Dynamic VLAN assignment radius based

Primi passi con i prodotti UBNT (Ubiquti Networks)

Dynamic VLAN assignment radius based

Messaggiodi _xavier_ » 22 agosto 2016, 18:47

Continuo qui una discussione iniziata con redfive su un altro forum, :eheh: perché l'argomento è prettamente di competenza UBNT.

Si parlava della funzionalità di dynamic vlan by radius sui dispositivi AC-Lite. Cerca e cerca, ho trovato questo post dove si descrive in dettaglio tale feature, con tanto di figura esplicativa:

Immagine

Sto girando intorno ai menù del controller (rel. 5.0.7) da un bel po', ma di questa funzione non trovo traccia: ho solo la prima checkbox visibile in figura, (Use VLAN with VLAN ID), ma la seconda non la vedo.

Chi mi aiuta ad individuarla/abilitarla?
_xavier_
User
 
Messaggi: 19
Iscritto il: 11 giugno 2016, 0:17

Re: Dynamic VLAN assignment radius based

Messaggiodi redfive » 22 agosto 2016, 19:52

Nel controller 5.0.7 non è presente quella checkbox (è stata introdotta in versioni successive beta/alpha, fra l'altro credo che il controller 5.3.1-alpha sia ora disponibile anche nel forum beta), ma il fw 3.7.5 supporta comunque quella funzione.
Sul link tra AP e switch tagghi le vlans che sono dichiarate per gli utenti, e crei un unico SSID (nel controller)senza tag per gli utenti radius (puoi anche creare altri SSIDs mappati staticamente su vlans diverse da quelle dinamiche), poi prova ad autenticarti con 2 credenziali associate a 2 vlan diverse.....
Con il controller alpha/beta, puoi vedere a quale vlan sono associati i clients, (802.1X vlan) eg. questo è associato al SSID Trusted EAP, su vlan 10
dyn.JPG

I SSIDs
assigned.JPG

Nel caso di esempio, la vlan 11 non può essere dinamica*, dato che è dichiarata statica per un altro SSID
* Nel senso, non possono esserci users, nel radius, assegnati alla vlan 11
ciao
P.S. ... questo 3d dovrebbe essere nella sezione UniFi .... :)
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Dynamic VLAN assignment radius based

Messaggiodi _xavier_ » 22 agosto 2016, 23:05

redfive ha scritto:Nel controller 5.0.7 non è presente quella checkbox (è stata introdotta in versioni successive beta/alpha, fra l'altro credo che il controller 5.3.1-alpha sia ora disponibile anche nel forum beta), ma il fw 3.7.5 supporta comunque quella funzione.

Installato e provato il controller 5.3.1-alpha, ma, ma... la funzione si abilita solo se si imposta "Security" su "WPA Enterprise"!

E' una fregatura per me, visto che ho finora sempre impostato il parametro "Security" su "open" per poi far gestire a ZeroShell tutta la parte relativa al Captive Portal.

Si può ovviare in qualche modo o devo piegarmi a gestire un nuovo Captive Portal tramite il menù Guest Control del software UniFi?

redfive ha scritto:P.S. ... questo 3d dovrebbe essere nella sezione UniFi .... :)

OOpppssss!! TheMa3x sarà così cortese da spostare il thread? :timido:
_xavier_
User
 
Messaggi: 19
Iscritto il: 11 giugno 2016, 0:17

Re: Dynamic VLAN assignment radius based

Messaggiodi thema3x » 23 agosto 2016, 10:20

Passa :eheh:

Ciao

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Dynamic VLAN assignment radius based

Messaggiodi redfive » 23 agosto 2016, 12:57

_xavier_ ha scritto:... finora sempre impostato il parametro "Security" su "open"

E questo, sarebbe da evitare come la peste ..... :eheh:
O chi sia associa, poi usa solo https (oppure qualche altro tipo di cifratura), o il traffico è bello bello in chiaro, che basta una scheda in monitor-mode ..... Anche usando PSK, nota la PSK (quindi dall'interno), con scheda in monitor e whireshark, non bisogna scomodare Ghioni per derivare le PTK, e volendo, decifrare il traffico unicast tra AP e client, ma almeno, uno deve tribolare un pò di piu' .... :fifi:
A dire la verità poi, per tutte le WPA2 (compresa la Enterprise), ci sarebbe il Security Hole 196, ma essendo basato essenzialmente su ARP Poisoning via man-in-the middle, è mitigabile con il client isolation, ma forse stiamo andando fuori tema...
Ti consiglierei di usare almeno WPA2 PSK e client isolation sugli AP, dichiarando gli ip che devono essere raggiungibili, come l'ip di ZS dove è in ascolto il CP, tipo 192.168.10.1/32 (poi, se ti interessa, ti dò 2 info su come rendere invisibili gli Hosts associati agli AP, diversamente, anche in una guest network, nonostante non ci sia comunicazione L3 tra gli hosts, mediante qualche network scanner è possibile vedere tutta la rete ...
Puoi abilitare la Guest Policy sul SSID (Access restriction) anche senza abilitare il CP di UniFi .
Ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Dynamic VLAN assignment radius based

Messaggiodi thema3x » 23 agosto 2016, 14:53

"A dire la verità poi, per tutte le WPA2 (compresa la Enterprise), ci sarebbe il Security Hole 196, ma essendo basato essenzialmente su ARP Poisoning via man-in-the middle, è mitigabile con il client isolation, ma forse stiamo andando fuori tema..."

Io invece il tema lo approfondirei ... :aureola:

TheMa3x
Avatar utente
thema3x
Broadband Boss
 
Messaggi: 7119
Iscritto il: 26 marzo 2011, 2:19
Località: Tradate - Varese - Lombardia - Nord Italia

Re: Dynamic VLAN assignment radius based

Messaggiodi _xavier_ » 23 agosto 2016, 23:33

redfive ha scritto:Ti consiglierei di usare almeno WPA2 PSK e client isolation sugli AP

Mi par di capire che la "Client isolation" sia una funzione che nel mondo UBNT può essere attivata selezionando la check box "Guest Policy", è così?

Immagine

redfive ha scritto:dichiarando gli ip che devono essere raggiungibili, come l'ip di ZS dove è in ascolto il CP, tipo 192.168.10.1/32

Ehhmmmm... qua mi sono perso.

Dove li dichiaro questi ip? In Guest Control -> Pre-Authorization Access?

E, soprattutto, come faccio a far apparire all'utente il CP di ZS dan una connessione WPA2 PSK?

Quando cerco di connettere un dispostivo, mi appare una richiesta di username e password, non la schermata del CP.

redfive ha scritto:poi, se ti interessa, ti dò 2 info su come rendere invisibili gli Hosts associati agli AP

Ovviamente mi interessa, ma devo prima risolvere le questioni di cui sopra... :emo_pic_105:
_xavier_
User
 
Messaggi: 19
Iscritto il: 11 giugno 2016, 0:17

Re: Dynamic VLAN assignment radius based

Messaggiodi redfive » 24 agosto 2016, 0:16

Usr e pwd ti vengono richiesti se usi WPA2 enterprise, se usi WPA2 PSK ti verrà richiesta solo la passphrase/password/PSK, ed una volta associato, la pagina del CP deve apparire come con una rete aperta (ovvero, intercetta le richieste sulle porte 80/443).
Esatto, spunti il flag 'Guest Policy', senza abilitare il CP (quello poi, se necessario, si abilita da 'Guest Control') ed inserisci l'ip , con sm /32, del dispositivo che deve essere raggiungibile.
Di default, la Guest Policy nega il L3 a tutto lo spazio di indirizzamento privato, lo puoi vedere, dopo aver abilitato Guest Policy su un SSID, collegandoti via SSH ad un AP, prima vedi a quale interfaccia athX è associato il Guest SSID
Codice: Seleziona tutto
iwconfig
e poi dai
Codice: Seleziona tutto
ebtables -t nat -L GUESTIN

ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Re: Dynamic VLAN assignment radius based

Messaggiodi _xavier_ » 24 agosto 2016, 23:06

redfive ha scritto:Usr e pwd ti vengono richiesti se usi WPA2 enterprise, se usi WPA2 PSK ti verrà richiesta solo la passphrase/password/PSK, ed una volta associato, la pagina del CP deve apparire come con una rete aperta (ovvero, intercetta le richieste sulle porte 80/443).

Mi sto perdendo di nuovo. :S Comprendo le ragioni di sicurezza, ma non posso ulteriormente complicare la vita (ad es.) agli ospiti di una struttura alberghiera costringendoli ad immettere una password WPA2 PSK prima ancora del CP. Ho provato tale impostazione, funziona, andrà bene in certi contesti (scuole o uffici) ma sul "residenziale" non la vedo sempre proponibile.

Ad ogni modo, ho scoperto una "feature" curiosa nella 5.3.1-alpha: la check-box Enable RADIUS assigned VLAN, che appare solo se si seleziona WPA Enterprise sotto Security e diventa invisibile con qualsiasi altra opzione, mantiene la propria impostazione anche se invisibile.

Almeno così appare da questa schermata:

Immagine

Poi, capita la ragione del "/32" prima dell'ip della macchina su cui gira il CP, ho impostato il Guest Control" proprio come da te indicato...

Immagine

...e la connessione avviene perfettamente.

Anche le verifiche via SSH che suggerisci...

redfive ha scritto:prima vedi a quale interfaccia athX è associato il Guest SSID
Codice: Seleziona tutto
iwconfig
e poi dai
Codice: Seleziona tutto
ebtables -t nat -L GUESTIN

...hanno funzionato come previsto:

Codice: Seleziona tutto
BZ.v3.7.5# ebtables -t nat -L GUESTIN
Bridge table: nat

Bridge chain: GUESTIN, entries: 8, policy: ACCEPT
-p IPv4 --ip-dst 192.168.5.1 -j ACCEPT
-p IPv4 --pkttype-type broadcast --ip-proto udp --ip-sport 68 --ip-dport 67 -j ACCEPT
-p ARP --arp-op Request -j ACCEPT
-p IPv4 --ip-proto udp --ip-dport 53 -j GUEST_DNS
-p IPv6 -j DROP
--pkttype-type broadcast -j DROP
-p IPv4 --ip-proto tcp --ip-dport 443 -j CAPTIVE_PORTAL
-p IPv4 --ip-dst 224.0.0.0/4 -j DROP
BZ.v3.7.5#

Quello che ancora non funziona è l'assegnazione della VLAN specifica per ogni utente, visto che chiunque si colleghi si becca un ip di default, ovvero, nel mio caso, nel range 192.168.5.x.

Solo che questo ho paura che si risolva lato ZS e che quindi si finirebbe per essere un tantinello O.T.

Che si fa, ci si sposta nuovamente sull'altro forum? :emo_pic_105:
_xavier_
User
 
Messaggi: 19
Iscritto il: 11 giugno 2016, 0:17

Re: Dynamic VLAN assignment radius based

Messaggiodi redfive » 24 agosto 2016, 23:21

L'assegnazione dinamica delle vlan funziona solo con WPA2 Enterprise ......
E per la WPA2-PSK, basta anche una pwd semplice, tipo firstpassword, per garantire comunque che il traffico tra client ed AP sia cifrato e non in chiaro ..... Il CP serve ad autorizzare 'l'attraversamento' del router, ed andare su internet, ma l'autenticazione serve ad autorizzare l'accesso alla rete, con rete aperta, anche un client non autenticato sul CP può* comunque vedere tutte le risorse di rete (e non è bello, un ospite di un hotel, deve solo poter 'uscire' su internet senza sapere chi sono gli altri host della rete).
*Qui interviene il client isolation ....
Hai per caso cancellato le networks in 'Post-Authorization Restrictions' ? Se è cosi', la regola con l'ip/32 non ha molto senso ..... si può andare ovunque lo stesso...
ciao
redfive
NetworkSpecialist
 
Messaggi: 817
Iscritto il: 6 agosto 2011, 23:55
Località: italy

Prossimo

Torna a Iniziare con UBNT - Ubiquiti Networks

Chi c’è in linea

Visitano il forum: Nessuno