Гостевая VLAN против гостевой политики

Гостевая VLAN против гостевой политики, UniFi Network

SteveMat11

Guest

23.03.2016 02:39:00

Привет! У меня дома стоит Unify Security Gateway, к нему подключен коммутатор Netgear и точка доступа Unify AC LR. Конфигурация довольно простая, но я хочу настроить частную сеть вместе с гостевой. Что будет лучше — использовать VLAN или просто создать два SSID и включить стандартную гостевую политику для гостевой сети? Моя цель — скрыть принтеры и устройства умного дома (термостаты, аудиотехнику) от гостей, подключающихся к моему Wi-Fi. Все IP-адреса устройств назначаются DHCP-сервером на роутере. Я заметил, что гостевая политика ограничивает доступ к определённым IP-адресам в диапазоне .0/24. Значит ли это, что устройства вне этого диапазона видны тем, кто подключается к гостевому SSID? Спасибо за помощь!

donwschultz

Guest

13.12.2018 23:02:00

Спасибо. Да, я создал VLAN, привязанный к беспроводной сети (SSID) «Guest», с правилами файрвола, ограничивающими клиентов только внешним доступом. Понимаю, что это более безопасный способ изоляции гостевого, ненадёжного беспроводного трафика. Однако мне хотелось как-то воспользоваться уведомлениями по электронной почте при подключении и отключении клиентов от моей сети «Guest». Насколько я понимаю, для этого нужно включить «Apply guest policies» в разделе Wireless Networks → EDIT WIRELESS NETWORK для нужного SSID, в моём случае — «Guest». Я использую и гостевую политику с гостевым SSID, и одновременно создаю VLAN для этой сети. Это полностью изолирует гостей, и вы получаете лучшее из обоих миров — полную изоляцию, гостевую страницу с условиями использования, лёгкое внедрение ограничений по пропускной способности и так далее.

miles267

Guest

13.12.2018 19:33:00

Спасибо. Да, я создал VLAN, привязанный к беспроводной сети (SSID) «Guest» с правилами файрвола, ограничивающими клиентов только внешним доступом. Понимаю, что это более безопасный способ изолировать гостевой, недоверенный беспроводной трафик.

Однако я хотел бы как-то использовать уведомления по email, когда клиенты подключаются и отключаются от моего SSID «Guest». Насколько я понимаю, для этого нужно включить опцию «Apply guest policies» в разделе Wireless Networks > EDIT WIRELESS NETWORK для конкретного SSID. В моём случае — «Guest».

capeschools

Guest

13.12.2018 18:32:00

Не знаю, поможет ли это, но я бы смотрел так: одно или другое в зависимости от настройки. Если вы используете VLAN и при этом настроили маршрутизацию и правила межсетевого экрана, чтобы ограничить трафик VLAN только внешним доступом, значит вы уже изолировали этот трафик от остальной сети. Если же вы не настраивали такие правила для VLAN, тогда стоит включить гостевую политику. Портал при этом не обязателен — я, например, использую это для наших AppleTV, которые подключены к отдельной гостевой SSID, но с включённой гостевой политикой и запретом на все внутренние сети. Гостевая политика позволяет устройству получить действительный IP по DHCP, но при этом ограничивает доступ ко всему остальному, или, если нужно, позволяет добавить доступ к некоторым внутренним ресурсам. Как я и сказал, не уверен, насколько это поможет, но всё зависит от того, что у вас уже настроено: VLAN с полноценной маршрутизацией и правилами брандмауэра обычно не требует ничего дополнительного (если, например, не нужен портал), потому что ограничения задаются этими правилами, в противном случае гостевая политика вводит такие ограничения.

miles267 Guest	#5 13.12.2018 17:51:00 Ты когда-нибудь получил ответ на это? У меня был такой же вопрос. Почему вообще не включить политику гостевого Wi-Fi на гостевой VLAN?

d56fg33 Guest	#6 29.11.2017 05:07:00 Ок, спасибо за отзыв. Если я создам VLAN для IoT-устройств, тогда логично будет активировать и политики для гостей, да? Значит, мне нужна только одна правило для firewall-доступа с моих «доверенных» устройств.

BWF-IT

Guest

21.11.2017 10:20:00

@deetee

Во-первых, политика для гостей блокирует взаимодействие между клиентами, поэтому ни одно из устройств гостей не может получить доступ друг к другу — если не включить эту политику, пришлось бы создавать правила файервола для блокировки. Она также блокирует доступ к любым другим устройствам, подключённым к той же VLAN.

Использовать портал для гостей необязательно, но я бы советовал оставить политику для гостей включённой.

d56fg33 Guest	#8 20.11.2017 14:15:00 Привет, Знаю, тема уже старая. Но вопрос всё тот же. Я тоже играюсь с настройками. У меня есть USG, USWs, UAP и Cloud Key. Я настроил гостевую сеть с гостевыми политиками и поместил их в VLAN-группу. Но если мне не нужны ваучеры и портал, разве тогда не нужны и политики, или я ошибаюсь? Я бы сделал так: - настроил гостевую сеть через VLAN 50 (например); - в беспроводной сети задал SSID, который работает с VLAN 50. >>> таким образом у меня есть гостевая Wi-Fi сеть без гостевых политик, но в рамках правил гостя (изоляция VLAN). Или всё же есть какая-то разница, если выбирать гостевые политики?

Читают тему (гостей: 1)