UniFi Guest access

[deniSun]

Έχω στήσει ένα unifi AP AC LR και έχω τραβήξει πολλά που δεν είναι του παρόντος.
Ας επικεντρωθώ στο ζητούμενο.

Έχω δώσει στο unifi στατική ΙΡ 0.20.
Έχω ορίσει ένα guest ασύρματο στο wireless networks και του έχω ορίσει για group ένα guest που έχω φτιάξει για dw/up limit.
Έως εδώ καλά...
Μπαίνω στο ασύρματο, έχω δίκτυο προς τα έξω με ΙΡ από το εξωτερικό dhcp του ρούτερ μου και τα Limit δουλεύουν μια χαρά.

Το θέμα είναι ότι θέλω όσοι συνδέονται στο guest να μην βλέπουν το υπόλοιπο εσωτερικό δίκτυο (0.Χ).
Στα guest policies έχω ορίσει το access control για pre και post αντίστοιχα 0.1/32 και 0.0/24.
Και εδώ είναι το θέμα...
Δεν δουλεύει το κόψιμο.
Αφού βάλω τον κωδικό... μπορώ να σκανάρω όλο το δίκτυο και να δω όλες τις συσκευές,
όπως επίσης και να μπω στα web interface τους.

Ακολούθησα αυτόν τον οδηγό αλλά δεν ξέρω αν τελικά κάνω κάτι άλλο λάθος εγώ.
Επηρεασμένος από τα ορθολογικά ΜΤ θα έπρεπε να φτιάξω ένα άλλο sub δίκτυο του τύπου 5.Χ όπου θα έπαιζε με δικό του dhcp και φυσικά δεν θα μπορούσε να δει το 0.Χ.
Δοκίμασα λοιπόν να φτιάξω ένα lan όπου το όρισα ως guest με 5.Χ και δικό του dhcp.
Όρισα ξεχωριστό vlan όπου το δήλωσα και στο ασύρματο guest.
Και πάλι όμως δεν δούλεψε.
Μάλιστα συνέχιζε να μου δίνει ΙΡ από το 0.Χ και να βλέπει κανονικά όλο το δίκτυο.

[sdikr]

Νομίζω το έχουμε πει και άλλου, δεν γίνεται να μην μπορεί να δεί το gateway καθώς και το δίκτυο που είναι πάνω στο gateway.

Το κόψιμο σου θα πρέπει να γίνει στο router του 192.168.0.χ εκεί θα πεις οτι το 0.20 δεν έχει πρόσβαση σε καμία άλλη συσκευή

[deniSun]

Νομίζω το έχουμε πει και άλλου, δεν γίνεται να μην μπορεί να δεί το gateway καθώς και το δίκτυο που είναι πάνω στο gateway.

Το κόψιμο σου θα πρέπει να γίνει στο router του 192.168.0.χ εκεί θα πεις οτι το 0.20 δεν έχει πρόσβαση σε καμία άλλη συσκευή

Κάτι μου θυμίζει αυτό που λες...
Αλλά νομίζω ότι ο οδηγός αφήνει άλλα να εννοηθούν.

- - - Updated - - -

Σήμερα δοκίμασα να ορίσω το ασύρματο ως απλή σύνδεση (όχι guest).
Όρισα Limit profile και δούλευε.
Δοκίμασα να κόψω τα icmp από το fw.
Δεν δούλεψε τίποτε.
Όρισα τον κανόνα για drop όλων των ειδών των icmp από όλο το δίκτυο.
Δοκίμασα να το ορίσω σε όλες τις κατηγορίες: in/out/local, wan/lan/guest και δεν δούλεψε πουθενά.
Δοκίμασα να το ορίσω και σε όλα μαζί ταυτόχρονα.
Επίσης δεν δούλεψε τίποτε.

Δεν νομίζω να πάρω ξανά ubi.
ΜΤ και πάλι ΜΤ.
Ο τρόπος λειτουργίας τους είναι πολύ μακρυά από τον καθολικό τρόπο δηλώσεων/λειτουργίας των ρούτερ.

[jkoukos]

Κάτι μου θυμίζει αυτό που λες...
Αλλά νομίζω ότι ο οδηγός αφήνει άλλα να εννοηθούν.

Ποιο σημείο του οδηγού σου αφήνει αυτή την εντύπωση;
Μόνο με τον controller και το ΑΡ, κόβεις την επικοινωνία αυτών που συνδέονται στο Guest με το LAN. Όμως αν το σκανάρεις, μια χαρά φαίνονται οι clients.
Το πλήρες κόψιμο γίνεται είτε από τον router είτε από managed switch της εταιρείας, με τον οδηγό να αναφέρει γενικά ότι οι επιλογές αυτών υποστηρίζονται από τον controller.

[macro]

Deni εγω χρησιμοποιω drop> src. add.> dest.add και δουλευει μια χαρα το κοψιμο ετσι. 2 κανονες θες και για τα 2 δικτυα και καθαρισες.
Μιλαω για το fw του ρουτερ.

[deniSun]

Δεν έχω ρούτερ.
Έχω τα μπρίκια του ΟΤΕ.
Νόμιζα ότι θα μπορούσα να το κάνω από το ΑΡ.
Εγκαταλείπω την προσπάθεια.
Την άλλη φορά... ΜΤ μόνο.

[dimitri_ns]

Δεν έχω ρούτερ.
Έχω τα μπρίκια του ΟΤΕ.
Νόμιζα ότι θα μπορούσα να το κάνω από το ΑΡ.
Εγκαταλείπω την προσπάθεια.
Την άλλη φορά... ΜΤ μόνο.

Δεν γίνεται δουλειά με το μπρίκι του ΟΤΕ
Κρατάς ΟΤΕ μόνο για τηλεφωνία, βάζεις mikrotik να κάνει όλη τη δουλειά του router και dhcp και ubiquiti πάνω στο router (εγώ βάζω κι ένα raspberry για να βλέπω όλο το δίκτυο, όλες τις συσκευές )

Σταθερότατο.

Οσο είχαμε vdsl 50 δούλευα με OTE kai pikostation (έως 25 με 35 clients)
Οταν βάλαμε 100άρα, επειδή το δίκτυο δουλεύει άψογα, όλο και περισσότεροι οι clients. Τάφτυνε ο dhcp του W724, γιαυτό κάναμε τις αλλαγές.

[jkoukos]

Δεν έχω ρούτερ.
Έχω τα μπρίκια του ΟΤΕ.
Νόμιζα ότι θα μπορούσα να το κάνω από το ΑΡ.
Εγκαταλείπω την προσπάθεια.
Την άλλη φορά... ΜΤ μόνο.

Τα ΑΡ της Ubiquiti δεν είναι router, απλά έχουν κάποιες παραπάνω ευκολίες από αλλά αντίστοιχα.
Στην ίδια σειρά (Unifi), εκτός των ΑΡ υπάρχουν μεταξύ άλλων και router και όλες οι συσκευές μπορούν να ρυθμιστούν από τον ίδιο controller, για πολλές λειτουργίες ενώ τα router επιπλέον αυτόνομα.

[dimitri_ns]

Τα ΑΡ της Ubiquiti δεν είναι router, απλά έχουν κάποιες παραπάνω ευκολίες από αλλά αντίστοιχα.
Στην ίδια σειρά (Unifi), εκτός των ΑΡ υπάρχουν μεταξύ άλλων και router και όλες οι συσκευές μπορούν να ρυθμιστούν από τον ίδιο controller, για πολλές λειτουργίες ενώ τα router επιπλέον αυτόνομα.

Κι όμως
Τα picostation ήταν ΚΑΙ router
Προφανως δεν είχαν τις δυνατότητες ενός mikrotik ούτε ενός ubiquiti.

Μικρότερες ταχύτητες, μόνο 2,4, μεγαλύτερη εμβέλεια όμως από τα unifi mesh

O κόσμος αλλάζει, βολευόμαστε με ότι υπάρχει.

[jkoukos]

Τα ΑΡ της σειρά Airmax, έχουν τυπικές δυνατότητες routing. Η σειρά Unifi είναι άλλης σχεδίασης με περιορισμένες αντίστοιχες δυνατότητες.
Γενικά οι ασύρματες συσκευές της εταιρείας θέλουν ξεχωριστό router, ενώ οι αντίστοιχες της Mikrotik είναι και πλήρης router.

[deniSun]

Τα ΑΡ της Ubiquiti δεν είναι router, απλά έχουν κάποιες παραπάνω ευκολίες από αλλά αντίστοιχα.
Στην ίδια σειρά (Unifi), εκτός των ΑΡ υπάρχουν μεταξύ άλλων και router και όλες οι συσκευές μπορούν να ρυθμιστούν από τον ίδιο controller, για πολλές λειτουργίες ενώ τα router επιπλέον αυτόνομα.

Το γνωρίζω.
Όμως εγώ πριν το αγοράσω είδα στο interface και στο manual ότι υποστηρίζει λειτουργίες guest.
Στην πράξη ποια η χρησιμότητα της επιλογής guest σε ένα ασύρματο;
Το να μου λέει ότι θα πρέπει να αγοράσω και ένα ρούτερ της εταιρείας για να μου παρέχει αυτά που διαφημίζει... μου κάνει για απάτη.
Πολύ απλά, όπως είπα, σε μια τέτοια περίπτωση θα πήγαινα καρφωτά για ΜΤ.

[jkoukos]

Η λειτουργία Guest δεν επιτρέπει την επικοινωνία των Guest συσκευών με τις αντίστοιχες του LAN (και το αντίθετο).
Αυτό όμως δεν έχει καμία σχέση με το αν μία εφαρμογή (π.χ. Fing) είναι ικανή να δει εκατέρωθεν συσκευές. Αυτή είναι δουλειά ενός Gateway να το κόψει και όχι της Guest λειτουργίας. Άλλο βλέπω και άλλο επικοινωνώ.

[deniSun]

Η λειτουργία Guest δεν επιτρέπει την επικοινωνία των Guest συσκευών με τις αντίστοιχες του LAN (και το αντίθετο).
Αυτό όμως δεν έχει καμία σχέση με το αν μία εφαρμογή (π.χ. Fing) είναι ικανή να δει εκατέρωθεν συσκευές. Αυτή είναι δουλειά ενός Gateway να το κόψει και όχι της Guest λειτουργίας. Άλλο βλέπω και άλλο επικοινωνώ.

Παραπάνω έγραψα:

Αφού βάλω τον κωδικό... μπορώ να σκανάρω όλο το δίκτυο και να δω όλες τις συσκευές,
όπως επίσης και να μπω στα web interface τους.

Και ξανά-ρωτάω... τι τελικά κάνει το guest;

[daywalker06]

Εχεις τον controller να τρέχει συνέχεια ?

[deniSun]

Εχεις τον controller να τρέχει συνέχεια ?

όχι...