Geschichte lässt sich auch mit Ubiquiti-Hardware einrichten, und genau das schauen wir uns mal an. Es gibt vom Hersteller eine Anleitung für diese Art von Aufbau, diese ist zum aktuellen Zeitpunkt weniger als 24 Stunden frisch: UniFi – USW: Configuring Access Policies (802.1X) for Wired Clients

Der Grund-Aufbau

In unserem Beispiel arbeiten wir mit zwei Geräten:
Einem Security Gateway Pro USG-4-PRO und einem 24 Port US-24-250W. Das USG und die Switch wird initial in meinem Unifi Controller aufgenommen und adoptiert.

Nach der Adoption werden die Geräte auf den aktuellen Firmware-Stand gebracht.

Stehen beide Geräte wieder zur Verfügung, beginnt die Konfiguration.

Die Erstellung der gewünschten Netzwerke

Alles beginnt mit der Erstellung der Netzwerke und VLANs. Das erledigen wir unter Settings -> Networks

Hier erstellen wir im ersten Schritt das Netzwerk, was wir produktiv nutzen möchten:

Danach erstellen wir ein zweites Netzwerk, welches wir für die Gäste nutzen.

Nun geht es weiter mit der Konfiguration der zusätzlichen Dienste.

Der interne RADIUS Server

Wir starten die erweiterte Einrichtung mit der Aktivierung vom RADIUS-Server im Unifi Controller. Wir wechseln dazu zu Settings -> Services ->RADIUS
Hier aktivieren wird den RADIUS Server und setzen ein Kennwort. Der Rest bleibt, wie man auch im Screenshot sehen kann, auf den Standard-Einstellungen.

Die Authentifizierung auf MAC-Basis

Wir richten nun eine MAC-basierte Authentifizierung ein. Dazu nutze ich mein Notebook als Test-Client. Die Eintragung geschieht unter Services -> RADIUS -> Users

Hier erstellen wir einen neuen Benutzer. Die Besonderheit hierbei ist, dass Name und Passwort die MAC-Adresse sein müssen. Die Adresse wird im folgenden Format benötigt: Keine Doppelpunkte, keine Leerzeichen und alles groß.
VLAN: Das gewünschte VLAN-Netzwerk
Tunnel Type: 13 – Virtual LANs (VLAN)
Tunnel Medium Type: 6 – 802 (includes all 802 media plus Ethernet “canonical format”)

Das RADIUS-Profil

Unter Profiles -> RADIUS müssen wir nun noch das Standard-RADIUS-Profil anpassen. Wir können hier einen Profile Name für unser gewünschtes Profil angeben, wichtig sind die beiden Haken bei
Enable RADIUS assigned VLAN for wired network
und
Enable RADIUS assigned VLAN for wireless network

Die Zuweisung des Profils

Wir haben nun fast alle Einstellungen gesetzt, damit unsere Konfiguration anwendbar ist. Wir wechseln nun im Unifi Controller aus den Settings heraus in den Bereich Devices.
Hier wählen wir unsere Switch aus und wählen unter Config -> Services -> im Bereich Security die Option Enable 802.1X control aus. Weiterhin wählen wir unser im Vorfeld erstelltes RADIUS Profile Jans Radius aus.

Nun haben wir einen kleinen Unterschied zu der Beschreibung, die Ubiquiti selbst veröffentlicht hat: Wir haben hier keine Fallback-Option. Dies liegt daran, dass mein Controller noch eine Version unter der aktuellen ist. Das hat den Grund, dass die aktuelle Version einen Sprung von 5.8 auf 5.9 macht und die Übersicht im Controller signifikant ändert (und dies nicht zum besseren leider). Hier tauchen dann graue Icons auf weißem Hintergrund auf, ist irgendwie nen bisschen doof. Im Forum wird auch heiß dazu diskutiert, daher warte ich noch nen paar Tage und hoffe auf eine Verbesserung mit der nächsten Version.

Trotzdem können wir die Konfiguration aktuell nutzen und zuweisen, dazu müssen wir in der Switch-Konfiguration z.B. einen Port auf die MAC-Authentifizierung umstellen:

Wir schauen uns das kurz an im Screenshot => Ich habe Port 13 auf eine MAC-Authentifizierung gestellt. Ich stecke nun mein Notebook in Port 11:

Da ich Port 11 nicht angepasst habe, fällt mein Gerät in das Standard-Netzwerk, welches am Unifi Controller hinterlegt ist (wir erinnern uns, in der aktuellen Version kann ich KEIN Fallback-VLAN definieren).

Stecke ich das Gerät nun um in Port 13, sieht die ganze Sache wie folgt aus:

Ohne das ich am Endgerät etwas geändert habe, wird das Gerät in ein anderes VLAN gepackt und ist dementsprechend in einem anderen Subnetz. Passen nun noch die Firewall-Regeln, kann ich so Gast-Geräte isolieren und in ein eigenes Netz packen. Natürlich bedingt das, dass ich einmalig alle MAC-Adressen meiner Geräte eintrage, aber da ich sie im Controller sehen kann, wenn sie joinen, ist das mehr oder weniger nen copy/paste.

Port Profile

Noch ein ziemlich hilfreicher Punkt im Settings-Menü: Ihr könnt Port-Profile erstellen, mit denen man dann nicht jeden einzelnen Port konfigurieren muss, sondern mit dem man mehrere Ports gleichzeitig setzen kann. Ziemlich hilfreich 🙂 Zu finden unter Settings -> Profiles -> Switch Ports

Fazit

Ich finde die Sache ziemlich cool und ich werde vermutlich in Kürze noch ein oder zwei weitere Artikel zu dem Thema schreiben, zum Beispiel in Kombination mit WLAN und Authentifizierung.
Ich hoffe ich konnte euch das Thema ein bisschen näher bringen und ein paar Unklarheiten aus dem Weg räumen, hinterlasst mir doch einfach einen kurzen Kommentar, ich würd mich drüber freuen 🙂

Jan

Jan Kappen arbeitet sein 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Seit September 2018 ist Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

3 Kommentare:

  1. Gehr der Aufbau auch mit dem kleineren Geräten – sprich dem kleinen USG und einem Switch US-8-150W? Nicht jeder kann einen 19″ Schrank sein eigen nennen und da ist auch noch der WAF* (women accepted factor) 😉

    • Moin,
      ich bin mir relativ sicher, dass das auch mit dem kleineren USG und den kleineren Modellen funktioniert. Ich hatte zum Test nur ein großes Modell zur Verfügung, da es aber primär eine Funktion des Unifi Controllers ist, sollte es auch mit den kleineren Modellen funktionieren.
      Gruß, Jan

  2. Der Artikel ist echt super geschrieben und einfach nachvollziehbare mit der Bilderanleitung. Ich hoffe das bald der Artikel über die dynamischen Vlan in Kombination mit der wlan Authentifizierung kommt, da würde ich mich riesig drüber freuen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.