Unify Ubiquiti Controller

[Millkaa]

Hallo Community,
ich betreue ein Netzwerk, welches über 8 UAP AC Pro Access Points verfügt. Der Unifi Controller ist lokal am Hauptrechner installiert.

In den letzten Tagen habe ich mich mit dem Unify Controller beschäftigt.
Es laufen aktuell drei Netzwerke. Eines für den Arbeitslaptop, mit Zugriff auf einen Server. Eines 24h geschaltet für Mitarbeiter/-innen und eines für "Klienten" welches bestimmte Zeiten erlaubt. (aktuell 6:00 bis 23:00 Uhr) Für die "Klienten" plane ich eine Art Staffelung der Zeiten, leider konnte ich dabei keine Einstellung finden, die dies ermöglicht.

Wenn ich eine individuelle Benutzergruppe erstelle, kann ich lediglich einen Namen vergeben und die Down- und Uploadgeschwindigkeiten einstellen. Die Zeiten sind bei einer Benutzergruppe aber nicht einstellbar.

Dies kann ich wiederrum nur über das Drahtlos Netzwerk einstellen, was aber bedeuten würde, dass alle Klienten im Netzwerk diese Zeiten nutzen können.

Konkret sollen einzelne "Klienten" bspw. eine Nutzung bis 24Uhr ermöglicht bekommen, andere wiederrum nur bis bspw. 22Uhr.

Ich hatte gehofft dies über die Benutzergruppen einstellen zu können.

Wie lässt sich dieses vorhaben realisieren? Mir wurde mitgeteilt, dass die UAP Access Points nur drei Netzwerke laufen lassen können.

Sollte das alles nur über Netzwerke geregelt werden ist es problematisch, da die Passwörter untereinander weiter geben werden können. Die Klienten, die einen Zugang mit längeren Zeiten besitzen können den WLAN Zugang sharen (Android) auch wenn die Mitarbeiter/-innen das Passwort eintragen.
Am besten wäre es die einzelnen Geräte, identifiziert über die MAC Adresse, an bestimmte Zeiten und Geschwindigkeiten zu binden. Diese Info habe ich vom zuständigen Mitarbeiter des Systemhauses bekommen, der dieses Netzwerk betreut. Dort habe ich auch das Okay erhalten, diese Einstellungen durchzuführen, nur finde ich den genauen Weg dorthin nicht. Auf den Mitarbeiter des Systemhauses kann ich aktuell nicht zurückgreifen, da er nicht erreichbar ist und erst in einigen Wochen wieder kommt. So lange wollte ich nicht warten und nach einer Lösung fragen.

Ist das über den Unify Controller überhaupt machbar?
Am besten wäre eine Einstellung für Benutzergruppen, die so umfangreich ist, wie für die Netzwerke.

Grüße

 

[chris_2401]

Der UAP AC Lite den ich letztens verbaut habe macht 4 WLANs parallel.

Bekommt man das nicht über das Guest Portal hin?
https://help.ubnt.com/hc/en-us/arti...Guest-Network-Guest-Portal-and-Hotspot-System

Wenn du die Nutzer via Google/Facebook und Co in dein WLAN lässt, dann gibt auch niemand mehr die Login-Daten weiter.

 

[Madman1209]

Hi,

meinst du sowas? Oder verstehe ich da etwas falsch?

identifiziert über die MAC Adresse

ganz schlechte Idee

VG,
Mad

 

[Belgeron]

Solche Einstellungen bekommt man nur über das GuestPortal hin und da aber auch nicht "von" "bis" Uhrzeiten sondern nur wieviele Stunden insgesamt.

Ich mein wer macht auch eine Einteilung nach Uhrzeiten ? Entweder die haben Access und gut oder das Netz ist ab 22Uhr abgeschaltet.

Ergänzung (20. August 2019)

Das einzige wie man das Problem lösen kann mit den Uhrzeiten und Tagen für bestimmte Gäste wären ein externern Radius zu nehmen und den für die Anmeldung im Netz für Gäste zu schalten, genau dafür ist der da.

Aber das der Unifi Interne Radius kann weiß ich ehrlich gesagt nicht, wahrscheinlich muss man hier auf einen externen Radius zurückgreifen.

 

[Millkaa]

Moin,
das Guest Portal mit Voucher ist für unsere Zwecke nicht geeignet.

@Belgeron
Wir machen bspw. eine Einstellung nach Uhrzeiten, die auch sehr viel Sinn macht.
@Madman1209
Wie meinst du das mit den MAC Adressen? Warum ungeeignet? Wir haben aktuell alle Endgeräte im Netzwerk identifiziert, also Gerät mit der MAC Adresse xx:yy:zz ist Klient 123
Mein Plan sähe so aus, dass ich darüber einfach einstellen kann, das Smartphone von Klient 123 hat Internetzugang von 14-22Uhr. Der wesentlich selbstständigere Klient4567 kann sein Smartphone von 10-24Uhr nutzen. Die Gerätenamen im Controller sind nicht immer 100prozentig zuzuordnen, daher der Weg über die MAC Adresse. Smartphone von Klient 123 wird seine MAC Adresse ja nicht ändern.


Scheinbar ist das etwas abstrakt erklärte Szenario nicht hilfreich.
Dann noch einmal konkreter:

Es geht um eine stationäre Wohnform für Kinder und Jugendliche. Das bedeutet es sind immer die gleichen Nutzer im Netzwerk aber es sollen unterschiedliche Zeiten erlaubt sein, wie das Netzwerk genutzt werden kann.
Tatsächlich hat die Erfahrung gezeigt, dass die Einteilung der Zeit nicht praktikabel ist. Also eine Art: "Es sind 5h am Tag Nutzungszeit von dem Zeitpunkt des ersten Logins" Das funktioniert bei uns einfach nicht.
Plan ist es, dass je nach Alter, Zuverlässigkeit, Freizeit etc. die einzelnen Kids das Netzwerk unterschiedlich nutzen können.
Die MAC Adresse, hat sich wie oben beschrieben, als probate Identifizierung gezeigt. Im Controller kann ich jeder Adresse einen speziellen Namen zuordnen. Bspw. PS4 von Klient 123.

Warum machen wir diesen ganzen Käse?
Wir haben aktuell eine Telekom 16.000 DSL Leitung die aber nur mit ca. 3000-5000 ankommt.
Das bedeutet, dass wir einen durchschnittlichen Download von ca. 1-3 Mbit/s zur Verfügung stehen haben. Und ja es ist wirklich Mbit/s also ca. 0,125-0,375 MB/s Down.
Es kommt häufig dazu, dass der ein oder andere seine PS4 und PC Downloads startet und das ganze Netz in die Knie zwingt.
Laut Telekomunikationsanbieter sind aktuell keine besseren Leitungen schaltbar, weil alles belegt seil. Alternative Lösungen sind in Arbeit. Aber wie es eben so ist kostet es Zeit, Zeit, Zeit und Geld. Also in unmittelbarer Zukunft (Wochen) nicht mit zu rechnen. Daher die Behelfslösung und die Eigeninitiative das so zu regeln, wie es am ehesten passt.

Also kann ich aber zusammenfassen, dass ich nur die Down- und Uploadgeschwindigkeiten über die Benutzergruppen managen und die Zeiten nur für das ganze Netzwerk eingestellt werden kann.

 

[Belgeron]

Wie gesagt - Radius Server - der kann das mit Uhrzeiten und Maximale Nutzungsdauert pro Tag oder Accounting nach MB usw. anders bekommst du dein Problem nicht in den Griff.

 

[Madman1209]

Hi,

Wie meinst du das mit den MAC Adressen? Warum ungeeignet? Wir haben aktuell alle Endgeräte im Netzwerk identifiziert, also Gerät mit der MAC Adresse xx:yy:zz ist Klient 123

muss ich mich denn nochmal authentifizieren? Oder macht ihr das nur über die MAC Adresse? Eine MAC ist mit das einfachste zu spoofen, von daher sollte diese nie für Authentifizierung verwendet werden! "Zuordnung zu Gruppe" wäre mir da schon deutlich zu heiß - wer weiß was möglicherweise an der Gruppe noch dranhängt.

Smartphone von Klient 123 wird seine MAC Adresse ja nicht ändern.

behauptet wer?

Die MAC Adresse, hat sich wie oben beschrieben, als probate Identifizierung gezeigt.

nur damit ich das richtig verstehe: komme ich mit einer MAC, die du freigegeben hast, bei euch vorbei, kann ich direkt ins WLAN? Ohne weitere "Hürden"?

VG,
Mad

 

[burnt-phaw]

Wie meinst du das mit den MAC Adressen? Warum ungeeignet? Wir haben aktuell alle Endgeräte im Netzwerk identifiziert, also Gerät mit der MAC Adresse xx:yy:zz ist Klient 123

Weil der User auf seinem Endgerät die Mac-Adresse manipulieren kann. Wie wahrscheinlich das ist sei mal dahingestellt, aber möglich ist es.

 

[chris_2401]

Dann braucht es wohl ne USG mit entsprechenden Firewallregeln.
hier hab ich was dazu gefunden:
https://www.reddit.com/r/Ubiquiti/c...ng_kids_from_the_internet_at_night_on_my_usg/

 

[Raijin]

Vorweg möchte ich gerne auf den Titel des Forums verweisen, der sich um Heimnetzwerke dreht und daher auch nicht wirklich zur Klärung von Problemen im professionellen Umfeld gedacht ist - auch wenn hier durchaus einige versierte Profis aktiv sind. Etwaige Hilfestellungen sollten daher mit Vorsicht genossen werden!

So, nun zum Thema: Wenn ich ehrlich sein soll, klingt das alles noch sehr unausgegoren. Grundsätzlich sind erstmal alle Teilnehmer eines Netzwerks gleichberechtigt. Einzelne Teilnehmer anhand der IP und/oder der MAC-Adresse zu identifizieren, ist ein zweischneidiges Schwert. IP- und MAC-Adressen sind keineswegs eindeutig, auch wenn das eigentlich Teil der Definition einer MAC ist bzw. sein sollte. Dennoch lassen sich beide händisch manipulieren, sogar ganz einfach mit Bordmitteln des Systems.

Daher sehe ich hier eher ein unnötig kompliziertes Konzept, das ich zudem für wenig sinnvoll halte. Zunächst sollte man sich überlegen welches Mißbrauchspotential denn überhaupt besteht, wenn User1 bis 22 Uhr dürfte, User2 bis 23 Uhr, aber User1 dann eben doch auch auf 23 Uhr eingestellt wird. Was kann User1 nach seiner eigentlich um 22 Uhr endenden Berechtigung den schlimmes anstellen? Und was wäre, wenn durch besondere Umstände die Aktiv-Zeit nun bis 22:07 geht?

Zugegebenermaßen bin ich nicht wirklich bewandert in den Möglichkeiten des Unifi-Controllers in dieser Richtung. Was ich aber weiß ist, dass selbst ein banaler Zeitplan für das WLAN nur in sehr engen Grenzen eingestellt werden kann: Max 1 Zeitfenster pro Tag + Zeitfenster nicht über 0 Uhr hinaus, ohne den Folgetag zwingend ab 0 Uhr zu aktivieren. Wenn's schon da hapert, wird es bei vergleichbaren Einstellungen nicht viel anders aussehen. Ich bin mir auch nicht sicher ob das überhaupt die Aufgabe des Unifi-Controllers sein soll. Ein externer Radius-Server, der diese Möglichkeiten bietet, wäre wohl besser geeignet. Der User würde dann duch seinen Login eindeutig identifiziert werden, egal von welchem Gerät er kommt.

 

[Millkaa]

Moin,
dass der Unify Controller das kann hat mir der betreuende Techniker gesagt, sei einfach könnte ich selber.
Im Grunde ist es wie ein Heimnetz. Es läuft über einen popeligen Telekom Anschluss mit ganz normaler Hardware, die in jedem Heimnetzwerk genutzt wird / werden kann.
Warum ich das selber versuche? Weil das Systemhaus seit Monaten nicht einmal eine stabile Leitung zum Server hin bekommt.
Da ich aber nur ein normaler Mitarbeiter bin, der sich ein wenig einsetzt wurde der Verwaltung schon wochenlang die Misstände mitgeteilt. Geändert hat sich nichts, bzw. nur sehr überschaubar. Seitens des Systemhauses sollen erst einmal alle WLAN Nutzer komplett gesperrt werden um zu schauen ob dadurch das Netz wieder besser wird.
Das sind alles keine zufriedenstellenden Lösungen, vor allem nicht für unsere Klienten.
Die Identifikation anhand der MAC Adresse ist hier tatsächlich völlig ausreichend. Die Klienten, die Zugriff auf das WLAN haben können viel, aber nicht an ihren Geräten basteln. Zumal alle Mac Adressen benannt sind und Neue direkt auffallen. Es sind ja nur maximal 20 Geräte, die im Heimnetz drin sind. Mehr können es nicht werden.

Und ja es macht einen sehr großen Unterschied ob jemand statt 22 bis 23 Uhr auf das Netzwerk zugreifen kann. Eine einheitliche Lösung ist ausgeschlossen. Daher frage ich das ja. Das hat dann aber einen pädagogischen und nicht mehr technischen Kontext.

 

[Raijin]

dass der Unify Controller das kann hat mir der betreuende Techniker gesagt, sei einfach könnte ich selber.

Wäre mir zwar neu, aber kann sein. Gegebenenfalls solltest du dich dann direkt an die Community auf der Seite von Ubiquiti wenden. Hier im Forum wird nämlich nur ein Teil der Leute überhaupt Ubiquiti-Equipment daheim haben, die meisten davon nur 1-2 APs. In der UI-Community sitzen aber viele sehr versierte Ubiquiti-Nutzer, die auch Unifi auch im großen Stil einsetzen.

Im Grunde ist es wie ein Heimnetz. Es läuft über einen popeligen Telekom Anschluss mit ganz normaler Hardware, die in jedem Heimnetzwerk genutzt wird / werden kann.

Ich sag mal nö Ein Heimnetz ist ein Heimnetz. Nur weil womöglich Heim-Hardware zum Einsatz kommt, macht das aus dem Netzwerk in einer Firma noch kein Heimnetzwerk, sondern ein potentiell unsachgemäß eingerichtetes Firmennetzwerk. Das Umfeld definiert die Art des Netzwerks. Fritzboxxen, Speedports und dergleichen habe ich zwar auch schon bei Firmen gesehen, aber dann sollten sie tunlichst auch nur aus Internet-Lieferant dienen, ggfs sogar hinter einem "richtigen" Router gekapselt.

Warum ich das selber versuche? Weil das Systemhaus seit Monaten nicht einmal eine stabile Leitung zum Server hin bekommt.
Da ich aber nur ein normaler Mitarbeiter bin, der sich ein wenig einsetzt wurde der Verwaltung schon wochenlang die Misstände mitgeteilt.

Das klingt nach einem unfähigen Systemhaus. Eventuell sollte man darüber nachdenken, den Dienstleister zu wechseln. Als "normaler Mitarbeiter" ist es zwar sehr löblich, dass du dich engagierst, aber bedenke auch, dass du dich dabei weit aus dem Fenster lehnst und im worst case auch den Kopf hinhalten musst. Wenn du auf gut Deutsch gesagt Schei*e baust, wird der Dienstleister sagen "Damit hatten wir nichts zu tun, das lag in Ihrer Verantwortung Herr XY" und als nächstes bekommst du einen unangenehmen Anruf von der Sekretärin deines Chefs, mit der Bitte doch schnellstmöglich bei selbigem auf der Matte zu stehen....

Wie dem auch sei, ich bin mir nach wie vor nicht sicher ob das mit dem Unifi-Controller überhaupt geht wie du es dir vorstellst. Da ich zur Zeit keinen UniFi-Controller zur Hand habe, bin ich kurz die Demo durchgegangen und konnte nicht wirklich etwas Passendes finden. Unter Umständen kann man auf der CLI mehr erreichen, weil die GUI nicht zwingend alle Möglichkeiten ausschöpft. So setze ich beispielsweise regelmäßig Produkte aus der Nachbar-Serie (EdgeRouter) ein und habe dort diverse Skripte eingebaut, um die Kiste für unsere Zwecke noch ein wenig nützlicher zu gestalten. Bei Unifi ist das jedoch komplizierter, weil etwaige manuelle Änderungen an den Geräten selbst beim nächsten Update vom Controller geschluckt werden, wenn man sie nicht mit ein paar Klimmzügen schützt.

Ich bin aber zuversichtlich, dass du in der oben erwähnten Community entweder den richtigen Weg gezeigt bekommst oder die finale Aussage, dass es eben doch nicht geht.

 

[Millkaa]

Jo, das werde ich auch machen.
Vielen Dank Euch allen
Auf zur Ubiquiti Community

 

[aranax]

Wo kommt denn das Internet her? Z.B. mit ner FritzBox kommt man an eine einfach zu verwaltende Kindersicherung mit Nutzungszeiten usw.. Das WLAN kann ja durchaus weiterhin mit den Unifis ausgestrahlt werden.

 

[Millkaa]

Über einen 19€ TP Link Router, also noch ordentlich uralt. Dann sind noch 3 Splitter dazwischen und anderer Krims Krams. Generell als unzumutbar zu beschreiben aber wir müssen damit leben und versuchen das Beste daraus zu machen.