Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1
RSS
Перенаправление DNS для гостевого портала?, UniFi Network
 
Кто-нибудь может подтвердить, что это нормальное поведение — когда запросы DNS клиентов гостевого портала перехватываются точкой доступа и отправляются на её DNS-серверы, а не на те, что настроены у клиента? Я предполагаю, что это нормально и необходимо для разрешения имени хоста страницы гостевого портала. Такое поведение я наблюдаю только для DNS-трафика. Если это действительно нормально, есть ли способ отключить это после того, как клиент прошёл аутентификацию?
 
Также наткнулся на это УЖАСНОЕ и ПОЛНОСТЬЮ недокументированное изменение в последних прошивках, сделал очень подробный отчёт по этому поводу, и искренне считаю, что это баг, потому что оно настолько ПЛОХО, что не может быть сделано сознательно. От участников Ubiquiti никакой реакции... https://community.ui.com/questions/f2efc6a3-57a7-4f3b-abc2-d91a73a2c84c
 
@cdavis

Я переработал DNS для точек доступа. Запустил два сервера DNSMASQ, на которые настраиваю точки доступа, и они разрешают только один внутренний хост — это имя контроллера. Все остальные запросы перенаправляются на DNS-серверы, которые обрабатывают только интернет-запросы и не знают внутренних хостов. Это костыль, но помогает скрыть наше внутреннее пространство имён.
 
Есть ли какое-нибудь решение этой проблемы? Этот баг сделал нашу гостевую сеть совершенно непригодной для использования. (Проблема появилась только после недавнего обновления до версии 5.10.23). И я полностью согласен, что это серьёзная проблема с точки зрения безопасности.
 
Привет, Леонард! Что именно ты вписал в свой файл config.properties? Спасибо, Мартин.
 
Конфигурация config.properties для обхода всей этой DNS-перехватывающей ерунды — единственное решение, которое я действительно нашёл полезным.
 
Правильно ли я понимаю, что это также влияет на проводных клиентов гостевой сети? У меня есть pihole в одной сети, но после открытия порта 53 для этого хоста в правилах GUEST IN для гостей, я могу установить TCP-соединение с DNS-портом pihole с гостевого клиента, однако он не может разрешить ни одного IP-адреса через этот сервер pihole — всегда возвращается к публичному DNS.
 
Прочитайте также этот пост, в котором объясняется проблема с DNS.
 
Мы сталкиваемся с проблемами DNS в Гостевом портале с момента двух последних обновлений прошивки точек доступа. Мы используем Cisco Umbrella для проверки всего DNS-трафика с наших LAN и Гостевых беспроводных сетей через внутренние виртуальные устройства Umbrella. В предыдущих обновлениях прошивки нам удавалось определять отдельные беспроводные устройства по их назначенным IP-адресам, а сейчас мы видим только IP-адреса точек доступа, что не помогает идентифицировать заражённые мобильные устройства и блокировать их в беспроводной сети.

Наша конфигурация:
АП: AP-AC-PRO Версия 4.0.54.10625
UNIFI: Версия 5.10.26-11685-1
Прошивка Cloud Key: 1.0.9

У нас две беспроводные сети — LAN и Guest, гостевая сеть настроена с правилами до и после аутентификации. При просмотре в Umbrella мы видим IP-адреса точек доступа, как показано ниже (кроме трёх верхних записей), которые относятся к устройствам LAN.  
Если клиент в беспроводной сети LAN, он отображается под своим назначенным IP-адресом (первые три записи).  
Если клиент подключён к гостевой сети, отображается только IP-адрес точки доступа.

Выполняя TCP Dump на одной из точек доступа, мы можем увидеть, что у нашей исполнительной сотрудницы Алексии в внутренней LAN успешно проходят DNS-запросы к Umbrella VA 192.168.0.172, и при этом отображается IP-адрес её устройства (так работал гостевой портал раньше).  
Другой TCP Dump показывает устройство, подключённое к AP с адресом 10.10.90.236 как гостевое — при этом устройство отображается только под IP-адресом точки доступа.

Мы потратили кучу времени на поиск решения, и эта проблема касается только гостевых пользователей. Планируется ли исправление этой ошибки в следующих выпусках? Или это способ заставить нас покупать продукты из вашей линейки продуктов безопасности? Если проблему не решат, мы, возможно, откажемся от всего решения и вернёмся к Meraki.

Сетевые администраторы должны иметь возможность направлять любой DNS-трафик на выбранный сервер для проверки, соблюдения правил и безопасности в рамках регулярных аудитов. Пожалуйста, исправьте проблему, клиентам не стоит самим изобретать костыли для её решения. Это должно быть встроенной функцией вашего ПО.
 
Небольшое предупреждение для тех, кого затрагивает перенаправление на гостевой портал. Скоро выйдет ещё одно исправление для очень специфической конфигурации (гостевой контроль для неотмеченных с UAP на статическом IP).
 
Об этом широко сообщалось, и первоначально проблема была исправлена в версии 4.0.44 (никогда не выпущенной как стабильная, из changelog: "[UAP] Исправлена настройка гостевого портала и добавлена отчетность по проблемам конфигурации"), с несколькими дополнительными мелкими исправлениями в версиях 4.0.46 и 4.0.48. Последний релиз-кандидат (4.0.51) кажется полностью решившим проблему, поэтому он пока всё ещё в статусе RC, а не стабильной версии (хотя на точках доступа, где я её запускаю, ведёт себя достаточно устойчиво).
 
Кто-нибудь заметил, что этого поведения нет в последних бета-прошивках? Особенно, я больше не вижу этого в версии 4.0.48.10560, но оно всё ещё присутствует в 4.0.42.10433. В последних релиз-нотах про это ничего не упоминалось.
 
Это прямо там, по ссылке, которую я выкладывал ранее, просто посмотри 😀
Страницы: 1
Читают тему (гостей: 1)