Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Frank ALEXIS]

Mes 2 petits cents sur des problèmes Wifi Unifi :

On a eu de grosses galères (genre incompréhensible à s'arracher les 3 poils qui 
nous restent sur nos vieux crânes de geek ...) sur un site client avec des 
roaming qui marchent pas, des déconnexions, et des demandes DHCP qui passent 
pas, et d'autres trucs du genre "ah bon :-o !" 

On a bien tout retourné, les firmwares, les reset de bornes, les switchs, les 
serveurs DHCP, les câbles réseau (oui, vous savez que les Unifi Pro Wifi 6 de 
JUILLET et AOUT 2022 ne marchent PAS avec du Cat6 SFTP ... No comment, faut du 
FTP ou du 5e mais pas plus ...)

Au final, on a tout cassé, les SSIDs, la config, les VLANs, les réglages, on a 
mis le dernier firmware et on a refait la configuration from scratch avec la 
nouvelle interface : "Miracleee ççaa marche !" 

Bon, maintenant, on touche plus !

Frank

> Le 21 déc. 2022 à 14:48, Jérôme Quintard  a écrit :
> 
> Bah justement on est sur un firmware qui ne posaient pas trop de problème... 
> parce qu'avec certains les problèmes arrivent par camion entier.
> 
> Je pense qu'à terme on va virer ces bornes, on doit en avoir 200 qui trainent 
> ici ou là, c'est systématiquement les mêmes défauts avec un support quasi 
> inexistant.
> 
> De : frnog-requ...@frnog.org  
> mailto:frnog-requ...@frnog.org>> de la part de 
> Marc-Antoine Godde via frnog mailto:frnog@frnog.org>>
> Envoyé : mercredi 21 décembre 2022 12:34
> À : Daniel mailto:t...@tootai.net>>
> Cc : frnog@frnog.org   >
> Objet : Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...
> 
> Sur des problèmes assez sombres comme ça avec Unifi, de ce que je peux dire, 
> tous les fw ne se valent pas. On a déjà constaté des regressions. Je 
> tenterais bien une maj en plus du reset.
> 
> Marc-Antoine
> 
>> Le 21 déc. 2022 à 12:20, Daniel via frnog  a écrit :
>> 
>> Bonjour. Dans ces cas je fais un reset de l'équipement.
>> 
>> Le 21/12/2022 à 12:13, Jérôme Quintard a écrit :
>>> Salut à tous,
>>> 
>>> J'ai un souci incompréhensible avec des bornes Unifi AP-AC-Pro et du 
>>> 802.1x. Les bornes présentent 3 SSID :
>>> 
>>> 
>>>  *   Un SSID guest, isolé sur un VLAN spécifique.
>>>  *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné en 
>>> fonction du groupe de l'utilisateur dans notre AD.
>>>  *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer les 
>>> clients.
>>> 
>>> Ca fonctionne sans problème mais sur certaines bornes (elles sont toutes 
>>> identiques en version firmware et conf réseau) on a un comportement 
>>> incompréhensible à savoir :
>>> 
>>> 
>>>  *   Le poste obtient bien les paramètres DHCP associés à son VLAN
>>>  *   Il peut se connecter à l'internet (WAN)
>>>  *   Mais PAS au LAN
>>>  *   Il ne peut même pas pinger la passerelle
>>>  *   Un traceroute sur une IP LAN ne donne rien
>>>  *   Un traceroute sur une IP WAN fonctionne (et je vois ma GW comme 
>>> premier saut).
>>> 
>>> Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai 
>>> accès au LAN et au WAN. Si je reviens à la place initiale de l'utilisateur 
>>> (et donc sur la borne initiale) à nouveau plus de LAN.
>>> 
>>> Si mets le poste sur le SSID d'enrollement (que j'ai temporairement mis sur 
>>> le même VLAN que celui assigné par l'AD) j'ai accès au LAN et au WAN.
>>> 
>>> En bref tout porte à croire que c'est l'AP... j'ai tout vérifié 3 fois, pas 
>>> d'ACL, pas de conf olé olé... mais pourquoi...?
>>> 
>>> Jerome
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C01%7C%7C8fccbb753d814d14714408dae3475776%7C84df9e7fe9f640afb435%7C1%7C0%7C638072192789354947%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hv9L4EANpALYbTKK6SXsPxFC2WeDI8YErhCdI3CoyOE%3D&reserved=0
>>>  
>>> 
>> 
>> --
>> Daniel
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C01%7C%7C8fccbb753d814d14714408dae3475776%7C84df9e7fe9f640afb435%7C1%7C0%7C638072192789354947%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hv9L4EANpALYbTKK6SXsPxFC2WeDI8YErhCdI3CoyOE%3D&reserved=0
>>  
>> 

Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Julien Issler]

Bonjour,

sans être sûr, il ne pourrait pas aussi y avoir une histoire d'isolation 
client wifi qui resterait actif sur certaines bornes, et qui du coup 
empêche le trafic au sein du même subnet ?


Sinon comme suggéré, reset complet pour être certain de re-provisionner 
la config complète. Je le ferai en plus même sur une borne qui ne 
présente pas le problème, histoire d'être sûr que ça ne vient pas de la 
config en cours.


Julien

Le 21/12/2022 à 13:02, Paul Rolland (ポール・ロラン) a écrit :


Cote Switch / Port, regarde si tu as la case "Enable Port Isolation" qui
est cochee la ou ca ne marche pas...



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Jérôme Quintard]

Bah justement on est sur un firmware qui ne posaient pas trop de problème... 
parce qu'avec certains les problèmes arrivent par camion entier.

Je pense qu'à terme on va virer ces bornes, on doit en avoir 200 qui trainent 
ici ou là, c'est systématiquement les mêmes défauts avec un support quasi 
inexistant.

De : frnog-requ...@frnog.org  de la part de 
Marc-Antoine Godde via frnog 
Envoyé : mercredi 21 décembre 2022 12:34
À : Daniel 
Cc : frnog@frnog.org 
Objet : Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

Sur des problèmes assez sombres comme ça avec Unifi, de ce que je peux dire, 
tous les fw ne se valent pas. On a déjà constaté des regressions. Je tenterais 
bien une maj en plus du reset.

Marc-Antoine

> Le 21 déc. 2022 à 12:20, Daniel via frnog  a écrit :
>
> Bonjour. Dans ces cas je fais un reset de l'équipement.
>
> Le 21/12/2022 à 12:13, Jérôme Quintard a écrit :
>> Salut à tous,
>>
>> J'ai un souci incompréhensible avec des bornes Unifi AP-AC-Pro et du 802.1x. 
>> Les bornes présentent 3 SSID :
>>
>>
>>   *   Un SSID guest, isolé sur un VLAN spécifique.
>>   *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné en 
>> fonction du groupe de l'utilisateur dans notre AD.
>>   *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer les 
>> clients.
>>
>> Ca fonctionne sans problème mais sur certaines bornes (elles sont toutes 
>> identiques en version firmware et conf réseau) on a un comportement 
>> incompréhensible à savoir :
>>
>>
>>   *   Le poste obtient bien les paramètres DHCP associés à son VLAN
>>   *   Il peut se connecter à l'internet (WAN)
>>   *   Mais PAS au LAN
>>   *   Il ne peut même pas pinger la passerelle
>>   *   Un traceroute sur une IP LAN ne donne rien
>>   *   Un traceroute sur une IP WAN fonctionne (et je vois ma GW comme 
>> premier saut).
>>
>> Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai 
>> accès au LAN et au WAN. Si je reviens à la place initiale de l'utilisateur 
>> (et donc sur la borne initiale) à nouveau plus de LAN.
>>
>> Si mets le poste sur le SSID d'enrollement (que j'ai temporairement mis sur 
>> le même VLAN que celui assigné par l'AD) j'ai accès au LAN et au WAN.
>>
>> En bref tout porte à croire que c'est l'AP... j'ai tout vérifié 3 fois, pas 
>> d'ACL, pas de conf olé olé... mais pourquoi...?
>>
>> Jerome
>>
>> ---
>> Liste de diffusion du FRnOG
>> https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C01%7C%7C8fccbb753d814d14714408dae3475776%7C84df9e7fe9f640afb435%7C1%7C0%7C638072192789354947%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hv9L4EANpALYbTKK6SXsPxFC2WeDI8YErhCdI3CoyOE%3D&reserved=0
>
> --
> Daniel
>
>
> ---
> Liste de diffusion du FRnOG
> https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C01%7C%7C8fccbb753d814d14714408dae3475776%7C84df9e7fe9f640afb435%7C1%7C0%7C638072192789354947%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hv9L4EANpALYbTKK6SXsPxFC2WeDI8YErhCdI3CoyOE%3D&reserved=0


---
Liste de diffusion du FRnOG
https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.frnog.org%2F&data=05%7C01%7C%7C8fccbb753d814d14714408dae3475776%7C84df9e7fe9f640afb435%7C1%7C0%7C638072192789354947%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C3000%7C%7C%7C&sdata=hv9L4EANpALYbTKK6SXsPxFC2WeDI8YErhCdI3CoyOE%3D&reserved=0

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Paul Rolland (ポール・ロラン)]

Hello,

On Wed, 21 Dec 2022 11:13:54 +
Jérôme Quintard  wrote:

>   *   Un SSID guest, isolé sur un VLAN spécifique.
>   *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné
> en fonction du groupe de l'utilisateur dans notre AD.
>   *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer
> les clients.
>
> Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai
> accès au LAN et au WAN. Si je reviens à la place initiale de
> l'utilisateur (et donc sur la borne initiale) à nouveau plus de LAN.

As-tu essaye d'echanger tes deux APs ? Parce que dans ce que tu decris, je
vois que nous avons :
 - un AP,
 - un port de raccordement sur un switch
 - un switch
qui changent.

Cote Switch / Port, regarde si tu as la case "Enable Port Isolation" qui
est cochee la ou ca ne marche pas...
 
Paul

-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
18 Rue d'Arras, Bat. A11Fax. +33 (0)1 47 67 77 99
F-92000 NanterreRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[David Ponzone]

Il a dit qu’elles avaient le meme firmware.
Je ferai un reset aussi.

David Ponzone



> Le 21 déc. 2022 à 12:34, Marc-Antoine Godde via frnog  a 
> écrit :
> 
> Sur des problèmes assez sombres comme ça avec Unifi, de ce que je peux dire, 
> tous les fw ne se valent pas. On a déjà constaté des regressions. Je 
> tenterais bien une maj en plus du reset.
> 
> Marc-Antoine
> 
>> Le 21 déc. 2022 à 12:20, Daniel via frnog  a écrit :
>> 
>> Bonjour. Dans ces cas je fais un reset de l'équipement.
>> 
>>> Le 21/12/2022 à 12:13, Jérôme Quintard a écrit :
>>> Salut à tous,
>>> 
>>> J'ai un souci incompréhensible avec des bornes Unifi AP-AC-Pro et du 
>>> 802.1x. Les bornes présentent 3 SSID :
>>> 
>>> 
>>>  *   Un SSID guest, isolé sur un VLAN spécifique.
>>>  *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné en 
>>> fonction du groupe de l'utilisateur dans notre AD.
>>>  *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer les 
>>> clients.
>>> 
>>> Ca fonctionne sans problème mais sur certaines bornes (elles sont toutes 
>>> identiques en version firmware et conf réseau) on a un comportement 
>>> incompréhensible à savoir :
>>> 
>>> 
>>>  *   Le poste obtient bien les paramètres DHCP associés à son VLAN
>>>  *   Il peut se connecter à l'internet (WAN)
>>>  *   Mais PAS au LAN
>>>  *   Il ne peut même pas pinger la passerelle
>>>  *   Un traceroute sur une IP LAN ne donne rien
>>>  *   Un traceroute sur une IP WAN fonctionne (et je vois ma GW comme 
>>> premier saut).
>>> 
>>> Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai 
>>> accès au LAN et au WAN. Si je reviens à la place initiale de l'utilisateur 
>>> (et donc sur la borne initiale) à nouveau plus de LAN.
>>> 
>>> Si mets le poste sur le SSID d'enrollement (que j'ai temporairement mis sur 
>>> le même VLAN que celui assigné par l'AD) j'ai accès au LAN et au WAN.
>>> 
>>> En bref tout porte à croire que c'est l'AP... j'ai tout vérifié 3 fois, pas 
>>> d'ACL, pas de conf olé olé... mais pourquoi...?
>>> 
>>> Jerome
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> -- 
>> Daniel
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Marc-Antoine Godde via frnog]

Sur des problèmes assez sombres comme ça avec Unifi, de ce que je peux dire, 
tous les fw ne se valent pas. On a déjà constaté des regressions. Je tenterais 
bien une maj en plus du reset.

Marc-Antoine

> Le 21 déc. 2022 à 12:20, Daniel via frnog  a écrit :
> 
> Bonjour. Dans ces cas je fais un reset de l'équipement.
> 
> Le 21/12/2022 à 12:13, Jérôme Quintard a écrit :
>> Salut à tous,
>> 
>> J'ai un souci incompréhensible avec des bornes Unifi AP-AC-Pro et du 802.1x. 
>> Les bornes présentent 3 SSID :
>> 
>> 
>>   *   Un SSID guest, isolé sur un VLAN spécifique.
>>   *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné en 
>> fonction du groupe de l'utilisateur dans notre AD.
>>   *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer les 
>> clients.
>> 
>> Ca fonctionne sans problème mais sur certaines bornes (elles sont toutes 
>> identiques en version firmware et conf réseau) on a un comportement 
>> incompréhensible à savoir :
>> 
>> 
>>   *   Le poste obtient bien les paramètres DHCP associés à son VLAN
>>   *   Il peut se connecter à l'internet (WAN)
>>   *   Mais PAS au LAN
>>   *   Il ne peut même pas pinger la passerelle
>>   *   Un traceroute sur une IP LAN ne donne rien
>>   *   Un traceroute sur une IP WAN fonctionne (et je vois ma GW comme 
>> premier saut).
>> 
>> Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai 
>> accès au LAN et au WAN. Si je reviens à la place initiale de l'utilisateur 
>> (et donc sur la borne initiale) à nouveau plus de LAN.
>> 
>> Si mets le poste sur le SSID d'enrollement (que j'ai temporairement mis sur 
>> le même VLAN que celui assigné par l'AD) j'ai accès au LAN et au WAN.
>> 
>> En bref tout porte à croire que c'est l'AP... j'ai tout vérifié 3 fois, pas 
>> d'ACL, pas de conf olé olé... mais pourquoi...?
>> 
>> Jerome
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> -- 
> Daniel
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Daniel via frnog]

Bonjour. Dans ces cas je fais un reset de l'équipement.

Le 21/12/2022 à 12:13, Jérôme Quintard a écrit :

Salut à tous,

J'ai un souci incompréhensible avec des bornes Unifi AP-AC-Pro et du 802.1x. 
Les bornes présentent 3 SSID :


   *   Un SSID guest, isolé sur un VLAN spécifique.
   *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné en 
fonction du groupe de l'utilisateur dans notre AD.
   *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer les 
clients.

Ca fonctionne sans problème mais sur certaines bornes (elles sont toutes 
identiques en version firmware et conf réseau) on a un comportement 
incompréhensible à savoir :


   *   Le poste obtient bien les paramètres DHCP associés à son VLAN
   *   Il peut se connecter à l'internet (WAN)
   *   Mais PAS au LAN
   *   Il ne peut même pas pinger la passerelle
   *   Un traceroute sur une IP LAN ne donne rien
   *   Un traceroute sur une IP WAN fonctionne (et je vois ma GW comme premier 
saut).

Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai accès 
au LAN et au WAN. Si je reviens à la place initiale de l'utilisateur (et donc 
sur la borne initiale) à nouveau plus de LAN.

Si mets le poste sur le SSID d'enrollement (que j'ai temporairement mis sur le 
même VLAN que celui assigné par l'AD) j'ai accès au LAN et au WAN.

En bref tout porte à croire que c'est l'AP... j'ai tout vérifié 3 fois, pas 
d'ACL, pas de conf olé olé... mais pourquoi...?

Jerome

---
Liste de diffusion du FRnOG
http://www.frnog.org/


--
Daniel


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] 802.1x et borne Wifi Unifi, truc bizarre...

[Jérôme Quintard]

Salut à tous,

J'ai un souci incompréhensible avec des bornes Unifi AP-AC-Pro et du 802.1x. 
Les bornes présentent 3 SSID :


  *   Un SSID guest, isolé sur un VLAN spécifique.
  *   Un SSID commun aux utilisateurs avec du 802.1x. Le VLAN est assigné en 
fonction du groupe de l'utilisateur dans notre AD.
  *   Un SSID d'enrollement pour obtenir les GPO de base pour paramétrer les 
clients.

Ca fonctionne sans problème mais sur certaines bornes (elles sont toutes 
identiques en version firmware et conf réseau) on a un comportement 
incompréhensible à savoir :


  *   Le poste obtient bien les paramètres DHCP associés à son VLAN
  *   Il peut se connecter à l'internet (WAN)
  *   Mais PAS au LAN
  *   Il ne peut même pas pinger la passerelle
  *   Un traceroute sur une IP LAN ne donne rien
  *   Un traceroute sur une IP WAN fonctionne (et je vois ma GW comme premier 
saut).

Si je me déplace dans le bâtiment et que je swap sur une autre borne j'ai accès 
au LAN et au WAN. Si je reviens à la place initiale de l'utilisateur (et donc 
sur la borne initiale) à nouveau plus de LAN.

Si mets le poste sur le SSID d'enrollement (que j'ai temporairement mis sur le 
même VLAN que celui assigné par l'AD) j'ai accès au LAN et au WAN.

En bref tout porte à croire que c'est l'AP... j'ai tout vérifié 3 fois, pas 
d'ACL, pas de conf olé olé... mais pourquoi...?

Jerome

---
Liste de diffusion du FRnOG
http://www.frnog.org/