Изоляция клиентов - Форум UBIQUITI.RU

Изоляция клиентов, UniFi Network

damiant Guest	#1 10.09.2014 12:35:00 Есть ли возможность запретить клиентам общаться друг с другом на Ubiquiti AP? Обычно это называют client isolation. Похоже, что что-то есть в гостевой политике, но, кажется, это не client isolation, а скорее subnet isolation.

UI-Team Guest	#2 01.07.2016 00:00:00 Доступен образ для Gen2 оборудования на базе 3.4.X LTS. Подробности в этой теме: https://community.ui.com/questions/c29f1904-c94b-4e96-8023-cead2de6f805

UI-Team Guest	#3 16.05.2016 23:27:00 @fbarcella Вышла новая тестовая прошивка. Проверьте ту ветку обсуждения для подробностей и ссылку на прошивку, если хотите её протестировать.

fbarcella Guest	#4 16.05.2016 22:31:00 Спасибо, @UBNT-BenBuckley. Я прочитал эту тему и нашел её очень полезной, надеюсь, эту ошибку скоро исправят.

UI-Team Guest	#5 16.05.2016 17:38:00 Всем привет! Судя по путанице и обсуждению в этой теме, есть еще одна ветка на ту же тему. Пожалуйста, загляните сюда: http://community.ubnt.com/ubnt/board/message?board.id=UniFi&message.id=161157#M161157 @fbarcella ^^

leonardogyn

Guest

12.05.2016 21:13:00

UAP не знают ничего о твоем шлюзе по умолчанию. На самом деле твои хосты НЕ "общаются" со шлюзом по умолчанию, они просто пересылают пакеты, причем эта пересылка происходит на уровне 2, а не на уровне 3. Так что даже если нет правил, разрешающих твоим подключенным клиентам "общаться" со шлюзом, все равно будет работать. Устройства просто НЕ нуждаются в том, чтобы общаться со шлюзом или любым другим маршрутизатором. Кстати, контролы гостевой сети UAP имеют некоторые жестко закодированные и неофициально документированные правила. Они обсуждались в нескольких тредах, но, кажется, нет официальной документации на этот счет. В основном, это DHCP и DNS трафик. DNS правило, несмотря на то, что понимаю, что его отсутствие доставит массу проблем тем, кто не до конца понимает, как работает их сеть, я действительно считаю, что оно не должно быть жестко закодированным, поскольку гости могут запрашивать внутренние DNS-серверы, и я не могу ничего с этим сделать, если у меня нет межсетевого экрана между сетями. Полная изоляция клиентов была бы отличной, признаюсь. Но я не скучаю по этой функции, реализованная L3-изоляция просто работает, и для меня этого более чем достаточно. Но я понимаю, что в некоторых сценариях просто возможность видеть другие устройства в сети, даже не имея возможности подключаться к ним, является плохой идеей, как в ситуации с гостиницей, которую ты упоминал. Я это понимаю, и для таких сценариев полная L2-изоляция действительно была бы лучше.

fbarcella

Guest

12.05.2016 21:07:00

Моя личная растерянность возникла из-за отсутствия документации этой функции в руководстве Unifi Controller, на вики, в базе знаний, из множества тем, посвященных этому, и отсутствия официального ответа на эту тему (и прекращения остальных) от сотрудников UBNT. Тем не менее, я понимаю, что эта функция заставляет любой точку доступа отбрасывать пакеты, у которых нет в качестве назначения шлюз по умолчанию; это работает на уровне 3 и может разрешать некоторые подсети. Предполагаю, что она узнает о шлюзе по умолчанию из опций DHCP, но кто знает? Эта изоляция хороша, но я все же надеюсь, что UBNT в будущем реализует полную изоляцию; не люблю видеть в отелях имена всех подключенных устройств так легко.

leonardogyn

Guest

11.05.2016 23:41:00

Я тоже не вижу никакой путаницы. Короче говоря: UnIFi AP не реализуют *ПОЛНОЕ* клиентское изолирование, как это делают другие вендоры. Они позволяют создавать IP-правила, чтобы добиться чего-то очень похожего на полную «клиентскую изоляцию», но с исключениями, которые иногда нужны в корпоративных средах. Но пока это распространяется только на IPv4. Это изоляция на уровне 3 (Layer 3), а не полная изоляция на уровне 2 (Layer 2). Вы, как вы и заметили, сможете «найти» станции с помощью ARP, например. Но вы не сможете подключиться к ним, если ваши правила этого не позволяют. IPv4-изоляция, как реализована Ubiquiti, определенно *НЕ* является *ПОЛНЫМ* клиентским изолированием. Но ладно, ее вполне хватает для 99,99% сценариев... если только вы до сих пор не используете IPX в своей сети, что я очень сомневаюсь!!

R4V3R

Guest

11.05.2016 22:55:00

Странно, я вообще не вижу здесь никакой путаницы... Клиентская изоляция использует правила ebtables на каждом AP, и не позволит прямые соединения между беспроводными или проводными клиентами, конечно, если вы используете гостевую сеть. Да, вы можете сканировать и просматривать MAC-адреса в сети, но вы не можете проводить сканирование портов или подключаться к каким-либо службам на любом компьютере в сети, даже к шлюзу. Клиенты могут только выходить в интернет, вот и всё. Выбора разрешенных портов или протоколов нет, это делается на уровне сетевых диапазонов, которые можно настроить, чтобы разрешить или запретить прямой доступ, используя правила, созданные в настройках/гостевой контроль. По умолчанию заблокируется любой трафик, у которого есть адрес назначения на любом частном LAN-сегменте, то есть те, что указаны в RFC1918.

fbarcella Guest	#10 11.05.2016 21:49:00 Я хочу вновь открыть эту тему, чтобы спросить команду Ubnt, не стоит ли прояснить, как работает изоляция клиентов. Заметил, что с помощью некоторых сканеров IP можно видеть всё (и это мне не нравится). Есть ли какие-нибудь способы скрыть информацию L2? Как Unifi определяет def-gw для обеспечения связи с ним? Почему я могу просматривать веб-интерфейс, но не могу подключиться к def-gw по SSH? Какие порты/сервисы разрешены? На форуме я вижу немного путаницы.

Читают тему (гостей: 1)