(решено) Организация сложной офисной гостевой сети (isolated vlans + multiap)
Цитата: termit от 25/08/2020, 12:31Здравствуйте!
А как можно организовать на FT AIR DUO гостевую сеть (точнее две сети - в 2.4 и 5ГГц), чтобы её клиенты не имели доступа к локалке. а клиенты
основных wifi сетей на этих-же точках, имели доступ к локалке? Это копать в сторону "Раздел для настройки WLAN VLAN" ? Будет-ли это работать нормально, в случае наличия нескольких точек, соединённых кабелем , и/или посредством WDS, для расширения зоны покрытия?
Здравствуйте!
А как можно организовать на FT AIR DUO гостевую сеть (точнее две сети - в 2.4 и 5ГГц), чтобы её клиенты не имели доступа к локалке. а клиенты
основных wifi сетей на этих-же точках, имели доступ к локалке? Это копать в сторону "Раздел для настройки WLAN VLAN" ? Будет-ли это работать нормально, в случае наличия нескольких точек, соединённых кабелем , и/или посредством WDS, для расширения зоны покрытия?
Цитата: sfstudio от 25/08/2020, 12:45В мультиап схеме данные вещи реализуются исключительно вланами. Т.е. на роутере выделяем LAN VLAN затем приземляем его на АП через WLAN VLAN. Через WDS/APCLI и т.д. работать не будет.
И даже на роутере который нарезает VLAN`ы собственный влан не приземлить.
Т.е. эта схема из корп среды, где роутер на входе не имеет радио или оно отключено (можно и оставить но самонарезанный влан в него не завернуть). Он нарезает всё что надо и куда надо, затем на АПшках эти вланы приземляются по нужным MBSSID.
Правда там чаще всего на входе стоят или софтроутеры, или какие-нить крутые циски с джуниками и они нарезкой занимаются.
Других вариантов пока нет.
В мультиап схеме данные вещи реализуются исключительно вланами. Т.е. на роутере выделяем LAN VLAN затем приземляем его на АП через WLAN VLAN. Через WDS/APCLI и т.д. работать не будет.
И даже на роутере который нарезает VLAN`ы собственный влан не приземлить.
Т.е. эта схема из корп среды, где роутер на входе не имеет радио или оно отключено (можно и оставить но самонарезанный влан в него не завернуть). Он нарезает всё что надо и куда надо, затем на АПшках эти вланы приземляются по нужным MBSSID.
Правда там чаще всего на входе стоят или софтроутеры, или какие-нить крутые циски с джуниками и они нарезкой занимаются.
Других вариантов пока нет.
Цитата: termit от 27/08/2020, 21:40Здравствуйте!
Вопрос: пытаюсь "приземлить на АП через WLAN VLAN". Создал(допустим) на каждом диапазоне по одной рабочей и одной гостевой сети(хотя с этим шероховатости - см соседнюю тему). И не получается соотнести гостевые сети (по одной на каждом диапазоне) с одним VLAN ID - пишет VLAN ID already exists. Или для каждого SSID свой VLAN нужен?
Здравствуйте!
Вопрос: пытаюсь "приземлить на АП через WLAN VLAN". Создал(допустим) на каждом диапазоне по одной рабочей и одной гостевой сети(хотя с этим шероховатости - см соседнюю тему). И не получается соотнести гостевые сети (по одной на каждом диапазоне) с одним VLAN ID - пишет VLAN ID already exists. Или для каждого SSID свой VLAN нужен?
Цитата: sfstudio от 27/08/2020, 21:55Для каждого SSID свой влан.
О какой соседней теме речь? На текущий момент все MBSSID либо будут работать в одном из диапазонов, либо в обоих. На уровне дров я это давно разделил, на уровне логики управления пока так.
Для каждого SSID свой влан.
О какой соседней теме речь? На текущий момент все MBSSID либо будут работать в одном из диапазонов, либо в обоих. На уровне дров я это давно разделил, на уровне логики управления пока так.
Цитата: termit от 28/08/2020, 08:39Если нужные (в данном случае гостевые) сети имеет одинаковый BSSID, но разные диапазоны, то UI не ругнулся и всё получилось...
То-есть это ограничение UI? Нельзя ли его убрать?
Если нужные (в данном случае гостевые) сети имеет одинаковый BSSID, но разные диапазоны, то UI не ругнулся и всё получилось...
То-есть это ограничение UI? Нельзя ли его убрать?
Загруженные файлы:- Вам нужно войти, чтобы просматривать прикрепленные файлы..
Цитата: termit от 28/08/2020, 08:47Или не работает... Оно вроде не ругнулось, но и в нужный влан одна из этих двух сетей не переехала. Копаю дальше)
Или не работает... Оно вроде не ругнулось, но и в нужный влан одна из этих двух сетей не переехала. Копаю дальше)
Цитата: termit от 28/08/2020, 11:18Насколько я понял, настройка vlan работает только для "основных" SSID, а для тех, которые были добавлены кнопкой ADD - игнорируется.
Я почему спрашиваю - рассматриваю применимость этого устройства (для нас) к small office, а не только к home office.
Задача - организовать гостевой вайфай, и вроде всё для этого есть (по отдельности). Но упираюсь в какие-то странные ограничения - не могу создать нужные SSID на нужных диапазонах, не могу привязать нужные SSID к нужным VLAN. Это ограничения UI, или железа, или архитектурные, или это вообще не ограничения, а недоработки, которые (возможно) будут устранены? Пока вроде получилось основные SSID сделать гостевыми (два SSID к одному VLANу -таки привязалось),
а добавленные SSID (при этом у них он одинаковый на обоих диапазонах) - сделал рабочими. Смотрю дальше.
Насколько я понял, настройка vlan работает только для "основных" SSID, а для тех, которые были добавлены кнопкой ADD - игнорируется.
Я почему спрашиваю - рассматриваю применимость этого устройства (для нас) к small office, а не только к home office.
Задача - организовать гостевой вайфай, и вроде всё для этого есть (по отдельности). Но упираюсь в какие-то странные ограничения - не могу создать нужные SSID на нужных диапазонах, не могу привязать нужные SSID к нужным VLAN. Это ограничения UI, или железа, или архитектурные, или это вообще не ограничения, а недоработки, которые (возможно) будут устранены? Пока вроде получилось основные SSID сделать гостевыми (два SSID к одному VLANу -таки привязалось),
а добавленные SSID (при этом у них он одинаковый на обоих диапазонах) - сделал рабочими. Смотрю дальше.
Цитата: sfstudio от 28/08/2020, 12:01Эт с чего? Для всех ssid доступно засовывание в вланы. Влан на каждый интерфейс отдельный. Как их собрать в кучу и что и между чем изолировано будет решает уже головное устройство, аля корп шлюз. Схема засунуть 2 интерфейса в один влан не реализована на текущий момент. Рассматривайте дуалбэнды как 2АП (что по факту так и есть).
Можно в кучу не мешать вопросы? А то я щас начну отвечать по позиционированию. =)
Крайне не рекомендую юзать MBSSID в офисных сетях. MBSSID сущность сугубо логическая, при этом весь служебный трафик по сути будет дублирован. Плюс доп задержки и потенциальная возможность поставить кривым клиентом притащенным гостем пол офисной сети раком (например целый ряд девайсов с радио от AMPAK на BCMах шлёт ACK когда вздумает, чем буквально ставит АП в позу лотоса и она вечно ждёт то подтверждений то доступности среды передачи, в итоге остальные клиенты курят в сторонке и не важно на каком MBSSID главное что физически на том же радио висят).
Более того. Если такая нужда всё же есть, то оставьте гостям 2.4only, гостям хватит по уши, а вашим основным клиентам на 5ГГц никто мешать не будет.
Не нужно искать приключений в офисных сетях. Дома это всё не критично, а вот в офисе как раз нужно минимизировать риски и влияние энтропии превносимой извне, в т.ч. левыми, не редко кривыми, клиентами.
Так что максимум гостей в 2.4Only на отдельный mbssid его во влан и всё. Просто что бы железо не дублировать. А сотрудникам в ноуты нормальные карточки (нунче копьё стоят) и в 5ГГц.
Эт как рекомендация, что бы не получилось как у ЧиЖа с хаером поредевшим навсегда от седых волос. =)
Эт с чего? Для всех ssid доступно засовывание в вланы. Влан на каждый интерфейс отдельный. Как их собрать в кучу и что и между чем изолировано будет решает уже головное устройство, аля корп шлюз. Схема засунуть 2 интерфейса в один влан не реализована на текущий момент. Рассматривайте дуалбэнды как 2АП (что по факту так и есть).
Можно в кучу не мешать вопросы? А то я щас начну отвечать по позиционированию. =)
Крайне не рекомендую юзать MBSSID в офисных сетях. MBSSID сущность сугубо логическая, при этом весь служебный трафик по сути будет дублирован. Плюс доп задержки и потенциальная возможность поставить кривым клиентом притащенным гостем пол офисной сети раком (например целый ряд девайсов с радио от AMPAK на BCMах шлёт ACK когда вздумает, чем буквально ставит АП в позу лотоса и она вечно ждёт то подтверждений то доступности среды передачи, в итоге остальные клиенты курят в сторонке и не важно на каком MBSSID главное что физически на том же радио висят).
Более того. Если такая нужда всё же есть, то оставьте гостям 2.4only, гостям хватит по уши, а вашим основным клиентам на 5ГГц никто мешать не будет.
Не нужно искать приключений в офисных сетях. Дома это всё не критично, а вот в офисе как раз нужно минимизировать риски и влияние энтропии превносимой извне, в т.ч. левыми, не редко кривыми, клиентами.
Так что максимум гостей в 2.4Only на отдельный mbssid его во влан и всё. Просто что бы железо не дублировать. А сотрудникам в ноуты нормальные карточки (нунче копьё стоят) и в 5ГГц.
Эт как рекомендация, что бы не получилось как у ЧиЖа с хаером поредевшим навсегда от седых волос. =)
Цитата: sfstudio от 28/08/2020, 12:08В общем если гостю случайно или умышленно захочется повалить доступ конкретным клиентам, то ему достаточно будет уже того что он физически сможет подключиться к тому же радио на котором работают целевые клиенты, не важно разные там SSID или одинаковые.
Ну и общая ёмкость будет просажена.
Правильный подход это как минимум пускать гостей только на АП например на ресепшн, в переговорках. И по минимуму т.е. в один бэнд. Не редко для этих мест организуют вообще временно активируемые зоны с отдельными АП, и включают их только когда нужно (видел даже решение с датчиком объёма, включающим питалово).
Ну что бы не светить по чём зря гостевухой которая часто до кучи вообще без авторизации висит.
В общем если гостю случайно или умышленно захочется повалить доступ конкретным клиентам, то ему достаточно будет уже того что он физически сможет подключиться к тому же радио на котором работают целевые клиенты, не важно разные там SSID или одинаковые.
Ну и общая ёмкость будет просажена.
Правильный подход это как минимум пускать гостей только на АП например на ресепшн, в переговорках. И по минимуму т.е. в один бэнд. Не редко для этих мест организуют вообще временно активируемые зоны с отдельными АП, и включают их только когда нужно (видел даже решение с датчиком объёма, включающим питалово).
Ну что бы не светить по чём зря гостевухой которая часто до кучи вообще без авторизации висит.
Цитата: sfstudio от 28/08/2020, 12:20В общем не понял что именно не получается.
Ну кроме несколько интерфейсов в один влан, такой логики реально нет на текущий момент и не очень понятно зачем, ибо вланы обычно городят именно что бы "физику" нарезать в отдельные виртуальные соски и протянуть до агрегации доступа где что-то с ними делать гибко.
Не ну добавить как-нить в перспективе можно будет. Но ИМХО правильнее тащить всё это отдельно до железки которая приземлит гостей, мож какой-то хотспот реализует, пошейпит и т.д. Мож даже какой DPI реализует. ИМХО сливать их в кучу надо именно уже с той стороны где приземляем.
Вланы на доп MBSSID работают точно, как минимум люди под которых это всё делалось не жалуются. Мож конфиг и Sadler проверит? У меня ещё какое-то время не будет возможности собрать стэнд для проверки ибо усиленно занимаюсь 7915.
В общем не понял что именно не получается.
Ну кроме несколько интерфейсов в один влан, такой логики реально нет на текущий момент и не очень понятно зачем, ибо вланы обычно городят именно что бы "физику" нарезать в отдельные виртуальные соски и протянуть до агрегации доступа где что-то с ними делать гибко.
Не ну добавить как-нить в перспективе можно будет. Но ИМХО правильнее тащить всё это отдельно до железки которая приземлит гостей, мож какой-то хотспот реализует, пошейпит и т.д. Мож даже какой DPI реализует. ИМХО сливать их в кучу надо именно уже с той стороны где приземляем.
Вланы на доп MBSSID работают точно, как минимум люди под которых это всё делалось не жалуются. Мож конфиг и Sadler проверит? У меня ещё какое-то время не будет возможности собрать стэнд для проверки ибо усиленно занимаюсь 7915.
Цитата: termit от 28/08/2020, 12:25Спасибо. Общие рекомендации приняты к сведению. Но на практике у меня настройка вот прямо сейчас немножко разошлась с этим. У меня получилось, конечно, указать привязку _добавленного_ SSID к определённому VLAN, UI этому не мешает, но на работе это не сказалось - клиент добавленного SSIDа получал доступ к основной сети, а не гостевой (живущей в VLAN).
А вот с основными SSID всё сработало как надо, и привязались они к одному VLAN. Ну то есть, в принципе всё заработало, но советы как сделать правильнее, конечно учту.
Спасибо. Общие рекомендации приняты к сведению. Но на практике у меня настройка вот прямо сейчас немножко разошлась с этим. У меня получилось, конечно, указать привязку _добавленного_ SSID к определённому VLAN, UI этому не мешает, но на работе это не сказалось - клиент добавленного SSIDа получал доступ к основной сети, а не гостевой (живущей в VLAN).
А вот с основными SSID всё сработало как надо, и привязались они к одному VLAN. Ну то есть, в принципе всё заработало, но советы как сделать правильнее, конечно учту.
Цитата: termit от 28/08/2020, 12:29Пока вроде получилось, поэтому... Конфиг мне не жалко)), но это ведь надо в комплексе смотреть с маршрутизатором (у меня микротик, может там что не совсем верно настроил). Можно подождать пока кто-то ещё подтвердит. Если надо, могу конечно конфиг выслать, правок после сброса там минимум, для теста.
Пока вроде получилось, поэтому... Конфиг мне не жалко)), но это ведь надо в комплексе смотреть с маршрутизатором (у меня микротик, может там что не совсем верно настроил). Можно подождать пока кто-то ещё подтвердит. Если надо, могу конечно конфиг выслать, правок после сброса там минимум, для теста.
Цитата: sfstudio от 28/08/2020, 12:31UI этому не мешает, но на работе это не сказалось - клиент добавленного SSIDа получал доступ к основной сети, а не гостевой (живущей в VLAN).
Изоляция между MBSSID должна быть включена. Иначе драйвер гоняет между MBSSID данные вообще не спуская их на уровень сетевого стэка ядра.
UI этому не мешает, но на работе это не сказалось - клиент добавленного SSIDа получал доступ к основной сети, а не гостевой (живущей в VLAN).
Изоляция между MBSSID должна быть включена. Иначе драйвер гоняет между MBSSID данные вообще не спуская их на уровень сетевого стэка ядра.
Цитата: sfstudio от 28/08/2020, 12:33Разбирайтесь пока, дальше видно будет. Пока как я понимаю скорее всего изоляцию между MBSSID не включили вот оно и полилось не туда.
Разбирайтесь пока, дальше видно будет. Пока как я понимаю скорее всего изоляцию между MBSSID не включили вот оно и полилось не туда.
Цитата: sfstudio от 28/08/2020, 12:34Ну и что куда добавилось контроллим в консоли, ip/ifconfig/brctl/vconfig расскажут что и как по факту сконфигурилось. Очень помогает при подземных стуках =)
Ну и что куда добавилось контроллим в консоли, ip/ifconfig/brctl/vconfig расскажут что и как по факту сконфигурилось. Очень помогает при подземных стуках =)
Цитата: termit от 28/08/2020, 12:35Проверю ещё раз, обращу особое внимание на изоляцию между MBSSID. Спасибо.
Проверю ещё раз, обращу особое внимание на изоляцию между MBSSID. Спасибо.
Цитата: termit от 28/08/2020, 21:40Сбросил настройки, сделал минимальные настройки(режим AP-bridge, названия сетей, шифрование), добавил гостевую сеть на 2.4 ГГц, и привязал её к VLANID = 6 (у меня в нём гостевая сеть). Изоляция включена.
Результат: клиент гостевой сети получил IP из рабочей сети, и видит всё, что ему не положено видеть ))
Конфиг для повторения прилагаю, прошу проверить. Срочности нет, просто на заметку, тэк скэть.
P.S. в одной из итераций кручения настроек, влан на двух добавленных SSIDах вроде работал, но этот конфиг, с одним добавленным SSID на 2.4ГГц, получен с нуля, после сброса настроек.
Сбросил настройки, сделал минимальные настройки(режим AP-bridge, названия сетей, шифрование), добавил гостевую сеть на 2.4 ГГц, и привязал её к VLANID = 6 (у меня в нём гостевая сеть). Изоляция включена.
Результат: клиент гостевой сети получил IP из рабочей сети, и видит всё, что ему не положено видеть ))
Конфиг для повторения прилагаю, прошу проверить. Срочности нет, просто на заметку, тэк скэть.
P.S. в одной из итераций кручения настроек, влан на двух добавленных SSIDах вроде работал, но этот конфиг, с одним добавленным SSID на 2.4ГГц, получен с нуля, после сброса настроек.
Загруженные файлы:
- Вам нужно войти, чтобы просматривать прикрепленные файлы..
Цитата: sfstudio от 29/08/2020, 11:30Ок. Во вторник сяду крутить накопившееся скопом. Странно это. Я тут объект делал на 7620+7613 с вланами не так давно и не заметил проблем. Логика там идентична от слова совсем. Разница лишь в том что в DUO-G (7615) в DBDC работает. Т.е. если где-то таракан закрался, то скорее всего там.
В общем во вторник соберу схему - проверю.
Ок. Во вторник сяду крутить накопившееся скопом. Странно это. Я тут объект делал на 7620+7613 с вланами не так давно и не заметил проблем. Логика там идентична от слова совсем. Разница лишь в том что в DUO-G (7615) в DBDC работает. Т.е. если где-то таракан закрался, то скорее всего там.
В общем во вторник соберу схему - проверю.
Цитата: sfstudio от 01/09/2020, 12:57Так. Повторил. Пока не понял как сиё могло произойти. На DBDC устройствах да, криво собираются вланы по бриджам в WLAN-VLAN режиме.
Ааа. Похоже догадался что пошло не так. Регрессия которой в тест режиме нет т.к. там часть логики отключается для ускорения тестирования. А в этой логике перекрывается значение переменных счётчиков... Блин. Глупый ляп.
Сейчас проверим.
Касается только WLANLAN режима и только 7615.
Так. Повторил. Пока не понял как сиё могло произойти. На DBDC устройствах да, криво собираются вланы по бриджам в WLAN-VLAN режиме.
Ааа. Похоже догадался что пошло не так. Регрессия которой в тест режиме нет т.к. там часть логики отключается для ускорения тестирования. А в этой логике перекрывается значение переменных счётчиков... Блин. Глупый ляп.
Сейчас проверим.
Касается только WLANLAN режима и только 7615.
Цитата: sfstudio от 01/09/2020, 13:43Пофиксил в 2.8.4, доступно через систему обновлений. Автотесты тоже поправил, пусть нафиг лучше дольше идут, зато такие косяки будет возможность отлавливать.
Пофиксил в 2.8.4, доступно через систему обновлений. Автотесты тоже поправил, пусть нафиг лучше дольше идут, зато такие косяки будет возможность отлавливать.
Цитата: termit от 01/09/2020, 15:37Пысиб, отпишусь, если ещё какая странность вылезет.
Пысиб, отпишусь, если ещё какая странность вылезет.
Цитата: sfstudio от 01/09/2020, 15:44В любом случае отписаться надо бы по результату. Не за что, бага есть бага...
В любом случае отписаться надо бы по результату. Не за что, бага есть бага...
Цитата: Удаленный пользователь от 02/09/2020, 10:39Добрый день.
Если не трудно подскажите как организовать гостевую сеть по пунктам (куда идти, что нажимать), а лучше со скриншотами. С администрированием только “Вы”.
Заранее спасибо.
Добрый день.
Если не трудно подскажите как организовать гостевую сеть по пунктам (куда идти, что нажимать), а лучше со скриншотами. С администрированием только “Вы”.
Заранее спасибо.
Цитата: termit от 02/09/2020, 11:52Отписываюсь: работает. )) Летим дальше...
Отписываюсь: работает. )) Летим дальше...
Цитата: Plohish от 02/09/2020, 15:39Цитата: Nano от 02/09/2020, 10:39Добрый день.
Если не трудно подскажите ...
присоединяюсь!
Цитата: Nano от 02/09/2020, 10:39Добрый день.
Если не трудно подскажите ...
присоединяюсь!
Цитата: sfstudio от 02/09/2020, 21:59Цитата: termit от 02/09/2020, 11:52Отписываюсь: работает. )) Летим дальше...
Отлично.
Цитата: termit от 02/09/2020, 11:52Отписываюсь: работает. )) Летим дальше...
Отлично.
Цитата: sfstudio от 02/09/2020, 22:19Цитата: Plohish от 02/09/2020, 15:39Цитата: Nano от 02/09/2020, 10:39Добрый день.
Если не трудно подскажите ...
присоединяюсь!
Создайте тему и расскажите что хотите сделать и что не получается. Слова "гостевая сеть" слабо описывают то, что именно хочется сделать ибо вариантов далеко не один.
В данном топике человек строит распределённую сеть с MBSSID где часть MBSSID завёрнуты во вланы и приземляется на отдельном шлюзе в виде микротика.
Дома (с одним роутером) достаточно добавить MBSSID и включить изоляцию и всё.
Добавить MBSSID и включить изоляцию вроде можно и без картинок?
Цитата: Plohish от 02/09/2020, 15:39Цитата: Nano от 02/09/2020, 10:39Добрый день.
Если не трудно подскажите ...
присоединяюсь!
Создайте тему и расскажите что хотите сделать и что не получается. Слова "гостевая сеть" слабо описывают то, что именно хочется сделать ибо вариантов далеко не один.
В данном топике человек строит распределённую сеть с MBSSID где часть MBSSID завёрнуты во вланы и приземляется на отдельном шлюзе в виде микротика.
Дома (с одним роутером) достаточно добавить MBSSID и включить изоляцию и всё.
Добавить MBSSID и включить изоляцию вроде можно и без картинок?
