Разрешить сетевой трафик между зонами Default и Hotspot.

Разрешить сетевой трафик между зонами Default и Hotspot., wifiman

kfranke

Guest

25.01.2025 13:44:00

Я новичок во всей этой экосистеме Unify, так что, пожалуйста, извините меня, если буду задавать глупые вопросы! 😅 Я только что перенес свою старую сеть на новую конфигурацию на базе Unify с Gateway Ultra, свитчем и U6+. Я настроил две Wi-Fi сети. Основная Wi-Fi сеть подключена к Default VLAN. Default VLAN находится в зоне 'internal'. Другая Wi-Fi сеть – это 'гостевая' сеть. Она подключена к гостевому VLAN. Гостевой VLAN находится в зоне 'hotspot'. Мой ноутбук подключен к основной Wi-Fi сети, а принтеры – к гостевой сети. Я сейчас пытаюсь подключить свой ноутбук к принтерам, но он их не находит. Кажется, трафик между VLAN или зонами заблокирован? Я создал новую политику, которая должна явно разрешать трафик из зоны 'internal' в зону 'hotspot'. Однако, похоже, это не влияет. Это вообще должно работать? Или я где-то совершаю концептуальную ошибку? Какие-нибудь другие настройки стоит проверить? Вся эта конфигурация существует всего несколько часов, так что большинство настроек все еще по умолчанию.

centeno

Guest

02.04.2025 09:33:00

Это не единственный вектор атаки. Было поздно, и, вероятно, не дочитал всю статью. Примеров вокруг тебя полно, просто нужно поискать. В общем, принтеры, лампочки и другие вещи получают доступ к ограниченной сети. Как ты проектируешь свою сеть — всегда зависит от тебя.https://cybernews.com/security/we-hacked-28000-unsecured-printers-to-raise-awareness-of-printer-security-issues/

centeno

Guest

30.03.2025 23:44:00

Принтеры – это не то устройство, которое хочется видеть в твоей защищенной сети. Они, как и любое другое IoT-устройство, часто становятся слабым местом с точки зрения безопасности. Теоретически, ты должен иметь доступ к IoT-сети из основной сети. Но я не смог это сделать, когда IoT-сеть была настроена как точка доступа (hotspot). Переместил hotspot во внутреннюю зону и создал правила, чтобы изолировать IoT-сеть и разрешить трафик из внутренней зоны в IoT. Похоже, что изоляция сети работает только в пределах одной точки доступа (AP) и не работает для сети, подключенной через другую точку доступа. Вот, к примеру: https://www.lmgsecurity.com/how-criminals-are-hacking-printers-to-take-over-your-entire-network/

FrankNicklin

Guest

25.01.2025 13:54:00

Ну, то, что осталось от старой сети, не делает ситуацию правильной, и сейчас есть возможность исправить это. Гостевая сеть по определению изолирует сеть, но, конечно, можно создать правила, чтобы разрешить передачу трафика между VLAN. Ограничения только те, которые вы сами создаете. Вы упомянули hotspot, значит ли это, что у вас есть портал hotspot? Если да, то подключенные устройства тоже будут изолированы при подключении через портал. Как подключены принтеры? Если вы хотите их отделить по какой-то причине, просто создайте отдельный VLAN для принтеров без включенной гостевой сети.

kfranke

Guest

25.01.2025 13:49:00

@FrankNicklin Это остаток от моей старой сетевой конфигурации. Так что есть некоторые ограничения, заданные аппаратно, для зоны точки доступа, которые нельзя обойти через политики?
Редактирую: когда я подключаю свой ноутбук к гостевой сети, я вижу свой принтер. Значит, связь между устройствами в гостевой сети возможна.

FrankNicklin Guest	#6 25.01.2025 13:48:00 Зачем вообще ставить принтеры в гостевую сеть? Гостевая сеть и так изолирует устройства друг от друга. Совершенно нет смысла их там размещать, зачем себе лишнюю мороку создавать?

Читают тему (гостей: 1)