Ubiquiti Secure Gateway guest network

 ( tompos | 2017. január 9., hétfő - 19:18 )

Sosem lattam meg ilyen allatot.
Most sem, epp az a kerdes, hogy megvegyuk-e, jo-e az elgondolas.

Adott egy halozat Unifi AP-kkal. Az internet gw egy szimpla linux PC.
Ha a kontrolleren definialunk +1 networkot (guest) akkor ahhoz, hogy a belso halozatot ne tudjak elerni a guest kliensek, akkor szukseg van egy ilyen eszkozre? Azzal megoldhato?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Guest (vagy nem, csak annak nevezett standard SSID) hálózathoz kell VLAN-t támogató switch. És egy router, ami legjobb ha ugyancsak tud ilyesmit. Eléggé triviális Linuxon megoldani és nem csinálsz dupla NAT-ot sem a jelenlegi felállásban.

Mondjuk azt a Linux GW-t 2017-ben átgondolnám. Vannak egyszerűen konfigurálható routerek amik sokkal stabilabban és egyszerűbben tudnak routing funkciókat ellátni. A fenti USG is ezt teszi. Lehet jobb vagy gyengébb mint a Mikrotik megoldásai.

Ez alapján én kivárnék: http://www.snbforums.com/threads/ubiquiti-unifi-security-gateway-usg.34174/

Nem irtam, de VLAN nelkul akarom megoldani.
Azaz aki a guest nevu halozatrol jon, annak ne legyen access-e, csak az internet iranyaba, a privat halozatot ne erje el.
Megoldhato vele?

Azaz vhogy igy nezne ki a topologia (az aruba mukodik igy):

wifi client - wifi ap - usg - linux router - internet

Ez nem mukodik:

wifi client - wifi ap - usg - barmi mas a privat intraneten

A "VLAN nélkül" miért kikötés? Ez a megoldás lényege: Minden egyes AP a guest klienseket egy elzárt virtuális hálózatba teszi és zártan továbbítja egészen a router-ig. A router pedig ezt a külön hálózatot külön kiteszi net-re, a belső háló felé pedig nem engedi - ez csak tűzfalszabályok kérdése a Linux router-eden.

Sőt, ha ennél jobban nem akarod bonyolítani a hálózatot, akkor még VLAN-os switch-ek sem kellenek, mivel a "buta" switch-ek nagy részén is átmennek a VLAN-os csomagok, csak módosítani nem tudják őket.

Röviden: nem kell pénzt költened, a meglevő eszközeiddel simán megoldható, csak konfiguráció kérdése. HA viszont megveszed a Unifi GW-t, akkor kompletten cseréld le arra a Linux-odat, az kezelje az internet kapcsolatot, a céges- és a guest hálót is!

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

> A "VLAN nélkül" miért kikötés?

Praktikus okokbol azt preferalnam.

De a kerdesre erdemben nem kaptam valaszt.
NEM akarok mindent atkuldeni az ubiquiti gw-n, csak a guest forgalmat. Megoldhato?

Megoldható ha az AP-ket rákötöd direkt (switch nélkül) az USM-re.

Meg úgy is hogy nem, és próbálgatod a Unifi guest isolation-jét. Hogy mi is ez most nem fogom kipróbálni mert nem vagyok helyben, távolról meg nem tesztelgetek ilyesmit live hálózaton.
https://community.ubnt.com/t5/UniFi-Wireless/Guest-Network-Isolation/td-p/262517

De ha WiFi-n nem is találkoznak attól még valahol közös vonalon mennek a csomagok, lehet trükközni.

Akárhogy is nézed, a te esetedben nem hasznos neked az USM ebben a fázisban. Ha komolyan gondolják akkor előbb VLAN-os switch-ek kellenek, aztán meg lehet cserélni a routert, s onnan már tiszta ügy.

Arubát meg Cisco-t ne keverjük ide, ők másképp oldják meg a kliens traffic átvitelét az AP és a kontroller közt.

Ja, a VLAN tag átvitelét meg lehet próbálni a switch-en, vagy megy vagy nem, nem dokumentált és modellfüggő. Ilyet nagyon nem szép használni.

> Megoldható ha az AP-ket rákötöd direkt (switch nélkül) az USM-re.

Mi az az USM?
A google nemsokat mond rola.

> Meg úgy is hogy nem, és próbálgatod a Unifi guest isolation-jét

Addig nem tudom erdemben kiprobalni, amig nincs USG. De ha ez nem segit nekem erdemben, akkor meg sem veszem:)

> meg lehet cserélni a routert, s onnan már tiszta ügy.

Et nem ertem.

> Arubát meg Cisco-t ne keverjük ide, ők másképp oldják meg a kliens traffic átvitelét az AP és a kontroller közt.

Ide keverem, mert jelenleg Aruba van, azt latom peldanak.
De igazabol engem az erdekel, hogy megoldhato-e az az Ubiquiti-vel, ami az Arubaval igen.

A corporate wifi halozaton a wifi bridge-ed modban mukodjon, a dhcp-t es egyeb nyalanksagok ugy mukodjenek rajta, mintha kabelen lennenek kozvetlenul.
A guest halozat az alap fizikai halozaton megy keresztul es aki oda kapcsolodott, az vhogyan legyen szeparalva a corporate halozattol. Igazabol szinte lenyegtelen, hogy VLAN-nal vagy mashogy.
A leglenyegesebb, hogy a corporate wifi ne menjen keresztul az USG-n.

USM=Ubiquiti Secure Gateway, elírtam.
Nem ad hozzá semmit a hálózatodhoz az USG, ez egy sima router. Ugyanazt meg tudod oldani a jelenlegi Linux GW-el is.

Úgy ahogy az Arubával nem. Ott egy szálon (fizikai és virtuális - értsd VLAN) lóg az egész cucc, tudtommal a kontroller válogatja szét a dolgokat és ő köpi ki más és más VLAN-ra a dolgokat.

Akkor hogy megy a kontroller es az AP-k kozotti kommunikacio?
A kontrolleren nem megy at minden forgalom.

Azt varnam az Ubiquiti-tol is, hogy az osszes AP ismeri a konfiguraciot annak megfeleloen kuldi a csomagot.
Ha ugy van, ahogy mondod, akkor kulon dedikalt halozat kell neki akkor is, ha VLAN-okat hasznal. Igy van?

De igen, nekem is az derul ki, hogy az USG nem tobb, mint egy routert. Ha nem o a def gw., akor nincs hatasa a halozatra.
Kosz.

Tunnel-en normálisan és igen, minden át kell menjen ebben a módban a kontrolleren.

Ubiquity felkonfigurál minden AP-t a megfelelő VLAN-okkal és SSID-től függően direkt oda tolja a forgalmat. Igen, normálisan a WiFi traffic külön VLAN-ban fut.

Pontosan, semmit nem oldassz meg jelen esetben az USG-vel. A Linux GW-t helyettesítené mint céleszköz.

BTW, most latom, ez vlan-ozni csak USW-vel megy.

Megy Linux-al is.

VLAN-t allitani nem tudok, ki van szurkulve az a mezo a kontroller feluleten es melle van irva, hogy USW.

Sima szoftveres kontrolleren tudsz VLAN-t állítgatni SSID-nként. Guest-en nem tudom, nem próbáltam.
Nálam van egy SSID amin 802.1x megy, meg egy másik ami kvázi Guest csak simán van beállítva portal nélkül. Egyik egy VLAN-ban a másik egy másikban, a kontroller pedig VLAN tag nélkül kommunikál az AP-kkel.

Annal valoban.
A Networks alatt viszont nem. De akkor az nem is tudom, minek van ott...

A Networks csak akkor jatszik ha minden aktiv halozati eszkozod unifi termek egyebkent nincs hatassal semmire.

Ha nem akarsz mindent az ubi gw-n átküldeni (ami megoldaná a 2 hálózat szeparálását), akkor neked kell - még előtte - szétválasztanod a 2 hálózatot. Ami megoldható - mint fent leírtam - viszont akkor már semmi szükség az ubi gw-re (az "csak" egy több alhálózatos router).

Röviden: ha nem akarod a tudását/funkcióit teljes mértékben kihasználni, teljesen felesleges megvenni. Az alap problémádat "varázsütésre" nem fogja megoldani, azt attól függetlenül kell: Az ap-ktől a router/gw-ig szét kell választanod a céges és a guest hálózat forgalmát. HA a komplett wifi hálózat fizikailag elválasztható a cégestől (összes AP egy switch-en és azon nincs más), akkor némileg csökkentett biztonsággal megoldható VLAN nélkül is.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

A VLAN nelkuli megoldas nem praktikus hanem egyszeruen hibas.
Ha ugyanabban a VLAN-ban csucsul a guest-ed mint a tobbiek akkor ugyanis eleri a helyi halozatot (hiaba van kulon ip subnet-en, azt atirhatja maganak) tehat ez egy sulyos logikai fail.
Viszont ha VLAN-al van megoldva AP oldalon akkor az AP mindenkeppen tag-eli, akar a kliens elleneben is, es igy biztos nem jut ki a guest networkbol a kliens.

Nem eri el.

> Viszont ha VLAN-al van megoldva AP oldalon akkor az AP mindenkeppen tag-eli, akar a kliens elleneben is, es igy biztos nem jut ki a guest networkbol a kliens.

Amennyire a vlan-t biztonsagosnak lehet tekinteni.

Az Aruba/Cisco controlleres rendszereknél (és valami ilyesmi megoldása van már a Mikrotik-nak is a CAPsMAN alatt) az AP csak rádió, onnan a "nyers" WLAN csomagok mennek közvetlenül a kontrollerhez, az dolgozza fel őket. Így a kliensek nem látnak rá IP szinten az AP-k, másik kliensek hálózatára, ezért védett VLAN nélkül is ez a kommunikáció. (igazából itt is van VLAN, de már csak a controllerből kilépve).

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Hozd létre a guest network-öt a kontrolleren!
Ott helyben vannak a tűzfal szabályok, nézd meg és dönts!

Letrehoztam!
Neztem!
Ha tudtam volna donteni az USG nelkul, dontottem volna!

USG-vel vagy nélküle ugyanazt látod a kontrollerben.

https://dl.ubnt.com/guides/UniFi/UniFi_AP_AP-LR_User_Guide.pdf
9. oldal 1 hasáb közepe Settings > Guest Control

A guest wlanon kivul mas wlan is van az AP-n?

Ha van akkor vlan nelkul szerintem nem fog menni.

Ha nincs akkor az AP-n lehet tuzfalszabalyokat felvenni és azzal tiltani a forgalmat.

A kontrolleren egy esetben megy at a forgalom, ha a kontroller a default gw-n fut.

> Ha van akkor vlan nelkul szerintem nem fog menni.

Igen, ugy tunik unifi-vel nem oldhato meg ez a problema.

> Ha nincs akkor az AP-n lehet tuzfalszabalyokat felvenni és azzal tiltani a forgalmat.

Nem lehet, ahhoz kell az USG. Ez volt a kerdes, hogy kell-e USG es ha igen, az mit csinal ott, hogyan viselkedik.
Ha nincs halozaton USG, akkor nem allithatok a tuzfal szabalyok.

> A kontrolleren egy esetben megy at a forgalom, ha a kontroller a default gw-n fut.

Olyat (remelem) nem irtam, hogy kontrolleren megy at a forgalom. Ha igen, akkor USG-t akartam irni.

2017. január 11., szerda - 19:19 hozzászólásomat elolvastad?

Arra gondolsz hogy megadod mely network engedelyezett a guest wlanbol?

Lehet en csinaltal valamit rosszul, de ugy nem vette fogyelembe a beallitast mint annak rendje és modja, Persze lehet hogy azert mert guest portalra valo redirect nem volt.

A korábban megadott dokumentumban le van írva:
restricted subnets:
192.168.0.0/16
172.16.0.0/12
10.0.0.0/8
Ez a gyári beállítás. Tehát ha quest network-öt pipálod ki a
kliens nem éri el a helyi hálózatodat. Persze vehetsz fel más szabályokat is.

Igen, ez a kerdes, mukodik az USG nelkul?

nekem igen

Veszunk egy eszkozt is kiderul, h nekunk is jo lesz-e.

10x

Sajnos nekem ez nem mukodott.

Ez eddig OK. De ha L2 szinten (VLAN) nem választod szét az irodai WiFi és a guest WiFi hálózatát, akkor nem tudsz külön DHCP-t osztani nekik, azaz nem tudod biztosan megoldani, hogy mindenki a neki megfelelő IP tartományba kerüljön.
Ha ez áthidalható lenne, akkor valóban, ezek a tiltások megakadályozzák, hogy a guest hálóból már az AP-től elinduljon bármi csomag a védett LAN IP tartományába címezve.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

De szet tudod, csak a ket forgalom nem lesz teljesen izolalva ugy ahogy szeretne a kerdezo.

A topik nyitó szerkesztette a probléma leírását.
Korábban benne volt, hogy nem akar vlan-t.
Feltételezésem szerint (most nem tudom megnézni) a tűzfal (iptables) az ap-ban fut.
Ha a destination ip benne van a tiltott hálózatban nem fogja tovább küldeni. Drop.
Akit ezek után izgat, hogy ugyan azon az L2-őn utazik a csomag, csináljon vlan-t!
A gép ezt is tudja.

> A topik nyitó szerkesztette a probléma leírását.

Nem szerkesztettem, vmelyik hozzaszolasban irtam (ha jol emlekszem).

Valóban. január 9., hétfő - 20:24

De még mindig nem tudsz ugyanazon L2-n két külön dinamikus DHCP-t szolgáltatni :(

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

kis korrekcio: IP cimet "osztunk" DHCP-n keresztul. Egyebkent, lehet tobb DHCP kiszolgalo egy halozaton, csak ugye ez rossz megoldas. ;)
De pl lehet tobb subnetet definialni a DHCP szerveren (ha tamogatja). Illetve lehetoseg van szetvalasztani a guest computereket a vallalati gepektol.

Hozzateszem, en biztos VLAN-nal oldaman meg a problemat.

Értem én, hogy te is érted, mégsem értjük egymást :) (amúgy, ez már csak szőrszálhasogatás)
Korrekció elfogadva.
De, több DHCP kiszolgáló persze, hogy rossz megoldás (kivéve, ha tudnak egymásról és failsafe-ben működnek), inkább egy kiszolgálón több alháló. De, ha mindkét alháló dinamikus, akkor még mindig nem tudod eldönteni, melyik MAC kap "irodai" és melyik "guest" IP címet.
Ez esetben egyetlen jó megoldás lehet: Az irodai gépeknek statikus DHCP (akkor viszont a vezetékes gépeknek is fel kell venni az IP-MAC összerendelést), mindenki más dinamikusan "guest" IP-t kap. Így viszont a külön SSID-ra sincsen igazán szükség. Kókány, de a semminél több.

Az igazi megoldás mégis csak a külön VLAN minden SSID-hoz.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Dehogynem lehet tuzfalszabalyokat beallitani, pl igy lehet radius nelkul mac filteringet csinalni.

Igy hirtelen nem jut eszembe hol talaltam ra, de a kulcsszavak: ebtables/iptables rules

+1, parancssorból ilyen szinten lehet babrálni a Unifi-t de akkor lehet jobb ha nincs is semmiféle kontroller.

Azért kényelmes egy weboldalon összeállítani a konfigot. A konfigot leküldi a kontroller software az ap-kba.
Utána ki is kapcsolhatod a kontroller software-t futtató gépet, nincs rá szükség működés közben.

Par honapja volt itt egy topic-ban, hogy a roaming jo mukodesehez kell.

Érdekes ennek a tévhitnek a terjengése a hup-on. A Unifi fórumon meg mindenki azt mondja hogy nem kell controller. Nekem is az utóbbi a tapasztalatom.

En szinte teljesen tapasztalatlan vagyok a temaban.
Minden informaciot szivesen veszek, gyakorlatit es elmeletit is.

Ezt olvasd végig (még ha régi is): https://hardforum.com/threads/does-unifi-solve-the-roaming-issue.1691829/

Meg ezt: https://help.ubnt.com/hc/en-us/articles/221321728-UniFi-Understanding-and-Implementing-minimum-RSSI

ZH: https://help.ubnt.com/hc/en-us/articles/205144590-UniFi-What-is-Zero-Handoff-
Legfontosabb része: "ZH Roaming should not be enabled on High-Density WLANs. This is because ZH requires the same channel be used on all access points across the BSSID. In addition, all associated wireless clients are using the same channel."