Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Blokace klientu AP proti vzájemné komunikaci

Návody a problémy s konfigurací.
PTPStudio
Příspěvky: 74
Registrován: 12 years ago

Blokace klientu AP proti vzájemné komunikaci

Příspěvekod PTPStudio » 4 years ago

Kdo mi prosím poradí jedná se oto. Potřebuju zablokovat vzájemnou kominkaci mezi klienty, ne jenom v Client Isolation v nastavení AP. Mám více AP a potřebuji ají ti co jsou potrase nemohly jinam než na net a ne do klientu. Vše je Ubiquiti zařízení..Dík
0 x

hol
Příspěvky: 883
Registrován: 14 years ago
antispam: Ano

Příspěvekod hol » 4 years ago

Switche máš taky UBNT? Ty nemám moc zmáknuté, tak s tím neporadím, nevím. Napadá mě třeba co klient to tunel, někdo to tak má. Pak o tom, zda na sebe uvidí rozhoduje nastavení na bráně, kde máš předp. mikrotik, tam si uděláš filtry.
0 x

PTPStudio
Příspěvky: 74
Registrován: 12 years ago

Příspěvekod PTPStudio » 4 years ago

hol píše:Switche máš taky UBNT? Ty nemám moc zmáknuté, tak s tím neporadím, nevím. Napadá mě třeba co klient to tunel, někdo to tak má. Pak o tom, zda na sebe uvidí rozhoduje nastavení na bráně, kde máš předp. mikrotik, tam si uděláš filtry.

No hlavní je RB1100HX2 mikrotik ale to je ok..Zněj jdou 3 AP ubiquiti a komunikaci mezi nimi blokuje mikrotik ale jde ototo to jedno AP to je bez daších větví to je ok. TO jedno ma dva klienty a za jednim je další AP kde jsou další klienti at nedochází ktomu ikdyž se klienti na jednom AP blokují tak mohou mít přístup na předchozí AP ke klientům a opačně a zároven jim uchovat přístup k netu. Jak toto blokovat v ubiquiti?
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

Umístit PPPoE agregátor před hraničním routerem.
0 x

PTPStudio
Příspěvky: 74
Registrován: 12 years ago

Příspěvekod PTPStudio » 4 years ago

zdenek.svarc píše:Umístit PPPoE agregátor před hraničním routerem.


Vsak to je jasne ale jde oto aby i tak nemeli ty klineti v lokalni siti k sobe pristup jde o virusy trojany atd ktere v siti hledaji sousedni IP a pc a dela to bordel jak utoky na DNS tak vytezovani site pozadavky ktere pak zahlti celou pripojku atd
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

PTPStudio píše:
zdenek.svarc píše:Umístit PPPoE agregátor před hraničním routerem.


Vsak to je jasne ale jde oto aby i tak nemeli ty klineti v lokalni siti k sobe pristup jde o virusy trojany atd ktere v siti hledaji sousedni IP a pc a dela to bordel jak utoky na DNS tak vytezovani site pozadavky ktere pak zahlti celou pripojku atd


Síť pod PPPoE tunelem je operátorská síť, která je chráněná, protože k ní klient nemá přístup ani po L3, ani po L2, vyjma nejbližšího přístupového segmentu zahrnující CPE.
0 x

homer
Příspěvky: 59
Registrován: 14 years ago
antispam: Ano

Příspěvekod homer » 4 years ago

Co třeba Firewall filter přímo na cpe? Dále nastaveni omezení rychlosti pro odesílání cpe - > AP atd.
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

PTPStudio píše:
zdenek.svarc píše:Umístit PPPoE agregátor před hraničním routerem.


Vsak to je jasne ale jde oto aby i tak nemeli ty klineti v lokalni siti k sobe pristup jde o virusy trojany atd ktere v siti hledaji sousedni IP a pc a dela to bordel jak utoky na DNS tak vytezovani site pozadavky ktere pak zahlti celou pripojku atd

Je to o návrhu celé sítě. Každý klient musí mít CPE ve tvé správě na kterém zajistíš první úroveň bezpečnosti (klienti připojení sami něčím se svými LAN připojenými přímo do operátorské sítě, to je zhovadilost). Dále oddělení zajistíš ve zbytku sítě pomocí firewallových pravidlech na routerech nebo nějakých ACL na switchích/filtrech na bridge, případně pomocí PPPoE anebo jiného tunelu. Variant je mnoho, každá má své pro a proti.
0 x

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

PTPStudio píše:Kdo mi prosím poradí jedná se oto. Potřebuju zablokovat vzájemnou kominkaci mezi klienty, ne jenom v Client Isolation v nastavení AP. Mám více AP a potřebuji ají ti co jsou potrase nemohly jinam než na net a ne do klientu. Vše je Ubiquiti zařízení..Dík


hmm... a co na to řeknou takový věci jako třeba xboxy a playstationy? Jak se na sebe dostanou třeba veřejné IP adresy případně pokud máš IPv6ky tak by si neměl blokovat komunikaci mezi nimi atd...
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Asi by tu komunikaci bylo potřeba dostat do bodu, kde lidem řežeš rychlosti (pokud na CPE tak není třeba mnoho řešit, pokud na GW tak až na GW) a i ke "své vnitřní síti" přistupovat jako k tomu "zlému nebezpečnému internetu".
0 x