diff --git a/source/external-services/unifiwlan/index.rst b/source/external-services/unifiwlan/index.rst index bf426908..fbded171 100644 --- a/source/external-services/unifiwlan/index.rst +++ b/source/external-services/unifiwlan/index.rst @@ -4,25 +4,94 @@ Unifi-WLAN-Lösung für linuxmuster.net .. sectionauthor:: `@rettich `_ -Eine WLAN-Lösung für Schulen sollte mindestens zwei WLAN-Netze aufspannen. +Die hier vorgestellte WLAN-Lösung spannt drei WLAN-Netze auf. -- Das Lehrernetz für schuleigene Geräte, wie Beamer, Laptops oder Chromecasts, und für private Geräte der Lehrer, die auf Beamer und Chromecasts zugreifen wollen. -- Das Schülernetz für Schüler. +- Das interne Netz für schuleigene Geräte, wie Laptops, Beamer oder Apple-TVs. +- Das eigentliche Schulnetz, in dem jenach Anmelgung ins VLAN für Lehrer oder für Schüler verbunden wird. +- Das Gästenetz, in das man sich über Vouchers anmeldet. .. figure:: media/vlantopologie.png :alt: VLAN-Topologie -In der hier vorgestellten Lösung kommen Accesspoints von Unifi und der kostenlose Unifi-Controller zum Einsatz. +Es kommen Accesspoints von Unifi und der kostenlose Unifi-OS-Server zum Einsatz. -Die Geräte im Lehrernetz werden in die Datei `/etc/linuxmuster/sophomorix/default-school/devices.csv` aufgenommen. Das Lehrernetz ist ein Teil des Schulnetzes. Damit können sich beispielsweise Benutzer mit einem Schullaptop per WLAN wie gewohnt anmelden und auf ihre Daten zugreifen. +Die Geräte im internen Netz werden in die Datei `/etc/linuxmuster/sophomorix/default-school/devices.csv` aufgenommen. Es ist ein Teil des Schulnetzes. Damit können sich beispielsweise Benutzer mit einem Schullaptop per WLAN wie gewohnt anmelden und auf ihre Daten zugreifen. -Im Schülernetz müssen sich die Benutzer für das WLAN mit ihrem Benutzernamen und Kennwort anmelden. Über die Schulkonsole kann einem Schüler oder einer Gruppe von Schülern das WLAN freigeschaltet oder gesperrt werden. Eine Verwaltung der Benutzergeräte durch den Netzwerkberater entfällt. +Die folgenden Vido-Tutorials zeigen Schritt für Schritt, wie unser WLAN-Netz aufgebaut wird. -Inhalt: +Überblick über den Ausgangszustand +---------------------------------- +.. raw:: html -.. toctree:: - :maxdepth: 2 + + + +Instalation eines Debian-Servers +-------------------------------- +Der Unifi-OS-Server läuft in diesem Tutorial auf einem Debian-Server. Das folgende Video-Tutorial zeigt die Installation und Integration eines leeren Debian-Servers. + +.. raw:: html + + + +Instalation und Grundeinrichtung des Unifi-OS-Servers +----------------------------------------------------- +Jetzt wird der eigentliche Unifi-OS-Server eingerichtet. + +.. raw:: html + + + + +Migration eines bestehenden Unifi-Controllers +--------------------------------------------- +In diesem Tutorial wird gezeigt, wie ein bestehendes Unifi-Controller-System auf Unifi-OS-Server migriert werden kann. + +Falls du kein bestehendes Unifi-Controller-System hast, kannst du diese Tutorial übersprinen. + +.. raw:: html + + + +Anlegen von Schüler- und Lehrer-Netzwerke +----------------------------------------- +Jetzt legen wir für die Schüler und Lehrer eigene Netzwerke auf der OpnSense an. + +.. raw:: html + + + +WLAN-Netzwerke im Unifi-OS-Server einrichten +-------------------------------------------- +Hier siehst du, wie man ein WLAN über WPA2 und über WPA2/WPA3-Enterprise einrichtet. Bei WPA2/WPA3-Enterprise wird das Lehrer- bzw. Schülernetzwerk jenach Anmeldenamen zugeordnet. + +.. raw:: html + + + +Gäste-WLAN mit Voucher +---------------------- +Jetzt kommet noch das Gäste-WLAN. Für Gäste und Austauschklassen legen wir noch ein Gäste-Netz an. Und wir erstellen natürlich noch Voucher die passenden Voucher. + +.. raw:: html + + + +Die InnerSpace-App +------------------ +InnerSpace ist eine App auf dem Unifi-OS-Server, mit der man Gebäudepläne verwalten und die Position der Unifi-Komponenten entragen kann. Das ist dann besonders interessant, wenn APs oder Switche hinter Wandverschalungen verbaut sind. So weiß man immer, wo sich die Geräte befinden. + +Zusätzlich berechnet InnerSpace auch die aktuelle WLAN-Ausleuchtung. Man sieht also, wo noch Lücken in der Ausleuchtung sind oder ob ein anderer Ort für einen AP eine bessere WLAN-Ausleuchtung brächte. + +.. raw:: html + + + +Die WLAN-Anmeldung am Beispiel eines iPads +------------------------------------------ +Eigentlich sind wir fertig. Das folgende Video zeigt noch wie man sich beispielsweise mit einem iPad anmeldet. + +.. raw:: html + + - topology - switch - unificontroller diff --git a/source/external-services/unifiwlan/media/ciscospeichern.png b/source/external-services/unifiwlan/media/ciscospeichern.png deleted file mode 100644 index a2f5103a..00000000 Binary files a/source/external-services/unifiwlan/media/ciscospeichern.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/os01.png b/source/external-services/unifiwlan/media/os01.png deleted file mode 100644 index 53be2083..00000000 Binary files a/source/external-services/unifiwlan/media/os01.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/os02.png b/source/external-services/unifiwlan/media/os02.png deleted file mode 100644 index 56ecd1c8..00000000 Binary files a/source/external-services/unifiwlan/media/os02.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/portvlan01.png b/source/external-services/unifiwlan/media/portvlan01.png deleted file mode 100644 index f0d2234f..00000000 Binary files a/source/external-services/unifiwlan/media/portvlan01.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/portvlan02.png b/source/external-services/unifiwlan/media/portvlan02.png deleted file mode 100644 index 6c5001f1..00000000 Binary files a/source/external-services/unifiwlan/media/portvlan02.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/portvlan03.png b/source/external-services/unifiwlan/media/portvlan03.png deleted file mode 100644 index 0cf5b333..00000000 Binary files a/source/external-services/unifiwlan/media/portvlan03.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/portvlan04.png b/source/external-services/unifiwlan/media/portvlan04.png deleted file mode 100644 index 84bafa86..00000000 Binary files a/source/external-services/unifiwlan/media/portvlan04.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/portvlan05.png b/source/external-services/unifiwlan/media/portvlan05.png deleted file mode 100644 index 76d02e22..00000000 Binary files a/source/external-services/unifiwlan/media/portvlan05.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u07.png b/source/external-services/unifiwlan/media/u07.png deleted file mode 100644 index 0a2cdd97..00000000 Binary files a/source/external-services/unifiwlan/media/u07.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u08.png b/source/external-services/unifiwlan/media/u08.png deleted file mode 100644 index 29103dd1..00000000 Binary files a/source/external-services/unifiwlan/media/u08.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u09.png b/source/external-services/unifiwlan/media/u09.png deleted file mode 100644 index 8329daef..00000000 Binary files a/source/external-services/unifiwlan/media/u09.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u10.png b/source/external-services/unifiwlan/media/u10.png deleted file mode 100644 index fbe22a02..00000000 Binary files a/source/external-services/unifiwlan/media/u10.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u11.png b/source/external-services/unifiwlan/media/u11.png deleted file mode 100644 index 47d5f4bd..00000000 Binary files a/source/external-services/unifiwlan/media/u11.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u12-a.png b/source/external-services/unifiwlan/media/u12-a.png deleted file mode 100644 index d91b659e..00000000 Binary files a/source/external-services/unifiwlan/media/u12-a.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u12-b.png b/source/external-services/unifiwlan/media/u12-b.png deleted file mode 100644 index a9b0eb87..00000000 Binary files a/source/external-services/unifiwlan/media/u12-b.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u12.png b/source/external-services/unifiwlan/media/u12.png deleted file mode 100644 index 2f0d2ddd..00000000 Binary files a/source/external-services/unifiwlan/media/u12.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u13.png b/source/external-services/unifiwlan/media/u13.png deleted file mode 100644 index 712113ef..00000000 Binary files a/source/external-services/unifiwlan/media/u13.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u14.png b/source/external-services/unifiwlan/media/u14.png deleted file mode 100644 index 835c28b2..00000000 Binary files a/source/external-services/unifiwlan/media/u14.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u15.png b/source/external-services/unifiwlan/media/u15.png deleted file mode 100644 index 90ba6c35..00000000 Binary files a/source/external-services/unifiwlan/media/u15.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u16.png b/source/external-services/unifiwlan/media/u16.png deleted file mode 100644 index d19495ad..00000000 Binary files a/source/external-services/unifiwlan/media/u16.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/u17.png b/source/external-services/unifiwlan/media/u17.png deleted file mode 100644 index 54d4d303..00000000 Binary files a/source/external-services/unifiwlan/media/u17.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/vlanadd.png b/source/external-services/unifiwlan/media/vlanadd.png deleted file mode 100644 index 3b6c9fa1..00000000 Binary files a/source/external-services/unifiwlan/media/vlanadd.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/vlaneinstellungen.png b/source/external-services/unifiwlan/media/vlaneinstellungen.png deleted file mode 100644 index adc9fab7..00000000 Binary files a/source/external-services/unifiwlan/media/vlaneinstellungen.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/vlannetzwerkkarte.png b/source/external-services/unifiwlan/media/vlannetzwerkkarte.png deleted file mode 100644 index 656f9753..00000000 Binary files a/source/external-services/unifiwlan/media/vlannetzwerkkarte.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/vlans.png b/source/external-services/unifiwlan/media/vlans.png deleted file mode 100644 index 996a9948..00000000 Binary files a/source/external-services/unifiwlan/media/vlans.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/vlantopologie.png b/source/external-services/unifiwlan/media/vlantopologie.png index ec884451..0d834d84 100644 Binary files a/source/external-services/unifiwlan/media/vlantopologie.png and b/source/external-services/unifiwlan/media/vlantopologie.png differ diff --git a/source/external-services/unifiwlan/media/voucher01.png b/source/external-services/unifiwlan/media/voucher01.png deleted file mode 100644 index b89ca751..00000000 Binary files a/source/external-services/unifiwlan/media/voucher01.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/voucher02.png b/source/external-services/unifiwlan/media/voucher02.png deleted file mode 100644 index 51c0e253..00000000 Binary files a/source/external-services/unifiwlan/media/voucher02.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/voucher03.png b/source/external-services/unifiwlan/media/voucher03.png deleted file mode 100644 index ae0a6a83..00000000 Binary files a/source/external-services/unifiwlan/media/voucher03.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/voucher04.png b/source/external-services/unifiwlan/media/voucher04.png deleted file mode 100644 index 164af901..00000000 Binary files a/source/external-services/unifiwlan/media/voucher04.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/voucher05.png b/source/external-services/unifiwlan/media/voucher05.png deleted file mode 100644 index caae5f07..00000000 Binary files a/source/external-services/unifiwlan/media/voucher05.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/voucher06.png b/source/external-services/unifiwlan/media/voucher06.png deleted file mode 100644 index 3690cc77..00000000 Binary files a/source/external-services/unifiwlan/media/voucher06.png and /dev/null differ diff --git a/source/external-services/unifiwlan/media/voucher07.png b/source/external-services/unifiwlan/media/voucher07.png deleted file mode 100644 index cd19e34d..00000000 Binary files a/source/external-services/unifiwlan/media/voucher07.png and /dev/null differ diff --git a/source/external-services/unifiwlan/switch.rst b/source/external-services/unifiwlan/switch.rst deleted file mode 100644 index 627b06a1..00000000 --- a/source/external-services/unifiwlan/switch.rst +++ /dev/null @@ -1,128 +0,0 @@ -.. include:: /guided-inst.subst -Der Switch -========== - -In der hier vorgestellten Lösung wird ein Cisco SG300-10 Switch verwandt. Die Überlegungen lassen sich aber leicht auf andere Switches übertragen. - -Grundsätzliches ---------------- - -Bei vielen Switches ist es unmöglich, sich komplett auszusperren. Der SG300 hat die Konfigurationsspeicher `Ausgeführte Konfiguration` und `Startkonfiguration`. - -In die `Ausgeführte Konfiguration` werden alle Einstellungen gespeichert, die Du vornimmst. Bei einem Neustart wird als erstes die `Startkonfiguration` in die `Ausgeführte Konfiguration` kopiert und dann die `Ausgeführte Konfiguration` ausgeführt. - -Wenn Du sich also mit einer Einstellung ausgeschlossen hast, starte den Switch einfach neu und Du hast den zuletzt in die `Startkonfiguration` gespeicherten Stand. - -Sobald Du eine Einstellung vorgenommen hast, die Dich nicht aussperrt, siehst Du oben neben dem Benutzernamen einen Link zum Speichern der `Aktuellen Konfiguration` in die `Startkonfiguration`. - -.. figure:: media/ciscospeichern.png - :alt: Konfiguartion speichern - -VLANs anlegen -------------- - -Das VLAN für den Internetzugang hat die VLAN-ID 2, das Schüler-WLAN die VLAN-ID 10 und das Schulnetz die VLAN-ID 16. - -.. figure:: media/vlaneinstellungen.png - :alt: VLAN-Einstellungen - -Wähle VLAN-Verwaltung -> VLAN-Einstellungen und klicken auf `Hinzufügen`. - -Es öffnet sich ein Dialogfenster, mit dem Du die VLANs hinzufügen kannst. - -.. figure:: media/vlanadd.png - :alt: VLAN-Hinzufügen - -Füge die VLANs wie im Bild hinzu. - -.. figure:: media/vlans.png - :alt: VLAN-Übersicht - -Sobald alle VLANs hinzugefügt sind, schließe das Fenster. Die VLANs sollten jetzt aufgeführt sein. - -Jetzt wäre ein guter Zeitpunkt, um die `Ausgeführte Konfiguartion` zu speichern. - - -Ausgeschlossen, Getaggt, Ungetaggt und PVID -------------------------------------------- - -Für jeden Switchport und für jedes VLAN muss festgelegt werden, ob das VLAN mit der VLAN-ID x ausgeschlossen, getaggt akzeptiert oder Datenpakete, die mit der VLAN-ID x getaggt sind, ungetaggt weitergeleitet werden. - -Ausgeschlossen: - Datenpakete, die mit der VLAN-ID x getaggt sind, werden verworfen. - -Getaggt: - Datenpakete, die mit der VLAN-ID x getaggt sind, werden weitergeleitet. - -Ungetaggt: - Von Datenpaketen, die mit der VLAN-ID x getaggt sind, wird die VLAN-ID entfernt und zum Client weitergeleitet. Die meisten Clients können mit getaggten Datenpaketen nichts anfangen. - -PVID: - Bei einem Port, der mit der PVID x markiert ist, werden alle ungetaggten Datenpakete des Clients mit der VLAN-ID x getaggt. - - -Den Ports die VLANs zuweisen ----------------------------- - -.. figure:: media/vlantopologie.png - :alt: VLAN-Topologie - -Port 1: - Der Hypervisor ist über ein Netzwerkkabel mit Port 1 des Switches - verbunden. Der Port 1 ist getaggtes Mitglied der VLANs 2, 10 und 16. - -Port 2-5: - Die APs sind im Schulnetz und werden über ein ungetaggtes VLAN - verwaltet. VLAN 16 ist ungetaggt und PVID ist 16. - - Zusätzlich soll das Schüler-WLAN vom AP ausgestrahlt werden. Um es vom Schulnetz zu trennen, muss es getaggt am AP ankommen. VLAN 10 ist getaggt. - -Port 7-8: - Die Clients sind nur im Schulnetz und arbeiten mit ungetaggten Datenpaketen. VLAN 16 ist ungetaggt und PVID ist 16. - -Port 9: - Auch der Router arbeitet mit ungetaggten Datenpaketen. VLAN 2 ist ungetaggt und PVID ist 2. - -Port 10: - Über diesen Port wird der Switch gemanaged. Er ist das einzige Mitglied des Standard VLAN 1. Damit ist der Switch weder über das WLAN noch über das Schulnetz managebar. - -Schritt für Schritt -------------------- - -Wähle VLAN-Verwaltung -> Port-VLAN. - -.. figure:: media/portvlan01.png - :alt: VLAN1 - -In der Grundeinstellung ist für jeden Port VLAN 1 ungetaggt und PVID 1 eingestellt. - -Da der Switch nur über den Port 1 verwaltet wird, verbiete den Ports 1 bis 9 die Mitgliedschaft zu VLAN 1 und bestätige anschließend mit `Übernehmen`. Man beachte, dass dabei PVID 1 automatisch gelöscht wird. - -Nun wähle die VLAN-ID 2 und klicken auf `Los`. - -.. figure:: media/portvlan02.png - :alt: VLAN2 - -Für Port 1 wähle getaggt und für Port 9 Ungetaggt. Dabei wird PVID automatisch selektiert. - -Jetzt ist VLAN 10 an der Reihe. - -.. figure:: media/portvlan03.png - :alt: VLAN10 - -Für die Ports 1 bis 5 wählst Du getaggt. - -Und schließlich noch VLAN 16. - -.. figure:: media/portvlan04.png - :alt: VLAN16 - -Da die APs und die Clients im Schulnetz sind, sind die Ports 2 bis 8 ungetaggt und PVID ist gesetzt. - -Über `VLAN-Verwaltung` -> `Port-VLAN-Mitgliedschaft` erhält man eine Zusammenfassung. - -.. figure:: media/portvlan05.png - :alt: Zusammenfassung - -Jetzt wäre ein guter Zeitpunkt zum Speichern der Konfiguration. - diff --git a/source/external-services/unifiwlan/topology.rst b/source/external-services/unifiwlan/topology.rst deleted file mode 100644 index c30df01d..00000000 --- a/source/external-services/unifiwlan/topology.rst +++ /dev/null @@ -1,18 +0,0 @@ -.. include:: /guided-inst.subst -Die Netztopologie -================= - -Sollen 2 WLANs über einen Accesspoint (AP) ausgestrahlt werden, muss mindestens ein Netzwerk ein getaggtes VLAN sein. - -.. figure:: media/vlantopologie.png - :alt: VLAN-Topologie - -Im Beispiel ist der Hypervisor (z.B. Proxmox) mit einem Netzwerkkabel mit dem Switch verbunden. - -Die virtuellen Maschinen sollten somit nicht direkt mit der Netzwerkkarte des Hypervisors verbunden sein. Es muss noch zusätzlich die VLAN-ID angegeben werden. - -Im Beispiel werden die Datenpakete des Unifi-Controllers mit der Nummer 16 gekennzeichnet. Man sagt getaggt. - -.. figure:: media/vlannetzwerkkarte.png - :alt: VLAN-Netzwerkkarte - diff --git a/source/external-services/unifiwlan/unificontroller.rst b/source/external-services/unifiwlan/unificontroller.rst deleted file mode 100644 index ea4050b0..00000000 --- a/source/external-services/unifiwlan/unificontroller.rst +++ /dev/null @@ -1,16 +0,0 @@ -.. include:: /guided-inst.subst -Der Unifi-Kontroller -==================== - -Inhalt: - -.. toctree:: - :maxdepth: 2 - - unifiinst - unifierste - unifilehrernetz - unifischuelernetz - unifivoucher - unifivouchererstellen - diff --git a/source/external-services/unifiwlan/unifierste.rst b/source/external-services/unifiwlan/unifierste.rst deleted file mode 100644 index 221c831d..00000000 --- a/source/external-services/unifiwlan/unifierste.rst +++ /dev/null @@ -1,74 +0,0 @@ -.. include:: /guided-inst.subst -Die Grundkonfiguration -====================== - -Hier werden die Standardsprache sowie der Adminaccount gewählt und es können die APs aufgenommen werden. - -Schritt für Schritt -------------------- - -Öffne von einem Rechner im Schulnetz mit einem Browser ``_ (falls der Unificontroller in der Datei `workstations` unifi heißt). - -Da der Unifi-Kontroller mit einem selbstzertifizierten Zertifikat arbeitet, wirst Du eine Zertifikatswarnung erhalten. - -.. figure:: media/u07.png - :alt: Sprachenauswahl - -Wähle Germany als Land und klicke auf `weiter`. - -.. figure:: media/u08.png - :alt: Geräteauswahl - -Wähle die Geräte aus, die Du mit dem Unifi-Kontroller managen wöchtest (also alle) und klicke auf `WEITER`. - -.. figure:: media/u09.png - :alt: SSID einrichten - -An dieser Stelle überspringst Du die Einrichtung eines WLANs. Das wird später ausführlich beschrieben. - -.. figure:: media/u10.png - :alt: admin - -An dieser Stelle wird ein Administrator-Zugang angelegt. - -.. figure:: media/u11.png - :alt: Cloud - -Überspringe auch diesen Schritt. - -.. figure:: media/u12.png - :alt: Bestätigung - -Bestätige schließlich Deine Einstellungen. - -Einstellungen zur Aufnahme der APs -^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - -Damit der Unificontroller die angeschlossenen Access Points (APs) aufnehmen kann und -mit diesen kommuniziert, sind noch folgende Einstellungen zu treffen: - -1. Wähle ``Settings → System Settings → Controller/Application Configuration`` -2. Gib dort bei der Option ``Host to inform`` die IP-Adresse des Dockerhosts, den FQDN oder ein CNAME als FQDN ein. -3. Teste die Aufnahme, indem Du einen AP anschließt. Nachdem dieser gestartet ist, siehst Du im Controller den AP in der Phase ``Adopting``. - Diese muss erfolgreich beendet worden sein. Sollte dies nicht der Fall sein, so solltest Du in den log files des Unifi Controllers nach Fehlern suchen. - -Die Einstellungen sehen in der alten UI des Unifi Controllers wie folgt aus: - -.. figure:: media/u12-a.png - :alt: Override inform host - old ui - -In der neuen UI des Unifi Controllers entspricht dies folgender Einstellung: - -.. figure:: media/u12-b.png - :alt: Override inform host - new ui - - - - - - - - - - - diff --git a/source/external-services/unifiwlan/unifiinst.rst b/source/external-services/unifiwlan/unifiinst.rst deleted file mode 100644 index 168dedfd..00000000 --- a/source/external-services/unifiwlan/unifiinst.rst +++ /dev/null @@ -1,58 +0,0 @@ -.. include:: /guided-inst.subst -Die Installation -================ - -Hardwareanforderungen ---------------------- - -- 3 GB RAM -- Eine Netzwerkkarte im Schulnetz (VLAN 16) -- 10 GB Festplatte (bei mir im Schulbetrieb sind 3,3 GB vom 40 GB belegt). - - -Die Grundinstallation ---------------------- - -Für die Installation brauchen wir einen ``Dockerhost ohne nginx und dehydrated`` (siehe :ref:`Installation eines Dockerhosts `). - -.. hint:: - - Es kann hierzu jeder bereits bestehende Docker-Host verwendet werden, sofern die u.g. Ports nicht bereits belegt sind. - -Unifi-Controller mit docker-compose einrichten und starten -========================================================== - -Melde Dich auf dem Docker-Host an, werde mit ``sudo -i`` `root` und lege mit ``mkdir -p /srv/docker/unifi`` das Verzeichnis `/srv/docker/unifi` an. - -Gehe mit ``cd /srv/docker/unifi`` in das neue Verzeichnis und lege die Datei docker-compose.yml an mit folgendem Inhalt an: - -.. code-block:: console - - version: "2.1" - services: - unifi-controller: - image: ghcr.io/linuxserver/unifi-controller - container_name: unifi-controller - environment: - - PUID=1000 - - PGID=1000 - volumes: - - ./data:/config - ports: - - 3478:3478/udp - - 10001:10001/udp - - 8080:8080 - - 8443:8443 - - 1900:1900/udp #optional - - 8843:8843 #optional - - 8880:8880 #optional - - 6789:6789 #optional - - 5514:5514 #optional - restart: unless-stopped - -Starte den Unifi-Controller mit ``docker-compose up -d``. - -.. hint:: - - Zur Zeit wird die Unifi-Controller-Version 7.3.76 installiert. Möchtest Du eine frühere Version installieren, musst Du das in Zeile 4 angeben. Beispiel: ``image: ghcr.io/linuxserver/unifi-controller:LTS-version-5.6.42``. Welche Versionen es gibt, siehst Du `hier `_ . - diff --git a/source/external-services/unifiwlan/unifilehrernetz.rst b/source/external-services/unifiwlan/unifilehrernetz.rst deleted file mode 100644 index 6263aee4..00000000 --- a/source/external-services/unifiwlan/unifilehrernetz.rst +++ /dev/null @@ -1,44 +0,0 @@ -.. include:: /guided-inst.subst -Einrichtung des Lehrer-WLANs -============================ - -Im Lehrer-WLAN sind alle schuleigenen Geräte und die Geräte der Lehrer. - -So könnte beispielsweise ein Lehrer mit seinem Smartphone eine Aufgabe abfotografieren und zum Beamer schicken. Oder er könnte einen Film per Smartphone direkt über einen Beamer abspielen. - -.. attention:: All diese Geräte müssen in die Datei `devices.csv` aufgenommen sein. - -.. hint:: Schülergeräte haben in diesem Netzwerk nichts zu suchen. Denn Schüler sollen nicht in der Lage sein, Filmchen per Handy zu starten. - -Schritt für Schritt -------------------- - -Öffne von einem Rechner im Schulnetz den Unifi-Kontroller ``_ und melde Dich an. - -.. figure:: media/u13.png - :alt: Einstellungen - -Klicke unten links auf `Einstellungen`. Gehe auf `drahtlose Netzwerke` . - -.. figure:: media/u14.png - :alt: Drahtlose Netzwerke - -Es ist bereits eine WLAN-Gruppe `Default` eingerichtet. Die wird Dir für den Betrieb in einer Schule ausreichen. - -Wie erwartet sind noch keine drahtlosen Netzwerke eingerichtet. Für Dein erstes WLAN klickst Du auf `NEUES DRAHTLOSES NETZWERK HINZUFÜGEN`. - -.. figure:: media/u15.png - :alt: Netzwerke hinzufügen - -Gib dem Lehrernetz einen Namen (z.B. Lehrer). - -Wähle die Verschlüsselung `WPA Personal` und ein Passwort. - -Wähle **nicht** Gastrichtlinie. Im Schulnetz möchtest Du keine Gäste! - -Wenn Du möchtest, verbirg die SSID. Was Schüler nicht sehen, macht sie nicht neugierig. - -Speichere die Einstellungen. - -Das Lehrernetz ist nun eingerichtet und wird auf alle APs ausgerollt. - diff --git a/source/external-services/unifiwlan/unifischuelernetz.rst b/source/external-services/unifiwlan/unifischuelernetz.rst deleted file mode 100644 index b19ec498..00000000 --- a/source/external-services/unifiwlan/unifischuelernetz.rst +++ /dev/null @@ -1,41 +0,0 @@ -.. include:: /guided-inst.subst -Einrichtung des Schüler-WLANs -============================= - -Im Schüler-WLAN sind die Geräte der Schüler. Es liegt im blauen Netz der OPNsense®. Der Netzwerk-Schlüssel des Schüler-WLANs basiert auf ihrem Benutzernamen und ihrem Kennwort. - -Schritt für Schritt -------------------- - -Installiere auf dem linuxmuster.net-Server das Paket ``freeradius``. Siehe :ref:`linuxmuster-freeradius-label` - -Melde Dich am Unifi-Kontroller an ``_. - -Gehe zu `Einstellungen` -> `Profile` -> `NEUES RADIUS-PROFIL ERSTELLEN`. - -.. figure:: media/u17.png - :alt: Radiusprofil - -Gib dem neuen Radius-Profil einen Namen. - -Trage bei `Radius-Authentifikationsserver` die IP-Adresse des linuxmuster.net-Servers und das Passwort für die APs ein. - -Speiche die Einstellungen. - -Gehe zu `Einstellungen` -> `Drahtlose-Netzwerke` -> `NEUES DRAHTLOSES NETZWERK HINZUFÜGEN`. - -.. figure:: media/u16.png - :alt: Schülernetz - -Gib dem Schüler-WLAN einen Namen. - -Sicherheit ist `WPA Enterprise`. - -Wähle das vorher definierte Radius-Profil. - -Da das blaue Netz der OPNsense® als getaggtes VLAN mit der VLAN-ID 10 zu den APs kommt, setze ein Häkchen bei VLAN und gib als VLAN-ID 10 ein. - -Speichere die Enstellungen. - -Das Schüler-WLAN wird jetzt an die APs ausgerollt. - diff --git a/source/external-services/unifiwlan/unifivoucher.rst b/source/external-services/unifiwlan/unifivoucher.rst deleted file mode 100644 index 462c1710..00000000 --- a/source/external-services/unifiwlan/unifivoucher.rst +++ /dev/null @@ -1,88 +0,0 @@ -.. include:: /guided-inst.subst -Gast-WLAN mit Gutschein / Voucher -================================== - -Unifi unterstützt auch WLAN-Gutscheine (WLAN-Voucher). - -.. figure:: media/voucher01.png - :alt: Voucherbeispiel - -Bei einem WLAN-Gutschein meldet man sich, wie in einigen Hotels, an einem unverschlüsselten Gästenetz an und wird auf eine Anmeldeseite umgeleitet. Dort gibt man einen Gutschein-Code ein. - -Der Unifi-Controller unterstützt zwei Arten von Gutscheinen: - -Einmaliger Gebrauch: - Der Gutschein-Code ist nur für ein Gerät gültig. Nach der Anmeldung kann man mit seinem Gerät so lange ins Internet, bis der Gutschein abgelaufen ist. Das Gerät kann sich in dieser Zeit unbegrenzt mit dem Gäste-WLAN neu verbinden. - -Mehrmaliger Gebrauch: - Der Gutschein-Code ist für beliebig viele Geräte gültig. Sobald sich das erste Gerät mit dem Gutschein-Code angemeldet hat, beginnt die Gültigkeit des Gutscheins abzulaufen. Solche Gutscheine eignen sich beispielsweise für VHS-Kurse, die keine Accounts im Schulnetz haben. - -Schritt für Schritt -------------------- - -Melde Dich an und gehe auf `Einstellungen` -> `Gastkontrolle`. - -.. figure:: media/voucher02.png - :alt: Gastrichtlinien - -Im Bereich Gastrichtlinien setzt Du einen Haken bei `Gastzugang aktivieren`. - -Bei `Authentifizierung` wählst Du `Hotspot`. - -Hat `HTTPS-Umleitung aktivieren` ein Häkchen, so werden Clients auch dann umgeleitet, wenn Sie auf HTTPS-Seiten surfen. Leider erhält man dann eine Zertifikatswarnung, da der Unifi-Kontroller mit einem selbstsignierten Zertifikat arbeitet. Allerdings leiten viele Betriebsysteme von selbst auf das Gastportal um. - -.. figure:: media/voucher03.png - :alt: Portal-Anpassung - -In der Portal-Anpassung wählst Du die Template-Engine AngularJS und fügst die Sprache Deutsch hinzu. - -Den Rest der Einstellungen kannst Du so lassen. - -.. figure:: media/voucher04.png - :alt: Portal-Anpassung - -Unter `HOTSPOT` setz Du ein Häkchen bei Gutscheine. - -In der `Zugriffskontrolle` musst Du den Zugriff auf den Unifi-Kontroller noch vor der Anmeldung erlauben, da man sonst nicht auf die Anmeldeseite kommt. - -Gehe auf `ÄNDERUNGEN ANWENDEN`. Damit werden die Änderungen gespeichert und auf die APs ausgerollt. - -Firewall-Regeln für die OPNsense® ---------------------------------- - -Damit die Clients überhaupt auf den Unifi-Kontroller zugreifen können, muss eine neue Firewallregel für die OpnSense angelegt werden: - -Schritt für Schritt -------------------- - -Öffne die OPNsense® ``_ und melde Dich an. - -Gehe auf `Firewall`->`Regeln`->`WLAN` und wähle `Hinzufügen`. - -.. figure:: media/os01.png - :alt: OPNsense®-Regel 8880 - -Mache die folgenden Eingaben: - - Schnittstelle: WLAN - - Protokoll: TCP - - Ziel: `Einzelner Host oder Netzwerk` und gib in der Eingabezteile die IP-Adresse des Unifi-Controllers ein. - - Zielportbereich: Wähle `(andere(r/s))` und gib von 8880 an 8880 ein. - - Beschreibung: `WLAN hat Zugriff auf Unifi-Controller Port 8880` - -Speichere Deine Eingaben. - -.. figure:: media/os02.png - :alt: Regel kopieren - -Kopiere die eben erstellte Regel und ändere: - - Zielportbereich: Wähle `(andere(r/s))` und gib von 8443 an 8443 ein. - - Beschreibung: `WLAN hat Zugriff auf Unifi-Controller Port 8443` - -Steichere Deine Eingabe und übernimm die Änderungen. diff --git a/source/external-services/unifiwlan/unifivouchererstellen.rst b/source/external-services/unifiwlan/unifivouchererstellen.rst deleted file mode 100644 index 141012ab..00000000 --- a/source/external-services/unifiwlan/unifivouchererstellen.rst +++ /dev/null @@ -1,30 +0,0 @@ -.. include:: /guided-inst.subst -WLAN-Gutscheine / Voucher erstellen -=================================== - -Jetzt müssen die Gutscheine noch erzeugt und ausgedruckt werden. - -Schritt für Schritt -------------------- - -Gehe auf ``_ und melde Dich an. - -.. figure:: media/voucher05.png - :alt: Voucherbeispiel - -Gehe auf `GUTSCHEINE`->`GUTSCHEIN ERSTELLEN`. - -.. figure:: media/voucher06.png - :alt: Voucherbeispiel - -Fülle die Felder des Dialogfensters aus und speichere Deine Eingabe. - -.. figure:: media/voucher07.png - :alt: Voucherbeispiel - -In dieser Ansicht siehst Du alle gültigen Gutscheine. - -Du hast die Möglichkeit, einzelne Gutscheine, alle nicht benutzten Gutscheine oder alle Gutscheine, die an einem bestimmten Zeitpunkt erstellt wurden, zu drucken. - -Hier kannst auch Gutscheine löschen. -