Unifi с 3 Wi-Fi: одна корпоративная сеть, одна гостевая с WPA2 и изоляцией, одна гостевая с ваучерами.

Unifi с 3 Wi-Fi: одна корпоративная сеть, одна гостевая с WPA2 и изоляцией, одна гостевая с ваучерами., UniFi Network

pifpof

Guest

19.02.2014 13:40:00

Привет, я обновился до версии 3.1.9, чтобы удовлетворить свои требования: мне нужно 3 Wi-Fi сети:

- 1 WPA2 защищенная без гостевой изоляции для мобильных устройств, принадлежащих компании.
- 1 WPA2 защищенная с гостевой изоляцией для устройств сотрудников (смартфоны, планшеты и т.д.) — им нужен только доступ в интернет и никакой связи друг с другом или с остальной сетью.
- 1 Гостевая сеть с аутентификацией (8-часовые ваучеры) и гостевой изоляцией — для наших посетителей.

Насколько я понимаю, я могу настраивать глобально только если использую ваучеры для одной гостевой сети или не использую их вовсе. Возможно ли удовлетворить мои потребности с помощью конфигурации нескольких "сайтов"? Правда ли, что я не могу настроить собственное поведение для гостей внутри новых "групп Wi-Fi"? Какие есть идеи?

Спасибо заранее, pifpof

EricE

Guest

17.04.2014 17:34:00

PfSense — это файрвол, который может иметь несколько порталов в нескольких сетях, а UniFi может напрямую интегрироваться хотя бы с одним из них. Если эти порталы внешние, я думал, что лимита нет, но прошло много времени с тех пор, как я последний раз смотрел, так что не ручаюсь. Начинать с VLAN для сегментации трафика — определенно верное решение. Оттуда можно двигаться во многих направлениях, исходя из ваших нужд. И, кстати, есть отличная тема о загрузке UniFi-софта на pfSense. (Поищите на форумах "pfSense tutorial" — должно сразу всплыть). Я это делал, и работает отлично. Надеюсь, однажды UniFi-контроллер станет официальным пакетом, чтобы можно было настраивать всё в пару кликов, как в pfSense.

FalconCollege

Guest

17.04.2014 07:41:00

У меня похожая ситуация: на Wi-Fi сети три группы потенциальных пользователей. Я работаю в старшей школе (возрастная группа 13-18 лет) и мне нужны три отдельные зоны.

1. Учителя – неограниченный доступ в любое время. Настроена одна SSID с парольной защитой.
2. Ученики – ограниченный доступ через HotSpot-фасилити. Вторая открытая SSID, но работает на VLAN, который напрямую подключается к файрволу через отдельную NIC. Файрвол выступает в роли DHCP для этой SSID. Я использую правила файрвола, чтобы ограничивать время доступа в интернет. Это довольно просто, потому что эта зона работает на своей отдельной NIC, поэтому можно применять правила к этой NIC.
Пока что все хорошо. Но вот загвоздка.

3. Гости – я хочу возможность, чтобы гости могли покупать токены HotSpot с неограниченным временем использования. И вот в чем проблема: я хочу разделить эти два HotSpot-фасилити, чтобы токен из гостевой сети не работал с сетью учеников, и токены от сети учеников не работали на гостевой сети. По сути, я хочу запустить два разных HotSpot-фасилити на одном контроллере, через одно и то же оборудование (на третьей SSID)!?

Насколько я знаю, есть только возможность запускать один HotSpot-фасилити на контроллере. Также я понимаю, что два контроллера не могут работать через одно и то же оборудование.

Причина, по которой мне нужна эта третья зона, заключается в том, что мы контролируем доступ учеников к сети (интернету) по MAC-адресам устройств. Таким образом, в зоне два мы блокируем любые устройства, которые не зарегистрированы в нашем отделе. Это не нужно для третьей зоны. Мы бы затем ограничили выдачу токенов, чтобы ученики не могли получить токены для третьей зоны.

22_ESK Guest	#4 04.04.2014 09:21:00 Да, я не сторонник усложнять вещи без нужды. Определенно было бы неплохо, если бы настройки гостя были специфичными для SSID.

pifpof

Guest

04.04.2014 09:17:00

Да, вы, вероятно, делаете "лучшее дело" ™. Но я только что подключил UNIFI к офисной сети с выделенным сервером Windows 2003 DHCP и хотел просто активировать гостевую и BYOD-гостевую сеть. Раз устройств немного, меня устраивало, что все они получают IP-адрес от DHCP-сервера офисной сети. Еще один плюс: я вижу все устройства в одном DHCP-сервере. Теперь мне придется перенастраивать несколько сетевых коммутаторов, чтобы использовать VLAN-ы, что я и хотел избежать.

22_ESK

Guest

04.04.2014 09:05:00

Я не уверен, что понял ваш предыдущий комментарий. Когда я создаю гостевую сеть, я часто использую VLAN, чтобы не использовать локальный сервер для DHCP. Когда вы создаете VLAN в роутере (в моем случае, часто просто AirRouter), можно включить или выключить DHCP для этого VLAN. Поэтому мои гостевые сети часто имеют совершенно другой IP-адрес и область DHCP по сравнению с обычной корпоративной сетью, даже если это просто простая UniFi гостевая сеть.

pifpof

Guest

04.04.2014 08:32:00

Спасибо, BW1. Я просто надеялся избежать этой "конфигурационной нирваны" ради всего двух отдельных гостевых сетей. Твое решение также сократит использование нашего корпоративного DHCP-диапазона, потому что сейчас все мобильные устройства получают IP-адрес из офисной сети. С VLAN я мог бы перенаправить их в другие IP-диапазоны...

22_ESK

Guest

04.04.2014 06:46:00

Один «решение» (обходной путь) — использовать VLAN и правила брандмауэра. Я так сделал с AirRouter. В общем, у вас будет следующее:

Корпоративная сеть: VLAN1 (или без VLAN), без настроек UniFi Guest/Hotspot.

Гостевой ваучер: VLAN2, политика UniFi Guest с включенным ваучером.

Гость (без ваучера): VLAN2, без настроек UniFi Guest/Hotspot.

Просто убедитесь, что у вас есть правила брандмауэра, блокирующие любой трафик между VLAN. Хотя, я сомневаюсь, насколько это безопасно, потому что знаю, что VLAN — совсем не безопасны.

pifpof Guest	#9 04.04.2014 06:30:00 Никто не знает? Мои настройки какие-то совсем странные / ненормальные? Как вообще разделять разные Wi-Fi сети? Нужно ли мне настраивать разные сети с VLAN в своих коммутаторах?

Читают тему (гостей: 2)