Мы сталкиваемся с проблемами DNS в Гостевом портале с момента двух последних обновлений прошивки точек доступа. Мы используем Cisco Umbrella для проверки всего DNS-трафика с наших LAN и Гостевых беспроводных сетей через внутренние виртуальные устройства Umbrella. В предыдущих обновлениях прошивки нам удавалось определять отдельные беспроводные устройства по их назначенным IP-адресам, а сейчас мы видим только IP-адреса точек доступа, что не помогает идентифицировать заражённые мобильные устройства и блокировать их в беспроводной сети.
Наша конфигурация:
АП: AP-AC-PRO Версия 4.0.54.10625
UNIFI: Версия 5.10.26-11685-1
Прошивка Cloud Key: 1.0.9
У нас две беспроводные сети — LAN и Guest, гостевая сеть настроена с правилами до и после аутентификации. При просмотре в Umbrella мы видим IP-адреса точек доступа, как показано ниже (кроме трёх верхних записей), которые относятся к устройствам LAN.
Если клиент в беспроводной сети LAN, он отображается под своим назначенным IP-адресом (первые три записи).
Если клиент подключён к гостевой сети, отображается только IP-адрес точки доступа.
Выполняя TCP Dump на одной из точек доступа, мы можем увидеть, что у нашей исполнительной сотрудницы Алексии в внутренней LAN успешно проходят DNS-запросы к Umbrella VA 192.168.0.172, и при этом отображается IP-адрес её устройства (так работал гостевой портал раньше).
Другой TCP Dump показывает устройство, подключённое к AP с адресом 10.10.90.236 как гостевое — при этом устройство отображается только под IP-адресом точки доступа.
Мы потратили кучу времени на поиск решения, и эта проблема касается только гостевых пользователей. Планируется ли исправление этой ошибки в следующих выпусках? Или это способ заставить нас покупать продукты из вашей линейки продуктов безопасности? Если проблему не решат, мы, возможно, откажемся от всего решения и вернёмся к Meraki.
Сетевые администраторы должны иметь возможность направлять любой DNS-трафик на выбранный сервер для проверки, соблюдения правил и безопасности в рамках регулярных аудитов. Пожалуйста, исправьте проблему, клиентам не стоит самим изобретать костыли для её решения. Это должно быть встроенной функцией вашего ПО.