Решено Две независимые Wi-Fi сети, UniFi Security Gateway

[John_Doe]

Добрый день!
Есть несколько UniFi AP-AC-LR подключенных в разные HPE 1920-48G Switch JG927A.
Управляются они UniFi Cloud Key, также включенный в один из HPE 1920-48G.
Интернет заведен через Mikrotik RB1100AHx2.
В качестве DHCP используется Windows Server.
Мне нужно организовать отдельную гостевую сеть, которая не пересекалась с бы с корпоративной.
Вариант с включением гостевой сети не прокатывает, т.к. DNS прописан локальный и, допустим, при попытке открыть почту на телефоне, соединение не создается, т.к. dns дает локальный ip-адрес, который из гостевой сети запрещен.
Для решения этой задачи был куплен UniFi Security Gateway.
Lan1 включен в HPE 1920-48G.
Wan1 включен в Mikrotik в порт на котором поднят DHCP и есть доступ в интернет.
Если воткнуть ноут в этот порт, то все работает.
В настройках UniFi Security Gateway на Wan1 прописываю ip-адрес и сетевые настройки, указываю VLAN

В Settings-Networks создаю новую сеть VLAN Only

Далее создаю новую Wireless Networks и указываю нужный VLAN

Wi-Fi сеть появляется, но доступа к интернету нет.
IP адреса не раздаются. Даже если настройки добавить вручную, все равно не работает.
На HPE 1920-48G на всех портах куда воткнуты UniFi подняты два VLAN-а

Где я промахнулся в настройках?

 

[fAntom]

А если прописать альтернативный DNS, например 8.8.8.8.

 

[dimacbz]

Разделение сетей возможно сделать на микротике (чтобы одна подсеть не видела другую).

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.0.0/24

Подсеть 192.168.1.0/24 не видит 192.168.0.0/24, а хосты из 192.168.0.0/24 видят всё в 192.168.1.0/24

Если нужно + еще и наоборот, то добавляем:

add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.1.0/24

После добавления 2-ух правил хосты из этих подсетей изолированы.

 

[John_Doe]

А если прописать альтернативный DNS, например 8.8.8.8.

Спасибо, прописал - после этого UniFi Security Gateway увидел интернет.

Но это не решает моей основной проблемы.
Как теперь на базе этой подсети поднять еще один Wi-Fi, параллельно с текущим?
Как только ставлю галку Use VLAN ID - интернет отваливается.

Непонятно за что эта галка отвечает. То ли она маркирует весь трафик как VLAN 105, то ли она дает указание USG слушать VLAN 105.

 

[John_Doe]

Разделение сетей возможно сделать на микротике (чтобы одна подсеть не видела другую).

add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.0.0/24

Подсеть 192.168.1.0/24 не видит 192.168.0.0/24, а хосты из 192.168.0.0/24 видят всё в 192.168.1.0/24

Если нужно + еще и наоборот, то добавляем:

add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.1.0/24

После добавления 2-ух правил хосты из этих подсетей изолированы.

Речь не об изоляции двух сетей, с этим и гостевая подсеть неплохо справляется, а о двух разных сетях с разными DNS.

 

[fAntom]

На скриншоте, где Вы выбрали VLAN only - примечание, что требуется UniFi Switch.

 

[John_Doe]

На скриншоте, где Вы выбрали VLAN only - примечание, что требуется UniFi Switch.

Засада. Я предположил, что подойдет любой свитч с поддержкой vlan.
Получается, что с покупкой USG я погорячился.
Ну, ок.
А можно ли реализовать нужный мне функционал(две независимых Wi-Fi сети) на базе Микротик, USG, UniFi Cloud Key и управляемых свитчей HP?

 

[fAntom]

Ну с USG не погорячились, иначе в контроллере многие функции не работали бы. Вероятно на базе микротик может получиться.

 

[kirill gal]

нужно:
1. на каждом порту, куда подключена точка указать 1 vlan нетеггрованный, 105 vlan теггированный
2. на портах uplink портах между коммутаторами поставть 1 нетеггированный, 105 теггированный
3. на свиче, подключенному к микротику один порт сделать vlan 1 нетеггированным, один порт vlan 105 теггированным
4. на микротике внутренний порт воткнуть в нетеггированный, второй внутренний порт в теггированный. Дальше правилами закрываем доступ (например разрешаем холить пакетам из гостевой сети к внутреннему dns-у)
5. через unifi cloud key создаем две wifi сетки, основная - нетегированном vlane и гостевая в 105.
В итоге трафик из гостевой сети не пересекается с основной.

 

[John_Doe]

нужно:
1. на каждом порту, куда подключена точка указать 1 vlan нетеггрованный, 105 vlan теггированный
2. на портах uplink портах между коммутаторами поставть 1 нетеггированный, 105 теггированный
3. на свиче, подключенному к микротику один порт сделать vlan 1 нетеггированным, один порт vlan 105 теггированным
4. на микротике внутренний порт воткнуть в нетеггированный, второй внутренний порт в теггированный. Дальше правилами закрываем доступ (например разрешаем холить пакетам из гостевой сети к внутреннему dns-у)
5. через unifi cloud key создаем две wifi сетки, основная - нетегированном vlane и гостевая в 105.
В итоге трафик из гостевой сети не пересекается с основной.

Спасибо!
Примерно так и сделал.
Выкинул UniFi Security Gateway, на микротике поднял второй dhcp с нужными мне dns-ами и завернул его на 105 vlan.
Все работает.

 

[dimacbz]

Спасибо!
Выкинул UniFi Security Gateway, на микротике поднял второй dhcp
Все работает.

Наконец-то кто-то начал понимать, что Микротик "проще и всеяден". Самое слабое место у компании UBNT - это их ERL & USG. Я выкинул их ещё в 2014 году. =)