Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено) Организация сложной офисной гостевой сети (isolated vlans + multiap)

Здравствуйте!

А как можно организовать на FT AIR DUO гостевую сеть (точнее две сети - в 2.4 и 5ГГц), чтобы её клиенты не имели доступа к локалке. а клиенты

основных wifi сетей на этих-же точках, имели доступ к локалке? Это копать в сторону "Раздел для настройки WLAN VLAN" ? Будет-ли это работать нормально, в случае наличия нескольких точек, соединённых кабелем , и/или посредством WDS, для расширения зоны покрытия?

В мультиап схеме данные вещи реализуются исключительно вланами. Т.е. на роутере выделяем LAN VLAN затем приземляем его на АП через WLAN VLAN.  Через WDS/APCLI и т.д. работать не будет.

И даже на роутере который нарезает VLAN`ы собственный влан не приземлить.

Т.е. эта схема из корп среды, где роутер на входе не имеет радио или оно отключено (можно и оставить но самонарезанный влан в него не завернуть). Он нарезает всё что надо и куда надо, затем на АПшках эти вланы приземляются по нужным MBSSID.

Правда там чаще всего на входе стоят или софтроутеры, или какие-нить крутые циски с джуниками и они нарезкой занимаются.

Других вариантов пока нет.

Понял, пысиб

Здравствуйте!

Вопрос: пытаюсь "приземлить  на АП через WLAN VLAN". Создал(допустим) на каждом диапазоне по одной рабочей и одной гостевой сети(хотя с этим шероховатости - см соседнюю тему).  И не получается соотнести гостевые сети (по одной на каждом диапазоне) с одним VLAN ID - пишет VLAN ID already exists. Или для каждого SSID свой VLAN нужен?

Для каждого SSID свой влан.

О какой соседней теме речь? На текущий момент все MBSSID либо будут работать в одном из диапазонов, либо в обоих. На уровне дров я это давно разделил, на уровне логики управления пока так.

Если нужные (в данном случае гостевые) сети имеет одинаковый BSSID, но разные диапазоны, то UI не ругнулся и всё получилось...

То-есть это ограничение UI? Нельзя ли его убрать?

Загруженные файлы:
  • Вам нужно войти, чтобы просматривать прикрепленные файлы..

Или не работает... Оно вроде не ругнулось, но и в нужный влан одна из этих двух сетей не переехала. Копаю дальше)

Насколько я понял, настройка vlan работает только для "основных" SSID, а для тех, которые были добавлены кнопкой ADD - игнорируется.

Я почему спрашиваю - рассматриваю применимость этого устройства (для нас) к small office, а не только к home office.

Задача - организовать гостевой вайфай, и вроде всё для этого есть (по отдельности). Но упираюсь в какие-то странные ограничения - не могу создать нужные SSID на нужных диапазонах, не могу привязать нужные SSID к нужным VLAN. Это ограничения UI, или железа, или архитектурные, или это вообще не ограничения, а недоработки, которые (возможно) будут устранены?  Пока вроде получилось основные SSID сделать гостевыми (два SSID к одному VLANу -таки привязалось),

а добавленные SSID (при этом у них он одинаковый на обоих диапазонах) - сделал рабочими. Смотрю дальше.

 

Эт с чего? Для всех ssid доступно засовывание в вланы. Влан на каждый интерфейс отдельный. Как их собрать в кучу и что и между чем изолировано будет решает уже головное устройство, аля корп шлюз. Схема засунуть 2 интерфейса в один влан не реализована на текущий момент. Рассматривайте дуалбэнды как 2АП (что по факту так и есть).

Можно в кучу не мешать вопросы? А то я щас начну отвечать по позиционированию. =)

Крайне не рекомендую юзать MBSSID в офисных сетях. MBSSID сущность сугубо логическая, при этом весь служебный трафик по сути будет дублирован. Плюс доп задержки и потенциальная возможность поставить кривым клиентом притащенным гостем пол офисной сети раком (например целый ряд девайсов с радио от AMPAK на BCMах шлёт ACK когда вздумает, чем буквально ставит АП в позу лотоса и она вечно ждёт то подтверждений то доступности среды передачи, в итоге остальные клиенты курят в сторонке и не важно на каком MBSSID главное что физически на том же радио висят).

Более того. Если такая нужда всё же есть, то оставьте гостям 2.4only, гостям хватит по уши, а вашим основным клиентам на 5ГГц никто мешать не будет.

Не нужно искать приключений в офисных сетях. Дома это всё не критично, а вот в офисе как раз нужно минимизировать риски и влияние энтропии превносимой извне, в т.ч. левыми, не редко кривыми, клиентами.

Так что максимум гостей в 2.4Only на отдельный mbssid его во влан и всё. Просто что бы железо не дублировать. А сотрудникам в ноуты нормальные карточки (нунче копьё стоят) и в 5ГГц.

Эт как рекомендация, что бы не получилось как у ЧиЖа с хаером поредевшим навсегда от седых волос. =)

 

В общем если гостю случайно или умышленно захочется повалить доступ конкретным клиентам, то ему достаточно будет уже того что он физически сможет подключиться к тому же радио на котором работают целевые клиенты, не важно разные там SSID или одинаковые.

Ну и общая ёмкость будет просажена.

Правильный подход это как минимум пускать гостей только на АП например на ресепшн, в переговорках. И по минимуму т.е. в один бэнд. Не редко для этих мест организуют вообще временно активируемые зоны с отдельными АП, и включают их только когда нужно (видел даже решение с датчиком объёма, включающим питалово).

Ну что бы не светить по чём зря гостевухой которая часто до кучи вообще без авторизации висит.

 

В общем не понял что именно не получается.

Ну кроме несколько интерфейсов в один влан, такой логики реально нет на текущий момент и не очень понятно зачем, ибо вланы обычно городят именно что бы "физику" нарезать в отдельные виртуальные соски и протянуть до агрегации доступа где что-то с ними делать гибко.

Не ну добавить как-нить в перспективе можно будет. Но ИМХО правильнее тащить всё это отдельно до железки которая приземлит гостей, мож какой-то хотспот реализует, пошейпит и т.д.  Мож даже какой DPI реализует. ИМХО сливать их в кучу надо именно уже с той стороны где приземляем.

Вланы на доп MBSSID работают точно, как минимум люди под которых это всё делалось не жалуются. Мож конфиг и Sadler проверит? У меня ещё какое-то время не будет возможности собрать стэнд для проверки ибо усиленно занимаюсь 7915.

 

Спасибо. Общие рекомендации приняты к сведению. Но на практике у меня настройка вот прямо сейчас немножко разошлась с этим. У меня получилось, конечно, указать привязку _добавленного_ SSID к определённому VLAN, UI этому не мешает, но на работе это не сказалось - клиент добавленного SSIDа получал доступ к основной сети, а не гостевой (живущей в VLAN).

А вот с основными SSID всё сработало как надо, и привязались они к одному VLAN. Ну то есть, в принципе всё заработало, но советы как сделать правильнее, конечно учту.

Пока вроде получилось, поэтому... Конфиг  мне не жалко)), но это ведь надо в комплексе смотреть с маршрутизатором (у меня микротик, может там что не совсем верно настроил). Можно подождать пока кто-то ещё подтвердит. Если надо, могу конечно конфиг выслать, правок после сброса там минимум, для теста.

UI этому не мешает, но на работе это не сказалось - клиент добавленного SSIDа получал доступ к основной сети, а не гостевой (живущей в VLAN).

Изоляция между MBSSID должна быть включена. Иначе драйвер гоняет между MBSSID данные вообще не спуская их на уровень сетевого стэка ядра.

Разбирайтесь пока, дальше видно будет. Пока как я понимаю скорее всего изоляцию между MBSSID не включили вот оно и полилось не туда.

Ну и что куда добавилось контроллим в консоли, ip/ifconfig/brctl/vconfig расскажут что и как по факту сконфигурилось. Очень помогает при подземных стуках =)

Проверю ещё раз, обращу особое внимание на изоляцию между MBSSID. Спасибо.

Сбросил настройки, сделал минимальные настройки(режим AP-bridge, названия сетей, шифрование), добавил гостевую сеть на 2.4 ГГц, и привязал её к VLANID = 6 (у меня в нём гостевая сеть). Изоляция включена.

Результат: клиент гостевой сети получил IP из рабочей сети, и видит всё, что ему не положено видеть ))

Конфиг для повторения прилагаю, прошу проверить. Срочности нет, просто на заметку, тэк скэть.

P.S. в одной из итераций кручения настроек, влан на двух добавленных SSIDах вроде работал, но этот конфиг, с одним добавленным SSID на 2.4ГГц, получен с нуля, после сброса настроек.

 

Загруженные файлы:
  • Вам нужно войти, чтобы просматривать прикрепленные файлы..

Ок. Во вторник сяду крутить накопившееся скопом. Странно это. Я тут объект делал на 7620+7613 с вланами не так давно и не заметил проблем. Логика там идентична от слова совсем. Разница лишь в том что в DUO-G (7615) в DBDC работает. Т.е. если где-то таракан закрался, то скорее всего там.

В общем во вторник соберу схему - проверю.

Так. Повторил. Пока не понял как сиё могло произойти. На DBDC устройствах да, криво собираются вланы по бриджам в WLAN-VLAN режиме.

Ааа. Похоже догадался что пошло не так. Регрессия которой в тест режиме нет т.к. там часть логики отключается для ускорения тестирования. А в этой логике перекрывается значение переменных счётчиков... Блин. Глупый ляп.

Сейчас проверим.

Касается только WLANLAN режима и только 7615.

Пофиксил в 2.8.4, доступно через систему обновлений. Автотесты тоже поправил, пусть нафиг лучше дольше идут, зато такие косяки будет возможность отлавливать.

Пысиб, отпишусь, если ещё какая странность вылезет.

В любом случае отписаться надо бы по результату. Не за что, бага есть бага...

Добрый день.

Если не трудно подскажите как организовать гостевую сеть по пунктам (куда идти, что нажимать), а лучше со скриншотами. С администрированием только “Вы”.

Заранее спасибо.

Отписываюсь: работает. )) Летим дальше...

Цитата: Nano от 02/09/2020, 10:39

Добрый день.

Если не трудно подскажите ...

присоединяюсь!

Цитата: termit от 02/09/2020, 11:52

Отписываюсь: работает. )) Летим дальше...

Отлично.

Цитата: Plohish от 02/09/2020, 15:39
Цитата: Nano от 02/09/2020, 10:39

Добрый день.

Если не трудно подскажите ...

присоединяюсь!

Создайте тему и расскажите что хотите сделать и что не получается. Слова "гостевая сеть" слабо описывают то, что именно хочется сделать ибо вариантов далеко не один.

В данном топике человек строит распределённую сеть с MBSSID где часть MBSSID завёрнуты во вланы и приземляется на отдельном шлюзе в виде микротика.

Дома (с одним роутером) достаточно добавить MBSSID и включить изоляцию и всё.

Добавить MBSSID и включить изоляцию вроде можно и без картинок?

 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: