Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Izolace klientů WIFI

Návody a problémy s konfigurací.
RybaNaPet
Příspěvky: 24
Registrován: 5 years ago

Izolace klientů WIFI

Příspěvekod RybaNaPet » 4 years ago

Ahoj,

mám vytvořený Guest Network pro veřejnou WiFi a potřeboval bych se dokopat k tomu, aby jednotliví uživatelé na sebe neviděli - nemohli mezi sebou komunikovat. Jakým způsobem se dá taková "izolace klientů" zapnout ? Pročetl jsem že stačí zaškrnout "Allow Guest Policy" ale stále mě to najde přes IP scan všechno, dostanu se na sdílené složky - pokud někdo nasdílí atd.

Díky za radu.
0 x
><(((">

Sidi
Příspěvky: 510
Registrován: 8 years ago

Příspěvekod Sidi » 4 years ago

RybaNaPet píše:Ahoj,

mám vytvořený Guest Network pro veřejnou WiFi a potřeboval bych se dokopat k tomu, aby jednotliví uživatelé na sebe neviděli - nemohli mezi sebou komunikovat. Jakým způsobem se dá taková "izolace klientů" zapnout ? Pročetl jsem že stačí zaškrnout "Allow Guest Policy" ale stále mě to najde přes IP scan všechno, dostanu se na sdílené složky - pokud někdo nasdílí atd.

Díky za radu.


Jedno, nebo více AP? Pokud jedno, tak by mělo stačit "client isolation".

Ale těžko říct bez znalosti topologie a toho co znamená "Guest network" (zda to je nějaká hotová funkce nějakého výrobce wifi, nebo nějaký soukromý soubor pravidel).
0 x

RybaNaPet
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod RybaNaPet » 4 years ago

Desítky APček, několik SSID s VLAN.

Jedná se o funkci v UniFi. Primárně dotaz na někoho, kdo se pohybuje v UniFi a nejlípe Enterprise. :)

Děkuji za reakci!
0 x
><(((">

fujara
Příspěvky: 130
Registrován: 17 years ago

Příspěvekod fujara » 4 years ago

RybaNaPet píše:Pročetl jsem že stačí zaškrnout "Allow Guest Policy" ale stále mě to najde přes IP scan všechno, dostanu se na sdílené složky - pokud někdo nasdílí atd.

Allow Guest Policy zapne izolaciu na AP (klienti na jednom AP nemozu spolu komunikovat), a pokial mas unifi switch tak aj v ramci portov switchu (viacerych AP medzi sebou). Ak nemas unifi switch (predpokladam ze tvoj pripad), tak potrebujes switch ktory podporuje private VLAN. AP pojdu do isolated VLAN, router do promiscuous VLAN.
https://en.wikipedia.org/wiki/Private_VLAN
0 x

RybaNaPet
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod RybaNaPet » 4 years ago

Mám to komplet v UniFi.
USG -> Unifi Switch POE -> AP

Nemůžou spolu komunikovat tzn. neuvidí se ? nepingnou se ? nebo v jakém smyslu ? Díky za objasnění.
0 x
><(((">

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Jak jako jak?
Už to tady padlo. Guest policy v podstatě znamená client isolation v rámci jednoho AP = AP nepošle data od jednoho klienta ke druhému. Pokud je více AP, musí se o to postarat zbytek sítě = izolace/ACL na switchi.

enterprise a unifi switch? To jako fakt???
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

rsaf píše:enterprise a unifi switch? To jako fakt???



jo, pred dvema rokama bych se tomu taky smal.. ale po praktickym porovnani systemu Od Cisca, Aruby a Ruckusu s UniFi konstatuju: Funguje to. Funguje to na urcite urovni stejne jako enterprise. Rozhodne ale to chce dost specifickej pristup k nastaveni, nez Enterprise, vic si s tim pohrat, nenechat to na automatiku. Ale i tak se ten investovanej cas financne vyplati. UniFi maj zvlastni "nefunkcnost" pri signalech horsich nez cca - 70. I kdyz je rate prekvapive vysokej, tak latence ani rychlost tomu neodpovidaji. Tohle se deje hlavne pri vysoky densite apcek, ktery na sebe vidi.
Prekvapenim tohodle roku pro me bylo funkcnost MESH a pokryti jednoho skladu se zelezem, kde byl pozadovanej roaming VoIP telefonu a BarCode ctecek. Funguje to uz 8 mesicu a nikdo jeste nevolal..
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Já ale nemám nic proti Unifi. Ne vždy "enterprise" vyžaduje ty enterprise funkce - třeba v podniku je 99% věcí na drátě, lidi s notebookama je mají v dokovačkách a wifi je jen jako doplněk pro mobily, návštěvy a případy kdy si někdo vezme noťas na poradu nebo ke kolegovi do kanclu, žádné wifi telefony apod. V takovém případě je unifi naprosto adekvátní řešení.
Ovšem unifi switch bych si dal jen v případě, že bych měl vše stažené do jednoho místa (což je v enterprise málokdy, takže APka musí jít na stávající switche). Jako LAN switch bych to do enterprise nikdy nedal. A USG už vůbec ne.
1 x

basty
Příspěvky: 2475
Registrován: 18 years ago
Kontaktovat uživatele:

Příspěvekod basty » 4 years ago

Cau, vyuziju tento topic na velmi podobný dotaz:

Resim firmu, kde bude:
4x AP AC-PRO
2x48 Unifi switch
2x16 Unifi switch poe
1x Key
1x router RB4011 kde bude dhcp na patricny vlany

Chci tam mit take firemni wifi + hostovskou a plus jeste druhou firemni pro najemce.

To zahrnuje jednak wifi + lan a k tomu druha firemni pro najemce wifi + lan.

Tzn. abych mel uplne oddelene firemni zasuvky + wifi a firemni najemni wifi + zasuvky.

Wifi a zasuvky pro kazdou firmu budou v jedne samostatne siti (/24), ale mezi sebou se ty 2 firmy nesmi nijak videt.



Dotaz: je mozne tohoto docilit na vyse uvedenem ubnt/mk reseni?

Děkuji
0 x

RybaNaPet
Příspěvky: 24
Registrován: 5 years ago

Příspěvekod RybaNaPet » 4 years ago

basty píše:Cau, vyuziju tento topic na velmi podobný dotaz:

Děkuji


Tobě postačí, když si na MK nakonfiguruješ firewall mezi těma VLANama. :)

Ano - Ubiquiti a Enterprise - překvapivě to funguje a splňuje všechny požadavky. A switche jsou OK. Pokud nějaký odejde (minimálně), vezme se nový kus, přepojí se kabely, adopt + maximálně se nastaví jméno a frčíme dál.
Naposledy upravil(a) RybaNaPet dne 08 Oct 2019 13:09, celkem upraveno 1 x.
0 x
><(((">

basty
Příspěvky: 2475
Registrován: 18 years ago
Kontaktovat uživatele:

Příspěvekod basty » 4 years ago

ano, s tim takto pocitam... Spis mne slo, jestli se to nejak neuvidi mezi sebou po ceste pres vic sw...

Jeste nevim jak nejlip udelat to fyzicke zapojeni...

Jsou tam 2 lokace...

1 hlavni bod prizemi
2 podradny bod 2 patro

Takze bude:

prizemi MK + 48sw + poe sw
2 patro 48sw + poe sw

Je lepsi od kazdeho propojit do 4011 naprimo, nebo mit nejaky agregacni sw, nebo poesw vzdy do toho hlavniho 48p a mezi tema dvouma 48p udelat LACP a vytahnout jeden do routeru?
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Já bych na tom Mikrotiku neswitchoval, zvláště pokud tam mají nějaký server/nas apod. Jednak ten switch v mikrotiku není nic moc, jednak někdy je potřeba vypnout HW offload a pak by to ten mikrotik zabíjelo. Taky mikrotik potřebuje (oproti switchi) výrazně častěji upgrade sw/restart - lidi dvě minuty bez internetu vydrží, ale pokud jim popadají otevřené aplikace (účto...) nebo soubory otevřené ze sítě, je to horší.
1 x

basty
Příspěvky: 2475
Registrován: 18 years ago
Kontaktovat uživatele:

Příspěvekod basty » 4 years ago

rsaf píše:Já bych na tom Mikrotiku neswitchoval, zvláště pokud tam mají nějaký server/nas apod. Jednak ten switch v mikrotiku není nic moc, jednak někdy je potřeba vypnout HW offload a pak by to ten mikrotik zabíjelo. Taky mikrotik potřebuje (oproti switchi) výrazně častěji upgrade sw/restart - lidi dvě minuty bez internetu vydrží, ale pokud jim popadají otevřené aplikace (účto...) nebo soubory otevřené ze sítě, je to horší.

O to mi jde, to nejlepe udelat, aby byl pokud mozno maximalni neomezujici vykon...

Cili bude nejlepsi:

2 48p. switche spojit 10G optikou
u kazdeho 48p sw mit ten maly napajeci sw zapojen do 48p sw.
V miste s konektivitou (500M UPC) vytahnout ze 48p sw jeden port do MK

Tim padem komunikace vsech zasuvek, wifi, serveru atd. pobezi ciste mezi 48p sw a do MK pujde uz jen internetovy provoz z X vlan (firma1wifi+lan, firma2wifi+lan, hostovska)
0 x

fujara
Příspěvky: 130
Registrován: 17 years ago

Příspěvekod fujara » 4 years ago

Tu je navod ako izolovat porty na unifi switchoch:
https://help.ubnt.com/hc/en-us/articles ... ffic#howto
Osobne pouzivam cisco. Izolaciu bud Private VLAN alebo switchport protected. Na 6500/7600 private hosts. A nezabudni na multicast...
0 x

basty
Příspěvky: 2475
Registrován: 18 years ago
Kontaktovat uživatele:

Příspěvekod basty » 4 years ago

Co přesně s multicastem?
0 x