Sophos UTM: DHCP Option 43 für UniFi AccessPoints

Ich wollte heute einen neuen UniFi AccessPoint der Firma Ubiquiti in Betrieb nehmen. Meine vorhandenen AccessPoints befinden sich im gleichen Subnetz (und VLAN) wie auch der UniFi Controller, daher gab es bisher keine Probleme die AccessPoints mit dem Controller zu verbinden. Der neue AccessPoint sollte jetzt allerdings in ein anderes Subnetz und VLAN.

UBNT UniFi AccessPoint

Damit sich AccessPoints aus anderen Subnetzen automatisch mit dem Controller verbinden, kann die DHCP Option 43 benutzt werden. Die Option 43 teilt dem AccessPoint mit, unter welcher IP-Adresse der UniFi Controller zu erreichen ist. Dies funktioniert dann auch aus anderen Subnetzten / VLANs wenn der Controller erreichbar ist.

In meinem Fall ist der DHCP Server die Sophos UTM und daher folgt hier die entsprechende Konfiguration des Sophos UTM DHCP Servers.

DHCP Option 43 für UniFi AccessPoints

Aus der UniFI Dokumentation geht folgendes hervor:

image

Quelle: https://help.ubnt.com/hc/en-us/articles/204909754-UniFi-Layer-3-methods-for-UAP-adoption-and-management

Auch die Sophos UTM erwartet für die Option 43 einen Hex Wert. Die ersten beiden Werte sind vorgegeben (01 und 04), gefolgt von der IP-Adresse des UniFi Controllers im Hex Format.

Hier gibt es ein kleines Tool, welches eine IP Adresse in das Hex Format konvertiert:

http://www.silisoftware.com/tools/ipconverter.php

Nachdem die IP-Adresse des Controllers in das Hex Format konvertiert wurde, kann daraus der Wert für die Option 43 des DHCP Servers der Sophos UTM erstellt werden:

  • 01 (suboption)
  • 04 (content length of payload)
  • IP-Adresse des Controllers in Hex (in meinem Fall 192.168.100.252: 0xC0A864FC)

Die UTM erwartet die Werte getrennt mit Doppelpunkten, daher muss in meinem Fall der folgende Wert eingetragen werden:

  • 01:04:C0:A8:64:FC (Die führenden Zeichen (0x) der IP-Adresse entfallen)

SNAGHTMLa1009d

Die Konfiguration des DHCP Servers im Detail:

  • Code: 43
  • Name: unifi
  • Hex: (siehe oben)
  • Bereich: Anbieter-ID (Vendor-ID)
  • Anbieter-ID (Vendor-ID): ubnt

Nachdem die Konfiguration gespeichert wurde, sollte es in etwa so aussehen:

SNAGHTML8b2b80

Nach einem Neustart des AccessPoints, hat er sich direkt mit dem Controller verbunden. Endlich WLAN im Garten :-)

4 Kommentare zu “Sophos UTM: DHCP Option 43 für UniFi AccessPoints”

  1. Oh noch ein Ubiquiti-Fan :-)
    Ist das Setup so aber sinnvoll ? ich hätte eher die APs alle per Switch in ein eigenes „Management VLAN“ gestopft und dann mit der eingebauten VLAN-Funktion die verschiedenen SSIDs mit VLAN-Tags versehen. d.h. auf dem Switchport wird dann der Port auf das „management VLAN“ UNtaggt, damit die Default Pakete des AP in meinem Hauslan dann Ubiquiti VLAN sind. auf den Port werden dann die anderen VLANs für die verschiedenen Clients als „TAGGED“ draufgelegt und im Ubiqiti dann der SSID zugeordnet. Dann sind die APs nicht in unterschiedlichen Subnetzen.
    Dein Setup macht aber natürlich sinn, wenn die viele Standorte hast, die alle auch über WAN einen Controller in der „Zentrale“ verwenden sollen.
    Ich denke http://www.msxfaq.de/tools/prtg/prtg_mit_ubiquiti.htm kennst du schon oder ?

    1. Hi Frank,
      mit den Ubiquiti APs bin ich super zufrieden, hab lange nach einer vernünftigen und bezahlbaren Home WLAN Lösung gesucht. Bin dann schließlich von Lancom (gaaanz alter AP mit 54Mbit, super Reichweite) zu Sophos APs (AP30 fürchterlich langsam und schlechte Reichweite) zu TP-Link (billig, hat funktioniert, aber leider kaum Features) zu Ubiquiti (endlich glücklich).

      Zu meinem Setup: 2 APs im Management LAN (eigenes VLAN), 2 WLANs (Gast/Intern) jeweils in separaten VLAN und ein Controller (als VM). Alle VMs befinden sich in VLANs welche nur via Sophos UTM erreichbar sind. Controller und APs befinden sich also in unterschiedlichen VLANs, mein Hintergedanke war: Ich trenne Client, Management und Server Netzwerk und kann an der UTM regeln, welcher Rechner was wie und wo darf. Funktioniert soweit super, nur beim Backup musste ich etwas schummeln ;-)

      Gruß, Frank

  2. Geht auch super übrigens per DNS:

    einfach den Host unifi in der Suchdomäne auf den Controller zeigen lassen und schon finden die APs den Controller auch. Nutzen wir in einem großen Deployment seit Jahren :)

  3. Hast du n Rat für mich bzgl. Option 43 bei einer Sophos UTM für PXE? Ich versuche gerade einen „Dual Boot“ per PXE sowohl für BIOS- also auch x64-UEFI-Geräte bereitzustellen. Per Windows-DHCP-Server klappt das mit den Herstellerklassen und Option 43 (Hersteller-ID „PXEClient:Arch:00007“), mit der Sophos UTM will das nicht. Verschiedene Foren, z. B.: https://community.sophos.com/products/unified-threat-management/f/german-forum/89433/utm-dhcp—vendor-class-and-options haben auch nicht weitergeholfen. Ich vermute es hängt an der Hersteller-ID: bei Windows muss „Platzhalter anfügen“ (Suffix für die Hersteller-ID zulassen) aktiviert werden, an der Sophos UTM gibt es eine solche Option nicht (ich habs mal mit * probiert, aber das hilft nicht).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.