formacion-ubrss-ubiquiti

Asignación de VLANS y RADIUS en Ubiquiti Unifi – [Parte 3].

Asignación de VLANS y RADIUS en Ubiquiti Unifi – [Parte 3].

Siguiendo esta serie de configuración de VLANS en Ubiquiti Unifi, en esta última sección veremos como aplicar VLANS de forma dinámica utilizando el servidor de RADIUS, incluido en los Routers USG de Unifi.

Si aun, no has leido las primeras secciones las adjutamos aqui:

¿Como configurar VLANS con Unifi?

Aplicar la configuración de VLANS en Aps y Switchs Unifi.

USG y Radius

En esta sección veremos cómo configurar el servidor RADIUS en los modelos USG y UDM. Este servidor se puede utilizar para los tipos de autenticación de acceso remoto por cable, inalámbrico y L2TP. La configuración del servidor RADIUS es la misma para todos los tipos de autenticación.

Esta configuración de VLANS esta basada en usuarios o direcciones MAC, esto significa que un usuario al autenticarse en nuestra red, puede obtener de forma automática una asignación de VLANS, esta técnica se conoce como autenticación por MAC o usuario, a diferencia de la implementación más común, que es por puertos.

802.1X

El estándar 802.1X tiene tres componentes:

  • Authenticators: Especifica el puerto o dispositivo que envía mensajes al servidor RADIUS antes de permitir el acceso al sistema.
  • Supplicants: Especifica el host conectado al puerto que solicita acceso a los servicios del sistema.
  • Authentication Server: Especifica el servidor externo, por ejemplo, el servidor RADIUS que realiza la autenticación en nombre del autenticador e indica si el usuario está autorizado para acceder a los servicios del sistema. La carpeta Port Access Control contiene enlaces a las siguientes páginas que le permiten ver y configurar las funciones 802.1X en el sistema.

Autenticación y autorización RADIUS

El proceso en el que se autoriza un dispositivo cliente con 802.1X es el siguiente:

  1. Se solicitan credenciales al dispositivo cliente.
  2. Credenciales de entrada de usuario.
  3. El dispositivo cliente envía una solicitud en la capa de enlace de datos a un autenticador para obtener acceso a la red.
  4. El dispositivo autenticador envía un mensaje llamado «Solicitud de acceso RADIUS» al servidor RADIUS configurado.

NOTA: Este mensaje incluye, entre otros, el nombre de usuario, la contraseña o el certificado proporcionado por el usuario para el acceso.

  1. El servidor RADIUS luego devuelve una de las tres respuestas al autenticador:

Access-Reject: Al usuario ingresado se le niega todo acceso ya sea por incapacidad para proporcionar una identificación correcta o porque el usuario ha sido eliminado del servidor RADIUS.
Access-Challenge: El usuario necesita información adicional para autenticarse, como contraseña secundaria, token, PIN o tarjeta. Este mensaje también se utiliza en una autenticación más compleja donde se establece un túnel seguro entre la máquina del usuario y el servidor RADIUS.
Access-Accept: El usuario tiene acceso a la red.

NOTA: Además, puede haber otros atributos transmitidos al autenticador sobre el cliente, que incluyen:
IP estática para ser utilizada por el cliente.
Un grupo de direcciones específico que se utilizará para el cliente.
Tiempo máximo que se puede autenticar un cliente.
Parámetros de la lista de acceso
Detalles de QoS
ID de VLAN que se utilizará para el cliente (VLAN dinámica).

¿Como habilitar el servidor de Radius en el Router USG Unifi?

  1. Ir a Configuración> Servicios> RADIUS.
  2. Habilitar el servidor RADIUS en la pestaña «Servidor».

Secret: Clave precompartida aprovisionada a los dispositivos autenticadores y al servidor RADIUS. Esto proporciona autenticación entre los dos tipos de dispositivos, lo que garantiza la integridad de los mensajes RADIUS.
Authentication port: el puerto en el que los dispositivos de autenticación y servidor RADIUS deben enviar y recibir los mensajes de autenticación RADIUS.
Accounting Port: El puerto en el que los mensajes de accounting RADIUS deben ser enviados y recibidos por el autenticador y los dispositivos del servidor RADIUS.
Accounting Interim Interval: Tiempo en milisegundos en el que se envía un paquete de solicitud de acceso RADIUS con un atributo Acct-Status-Type con el valor «interim-update». Esta actualización se envía para solicitar el estado de una sesión activa. Los registros «provisionales» contienen un informe de la duración de la sesión actual y pueden proporcionar información sobre el uso de datos.

NOTA: El servidor Radius recopila la información del cliente enviada por el autenticador que se puede utilizar para la contabilidad y los informes de actividad de la red. Esta información se envía cuando el usuario inicia y cierra la sesión, por lo general se denominan solicitudes de contabilidad. Para obtener más información sobre la contabilidad de radios, consulte RFC2866.

Creando los usuarios de RADIUS en nuestro Router USG

  1. Vaya a Configuración> Servicios> RADIUS
  2. Cree cuentas de usuario en la pestaña «Usuario».

  • Nombre: Ingrese un nombre de usuario único.
  • Contraseña: Ingrese la contraseña deseada para el usuario creado anteriormente.
  • VLAN: Campo utilizado para asignar un cliente autenticado por RADIUS a una VLAN específica cuando se utilizan VLAN asignadas por RADIUS.
  • Tipo de túnel: Consulta la sección 3.1 de RFC2868
  • Tipo de medio de túnel: Consulta la sección 3.2 de RFC2868

Cómo configurar cuentas RADIUS basadas en MAC

Para autenticar dispositivos según la dirección MAC, utilice la dirección MAC como nombre de usuario y contraseña en la creación del cliente. Esta entrada debe convertir letras minúsculas a mayúsculas y también eliminar dos puntos o puntos de la dirección MAC.

NOTA: Las cuentas de autenticación basadas en MAC solo se pueden usar para clientes inalámbricos y cableados. No se aplica el acceso remoto L2TP.

Cómo habilitar la VLAN asignada de RADIUS

  1. Ir a Configuración> Perfiles> RADIUS
  2. Debajo del perfil, seleccione «Habilitar VLAN asignada por RADIUS …» tanto para cableado como para inalámbrico, si lo desea.

3. Ir a Configuración> Servicios> RADIUS> Usuarios.
Cada usuario que utilizará una VLAN dinámica debe tener el tipo de túnel establecido en (13) y el tipo de túnel medio establecido en (6).

ATENCIÓN: Si el perfil de usuario no incluye una VLAN, el cliente recurrirá a la VLAN sin etiquetar.

Aplicando el Acceso de VLANS por usuarios de RADIUS en una red Inalámbrica Unifi

Ya hemos configurado todas las opciones para autenticar usuarios y que automáticamente se le asigne una VLAN, también hemos habilitado el servidor de RADIUS en nuestro Router USG, ahora solo nos queda configurar una red inalámbrica para que se pueda autenticar un usuario por medio de una configurar Enterprise.

Para realizar esta configuración hay que ir a la sección «Redes Inalámbricas», crear una nueva red inalámbrica y aplicar los ajustes de seguridad en WPA Enterprise.

Verificar el perfil de RADIUS, en nuestro caso es el perfil «default».

Al finalizar esta configuración, cualquier usuario que intente conectarse a nuestra red inalámbrica WPA Enterprise, la misma red solicitará un usuario y contraseña, si los valores son correctos, automáticamente, ese usuario será parte de la VLAN configurada previamente en el usuario.

De esta forma podríamos crear una VLAN por usuarios, por ejemplo la VLAN 23 que pertenezca al departamento de TI y crear los usuarios asignados a esa VLAN en particular.

Con esto llegamos a la serie de 3 partes de VLANS con Unifi, espero sea de utilidad. 🥳

Artículos relacionados