Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Гости не могут получить доступ к DNS-серверу., UniFi Network
 
#1
11.01.2017 08:27:00
Привет! У нас простая система с 3 UniFi AP-AC-Lite, USG нет. Наш шлюз — 192.168.1.1, а DHCP/DNS работает на 192.168.1.3.  
Есть две беспроводные сети: обычная и гостевая, обе используют одну и ту же сеть/VLAN.  
Обычная сеть работает нормально, а вот гостевая не может выполнять DNS-запросы.  

При подключении к гостевой Wi-Fi мне выдают IP-адрес, и я могу пинговать 8.8.8.8 или другие внешние IP, но DNS никак не работает.  

Как я понимаю, запросы DHCP/DNS не должны блокироваться ограничениями гостевого контроля, значит, я должен иметь возможность делать DNS-запросы на 192.168.1.3? Или DNS-запросы работают только через шлюз?  

Я пробовал удалить все ограничения гостевого контроля, но проблема осталась.  

Кто-нибудь знает, в чём может быть дело?  

Большое спасибо,  
Wiljan
 
 
 
#2
17.01.2020 23:28:00
Я пока что нашёл решение: Предпочтительный DNS: 127.0.0.1 Альтернативный DNS: ПУСТО Гостевая сеть работает, но теперь обновить точку доступа через загрузку уже не получается!!
 
 
 
#3
12.09.2019 19:39:00
Та же проблема у меня. Говорил с техподдержкой часами, но решения нет. Пытался использовать коммутатор Unifi, но это не помогает. Есть какие-то идеи?
 
 
 
#4
11.03.2019 18:57:00
У меня такая же проблема, обидно, что никто не удосужился ответить тебе и дать хоть какую-то подсказку всем остальным неопытным пользователям (например, мне). Спасибо, что написал в посту, которому уже год, я всё равно рад читать в этом посте, которому больше двух лет, в надежде найти ответы, но, наверное, мне тоже скажут создать свою тему... Было бы интересно держать все обсуждения в одном месте, чтобы получить общее представление о самых «горячих точках» — о самых больных местах в настройке UNIFI/UBIQUITI.
 
 
 
#5
31.03.2018 07:50:00
Я читал — и, судя по всему, именно Client Isolation мешает всему работать так, как бы мне хотелось... Я хочу, чтобы клиенты были изолированы от всего, кроме DNS и Captive Portal, пока не пройдут аутентификацию. После аутентификации я перевожу их в отдельный VLAN и настраиваю правила фаервола, чтобы разрешить доступ к некоторым серверам в DMZ, при этом держу их вне основной сети. Моя сеть 192.168.10.0/24 — это гостевая сеть, где я хочу держать гостей, а 192.168.15.13 — это мой Captive Portal/Controller.

Наверное, я мог бы просто создать PSK и раздавать его... Но это не так красиво и удобно, как иметь captive portal. Честно говоря, не могу поверить, что я столько времени общался с техподдержкой по этому вопросу, а они ни разу не упомянули об этом... Спасибо @TCOA за помощь... 😉

Если у вас есть идеи, как сохранить captive portal и при этом убрать client isolation, буду очень признателен. Я реально думал, что удаление 192.168.0.0/16 из Post Authentication Restrictions решит этот вопрос.
 
 
 
#6
31.03.2018 04:39:00
Спасибо за ответ! Даже если он не там, где надо. 😀
 
 
 
#7
31.03.2018 00:39:00
Вы отвечаете в теме, которой уже больше года. Вам действительно стоит создать свою собственную. Обычно полезно указывать версию контроллера, точки доступа, коммутаторов и шлюза (если коммутаторы/шлюз — UBNT). 802.1q никак не связано с разделом «Guest Control» в контроллере UNIFI, кроме возможности использовать 802.1q-теги в «Guest Network/WLAN». Гостевые устройства по умолчанию не могут общаться друг с другом (изоляция клиентов) и фильтруются от доступа к любым адресам RFC1918 (на уровне сетевого устройства, т.е. точки доступа). Правила фаервола для «Guest Control» на точке доступа просты — разрешить или запретить IP-адреса. Настоящие правила фаервола настраиваются на шлюзе, о котором вы ничего не сообщили. Пожалуйста, приведите конфигурацию раздела гостевой сети контроллера вместе с вашим первым утверждением: «Кроме того, у меня есть гостевая VLAN, и ни один из гостей не может получить доступ к DNS-серверу в той же сети, к которой они подключаются после аутентификации через портал. (до этого — проблем не было)». Обычно это значит, что IP DNS-сервера блокируется правилом POST-AUTHORIZATION RESTRICTIONS.
 
 
 
#8
31.03.2018 00:06:00
У меня точно такая же проблема. Только у меня есть гостьевая VLAN, и ни один из гостей не может получить доступ к DNS-серверу в той же сети, к которой они подключаются, после аутентификации через портал. (до аутентификации — проблем нет?) Я добавлял правила предаутентификации и удалял правила постаутентификации, менял правила фаервола, и потом снова их убирал… Я сделал практически всё, что обычный сетевой администратор сделал бы, учитывая нормальную работу фаерволов и VLANов.

Ничего не работает. Такое ощущение, что эти устройства не соответствуют стандарту 802.1q и ожидаемому поведению фаерволов (особенно учитывая, что я не могу тегировать свою сеть для настройки… Но это уже другая история). У меня есть Cisco-точки доступа, которые работают в той же сети без проблем, так что я почти уверен, что дело не в конфигурации бэкенда (коммутатор — фаервол).

Я открыл тикет в поддержку Ubiquiti, и честно говоря, у них, похоже, нет понимания, как это решить. К тому же, похоже, эта проблема существует уже как минимум два года, и меня удивляет, что никто так и не придумал лучшего решения, чем использовать публичные DNS-серверы. Мне нужны частные DNS, потому что у меня есть локальные ресурсы (на других подсетях), к которым гости должны иметь доступ, помимо каптив-портала — а из-за содержания я нуждаюсь именно в каптив-порталах.

Мой первый вопрос: это сделано специально, что я не могу получить доступ к локальным DNS-серверам? И если да, то почему? Второй вопрос: соблюдают ли UAP-AC-Pro вообще какие-то правила фаервола? Третий вопрос: сохраняют ли UAP-AC-Pro правила предаутентификации после аутентификации? (Я удалил все правила постаутентификации, так как рассчитываю на свой фаервол для управления трафиком после аутентификации.) Четвёртый вопрос: это по дизайну, что нельзя получить доступ к ресурсам локальной сети (той же, что и гостьевая) после аутентификации, даже если нет правил постаутентификации?

Буду признателен за любые точные ответы, ведь уверен, что понимание этих вопросов (и возможных способов обойти их) поможет мне и другим максимально эффективно использовать эти точки доступа.

Спасибо!
 
 
 
Страницы: 1
Читают тему (гостей: 1)