Разрешить основной локальной сети доступ к гостевой VLAN

Разрешить основной локальной сети доступ к гостевой VLAN, UniFi Network

mcbsys

Guest

31.10.2017 02:19:00

Работаю с новым USG версии 4.3.60.5012138 и контроллером 5.5.24.0. У меня есть основная LAN с адресом 192.168.1.1/24 и гостевая VLAN 2 с DHCP на 10.0.100.1/24. Мне нравятся ограничения для гостевой сети, но я хочу, чтобы основная LAN могла получить доступ ко всем клиентам гостевой сети.

Если я правильно понимаю работу фаервола, это значит, что нужно разрешить трафик в LAN, из LAN и из гостевой сети.

1. Правило LAN IN по умолчанию — разрешить всё от 192.168.1.0/24.
2. Я добавил правило LAN OUT — разрешить всё от источника 192.168.1.0/24 к назначению 10.0.100.0/24.
3. Правило GUEST IN не применяется, ведь оно касается только трафика, исходящего из гостевой VLAN, верно?
4. Правило GUEST OUT по умолчанию — разрешить всё с назначением 10.0.100.0/24.

Но я до сих пор не могу пропинговать гостевого клиента с основного LAN-клиента. Что я упускаю?

Спасибо,
Марк

fortesp Guest	#2 24.02.2021 17:15:00 У меня всё именно так, как ты сказал, но не работает.

svenah

Guest

16.10.2020 11:19:00

Нашёл эту старую тему, извиняюсь за подъём, но выяснил, что работает это или нет зависит от того, с какого типа подключения смотреть — проводного или беспроводного. Похоже, что политика гостевого Wi-Fi накладывает ограничения изоляции прямо на уровне точки доступа, поэтому правило фаервола на это не влияет. Если тестировать с проводного клиента, то правило accept related/established действительно срабатывает.

scott929

Guest

24.08.2019 07:21:00

У меня по-прежнему не работает, когда и IoT-сеть, и Wi-Fi настроены в гостевом режиме. Если отключить гостевой режим на Wi-Fi, но оставить его в IoT-сети, тогда всё работает, но при этом нарушается изоляция внутри VLAN в IoT-сети. Ты как-нибудь редактировал правила гостевого портала?

Chris480 Guest	#5 18.08.2019 08:58:00 Продолжая тему от Josh222 — можно сузить настройки ещё больше, добавив требования к сети. Я поставил свои устройства IoT в гостевую VLAN.

josh222

Guest

27.01.2019 22:15:00

JockeP88, спасибо за идеи. Я протестировал несколько вариантов и смог просто добавить одно правило в firewall для гостевой сети, чтобы получить нужный результат. Это правило позволяет клиенту из LAN пинговать клиента из гостевой сети, при этом сохраняя изоляцию гостей (гость не может пинговать LAN или других гостей). Вот мои настройки (guest-out и guest-local — просто значения по умолчанию):

Просто включая или отключая это одно правило, я могу разрешать или запрещать пинги с LAN на гостевую сеть без очистки connection-tracking. Тем не менее, я сделал очистку connection-tracking и перезагрузил USG, чтобы убедиться в стабильной работе.

Вот версии моего ПО:
controller: atag_5.9.29_11384
USG3P: 4.4.36.5146617

Спасибо!

JockeP88

Guest

20.11.2018 10:29:00

Мне удалось создать соединение от LAN и WiFi, чтобы получить доступ к гостевой сети. Тебе нужно разрешить свою сеть в Guest control. В фаерволе нужно заблокировать весь доступ с гостевой сети к твоей основной сети и разрешить трафик с других твоих сетей в гостевую. Это позволит трафику из твоей сети попадать в гостевую. Думаю, это не обязательно, но я добавил, чтобы наверняка заблокировать гостям доступ к моей сети. Мне пришлось перезагрузить USG, чтобы всё заработало. Подключись по SSH к USG и введи clear connection-tracking — это очистит всю таблицу состояний USG. Перезагрузи USG. Надеюсь, это поможет.

melik

Guest

20.08.2018 04:57:00

Я бы тоже выбрал это решение, но мне слишком нравится система аутентификации через гостевой портал. Интересно, можно ли как-то использовать гостевой портал для доступа в интернет, при этом оставляя сеть корпоративной. Другие политики для гостей не нужны. Мои гости могут делать между собой что угодно. 😁

robsettle

Guest

20.08.2018 04:33:00

Действительно. Нужно просто оценить, насколько для меня важно иметь доступ к хостам в гостевой Wi-Fi сети. Или же просто перевести тех, к кому нужно подключиться, на корпоративную сеть и доверять им. Было бы здорово, если бы Ubiquiti предложила более детальные настройки гостевого Wi-Fi вместо одной единственной галочки.

dlow Guest	#10 20.08.2018 04:30:00 Вы можете потерять изоляцию гостей, из-за чего устройства гостей смогут общаться, взламывать друг друга и следить друг за другом.

robsettle

Guest

#11

20.08.2018 04:29:00

Чтобы исправить работу моих беспроводных клиентов, я снял галочку с «Apply guest policies (captive portal, guest authentication, access)» в настройках беспроводной сети. Учитывая правила на фаерволе, этого должно быть достаточно для защиты. Мне ещё нужно провести дополнительные тесты с гостевой сетью, но предполагаю, что просто перестал блокироваться пиринг между устройствами в гостевой сети.

robsettle

Guest

#12

20.08.2018 04:14:00

После дополнительного тестирования я понял, что мое правило «разрешить установленный трафик» работает только для проводных гостей, но не для беспроводных. Причём странно, ведь правило файрвола основано на одном и том же подсети для обеих групп.

mcbsys

Guest

#13

15.08.2018 17:36:00

Я просто использую Corporate для LAN с одним диапазоном IP и Corporate для гостевой VLAN 2 с другим диапазоном IP. Политик для гостей нет. Если у гостей только Wi-Fi и вы используете UniFi-точку доступа, то точка доступа должна обрабатывать VLAN. Если гостям нужен проводной доступ, потребуется управляемый коммутатор с выделенными портами для VLAN 2.

melik

Guest

#14

14.08.2018 20:35:00

У меня был такой же опыт, как ты описал в статье. Когда я сделал гостевую сеть корпоративной вместо гостевой, всё отлично заработало. Но как только включил политики для гостей, ни одно правило файервола не сработало. Может, мы оба ставим это не в тот список файервола — они там очень запутанные. Вот досада. Мне просто хотелось, чтобы для гостей был другой диапазон IP. Мне даже не хочется заморачиваться с VLAN или чем-то подобным, просто дайте разные IP...

mcbsys Guest	#15 14.08.2018 01:11:00 В итоге я сделал это с двумя корпоративными сетями и тремя правилами файрвола, как объяснено здесь: https://www.mcbsys.com/blog/2017/11/control-inter-vlan-communication-with-the-unifi-usg-firewall/

melik Guest	#16 14.08.2018 01:08:00 Я добавил это правило в файрвол, но так и не могу получить доступ к клиентам гостевой локальной сети с моей внутренней/корпоративной/главной локалки.

robsettle

Guest

#17

25.07.2018 05:18:00

У меня такая же задача. Я просто поставил правило файервола в начале цепочки Guest In, которое разрешает установленные соединения. Работает отлично. Мои внутренние хосты могут обращаться в гостевую сеть и устанавливать соединение, а вот наоборот — нет.

stevenwilkes

Guest

#18

31.03.2018 15:48:00

Встроенные ограничения гостевой сети мне показались слишком жёсткими, поэтому я настроил дополнительную корпоративную сеть для своих «гостей». Довольно просто настроить правила фаервола: разрешить доступ с гостевой VLAN к приватной VLAN, а после них поставить общее правило запрета всего остального трафика. Такой подход автоматически даёт вашей основной VLAN полный доступ к гостевой сети. Скорее всего, вам ещё понадобится общее правило «разрешить ответ/установленное соединение» в начале набора правил LAN, чтобы гости могли отвечать на запросы с ваших приватных устройств.

ittd

Guest

#19

31.03.2018 15:32:00

Я тоже пытаюсь решить ту же проблему уже несколько дней. Я не хочу разрешать доступ всей VLAN, но страница входа для гостей перенаправляет на IP системы основного контроллера LAN, и этот IP можно получить из гостевой VLAN. Если кто-то нашел решение, пожалуйста, дайте знать.

d56fg33 Guest	#20 02.01.2018 11:52:00 Привет. После общения с поддержкой сказали, что это возможно. Но у меня получился тот же опыт, что и у тебя... Нельзя получить доступ с основной сети (LAN) к гостевой VLAN (с гостевыми политиками). Не знаю, почему с помощью правила брандмауэра это не работает, но, увы, не работает 🙁

Читают тему (гостей: 1)