5
Routing mit Unifi USG
Hallo Ihr,
ich habe ein Unifi USG auf diesen sind mehrere VLANs eingerichtet.
Problem:
Gäste die sich mit einer bestimmten SSID im WLAN mittels Voucher authentifizieren landen in einem VLAN 5 mit folgenden Eigenschaften: 192.168.5.0/24, 255.255.255.0 .
Nun sollen Gäste nur das WWW nutzen also Ports 80 und 443. Die anderen IP Ranges sollen geschlossen sein. Sprich es soll kein Zugriff auf ein anderes Netz Verfügbar sein.
Ausnahme soll sein, dass die Benutzer sich mit dem Radius Server Authentifizieren sollen mittels Voucher. Heißt also, Sie müssen auf einen Server mit einen bestimmten Port auf das Web Front end zugreifen können.
Wie richte ich VLAN Trennung ein? Bist jetzt kann ich von diesem VLAN Problemlos alles erreichen.
VLAN5 soll in kein anderes Zugreifen können (VLAN1-4)
VLAN5 soll nur auf dem Radius Server mit einem Bestimmten Port Zugriff (8088) haben. Spricht mittels https://Server-Name:8088/
VLAN5 soll nur die Ports ins WWW ermöglichen. (80,443) andere Ports sollen geschlossen werden.
Ich hoffe Ihr könnt mir Helfen, beim Routing mit dem Unifi USG und der Controller Software
Danke schon mal
ich habe ein Unifi USG auf diesen sind mehrere VLANs eingerichtet.
Problem:
Gäste die sich mit einer bestimmten SSID im WLAN mittels Voucher authentifizieren landen in einem VLAN 5 mit folgenden Eigenschaften: 192.168.5.0/24, 255.255.255.0 .
Nun sollen Gäste nur das WWW nutzen also Ports 80 und 443. Die anderen IP Ranges sollen geschlossen sein. Sprich es soll kein Zugriff auf ein anderes Netz Verfügbar sein.
Ausnahme soll sein, dass die Benutzer sich mit dem Radius Server Authentifizieren sollen mittels Voucher. Heißt also, Sie müssen auf einen Server mit einen bestimmten Port auf das Web Front end zugreifen können.
Wie richte ich VLAN Trennung ein? Bist jetzt kann ich von diesem VLAN Problemlos alles erreichen.
VLAN5 soll in kein anderes Zugreifen können (VLAN1-4)
VLAN5 soll nur auf dem Radius Server mit einem Bestimmten Port Zugriff (8088) haben. Spricht mittels https://Server-Name:8088/
VLAN5 soll nur die Ports ins WWW ermöglichen. (80,443) andere Ports sollen geschlossen werden.
Ich hoffe Ihr könnt mir Helfen, beim Routing mit dem Unifi USG und der Controller Software
Danke schon mal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386926
Url: https://administrator.de/forum/routing-mit-unifi-usg-386926.html
Ausgedruckt am: 15.01.2025 um 09:01 Uhr
5 Kommentare
Neuester Kommentar
Moin,
mach das doch über separate VLANs. Der Radius trennt dann die User mit Zugriff vom Rest.
Die VLANs kannst Du dann über die USG im Zugriff weiter einschränken.
Alternative:
Kann die USG mit Benutzergruppen umgehen? Dann wäre auch möglich:
User mit Zugriff definieren (hier könnte man auch eine AD-Gruppe nehmen, wenn möglich)
Firewall Regel für diese User: Zusätzlich Port 8088 freigeben.
Gruß
Looser
mach das doch über separate VLANs. Der Radius trennt dann die User mit Zugriff vom Rest.
Die VLANs kannst Du dann über die USG im Zugriff weiter einschränken.
Alternative:
Kann die USG mit Benutzergruppen umgehen? Dann wäre auch möglich:
User mit Zugriff definieren (hier könnte man auch eine AD-Gruppe nehmen, wenn möglich)
Firewall Regel für diese User: Zusätzlich Port 8088 freigeben.
Gruß
Looser
So einfach ist das Konstrukt leider nicht.
Accesspoint Verwaltung läuft über einen EAP Controller von TP-Link, hier werden auch die Voucher mittels Portal erstellt und aktiviert.
SSID to VLAN Bereitstellung, WPA Schlüssel, Portal Authentifizierung, Voucher
USG und Switch Controller von Unifi läuft auf einen anderen Server, hier werden nur die Netze und VLANs bereitgestellt und weitergereicht.
Die Server mit demControllern laufen um VLAN 1 mit dem Netz 192.168.1.0/24 255.255.255.0
Accesspoint Verwaltung läuft über einen EAP Controller von TP-Link, hier werden auch die Voucher mittels Portal erstellt und aktiviert.
SSID to VLAN Bereitstellung, WPA Schlüssel, Portal Authentifizierung, Voucher
USG und Switch Controller von Unifi läuft auf einen anderen Server, hier werden nur die Netze und VLANs bereitgestellt und weitergereicht.
Die Server mit demControllern laufen um VLAN 1 mit dem Netz 192.168.1.0/24 255.255.255.0
Wie richte ich VLAN Trennung ein? Bist jetzt kann ich von diesem VLAN Problemlos alles erreichen.
Mit einer simplen IP Accessliste auf den VLAN IP Interfaces 
Im Unifi Controller gibt es mehrere Einstellungsformen (WAN, LAN Lokas, LAN ausgehend ussw.. Wo da genau.
Du musst eine inbound IP Accessliste an das lokale Router IP Interface legen was zum VLAN gehört.
