Как это «решено», если гостевые клиенты по-прежнему видят MAC, IP, сведения о производителе и имя хоста каждого другого гостя...? Посмотрев несколько обсуждений, я вижу, что эта проблема поднималась уже не раз... но, как обычно, основная проблема утечки данных просто игнорируется.

@BWF-IT

— Во-первых... Спасибо!!! Во-вторых... БАЦ! (ударяет себя по голове) Не понимаю, как я мог это пропустить! Прямо перед глазами было. Я проверил свои записи — в списке оно было, когда настраивал сеть. Похоже, кто-то другой его убрал, вместе с этим странным адресом 10.0.252.134 в pre-auth, который просто стандартная точка доступа UniFi. Абсурд полный.

В любом случае, спасибо за внимание с твоей стороны.

Конечно, я всё ещё "вижу" других клиентов, но уже никак не могу к ним подключиться.

android-87e125b222b6198a:~ David$ ping 10.0.19.32
PING 10.0.19.32 (10.0.19.32): 56 data bytes
Запросы icmp_seq 0, 1, 2, 3, 4 — тайм-аут.

И да, я даже могу запинговать устройство... android-:~ David$ Ping 10.0.16.28  
PING 10.0.16.28 (10.0.16.28): 56 data bytes  
64 bytes from 10.0.16.28: icmp_seq=0 ttl=64 time=158.044 ms  
64 bytes from 10.0.16.28: icmp_seq=1 ttl=64 time=100.262 ms  
64 bytes from 10.0.16.28: icmp_seq=2 ttl=64 time=65.435 ms  
64 bytes from 10.0.16.28: icmp_seq=3 ttl=64 time=181.476 ms  
64 bytes from 10.0.16.28: icmp_seq=4 ttl=64 time=210.324 ms  
64 bytes from 10.0.16.28: icmp_seq=5 ttl=64 time=56.258 ms  
64 bytes from 10.0.16.28: icmp_seq=6 ttl=64 time=64.200 ms  

И вижу их всех... (Это пример из более чем 100 устройств, подключённых к гостевой сети SSID.)

Прошло уже некоторое время... Ubnt, есть ли мысли по этому вопросу? Хотелось бы по-прежнему иметь сети, которые считаются гостевыми, чтобы клиенты не видели друг друга, но при этом не нужно было проходить через Captive Portal. С другой стороны, мы также хотим реализовать опцию «Плати за увеличенную скорость», для которой гостевая сеть должна быть включена, но при подключении к другому SSID пользователя должно перекидывать на портал.

Итого:
SSID1 → гостевая сеть с включённой политикой гостя, чтобы гости не видели друг друга, но без переадресации на Captive Portal.
SSID2 (платная сеть) → гостевая сеть с включённой политикой гостя, гости не видят друг друга, но пользователь ПОЛУЧАЕТ переадресацию на Captive Portal.

Сейчас, если Captive Portal включён, то любой SSID с включённой политикой гостя всегда переадресует клиента.
Надеюсь, это понятно.

@DBNet

Если единственный хост, которому разрешено «общаться» с клиентами на обычном (не гостьевом) SSID — это default-gateway, но при этом нужна изоляция клиентов (default-gateway при этом является DHCP-сервером, а DNS-сервер доступен через него или сам default-gateway), подключитесь по SSH к одной из точек доступа и выполните arp -a и ifconfig.

Как только узнаете MAC-адрес default-gateway (предположим, aa:bb:cc:dd:ee:ff) и интерфейсы athX для SSID, на котором нужно включить изоляцию клиентов (например, ath1 и ath3), выполните:

ebtables -t nat -I POSTROUTING -o ath1 -s ! aa:bb:cc:dd:ee:ff -j DROP  
ebtables -t nat -I POSTROUTING -o ath3 -s ! aa:bb:cc:dd:ee:ff -j DROP

Попробуйте подключиться к этому SSID и, если сможете серфить в интернете, проверьте с помощью сетевого сканера — вы не должны видеть ничего, кроме default-gateway. Если всё работает, эти правила можно сделать постоянными после перезагрузки, только с некоторыми предосторожностями.

Удачи,  
jonatha