Założenia

Do konfiguracji VLANs on RADIUS będą nam potrzebne:

Hardware

  • Router obsługujący VLANy
  • Switch obsługujący VLANy (w tym przypadku edgeSwitch lite 48p)
  • Kontroler UniFi (w tym przypadku Ubuntu 18.04 z UniFi 5.10.19)
  • Kontroler RADIUS (w tym przypadku Windows Server 2016 z zainstalowaną rolą AD)
  • Co najmniej jeden UAP dodany już do kontrolera UniFi

Wiedza

  • Co to są VLANy i jak się je konfiguruje na Twoim routerze (tak żeby mieć skonfigurowane DHCP, NAT, routing itp w każdej podsieci która tego potrzebuje), czego nie będę opisywać w tym artykule.

Case Study

W firmie mamy następujące 4 vlany/podsieci:

  • UserSpace dla pracowników (VLAN 100, podsieć 192.168.100.0/24)
  • ManagementSpace dla adminów (VLAN 99, podsieć 192.168.99.0/24)
  • WifiManagementSpace dla accesspointów (VLAN 9, podsieć 192.168.9.0/24)
  • GuestSpace dla gości (VLAN 200, podsieć 192.168.200.0/24)

#Dlaczego nie 3 w gradacji admin, user, guest? Wyjaśnię na samym końcu.

  • Chcemy żeby pracownik logując się na użytkownika który jest w grupie wifi-users trafiał do VLANu 100
  • Chcemy żeby pracownik uprzywilejowany logując się na użytkownika który jest w grupie wifi-admins trafił do VLANu 99

Konfiguracja

Konfiguracja switcha:

Będziemy potrzebować co najmniej 3 portów na switchu

  • Uplink do routera w którym jest trunk do wszystkich podsieci (w tym przypadku port 1)
  • Port dla hypervisora na którym są 2 maszyny wirtualne, Kontroler UniFi i Serwer RADIUS (w tym przypadku Hypervisor na porcie 3)
  • Port dla accesspointa (w tym przypadku port 47)

Vlany na tych portach są skonfigurowane w następujący sposób

Konfiguracja kontrolera UniFi

Profil

Dodajemy nowy profil. (Settings -> Profiles -> Create new RADIUS profile)

  1. Podajemy nazwę profilu
  2. Zaznaczamy opcję że chcemy żeby RADIUS decydował o VLANie użytkownika (Enable RADIUS assigned VLAN for wireless network)
  3. Wskazujemy Kontroler AD z RADIUSem, nie zmieniamy portu i definiujemy hasło (będzie nam potrzebne przy konfiguracji RADIUSa na Windowsie, nie powinno być trywialne, zwłaszcza że najprawdopodobniej nigdy go nie użyjesz ponownie po skonfigurowaniu tej infrastruktury)
  4. Zaznaczamy opcję Accounting (Enable accounting)
  5. Wpisujemy te same informacje co wyżej, nie zmieniając portu.
  6. Zapisujemy

SSID

Dodajemy nowe SSID (Settings -> Wireless Networks -> Create new wireless network)

  1. Podajemy nazwę sieci
  2. Zaznaczamy Security level na WPA Enterprise
  3. Wybieramy profil który stworzyliśmy przed chwilą
  4. Zapisujemy
  5. Na liście powinniśmy mieć nowy rekord i w kolumnie VLAN powinien widnieć napis „RADIUS assigned”

Konfiguracja Kontrolera RADIUS

Active Directory Certificate Services

Instalujemy rolę Active Directory Certificate Services.

Konfigurujemy Active Directory wg reguł panujących w twojej firmie (w zależności od infrastruktury wybieramy CA standalone albo CA Enterprise, w naszym przypadku nieistotne jeżeli AD i RADIUS jest na tym samym serwerze)

Ja robiłem konfigurację wg tego tutorialu: https://www.virtuallyboring.com/setup-microsoft-active-directory-certificate-services-ad-cs/ (cały podpunkt AD CS Post-Deployment Configuration, reszta poniżej jest niepotrzebna)

Active Directory Users and Computers

Dodajemy 2 grupy w AD:

  • wifi-users
  • wifi-admins

Dodajemy 2 userów w AD:

  • marcin
  • adm-marcin

Konfigurujemy grupy:

  • Dodajemy usera marcin do grupy wifi-users
  • Dodajemy usera adm-marcin do grupy wifi-admins

Network Policy and Access Services

Instalujemy rolę Network Policy and Access Services

  • Wchodzimy w konfigurację NPAS
  • Wchodzimy w gałąź Connection Request Polices i upewniamy się że wszystkie polisy są wyłączone
  • Wchodzimy w gałąź Network Policy i upewniamy się że wszystkie polisy są wyłączone
  • Przechodzimy do głównej gałęzi NPAS (local)
  • Wybieramy z drop down listy RADIUS server for 802.1X Wireless or Wired Connections i Klikamy na Configure 802.1X
  • W nowym oknie wybieramy Secure Wireless Connection i nadajemy nazwę która wskazuje na VLAN który konfigurujemy, np: „Secure Wireless Connections UNIFI 100”
  • Klikamy next
  • Dodajemy Accesspoint poprzez kliknięcie Add
  • W nowym oknie wpisujemy:
    • Nazwę, IP i na dole okna 2 razy wpisujemy hasło (które zdefiniowaliśmy w profilu na kontrolerze UniFi)
  • Zatwierdzamy OK oraz Next
  • Wybieramy opcję z drop down listy: Microsoft Protected EAP (PEAP)
  • Klikamy Next
  • Dodajemy grupę użytkowników którzy mają być kierowani do VLANu 100, w naszym przypadku ta grupa to wifi-users
  • Klikamy Next
  • Klikamy przycisk Configure
  • W nowym oknie edytujemy pole:
    • Tunnel-Type – Commonly used for 802.1x – Virtual LANs
    • Tunnel-Medium-Type – Commonly used for 802.1x – 802
    • Tunnel-Pvt-Group-ID – String – 100
    • Resztę pozycji zostawiamy jako not configured
  • Klikamy Next i Finish

Robimy dokładnie to samo dla VLANu 99 z tą różnicą, że nazwa na końcu powinna wskazywać na VLAN 99, Access point będzie już dodany, grupę powinieneś wybrać wifi-admins a atrybut Tunnel-Pvt-Group-ID powinieneś wpisać 99

Testy

Logujemy się do wifi na obu użytkowników,

  1. Dla użytkownika marcin powinniśmy się dostać do sieci 192.168.100.0/24
  2. Dla użytkownika adm-marcin powinniśmy się dostać do sieci 192.168.99.0/24

Przypisy

Wyjaśnienie, dlaczego access pointy muszą mieć oddzielną sieć:

W związku z tym że access pointy UniFi nie mają opcji ustawiania vlanu do managementu żeby się komunikować z kontrolerem UniFi, nie mogą one być w tej samej sieci co kontroler UniFi. VLAN 99 na porcie access pointa musi być tagowany żeby można było obsługiwać użytkowników, w związku z tym Access pointy muszą używać innego nietagowanego VLANu żeby były nadal odseparowane od sieci pracowniczych.

UWAGA: pomiędzy siecią 192.168.99.0/24 a 192.168.9.0/24 musi byc routing żeby kontroler i access pointy mogły się ze sobą komunikować.

Link do dyskusji:
https://www.facebook.com/groups/Ubiquiti.Polska/permalink/526375261103178/