@ub40

Спасибо за подсказку. Под PreShared Key подразумевается пароль от WiFi? Насколько ограничено количество записей в белом списке? Случайно не знаешь?

@warumdarum

Что это за волонтёрская деятельность такая? Я сам этим занимаюсь в нескольких местных отделениях DRK. Можешь спокойно связаться напрямую, чтобы обменяться опытом. Волонтёрство считаю реально заслуживающим поддержки! Я бы посоветовал тебе использовать функцию радиуса для «участников». Найдёшь её в «Настройки» => «Сервисы» => «Услуги».

А точки доступа у вас связаны между собой? Или хочешь связать их через VPN? LR-модели в Германии почти не имеют смысла, потому что даже «обычные» модели уже работают на максимально допустимой мощности, а LR придется ограничить мощность до уровня «обычных», чтобы не нарушать закон. Конечно, можно сказать, что AP стоят в здании и сигнал всё равно теряется через стены, но я бы на это не рассчитывал... Федеральное сетевое агентство порой очень быстро реагирует, если кто-то жалуется...

Если у вас есть централизованный каталог (ActiveDirectory, LDAP и т.п.), я бы, может, использовал его для аутентификации через WPA2-Enterprise. У меня знакомые из одного клуба так «подкрутили» функцию хотспота (Voucher) — просто каждому пользователю выдают неограниченный ваучер, на который можно активировать одно или несколько устройств. Если пользователь выходит из клуба, ваучеры просто блокируют.

Привет, кто-нибудь из вас хорошо разбирается в гостевой сети и Captive Portal? Я больше не могу подключиться к этой сети, потому что, похоже, она больше не выдает IP-адреса. https://community.ui.com/questions/20c52b2c-7a78-4004-8dbc-e19c0d68e51d Спасибо за вашу помощь. Миха.

Я склонен считать, что Wi-Fi должен быть доступен всем: одна сеть под WPA2, другая открытая. Подбор точек доступа и шлюзов должен быть настроен так, чтобы каждое устройство имело быстрый интернет. Кому нужна повышенная безопасность — тот дополнительно пользуется VPN. Всё остальное — не по-юзабильному. Ни один магазин не заинтересован в том, чтобы каждый день объяснять 50 людям, как подключиться к сети или найти, скажем, отзывы на Booking. «Интернет не работает» — потому что установщик всё усложнил. На это уходит огромное количество времени у персонала, приходится объяснять, как выйти в сеть... Особенно в сегменте бюджетных отелей и магазинов там с персоналом напряжёнка. Вот почему всё должно быть просто и понятно для пользователей.

В 2015 году я начал заниматься на добровольной основе помощью беженцам и ищущим убежище семьям: преподавал немецкий, сопровождал на встречи с властями, на родительские собрания и так далее. При этом мне сразу стало понятно, насколько важен доступ к интернету — для изучения языка, поиска информации для домашних заданий или просто чтобы поддерживать связь с родственниками, которые остались в зонах конфликтов.

Я оформил на своё имя DSL-подключения, и часть расходов частично покрывалась за счёт очень небольших сумм, которые платили сами пользователи. Об этом быстро разошлись слухи, и в итоге одна городская администрация приняла решение, что я могу запустить этот «проект» в первых 9 из 48 крупных приёмных центров. Теперь у нас от трёх до 360 человек участников — и это только начало

Работы действительно очень много. На этом, конечно, денег не заработать. Если бы у меня не было ещё обычной работы, всё это невозможно было бы финансово потянуть. Вот такая предыстория.

Итак, как я уже сказал, сейчас у меня 9 приёмных центров с DSL-подключением и оборудованием Ubiquiti. Каждый месяц, в зависимости от готовности жителей платить, подключается ещё несколько точек доступа, чтобы покрыть Wi-Fi во всех зданиях полностью.

Я не хочу нарываться на проблемы и становиться лёгкой мишенью для хакеров или компаний, занимающихся судебными исками. Просто сложно найти кого-то, кто мог бы помочь с настройкой UniFi и при этом не потребовал бы сразу оплаты.

Я видел тему с Radius-сервером, но там, насколько я понял, надо задавать пароль, который потом вручную распространяется по дому. В итоге один человек платит 2 евро, а пользуется 20... Это не совсем удобно.

Спасибо вам за интерес к «моей» теме, очень здорово, что здесь можно общаться и на немецком. Желаю вам приятного вечера

P.S. Кто хочет, может заглянуть на TS3 по адресу 98.TS-Rent.de для общения. Спасибо!

Именно против таких атак DNS-ReWrite ты пользователям никакой защиты не даёшь (CAA и Certificate Pinning). К тому же, задача не в том, чтобы запереть дверь в сто замков, а правильно защитить все входы (чтобы остаться при твоём примере) — а именно этого ты не делаешь. Так как на Unifi-Controller хранится много личных данных, он предлагает множество вариантов для вмешательства и ещё часто используется, это интересная и привлекательная цель для атакующих.

Когда речь идёт о хостинг-провайдерах, я имею в виду не классические веб-хостинги, а провайдеров виртуальных или физических серверов. У них есть полный доступ к инстансу, и есть много способов (например, шифрование дисков), чтобы сделать данные недоступными для хостера. Если ты управляешь базой данных сам (или лучше — на втором сервере в мультиуровневой конфигурации) и она, надеюсь, вообще не доступна из интернета, твоё "атакуют базу данных" — это слабый аргумент.

К тому же, выбирать стоит не первого попавшегося провайдера, а того, кто имеет репутацию и которому можно доверять, и который не позволит себе продавать данные клиентов. В идеале с ним у тебя должен быть заключён договор об обработке данных (ADV). Всё это вместе гораздо безопаснее, чем твоя Synology, и в итоге одна такая система сертифицирована по разным требованиям.

В правильном дата-центре, кстати, описанная тобой ситуация с USB-накопителем в ПК энергопоставщика — не проблема, потому что там есть не только ИБП для кратковременных отключений, но и резервные дизель-генераторы (корабельные двигатели) с топливом на несколько дней. После этого Unifi-Controller, вероятно, будет самой небольшой проблемой (к тому же твой Vodafone-интернет после нескольких минут отсутствия электричества тоже перестанет работать, а многократное резервирование канала настоящего дата-центра — нет).

Многократно упоминаемые тобой скорости интернета в твоём, наверняка, неплохом Vodafone-подключении для этой задачи не очень важны. Здесь, из-за маленького объёма данных, важнее задержки (Ping), чтобы пользователи могли комфортно работать. А с бизнес-ускоренным кабельным или A/VDSL-подключением для домашних пользователей, которое скорее всего у тебя, по сравнению с профессиональным оптоволокном в дата-центре, ситуация гораздо хуже:

Твоё потребительское подключение:

[изображение]

В дата-центре:

[изображение]

Приложенный тобой скриншот показывает только оптимизацию страниц (которая зависит от Unifi-Controller, то есть заслуга Ubiquiti).

Кроме того, ты лишаешь своих пользователей возможности использовать функции безопасности современных браузеров, отказываясь от SecurityHeaders. Это я считаю совершенно неприемлемым.

Вместо того чтобы пытаться дискредитировать усилия по безопасности, я бы на твоём месте лучше занялся устранением названных тобой же проблем с безопасностью своей установки...

@yz30

С SecurityHeaders ситуация уже не такая плачевная (“F”-оценка... то есть “вообще никаких SecurityHeaders”), а при SSL-тесте нет ни HSTS, ни CAA... Тебе срочно нужно это исправлять! По крайней мере, у тебя нет уязвимых протоколов SSL2/3 и TLS1.0/1.1, а также сломанных RSA KeyExchange. Но это, наверное, Synology сама поправит благодаря обновлению прошивки или софта...

Привет, DoubleSlash! Да, CloudKey тоже существует. И он потребляет очень мало энергии. В подавляющем большинстве случаев нет никакой причины выставлять UniFi-контроллер в интернет. Доступ извне можно получить через облачные сервисы Ubiquiti и без прямого доступа. Такая необходимость возникает только в случаях, когда компоненты распределены по разным локациям и VPN не подходит. Тогда нужно либо иметь нужные знания внутри компании, либо нанимать специалистов.  
С уважением, Андреас

Как уже объяснялось, с Apache в роли обратного прокси это не проблема, даже безупречно работает с CertBot от Let’s Encrypt. Тем, кто не понимает, что к чему, могу только посоветовать не делать контроллер доступным из интернета, потому что тогда отсутствуют необходимые основы для его безопасной работы. Пожалуйста, доверяйте такие критически важные для безопасности вещи профессионалам, которые этому научились или проходят обучение и знают, что делают! Всё остальное — это грубая халатность! Открывать Unifi-контроллер в интернет без защитных мер, таких как WebApplication Firewall, классический Firewall, IPS, Reverse Proxy и соответствующие меры на уровне операционной системы — примерно то же самое, что прокладывать незакрытые электрические провода прямо по стенам в доме. Непрофессионально и крайне опасно. Пожалуйста, не делайте так! Вы играете с вашей безопасностью и безопасностью всех пользователей интернета, потому что превращаете свои системы в рассадники ботнетов! Пожалуйста, будьте разумными! И если вы действительно знаете, что делаете, работайте на профессиональном оборудовании! Благодаря невысоким ценам серверных хостеров (в том числе в Германии), крупных гипермасштабируемых облачных провайдеров или даже региональных телекоммуникационных компаний — это не ударит по вашему бюджету, и вы будете на безопасной стороне! Для любой задачи найдется подходящее решение. Неважно, будь то уютный дом с отдельной платой в месяц или решения для сотен и даже тысяч Unifi-компонентов в крупных компаниях. Если у вас серьезный интерес к профессиональной эксплуатации, смело пишите мне в личку — с удовольствием помогу. С планированием, выбором провайдера или даже полным аутсорсингом (даже для частных лиц) в виде Unifi-Controller as a Service (shared или выделенный).