Unify USG - Unify AC-Pro - 2 Gastzugänge mit und ohne Gästeportalanmeldung
Hallo zusammen,
folgende Konstellation läuft bei mir. An einem Unify USG samt CloudKey laufen derzeit 3 AC-Pro Accesspoints.
Es werden aktuell 2 WLANs/SSIDs bereitgestellt. Ein WLAN vom Typ "Unternehmen" und ein Gäste-WLAN mit Gästeportal-Anmeldung (ohne Passwort, nur mit Zustimmung der Nutzungsbedingungen). Jedes WLAN hat seinen eigenen IP Bereich und bekommt diesen auch zuverlässig mitgeteilt.
Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast". Dadurch sollten entsprechend keine lokalen IPs vom Nutzer aufgerufen werden können.
Sobald das Netz allerdings den Verwendungstyp "Gast" bekommen hat, wird mir jedes mal die Gästeportalseite angezeigt... obwohl ich den Haken beim WLAN ja rausgenommen habe.
Gibt es hier einen Trick?
Grundsätzliches Ziel soll eigentlich sein, dass das WLAN mit PSK läuft aber den selben Einschränkungen des vordefinierten Gästenetzes unterliegt - also keine lokalen Adressen eingesehen werden können und solsche Späße.
Hat hier jemand eine Idee für mich?
Vielen Dank.
folgende Konstellation läuft bei mir. An einem Unify USG samt CloudKey laufen derzeit 3 AC-Pro Accesspoints.
Es werden aktuell 2 WLANs/SSIDs bereitgestellt. Ein WLAN vom Typ "Unternehmen" und ein Gäste-WLAN mit Gästeportal-Anmeldung (ohne Passwort, nur mit Zustimmung der Nutzungsbedingungen). Jedes WLAN hat seinen eigenen IP Bereich und bekommt diesen auch zuverlässig mitgeteilt.
Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast". Dadurch sollten entsprechend keine lokalen IPs vom Nutzer aufgerufen werden können.
Sobald das Netz allerdings den Verwendungstyp "Gast" bekommen hat, wird mir jedes mal die Gästeportalseite angezeigt... obwohl ich den Haken beim WLAN ja rausgenommen habe.
Gibt es hier einen Trick?
Grundsätzliches Ziel soll eigentlich sein, dass das WLAN mit PSK läuft aber den selben Einschränkungen des vordefinierten Gästenetzes unterliegt - also keine lokalen Adressen eingesehen werden können und solsche Späße.
Hat hier jemand eine Idee für mich?
Vielen Dank.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 377034
Url: https://administrator.de/forum/unify-usg-unify-ac-pro-2-gastzugaenge-mit-und-ohne-gaesteportalanmeldung-377034.html
Ausgedruckt am: 22.12.2024 um 14:12 Uhr
16 Kommentare
Neuester Kommentar
Zitat von @Atompiltz:
Hallo!
Vielleicht verstehe ich dich falsch (danke erst einmal für den Vorschlag). Das zusätzliche Gastnetz ist eine eigene SSID mit einem neuen VLAN. Wo kann ich das Routing verhindern? Ich nutze übrignes keinen Unifi Switch...
VLAN-fähige Switches sind vorhanden?Hallo!
Vielleicht verstehe ich dich falsch (danke erst einmal für den Vorschlag). Das zusätzliche Gastnetz ist eine eigene SSID mit einem neuen VLAN. Wo kann ich das Routing verhindern? Ich nutze übrignes keinen Unifi Switch...
Standardmäßig wird zwischen den VLANs nicht geroutet, das muss erst (im Router, Layer3 Switch) eingeschaltet werden.
Naja - ohne VLAN und/oder Firewall wird das wohl nix... du musst aber ja jetzt auch schon irgendwie den Geräten sagen das es ausm Gast-Netz keinen Zugriff aufs Unternehmensnetz gibt. Oder du machst das per simpler IP-Trennung, was aber m.e. fatal wäre...
Und wenn du irgendeine Firewall hast dann kannst du da drin ja sagen welches Netz wie mit welchem Netz sprechen darf (oder eben nicht).
Und wenn du irgendeine Firewall hast dann kannst du da drin ja sagen welches Netz wie mit welchem Netz sprechen darf (oder eben nicht).
Moin,
Ihr setzt Fake-Produkte ein!!!!!
Daher solltest du deinen von dir gekauften Unify-AP gegen einen UniFi austauschen, wer weiss, was noch alles an dem Gerät nicht mit dem Original übereinstimmt.
Warum ich darauf komme?
Unify baut TK-Anlagen/ -Komponenten und labelt Gigaset-Endgeräte um und bespielt diese mit einer eigenen Firmware. Deswegen wundert es mich nicht
UniFi indes ist eine Produkreihe des Hersteller Ubiquiti
Komischerweise kriegen das hier aber viele nicht sauber differenziert
Ansonsten schreibst du ja bereits:
Demnach gehe ich davon aus, dass ihr bereits an allen Switchen das physische Netz in mehrere virtuelle aufteilen könnt und das "alte" Gästenetz ebenfalls in einem eigenem VLAN hängt, welches an der Firewall (oder des CoreSwitches) an einem eigenen (virt.) Anschluss terminiert wird.
Solltet ihr kein VLAN außerhalb des UniFi-APs haben: Vergiss dein Vorhaben. Dann kannst du es direkt sein lassen, weil du die Netze nicht sauber getrennt bekommst. Du trennst dann vielleicht auf IP-Ebene (Layer3), aber auf ETHERNET-EBene (Layer2) sehen sich weiterhin alle Geräte, was spätetestens beim EInsatz von DHCP nach hinten los gehen wird: https://www.google.com/search?q=DHCP+Process
Außer, der AP hat >1 NIC, sodass jede NIC mit einem eigenen WLAN verknüpft ist und ihr so alles auf physischer Ebene trennt...
Gruß
em-pie
Ihr setzt Fake-Produkte ein!!!!!
Daher solltest du deinen von dir gekauften Unify-AP gegen einen UniFi austauschen, wer weiss, was noch alles an dem Gerät nicht mit dem Original übereinstimmt.
Warum ich darauf komme?
Unify baut TK-Anlagen/ -Komponenten und labelt Gigaset-Endgeräte um und bespielt diese mit einer eigenen Firmware. Deswegen wundert es mich nicht
UniFi indes ist eine Produkreihe des Hersteller Ubiquiti
Komischerweise kriegen das hier aber viele nicht sauber differenziert
Ansonsten schreibst du ja bereits:
Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast".
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast".
Demnach gehe ich davon aus, dass ihr bereits an allen Switchen das physische Netz in mehrere virtuelle aufteilen könnt und das "alte" Gästenetz ebenfalls in einem eigenem VLAN hängt, welches an der Firewall (oder des CoreSwitches) an einem eigenen (virt.) Anschluss terminiert wird.
Solltet ihr kein VLAN außerhalb des UniFi-APs haben: Vergiss dein Vorhaben. Dann kannst du es direkt sein lassen, weil du die Netze nicht sauber getrennt bekommst. Du trennst dann vielleicht auf IP-Ebene (Layer3), aber auf ETHERNET-EBene (Layer2) sehen sich weiterhin alle Geräte, was spätetestens beim EInsatz von DHCP nach hinten los gehen wird: https://www.google.com/search?q=DHCP+Process
Außer, der AP hat >1 NIC, sodass jede NIC mit einem eigenen WLAN verknüpft ist und ihr so alles auf physischer Ebene trennt...
Gruß
em-pie
Zitat von @Atompiltz:
Hallo!
Naja, wir setzten das Unify Security Gateway (USG) ein, dass die WLAN Netze steuert. Die Managementoberfläche läuft über den Unify Cloudkey.
Bezweifle ich, da Unify noch immer keines solcher Produkte im Portfolio hat!!!Hallo!
Naja, wir setzten das Unify Security Gateway (USG) ein, dass die WLAN Netze steuert. Die Managementoberfläche läuft über den Unify Cloudkey.
Und falls ihr immernoch das UniFi meint, warum habt ihr es eingesetzt und jetzt nicht mehr? Was läuft da stattdessen nun?
Das USG stellt einen IP Bereich 192.168.1.x für das "Unternehmens"-Netz per DHCP bereit. Ebenso für das Gäste-WLAN mit Anmeldeportal als VLAN "2" mit eigenem IP Bereich 192.168.2.x (auch vom USG verteilt) und eben das neue Netz im VLAN 3 und eigenem IP Bereich 192.168.3.x (auch vom USG). Das "Gäste-WLAN" wird seitens des USG schon von Haus getrennt und stellt nur HTTP/S und POP/SMTP/IMAP bereit. Zugriff auf lokale Netze "RFC1918", VPN etc. sind gesperrt.
Klingt, als hättet ihr 'nen Wizard eingesetzt und wisst gar nicht, wass die USG eigentlich im Hintergrund macht.Das einzige, was ich jetzt über die USG nicht gesperrt bekomme ist, wenn ich im neuen WLAN mit PSK arbeite, dass die User auf die Anmeldeoberfläche der USG per IP kommen.. in diesem Beispiel 192.168.3.1. Beim Gästenetz mit Anmeldeportal ist das geblockt.
Nach Rücksprache mit dem Chat von Unify ist das leider auch nicht möglich. Man verweist mich immer darauf, das Netz als Typ "Gast" zu deklarieren... Dann ist es geblockt, der User bekommt aber das Anmeldeportal vorgeschaltet... was in dem Fall aber nicht soll ^^...
Wundert mich auch hier nicht. DU hast mit einem TK-Hersteller gechattet. Warum sollten die dir mit deinem Netzwerk helfen können?Nach Rücksprache mit dem Chat von Unify ist das leider auch nicht möglich. Man verweist mich immer darauf, das Netz als Typ "Gast" zu deklarieren... Dann ist es geblockt, der User bekommt aber das Anmeldeportal vorgeschaltet... was in dem Fall aber nicht soll ^^...
Ich verstehe dein/ euer Problem nicht.
- Legt an der USG ein neues Interface/ VLAN für das neuen Gäste-WLAN an, würde es aber als "Corporate" anlegen:
- jetzt eine Firewall-Regel, die den Traffic aus dem neuen VLAN ins WWW erlaubt, in alles andere aber blockiert:
So schwer ist das doch nicht
Zitat von @Atompiltz:
Hallo em-pie,
jetzt sehe ich was du mit Unify / UniFi meinst... da war ich beim Schreiben jetzt nicht ganz Korrekt... Wir setzen komplett Geräte von UniFi (Ubiquiti) ein (abgesehen vom simplen Switch)... das generell zur Klärung. Somit habe ich auch selbstverständlich mit dem korrekten Support geschrieben.
OK, dann kam meine MEssage ja an Hallo em-pie,
jetzt sehe ich was du mit Unify / UniFi meinst... da war ich beim Schreiben jetzt nicht ganz Korrekt... Wir setzen komplett Geräte von UniFi (Ubiquiti) ein (abgesehen vom simplen Switch)... das generell zur Klärung. Somit habe ich auch selbstverständlich mit dem korrekten Support geschrieben.
Einen Wizard habe ich nicht eingesetzt, wohl schon die Benutzeroberfläche, die mir ja zur Konfiguartion der Geräte angeboten wird.
OK.Die von dir angesprochene Firewall-Regel habe ich - siehe meinen letzten Beitrag - habe ich bereits eingerichtet. geht soweit auch, abgesehen davon, dass eben das USG erreicht werden kann.
Konnte man nicht einduetig entnehmen, nur dass es dir "irgendwie" gelungen ist, den Traffic fast komplett zu limiteren...Wie sah denn die FW-Regel aus? Habt ihr nur auf Layer3 de VErsuche unternommen oder seid ihr auch mal in Layer4 gegangen und habt z.B. die TCP-Ports 22, 80, und 443 geblockt?
Nach Rücksprache mit dem Chat ist das wohl auch so. Eine expliziete auf das USG Interface gerichtete Firewall-Regel wirkt da auch nicht... also ob das seitens UniFi so gewollt ist..
Hast du es mal mit ACLs auf der CLI-Bene probiert:https://community.ubnt.com/t5/UniFi-Routing-Switching/Unifi-Security-Gat ...
https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-Advanced-USG-Con ...
https://community.ubnt.com/t5/EdgeSwitch/restrict-management-access/td-p ... (hier geht es zwar um einen EdgeRouter, aber wer weiss...)
Jetzt habe ich den Zugriff sperren können, indem ich die Regel richtig positioniere... Die bisherigen Regeln habe ich unter "LAN EINGEHEND" definiert... Den Zugriff auf die USG musste ich unter "LAN LOKAL" sperren. Dort habe ich nun paschal alle lokalen Netze "RFC1918" im Portbereich 80, 443 aus dem neuen Gastnetz kommend gesperrt. Wenn ich mich nicht nur auf die Ports 80, 443 beschränke, ist kein Internetzugang über das Netz mehr möglich... im Zweifel weil DNS Anfragen auch nciht mehr durchgehen.
Kann man ja (anhand von Logs) prüfen:
Erstelle zudem mal zwei Regeln:
Die erste lässt Port 53, sowie ICMP zu,
Die zweite sperrt alles andere.
Bin mir nicht sicher, aber ich vermute mal, dass auch die USG von UniFi eine "FirstMatchWins" STrategie an den Tag legt:
Wurde eine Regel angewendet, wird die FW-Engine nicht nochmal bemüht.
Du solltest in jedem Fall aber auch noch den Port 22 (SSH) sowie Port 23 (TELNET) blocken
Danke für deine hilfreichen Links!
€dit:
1. Hau dem Support auf die FInger, die sollten soetwas wissen
2. 22 hast du ja dann schon gesperrt