Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Несколько Wi-Fi сетей с Captive Portal, UniFi Network
 
#1
20.03.2025 14:11:00
Привет! У меня настроен внешний captive portal. Я одобряю клиентов через authorize_guest в классе UniFi_API библиотеки Art-of-WiFi/UniFi-API-client (github).

Проблема в том, что клиент проходит авторизацию в моей гостевой сети, и при этом я могу подключаться к внутренней сети. Выходит, что MAC-адрес одобрен глобально, а не для конкретной SSID. Есть ли способ одобрить клиента только для одной SSID?

Спасибо!
 
 
 
#2
21.03.2025 10:27:00
Да, но сбор их MAC-адресов был бы мучением, они не находятся в одном месте со мной, они в другом месте. Это была основная причина, по которой я хотел использовать captive portal. Насчёт случайных MAC-адресов на их смартфонах — они получат инструкцию, как переключиться на MAC-адрес устройства для этого Wi-Fi. Спасибо за вашу оперативность.
 
 
 
#3
20.03.2025 18:34:00
В своих ответах ты упоминаешь, что если они известные пользователи, то можно получить MAC-адреса их устройств. Проблема будет, если MAC-адрес случайный/динамический.
 
 
 
#4
20.03.2025 18:32:00
Я использую UXG-MAX с кастомным captive portal, на некоторых сетях, или только UniFi Network Application с Cisco роутером.
 
 
 
#5
20.03.2025 18:30:00
У меня нет MAC-адреса, это была моя цель, используя captive portal. Думаю, я скажу пользователю сначала подключиться к гостевой Wi-Fi, а затем, основываясь на номере телефона, добавить MAC-адрес к внутренней Wi-Fi через API. Что я не понимаю: это ошибка на моей стороне, или особенность работы UniFi Controller, что когда клиента одобряют через API, он автоматически одобряется для всех SSID, использующих captive portal? Спасибо.
 
 
 
#6
20.03.2025 15:21:00
Radius встроен в UniFI шлюзы. Вы используете UniFI шлюз или роутер/файрвол другого бренда?
 
 
 
#7
20.03.2025 15:17:00
Тогда разреши подключение устройств к твоей внутренней сети SSID только по MAC-адресу.
 
 
 
#8
20.03.2025 15:10:00
Внутреннюю сеть не должны посещать никто, кроме известных пользователей. У меня нет внутреннего сервера, который мог бы генерировать RADIUS. Это небольшой бизнес, у которого есть только NAS, 2 принтера и микс из MAC / Windows / Android / iOS, которым нужно подключаться к их LAN. Моя идея заключалась в генерации 2 captive портала: 1 для публичного, позволяющего подключаться с любого номера телефона (с GSM, чтобы идентифицировать пользователя), 1 для пользователей, позволяющего им подключать любое оборудование после проверки их телефона. Моя проблема: разрешение подключения клиента на устройстве – для всех SSID. Мой вопрос: возможно ли вызывать /api/s/<site>/cmd/stamgr и добавлять разрешенный SSID в вызов?
 
 
 
#9
20.03.2025 14:48:00
Ну и какой у вас метод авторизации на внутренней сети SSID?
 
 
 
#10
20.03.2025 14:47:00
Хочешь НЕ управлять частной сетью? Похоже, это прямо противоположно "внутренней" сети. По-моему, тебе стоит использовать RADIUS на твоем WIFI без портала. Это решит твою проблему.
 
 
 
#11
20.03.2025 14:45:00
Звонок идёт на: /api/s/<site>/cmd/stamgrwith : payload = ['cmd' => 'authorize-guest', 'mac' => strtolower($mac), 'minutes' => intval($minutes), 'ap_mac' => $apmac]; Таким образом, Unifi app server не одобряет MAC для конкретного SSID, а одобряет для антенны. Причины такой настройки просты. Мне нужен публичный Wi-Fi с captive portal. Для приватной (внутренней) сети я не хочу Wi-Fi на основе парольной фразы, потому что эта фраза никогда не держится в секрете. Я не управляю компьютерами/смартфонами в этой LAN, это отдельная компания, нет AD, я не знаю MAC компьютеров и т.д. На моем captive portal я фильтрую соединение на основе номера телефона пользователя (у меня есть список телефонов) и SMS. Мой вопрос в следующем: возможно ли вызвать /api/s/<site>/cmd/stamgr и добавить разрешённый SSID в вызов? Спасибо.
 
 
 
#12
20.03.2025 14:30:00
Я бы сказал, вам нужно пересмотреть, как ваш captive portal разрешает подключения. Если пользователи могут подключаться и отключаться от разных Wi-Fi, подключившись как гость, проблема в том, как устройство аутентифицируется. Это не проблема внутреннего captive portal, значит проблема в коде вашего портала.
 
 
 
#13
20.03.2025 14:28:00
Почему гость сети, подключенный через captive portal, должен знать пароль от другой сети Wi-Fi? Это вообще законный тест-кейс?
 
 
 
#14
20.03.2025 14:26:00
Привет, я использую Unifi Network 9.0.114. Проблема не в брандмауэре или сети. Более подробно: пользователь подключает свой ноутбук к Wifi Guest, перенаправляется на мой captive portal. После одобрения MAC-адрес добавляется в список разрешенных на антенне. Он отключается от Wifi Guest и подключается к Wifi Internal – он автоматически подключается, потому что его MAC-адрес одобрен антенной. Есть ли способ одобрить MAC-адрес (клиента) только для одного SSID? Спасибо.
 
 
 
#15
20.03.2025 14:14:00
SSID связан с сетью. Можно использовать правила брандмауэра, чтобы не дать этой сети получить доступ к другим сетям. Можно использовать изоляцию устройств, чтобы не дать устройству в этой сети получить доступ к другим устройствам в этой сети. Этот MAC-адрес должен быть разрешен на какой-то сети, чтобы покинуть точку доступа.
 
 
 
#16
20.03.2025 14:14:00
Какой у тебя контроллер? У тебя есть правила брандмауэра, блокирующие доступ гостевой сети к твоей внутренней сети?
 
 
 
Страницы: 1
Читают тему (гостей: 1)