Привет всем. Мы оцениваем переход с Meraki на комплект Ubiquity, с парой UDM Pro и примерно десятком U7Pro точек доступа. Требования, которые нам нужно сохранить от текущей настройки Meraki: доступ к Wi-Fi требует входа через Google (и, следовательно, MFA), переменный период аутентификации, но, вероятно, около 30 дней. Гостевая Wi-Fi с каким-то методом одобрения VS (через сотрудника), переменный период аутентификации, максимум 24 часа. Разделение/изоляция гостевой сети (гости не видят, что происходит в нашей внутренней сети).
В captive portal UDM Pro есть разные методы аутентификации, ни один из которых нам не подходит (особенно вход через Google с MFA). Хотя UnifiOS поддерживает captive portal, мы получаем только один портал на 'сайт' (что фактически означает один портал для нашего офиса, предполагая либо один UDM, либо пара в режиме актив/резерв, актив/активный режим, похоже, невозможен). Это означает, что нам придется использовать один и тот же портал и, следовательно, внешний сервер для аутентификации; ну ладно, это мы можем сделать.
Работаем с: внутренняя сеть (172.16.32/20), Wi-Fi для персонала, гостевая сеть (172.16.48/23), гостевой Wi-Fi... Мы создали сервер для аутентификации, который поддерживает вход для персонала через Google и доступ для гостей (с одобрения сотрудника), который хорошо "общается" с API UDMPro для авторизации устройств. Это все работает во внутренней сети/Wi-Fi для персонала.
Доступ для гостей — проблема. При подключении к гостевому Wi-Fi наши тестовые устройства перенаправляются (как и ожидалось) на внешний портал, однако, похоже, нет (работающего) правила брандмауэра, которое позволяло бы трафику проходить из 172.16.48/23 в 172.16.32/20. Я подключился по SSH к UDM и запустил tcpdump для проверки.
На этом этапе мы заблокированы, и я не вижу способа заставить комплект Ubiquity работать с нашими требованиями. Я очень надеюсь, что кто-то здесь укажет на что-то очевидное, что мы упустили, и мы сможем заказать кучу комплекта Ubiquity (вместо продления дорогостоящей лицензии у Meraki).
С уважением,
-Lee
В captive portal UDM Pro есть разные методы аутентификации, ни один из которых нам не подходит (особенно вход через Google с MFA). Хотя UnifiOS поддерживает captive portal, мы получаем только один портал на 'сайт' (что фактически означает один портал для нашего офиса, предполагая либо один UDM, либо пара в режиме актив/резерв, актив/активный режим, похоже, невозможен). Это означает, что нам придется использовать один и тот же портал и, следовательно, внешний сервер для аутентификации; ну ладно, это мы можем сделать.
Работаем с: внутренняя сеть (172.16.32/20), Wi-Fi для персонала, гостевая сеть (172.16.48/23), гостевой Wi-Fi... Мы создали сервер для аутентификации, который поддерживает вход для персонала через Google и доступ для гостей (с одобрения сотрудника), который хорошо "общается" с API UDMPro для авторизации устройств. Это все работает во внутренней сети/Wi-Fi для персонала.
Доступ для гостей — проблема. При подключении к гостевому Wi-Fi наши тестовые устройства перенаправляются (как и ожидалось) на внешний портал, однако, похоже, нет (работающего) правила брандмауэра, которое позволяло бы трафику проходить из 172.16.48/23 в 172.16.32/20. Я подключился по SSH к UDM и запустил tcpdump для проверки.
На этом этапе мы заблокированы, и я не вижу способа заставить комплект Ubiquity работать с нашими требованиями. Я очень надеюсь, что кто-то здесь укажет на что-то очевидное, что мы упустили, и мы сможем заказать кучу комплекта Ubiquity (вместо продления дорогостоящей лицензии у Meraki).
С уважением,
-Lee