Vendég wifi best practice?!

Hálózatok általános

Sziasztok,

Mi lehet a buktatója a vendég WIFI készítésének?
A terv, hogy egy routerrel dupla NAT-olva lenne megoldva (tehát a jelenlegi belső hálóra kerülne egy SOHO router, mint DHCP kliens, az AP-hez kapcsolódott eszközök felé viszont DHCP szerver egy másik címtartományon).
SOHO környezetben mennyire érdemes bonyolítani az egészet? Captive portál? Naponta változó key? Sávszélesség/transfer limit?

Köszi!

  • 1835 megtekintés

( Nyosigomboc v | 2018. 09. 11., k – 23:37 )

Nem forditva gondoltad? Hogy a vendeg legyen kivul, es igy ne ferjen hozza a belso halohoz?
De ha kritikus, kereshetsz valami olyan routert, amire tehetsz megfelelo firmware-t (vagy ami defaultbol tudja). A napokban volt valami kapcsolodo topic hupon.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

A logika az lett volna, hogy mivel a belső hálózat az épületben jól ki van építve, a vendég WIFI-vel lefedett területen csak rádugom a routert az ott lévő belső hálozatos kiállásra és a NAT-olás miatt a vendégek egy másik címtartományon vannak.. Viszont jobban belegondolva igazad lehet, hogy a NAT nem fogja garantálni, hogy a vendég WIFI routeren kívül, de még a belső hálón belül címezgessen (de legalábbis a kábelmodemre tett routeren kellene valami extra konfig hogy ezt ne tudja).

Viszont ilyen mókolás helyett valószínűleg jobban járok ha VLAN-al oldom meg, hogy a vendég WIFI forgalma a belső hálón tudjon menni.

A vendég wifi router-ében állíthatsz egy tűzfalszabályt, miszerint WAN felé nem engedsz privát IP-ket címezni. De ha korrektül, hosszú távra akarod megcsinálni, akkor én nem ezt csinálnám.
Lassan már otthoni környezetben is Unifi WiFi + VLAN-t rakok, irodai környezetben meg pláne. Még akkor is, ha 1 AP lefedi. A controller kezeli a guest wifi-t, captive portal-t, ticket-et, sávszél korlátot, mindent. Betereli egy külön VLAN-ba, azzal meg a router-en azt csinálsz, amit akarsz, oda engeded, ahova szeretnéd.
...és nem utolsó sorban az iroda is kapna egy jó minőségű wifi-t

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

( ncc1701 | 2018. 09. 12., sze – 06:58 )

Ügyfeleknél az jött be, ha a vendégeknek külön internet előfizetésük volt.

( zrubi v | 2018. 09. 12., sze – 08:51 )

tehát a jelenlegi belső hálóra kerülne

Ez például egy buktató. Én semmilyen módon nem tenném a belső hálóra.

Mondjuk egy hálózati ábra, amin látszik hogy milyen szolgáltatód, vonalad, tűzfalad, routered van jelenleg nem ártana - ha konkrét segítséget vársz.

Hogy mennyire érdemes bonyolítani az attól függ mi a cél.
ha egy helyiség az egész, akkor a kaptive portál felesleges. QR kód/WIFI jelszó a falra, aszt kész.
De ha kell hogy userenként trackelni tudjad a tevékenységüket, akkor meg mégis jól jöhet :)

Hogy milyen sűrűn cseréled, az meg attól függ mennyire változik a vendégkőr, és mennyire akarod csak nekik szolgáltatni a zinternetet. és van-e captive portál :)

A sávszélesség megint attól függ neked mennyi van, és mit csinál(hat)nak rajta a vendégek. ;)

UPC kábelmodemre pl simán rá lehet kötni több routert is, mindegyik kap külön publikus IP-t, így ilyenor csak a sávszélességben osztoznak az egyébként teljesen elszeparált hálózatok...

--
zrubi.hu

A kábelmodemre több router felvetést nem értem..bridge módban több routert rádugva kap mindegyik külön IP-t?!

Igen - hacsak a szolgáltató nem tesz ellene. pl fix MAC cím alapján kapsz csak DHCP-vel IP-t.
De amint említettem UPC-nél pl. tutira működik.

Egyébként VLAN-okkal is meg tudod oldani, ha már eleve vannak VLAN-jaid, akkor egyszerűbb, ha most vezeted csak be a VLAN-ozást, akkor lényegesen bonyolultabb móka...

A jogi következményeket legjobb ha egy jogásszal beszéled meg.

--
zrubi.hu

( jaci | 2018. 09. 12., sze – 09:50 )

Unifi bejött, mert egyszerű. Heti jelszóváltás + sávszélesség limit.

Gyakorlatilag a teljes termékcsalád. SOHO-hot ez áll a legközelebb: Unifi AP-AC Lite.
Igen, ugyanaz az eszköz. A kontrolleren beállítod néhány klikkeléssel, nem kell foglalkoznod azzal, hogy a háttérben ez hogyan történik. (csomagszűrés, routing, stb...)
Régebben scriptből ment a váltás, de változott az API és most nem működik.

( franklin | 2018. 09. 12., sze – 16:33 )

Sziasztok!

Csodálkozom, senki sem említette az egyik fontos dolgot - minden kimenő portot a 80-ason kívül tiltani kell. Spammelés ellen, vpn ellen, ftp stb-, arról nem is beszélve hogy a belső nyomtatókra mennyire egyszerű lehet malware-t telepíteni, vagy a "védtelen belső megosztott mappák", akár az SMB-n keresztüli hozzáférés (alapból bekapcsolt $ megosztások)...stb.

Szóval mi lehet egy elfogadható best practice? Csak port 80 kifelé, egy sávszélesség-szabályozás adott esetben, torrentezés szűrés, portál hogy milyen licenszhez járult hozzá amikor használta, esetleg DPI adta adatok általi elemzés hogy ha mégis baj van - ezt meg megemlíteni az "Elfogadom" portál résznél, hogy csomagelemzés is történhet.

Hmm?

Ubiquiti Unifi UAP AC LR-el egész jól meg lehet oldani, többi dolgot egyénileg is akár.

Szerintem az alapvető, hogy a céges munkaállomásokat minimum IP (L3), de inkább VLAN (L2) szinten különítse el, nem? Ekkor a belső nyomtatók + megosztott mappák automatikusan elérhetetlenek lesznek (port-tól függetlenül).
A kimenő port szűrés tényleg javítana a biztonságon, viszont a portok listája annyira nem egyszerű.. például 443-as mindenképp kell. Ezen kívül email küldéshez/fogadáshoz nem árt még néhány, VPN-ek esetén is speciális portok kellenek, stb. Persze lehet azt is mondani, hogy elég a 443, mindenki weben intézze el amit szeretne.

( uid_6201 v | 2018. 09. 12., sze – 17:21 )

Én itthon natív etherneten tolom a LAN-t és ebben egy VLAN-ban a vendég wifi-t. A központi tűzfalban van leszabályozva, hogy a vendégWiFi mit lát és mit nem.