Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Настройка гостевой сети, UniFi Network
 
#1
25.01.2018 16:20:00
Для начала я прочитал инструкции из нескольких разных источников. Проблема в том, что я плохо понимаю, как это работает, или пропускаю что-то очень очевидное. Поэтому я перечислю, что я сделал и что пытаюсь настроить. У меня корпоративная сеть с LAN 192.168.1.0 и шлюзом 192.168.1.1 на Sonicwall с включённым DHCP (всё работает нормально). У меня есть два Unifi AP, которые обслуживают офис по беспроводной сети с адресным пулом 192.168.1.1/24 и диапазоном 192.168.1.20-254 (тоже работает отлично). Когда я создаю гостевую сеть и включаю опцию «Apply Guest Policies», создаётся гостевая Wi-Fi сеть, но при подключении к ней пишет «Нет подключения к интернету». Я не хочу создавать отдельные VLAN, а просто хочу базовую изоляцию между корпоративной и гостевой сетью. Что же я упускаю, что такое очевидное?
 
 
 
#2
26.03.2019 15:41:00
Ага, понял. Это логично. Спасибо за разъяснение.

@TCOA
 
 
 
#3
25.03.2019 23:45:00
@AmazedMender16

Какие у тебя мысли?
 
 
 
#4
26.03.2019 03:58:00
Правильно, но без VLAN и изоляции портов коммутатора ты фильтруешь только уровень 3 с помощью ACL точки доступа. При этом через проходит довольно много информации уровня 2.
 
 
 
#5
25.03.2019 23:42:00
@TCOA

Например, вот что написано в вики Unifi: «Трафик гостевых пользователей по умолчанию подвергается нескольким важным ограничениям, включая: Другие ограничения включают доступ до и после авторизации к приватным IP-адресам LAN RFC 1918, настроенным во вкладке Guest Control Settings. Изоляция клиентов, то есть локальный трафик, например, широковещательные рассылки уровня 2 или одноадресные сообщения между гостями на одном и том же локальном сегменте, блокируется. По умолчанию это означает, что гостевой трафик предназначен только для прохода вверх или вниз, например, для выхода в интернет.»

Так что, изоляция клиентов (L2) действительно есть — клиенты, подключённые к гостевой сети на одном и том же AP, не могут общаться друг с другом, но также похоже, что используются ACL для контроля трафика, когда клиент проходит с AP во внутреннюю LAN-сеть.
 
 
 
#6
25.03.2019 23:33:00
@TCOA

Я читал эту тему и заметил твой комментарий про гостевые сети на двух разных точках доступа, подключённых к коммутатору без изоляции портов, где клиенты с одной точки доступа могут связываться с клиентами другой, даже если они подключены к гостевой беспроводной сети с включённым Guest Control. Это меня удивило, поэтому я настроил два AC-Pro, у каждого своя гостевая сеть, подключил их к US-8-150 без VLAN, повесил устройство на каждую сеть и не смог достучаться с одного на другое. Я думал, что Guest Control использует ACL для блокировки трафика гостевых сетей, то есть всё зависит от IP. Может, я что-то делаю не так — вполне возможно, — но у меня не получается повторить то, о чём ты говоришь.
 
 
 
#7
25.03.2019 21:59:00
Привет, @Cybereal_LLC, пожалуйста, рад был помочь! С уважением, Гленн Р.
 
 
 
#8
25.03.2019 21:13:00
Спасибо, @AmazedMender16.

Я как раз собирался зайти, чтобы обновить свой пост этим. Честно говоря, разочарован, что техник Ubiquiti не упомянул об этом во время нашего разговора. Я просмотрел настройки, чтобы найти что-то подобное, и оказалось, что это было прямо под рукой. Там был текст о том, что шлюз добавляется автоматически (в моей тестовой среде шлюз выполняет DHCP), но этого не произошло. После того как я снова включил блокировку мультикаста с LAN на WLAN и добавил MAC-адрес интерфейса LAN шлюза, могу подтвердить, что это работает и является лучшим решением. Спасибо за помощь!
 
 
 
#9
25.03.2019 21:02:00
Здравствуйте, @Cybereal_LLC, добавьте MAC-адрес DHCP-сервера в список исключений. С уважением, Гленн Р.
 
 
 
#10
25.03.2019 20:10:00
Я знаю, что это уже отмечено как решённое, но, похоже, проблема всё ещё осталась. У меня была почти такая же ситуация, как у оригинального автора @CAJN, и с помощью техподдержки Ubiquiti мы довольно легко нашли и исправили проблему. Честно говоря, мне немного стыдно, что я не заметил это сам, но дело было в опции «Block LAN to WLAN Multicast and Broadcast Data» в разделе «Advanced Options» гостевой беспроводной сети. Эта функция, судя по всему, включена по умолчанию (версия 5.10.19-11646-1) и блокировала DHCP. Надеюсь, это кому-то поможет.
 
 
 
Страницы: 1
Читают тему (гостей: 1)