Советы и запрос по архитектуре контроллера мультисайта.

Советы и запрос по архитектуре контроллера мультисайта., UniFi Network

NetworkGeek

Guest

04.07.2014 07:41:00

Я сейчас думаю о развертывании AC AP по всей компании и собирался делать это, используя контроллер на каждом сайте. Но теперь, думаю, с новым программным обеспечением я смогу управлять всеми сайтами из одного места. Но я не уверен, как это сделать. У меня есть 5 сайтов, соединенных MPLS. На каждом сайте потребуется не менее 4 AP. На каждом сайте будет 2 SSID: для гостей и корпоративный. Мой план — настроить помеченную VLAN для гостевого доступа на каждом сайте, которая будет связана с локальным роутером и обеспечит доступ в интернет, и непомеченную VLAN на SSID 1, которая будет подключена к корпоративной сети. (Непомеченная, потому что эта VLAN уже используется на проводных устройствах и я хочу избежать как можно меньших изменений). Я немного не уверен, как заставить контроллер работать через несколько сайтов в разных подсетях. У нас все сайты имеют адрес 10.site.vlan.client, поэтому мне нужно видеть все разные сайты. У кого-нибудь есть похожая конфигурация, и есть какие-нибудь советы? Спасибо.

jchesnut

Guest

29.08.2014 21:31:00

Спасибо за информацию. Я только что продублировал твои настройки в тестовой конфигурации, и у меня тоже всё заработало. Нужно будет ещё протестировать, конечно. Я думал, проблема в том, что контроллер находится вне подсети, но это не так. Признаю, наша реализация более сложная, чем обычно, так что нужно учитывать много переменных. Судя по всему, у других с более простыми конфигурациями тоже возникают похожие проблемы. На следующей неделе проведу время, усложняя тестовую конфигурацию и буду смотреть, где всё начинает ломаться!

BryceMD

Guest

29.08.2014 20:38:00

В общем, как я уже говорил, у меня нет этой проблемы, и да, я использую URL hostname. Я использовал простой пароль, но я просто настроил тестовый сайт, чтобы настроить разные параметры Guest, и переключился на hotspot, и всё заработало отлично. Вот несколько скриншотов: (FQDN замазан, так как он публично разрешается).

jchesnut Guest	#4 29.08.2014 20:24:00 Проблема возникает из-за перенаправления портала, когда используется имя хоста портала URL.

BryceMD

Guest

29.08.2014 20:14:00

Позвольте в качестве предисловия, я полагаю, что под перенаправлением порта вы имеете в виду перенаправление клиента на портал контроллера, а не на внешний портал. Я использовал только встроенный портал, никогда не пробовал настройку внешнего портала. Но, как я уже говорил, это было просто делом открытия портов в брандмауэре. Моя сеть по умолчанию находится в сети по умолчанию vlan(1), 192.168.1.0/24, а гостевая сеть — vlan 20, 192.168.20.0/24. Роутер/брандмауэр — это виртуализированный pfsense на hyper-v, и единственный трафик с гостевой vlan в сеть по умолчанию — это порты 8880, 8843, 8080 (это уже не нужно, просто тестирую внедрение L3) к моему контроллеру, и 53 (DNS) к моему DNS-серверу. Я удалил все ограничения подсетей из гостевого доступа UniFi, так как они не имеют особого значения, когда сети vlaned. Я видел несколько человек с этой проблемой, но она всегда решалась с помощью правил брандмауэра: http://community.ubnt.com/t5/UniFi-Beta/Guest-VLAN-no-connection-to-software-controller/m-p/964135#U964135. Но, как вы сказали, у вас нет брандмауэра между vlan.

jchesnut

Guest

29.08.2014 19:56:00

Интересно – спасибо. Не могли бы вы подробнее рассказать, как настроена ваша сеть и как настроен перенаправление через гостевой портал? За последние 24 часа появилось как минимум три отдельных обсуждения на эту тему, и все они сообщают об одной и той же проблеме, так что это точно не уникально для нашего сайта. Я не стал начинать обсуждение, потому что мы решили эту проблему хорошим обходным путем. Не понимаю, как сервер UniFi, находящийся в другой подсети, вообще может увидеть TCP SYN для (например) www.somewebsite.com и ответить TCP SYN ACK, ведь трафик изначально не предназначался для этого хоста. Проксировать соединение и отвечать перенаправлением – это уже какая-то магия. 😀

BryceMD Guest	#7 29.08.2014 19:19:00 Я никогда не слышал, чтобы у кого-то была такая проблема, но могу подтвердить, что портал отлично работает и с другой VLAN, и через WAN.

jchesnut

Guest

29.08.2014 18:22:00

Спасибо за идеи.

@BryceMD

Не уверен, к какому именно сообщению в этой ветке относятся твои комментарии? У нас тут абсолютно нет файрвола в привычном понимании. Все сайты маршрутизируются без каких-либо блокировок (ну, ладно, есть парочка мелочей вроде защиты от непослушного DHCP-сервера, но это не то, что ты предлагаешь). Файрвол задействован только для пакетов, которые отправляются и возвращаются от провайдера. Когда переадресация портала не работает, пользователи могут вручную зайти на portal.skilouise.com:8080/guest/s/default. Это не проблема файрвола — просто переадресация не работает без L2-присутствия.

BryceMD

Guest

29.08.2014 17:40:00

Вам просто нужно открыть порты 8880 и 8843 из вашей гостевой сети к IP-адресу контроллера в файрволе. Это не связано с оборудованием Unifi, это ваша сетевая сегментация мешает подключению. Клиент не может попасть на контроллер (на портал), потому что файрвол его блокирует. То же самое относится к маршрутизации через WAN, вам нужно настроить правило NAT/Firewall для этих портов. Как бы вы это сделали для порта 8080 при переходе на L3/inform.

itnavman

Guest

#10

29.08.2014 17:37:00

Ах. Мы никогда не использовали портал на нашей развернутой в нескольких местах системе. Просто первичный SSID без трансляции и гостевой SSID с трансляцией. Оба были защищены WPA-2. Клиент выдавал пароль гостевой сети тем, кому хотел, и менял его часто.

jchesnut

Guest

#11

29.08.2014 17:24:00

Наш кастомизированный портал на данный момент доступен только внутри сети, так как нет необходимости в его публичной доступности через FQDN. Даже если бы мы перенесли его на публичный маршрутизируемый IP и обновили наш внешний zone file, это не решило бы проблему, так как, похоже, основная проблема в том, что переадресация портала требует присутствия L2 в локальной сети для работы.

itnavman

Guest

#12

29.08.2014 16:45:00

Приятно слышать... 😀 Мы также настраиваем различные правила маршрутизации на уровне файрвола в зависимости от IP-адреса источника. Я, честно говоря, не пробовал, но возможно ли получить доступ к порталу извне, через публичный FQDN?

jchesnut

Guest

#13

29.08.2014 16:28:00

Хотя это, безусловно, то, что UBNT нужно исправить, пока что ваша MPLS-сеть должна уметь расширять VLAN. Мы это называем сетью псевдо-проводов (технически Ethernet over MPLS или EoMPLS). Попробуйте поговорить с одним из технических специалистов вашего провайдера и объясните, что вы хотите сделать. Если нужно будет подтолкнуть их в нужном направлении, начните с изучения EoMPLS здесь: http://www.cisco.com/c/en/us/td/docs/switches/metro/catalyst3750m/software/release/12-2_25_seg_seg1/configuration/guide/3750mscg/swmpls.pdf Оговорка: моя сеть на 100% свободна от Cisco, но мне часто бывает полезно знать больше об оборудовании Cisco, которое используют мои провайдеры, чем они сами. 😀 Если они не смогут помочь, может быть, вам стоит заменить провайдера на AirFiber links?

GregDowman

Guest

#14

29.08.2014 16:09:00

Вот проблема, с которой я столкнулся. Опция BIND выглядит хорошо, это очень умный способ обойти эту проблему. Однако наша сеть разделена между разными физическими площадками, и гостевая сеть не имеет доступа к контроллеру, который находится на основной площадке. Остальные площадки соединены между собой MPLS-каналами, поэтому, хотя я настраиваю всё как одну большую сеть, фактически это 4 отдельные площадки. Портал должен быть доступен с каждой площадки, у каждой из них своя сеть 192.168.1.x с отдельным роутером, который подключает их к вебу. Мне просто нужно, чтобы отображались условия использования и осуществлялся перенаправление на главную страницу. Из-за физического разделения не представляется возможным, чтобы контроллер был представлен на каждой гостевой сети, 😕

jchesnut

Guest

#15

29.08.2014 15:59:00

Насколько я знаю из своего опыта, перенаправление портала будет работать только в том случае, если контроллер UniFi находится в одной подсети (VLAN). Вот как мы обходим это. (Наша потребность в отдельных подсетях связана с огромным количеством пользователей — мы выяснили, что помещение всех 4000 пользователей точки доступа в одну broadcast domain — это действительно, действительно плохая идея. Хотя все наши SSID одинаковые, у нас достаточно физического разделения между зонами "точек доступа", чтобы предотвратить проблемы при перемещении пользователей между зонами).

1) UniFi установлен на Ubuntu server (VM). ISC BIND также установлен на том же сервере. ISC DHCPD работает на другом сервере, но его можно было легко установить на этой машине, что бы и устранило необходимость в адресах ip-helper на основном интернет-маршрутизаторе/файрволе (Sonicwall NSA3500).

2) Ubuntu server имеет сетевые интерфейсы на всех гостевых VLAN (416, 432, 448, 464, 480 и 496):
eth1 VLAN416 172.28.16.10/20
eth2 VLAN432 172.28.32.10/20
eth3 VLAN448 172.28.48.10/20
eth4 VLAN464 172.28.64.10/20
eth5 VLAN480 172.28.80.10/20
eth6 VLAN496 172.28.96.10/20

3) Контроллер UniFi настроен на перенаправление всех гостевых пользователей на portal server portal.skilouise.com

4) BIND использует view statements так, что portal.skilouise.com разрешается по-разному в зависимости от источника DNS-запроса:
172.28.16.0/20 portal.skilouise.com A 172.28.16.10
172.28.32.0/20 portal.skilouise.com A 172.28.32.10
172.28.48.0/20 portal.skilouise.com A 172.28.48.10
172.28.64.0/20 portal.skilouise.com A 172.28.64.10
172.28.80.0/20 portal.skilouise.com A 172.28.80.10
172.28.96.0/20 portal.skilouise.com A 172.28.96.10

Это не самое элегантное решение, и, вероятно, не подходит для обычного пользователя, но, похоже, работает. 😀

GregDowman

Guest

#16

29.08.2014 09:55:00

Спасибо вам обоим за советы, запись DNS значительно упростила задачу. Я никогда бы не подумал, что буду менять информацию вручную. Да, я пытаюсь использовать captive portal на гостевой VLAN, но без какого-либо успеха.

Настройка работает с общим SSID на всех площадках, и каждая площадка имеет свою гостевую VLAN, которая разделена через tagged VLAN, имеет свой роутер и собственное подключение к Интернету. Я перепробовал всё, чтобы captive portal заработал, включая открытие портов на одном из наших публичных IP-адресов, но дело не сдвигается с мёртвой точки. Нужно, чтобы эти две VLAN были разделены, так что всё ещё ищу помощь.

jchesnut

Guest

#17

29.08.2014 02:46:00

@NetworkGeek

Вы используете гостевой портал? Из того, что я нашел, перенаправление портала не работает, если UniFi контроллер находится в локальной сети LAN. Как только между гостевой подсетью и UniFi контроллером появляется роутер, перенаправление портала перестает работать. Кроме гостевого портала, в остальном проблем не должно возникнуть. Обратите внимание на предыдущие обсуждения о том, как настроить локальный DHCP-сервер на каждом сайте, чтобы точки доступа знали, как найти UniFi сервер, или вручную указать URL-адрес информирования на каждой точке доступа.

itnavman Guest	#18 28.08.2014 23:05:00 Я знаю, что тема немного устаревшая, но решил все равно ответить. У нас была похожая ситуация с 9 сайтами — некоторые из них с несколькими AP. Они были соединены через различные MPLS или VPN. Мы установили контроллер в одном из основных местоположений. (Обязательно создайте DNS-запись для UniFi. Это сильно облегчит жизнь.) Все AP подключаются к контроллеру, где у нас единая конфигурация. Основная SSID не транслируется и не помечена. В большинстве удаленных офисов также есть вторая SSID для Guest DMZ, которая помечена. Она выходит в Интернет напрямую через локальный файрвол, вместо того, чтобы отправлять трафик через MPLS или VPN. Система отлично работает уже более двух лет. Сообщите, если вам нужны какие-либо дополнительные сведения.

Читают тему (гостей: 1)