Гостевой доступ и DNS - Форум UBIQUITI.RU

Гостевой доступ и DNS, UniFi Network

joemats

Guest

07.01.2015 13:30:00

Всем привет, я создал гостевую WLAN и вижу, что она ограничивает доступ к нашей локальной подсети. Вопрос в том, как гости могут получать доступ к DNS-серверу? При просмотре информации об IP-адресе на гостевом устройстве я вижу, что там указаны наши локальные DNS-серверы, которые устройство получило через DHCP. Также вижу, что устройство без проблем разрешает доменные имена. Всё это прекрасно, но если доступ к локальной подсети заблокирован, как тогда оно, по идее, подключается к нашим DNS-серверам для разрешения имён?

Perry-

Guest

15.07.2017 23:30:00

Это не открытая сеть. Нет никакой заставки/страницы приветствия. Это просто WLAN с применённой политикой гостя. Гостевой портал не включён. «password for go beyond your network»?!? Что это вообще? Может, объясните более понятно, что вы имеете в виду. Мне интересно, если вы видите какую-то уязвимость в безопасности, о которой я не знаю. Приведите, пожалуйста, сценарий, при котором кто-то сможет проникнуть дальше, чем я планирую разрешить.

redfive

Guest

15.07.2017 15:50:00

Это два разных понятия: пароль для аутентификации (PSK) — это одно, а пароль для выхода за пределы вашей сети — совсем другое. Если вы видите страницу с приветствием (сплэш-страницу), значит либо вы уже знаете PSK, либо вы в открытой сети. Но я бы посоветовал создать отдельную тему для обсуждения. Удачи, jonatha

Perry- Guest	#4 15.07.2017 15:32:00 Как так? Если клиент не знает пароль гостевой сети, как он тогда может подключиться к сети и получить доступ к этому IP?

redfive Guest	#5 15.07.2017 07:10:00 Да, но с предавторизацией этот адрес будет доступен даже для неаутентифицированных клиентов. Удачи, jonatha

Perry-

Guest

15.07.2017 06:57:00

Что имеет приоритет, если они конфликтуют? Доступ до аутентификации (Pre-Auth Access) или ограничения после аутентификации (Post-Auth Restrictions)? Если в пост-аутентификации блокируется 192.168.0.0/16, а в пре-аутентификации разрешён 192.168.1.22, будет ли доступ по пре-аутентификации разрешён?

nmcapaz

Guest

13.07.2017 00:53:00

@Perry-

Спасибо за дополнительный контекст — это очень помогает. Не совсем понимаю, откуда у тебя идея, что UAP может предоставлять DHCP-сервис. Это просто не так. Твоя мысль о том, чтобы DHCP выдавал разные или публичные DNS-серверы клиентам гостевой сети, выполнима, но, насколько я знаю, для этого потребуется использовать VLAN. В принципе, это не плохо, ведь обеспечивает ещё более строгую изоляцию гостей. Конечно, это добавляет некоторую сложность в настройку сети, требует времени на конфигурацию и поддержки VLAN на твоём роутере и коммутаторах.

@redfive

Идея про настройку гостевых Pre/Post-Authorization Access/Restrictions для того, чтобы гости могли попасть на твой веб-сервер, звучит как более простое решение. Честно говоря, у меня не так много опыта с этой функцией, чтобы точно сказать, сработает ли это.

redfive

Guest

12.07.2017 21:09:00

Нельзя ли для гостевой DHCP-зоны вместо 192.168.9.1 указать публичный DNS-сервер и использовать hairpin-nat? Или добавить 192.168.1.22/32 в список Предварительно авторизованного доступа, либо немного поиграть с sm и создать больше подсетей в ограничениях Пост-авторизации, исключив только адрес 192.168.1.22?
С уважением, jonatha

Perry-

Guest

12.07.2017 20:33:00

Сначала отвечу на ваши вопросы: мой AC Pro Wifi Access Point действительно имеет опцию предоставления DHCP. Да, когда я говорю «гостевая WLAN», я имею в виду, что отмечена галочка «применять гостевые политики». VLAN пока нет.

--------------

Я провёл дополнительные исследования, и проблема не в блокировке DNS. Вот что я выяснил: у нас есть локальный DNS-сервер (не публичный) на 192.169.1.24. Локальная сеть, где установлен AP, находится в подсети 192.169.9.0/24. Маршрутизатор на 192.168.9.1 раздаёт DHCP с DNS 192.168.1.24.

На AP настроено два SSID. Один обычный, другой с применёнными гостевыми политиками. На обычном всё работает нормально, а на гостевом пользователи не могут попасть на наши публичные веб-серверы.

Причина: несмотря на то, что наш веб-сервер доступен публично через публичный IP, он также доступен в локальной сети по адресу 192.168.1.22. Имя домена сервера на стороне гостевого SSID разрешается в локальный адрес вместо публичного IP из-за DNS-сервера, к которому происходит запрос. Поскольку гостевая политика не даёт доступа к 192.168.1.22, а только к 192.168.1.24 для DNS, пользователи получают ошибку при попытке зайти на сайт.

Возможное решение: похоже, нам нужно переопределить DNS на стороне гостевого SSID на публичный DNS, а не локальный, чтобы имя домена разрешалось не на локальный адрес. Не уверен, как это сделать, так как, кажется, DNS можно изменить в интерфейсе AP только если DHCP-сервис запущен на AP, а у нас DHCP работает на шлюзе маршрутизаторе 192.168.9.1.

nmcapaz

Guest

#10

11.07.2017 02:59:00

@Perry-

Ты упоминал «если DHCP работает на AP», но UAP никогда не выполняют функцию DHCP-сервера. Более того, я нигде не видел, чтобы у кого-то была такая же проблема — когда гостевые политики мешают обычным DNS-запросам. Могу сказать, что у меня всё отлично работает с DHCP от роутера. Хмм, когда ты говоришь «гостевая WLAN», ты имеешь в виду просто поставленную галочку «применять гостевые политики» в Настройки → Беспроводные сети → Гостевая политика, или в твоей настройке есть что-то ещё? Например, VLAN?

Perry- Guest	#11 08.07.2017 08:03:00 Точка доступа не пропускает доступ к DNS-серверам в моей гостевой WLAN. Гости не могут получить разрешение DNS. Мои DNS-серверы предоставляются службой DHCP, которая работает на моём роутере. Возможно, если DHCP будет работать на точке доступа, она пропустит запросы, но мне нужен DHCP на роутере, чтобы обычные проводные пользователи тоже могли получать эту услугу. Есть идеи, как можно обойти DNS-настройки, которые выдаёт мой роутер, для гостевой WLAN?

Читают тему (гостей: 1)