Подскажите как правильно настроить права 2м группам пользователей | Ubiquiti форум UBNT: инструкции, настройка

Подскажите как правильно настроить права 2м группам пользователей

karslon

новичок
20 Июл 2017
6
0
3
35
Схема сети такова: 11 тарелок Unifi AP LR b 2 тарелки Unifi AP , все адреса у тарелок - статические из 192.168.0.0/24 сети.
1. DHCP сервер 192.168.0.0/24 Mikrotik RB2011UiAS-2HnD , настроен DHCP Pool из 40 последовательных адресов
2. В контроллере Unifi настроены 2 группы Wlan1 и Wlan2
3. Есть 20 постоянных пользователей(работяги), которые должны сидеть на Wlan1 с роумингом и быть подключенными всегда, и иметь свободный адрес для подключения (можно задать им статику, если будет смысл ). Они должны иметь полный доступ к 192.168.0.0/24 сети. И кроме этих 20 юзеров никакое другое устройство не могло подключиться к Wlan1, даже зная пароль.
4. Есть остальные пользователи (гости) которые должны сидеть на Wlan2. Доступ к сети 192.168.0.0/24 необязателен.
Проблема в том, что сейчас все адреса раздаются рандомно, типа кто раньше встал - того и тапки, и приходится сбрасывать гостей ручками из Mikrotika, чтобы дать адрес "работягам". Идти в сторону увеличения пула адресов - не вариант, итак 20 гостей это слишком шоколадно.
Подскажите какие варианты есть для решения задачи.
 
Автор
K

karslon

новичок
20 Июл 2017
6
0
3
35
так и сделал. Спасибо! половина задачи решена, а вот как не пустить "гостя" во wlan1...
 

Seryoga

участник
6 Июл 2017
111
10
20
в фаерволе микротика нужно создать правило, чтобы определенный диапазон, а это диапазон выдаваемых адресов для гостей, дропался на указанный диапазон твоей подсети, кроме шлюза, а то не будет интернета.
 
Автор
K

karslon

новичок
20 Июл 2017
6
0
3
35
в микротике я могу настроить всё что нужно. тут вопрос скорее к Unifi, где мне в контроллере привязать к Wlan1 и к Wlan2 определенные пулы из N-адресов сети, выдаваемых микротиком,
 
Автор
K

karslon

новичок
20 Июл 2017
6
0
3
35
Я просто думал что можно обойтись каким либо из этих средств:
1. SETTINGS - Networks - Lan
или
2. SETTINGS - Guest Control
или 3. по Vlan
Предназначение первого мне до конца не понятно как работает в данном контроллере, а со вторым и третьим не имел дело...
Может выделить в микротике во Vlan второй пул адресов (Wlan2), который для гостей, и в Unifi SETTINGS -
Wireless Networks - настройки группы - ADVANCED OPTIONS - указать Vlan ID...может я конечно туплю по незнанию, строго не судите :)
 

dimacbz

Moderator
16 Июн 2014
1.437
228
75
Что вы велосипед изобретаете? Делай гостевой VLAN dhcp на микротике и в UNIFI wlan2 укажи этот vlan - все!
 

mihalich

участник
3 Авг 2015
89
5
10
Что вы велосипед изобретаете? Делай гостевой VLAN dhcp на микротике и в UNIFI wlan2 укажи этот vlan - все!
Зная пароль от wlan1 я попаду в не гостевую сеть и даже если мои пакеты будут резаться на свиче (т.е. сразу после AP) я всё равно буду в одном окружении с этими 20-ю компами. И надо ли напоминать, что мак адрес так же как и ip можно назначить.
Если вам важна безопасность, то это не вариант.
 

dimacbz

Moderator
16 Июн 2014
1.437
228
75
Зная пароль от wlan1 я попаду в не гостевую сеть и даже если мои пакеты будут резаться на свиче (т.е. сразу после AP) я всё равно буду в одном окружении с этими 20-ю компами. И надо ли напоминать, что мак адрес так же как и ip можно назначить.
Если вам важна безопасность, то это не вариант.
Безопасность у вас в Firewall правилах - нужна - пишите, в чем проблема?
 

dimacbz

Moderator
16 Июн 2014
1.437
228
75
Само собой, только эти правила настраиваются на маршрутизаторе и ни как не могут мне помешать подключиться к точке доступа.
Немного вас не понял. Точки привязаны к контроллеру и к определенному маршрутизатору. На маршрутизаторе грамотно написать правила и разделить сети без доступа к друг другу. Посмотрел бы на вас, как бы вы подключились.
 

mihalich

участник
3 Авг 2015
89
5
10
Зная пароль от фафли, можно назначить нужный IP и мак, а дальше....
А как точки привязаны к маршрутизатору?
 

mihalich

участник
3 Авг 2015
89
5
10
Тогда охрану ставьте у каждой точки :) Хакеры будут приходить и пробовать ломать сеть, которая не имеет доступ в интернет
В общем, это вопрос к требованиям безопасности в организации, в некоторых случаях использование беспроводных технологий вообще не приемлемо.
 
Автор
K

karslon

новичок
20 Июл 2017
6
0
3
35
Что было сделано: привязал в микротике устройства по маку, те 20 устройств Wlan1. Это улучшило ситуацию, теперь их место никто не может занять. Проблема со входом во Wlan1 гостей пока осталась, вопрос безопасности не стоит остро. Возможности экспериментировать нет, нужно определиться с выбором, как сделать лучше. и один раз настроить. Жаль, что по факту контроллер оказался "тупым", думал всё можно на нём настроить:(
 

dimacbz

Moderator
16 Июн 2014
1.437
228
75
в контроллере можно настроить доступ клиентов к точкам к определённому SSID не по паролю, а по маку?
Делается это в роутере на примере Mikrotik. Создаете vlan, прикрепляете к этому vlan dhcp сервер с другой подсеткой, прописываете этот vlan в настройках контроллера. И далее делаете ограничения, в сети их полно:
https://yandex.ru/search/?lr=194&msid=1502166906.21303.27539.11111&text=доступ к сети по mac адресу mikrotik