UniFi 4.6.6 две сети (гостевая и корпоративная) | Ubiquiti форум UBNT: инструкции, настройка

UniFi 4.6.6 две сети (гостевая и корпоративная)

serik1986

новичок
17 Сен 2015
4
0
0
Baku
Добрый день уважаемые форумчане.
второй день бьюсь с UniFi, возникла идея создать гостевую сетку, в процессе работы приходят гости и нужен бывает доступ в интернет. постоянно вводить логин пароль естественно бывает сложно, особенно из-за треований безопасности пользуемся генераторами паролей для WiFi, запомнить и приловчиться вписывать его конечно можно но хочется облегчить жизнь и себе и другим и поэтому хотим сделать hotspot
Схема сети приблизительно такая:
25 UniFi точек доступа
Все они находятся в сетке 172.28.0.0/19
сервер имеет IP 172.28.28.1/19 (на CENT OS 7, который в свою очередь на виртуалке VMWARE)
также имеется сеть 192.168.1.0/24 (используется исключительно для стационарных компов и серверов)
между собой сетки связаны через KERIO Control
а также на физическом уровне подключены к свитчу HP 1910-48G Switch(JE009A) на котором пока подняты 2 VLAN (10 и 28)
имеется еще 3 умных свитча, но которые по меньше в количестве портов и играют роль строго для опреденной подсети.

теперь что я пытаюсь сделать:
хочу создать открытую WiFi сеть с HotSpot-ом и чтобы пользователи подключенные в ней получали ip адреса из выделенного диапазона. Это поможет мне в КЕРИО создать например пользователя guest и контролировать трафик гостевых пользователей. Пытался создать сетку чуть по меньше для гостевой сети, но UBNT ругается что корпоративная сетка перекрывает ее и не дает мне ее создать, разрешает создавать только любую другую сеть, вне этой подсети. Но тогда пользователи подключающиеся к этой открытой сети не получают ip адресов.
пытался найти похожие инструкции но так и не нашел. оконательноо запутался в VLAN-ах и теперь не знаю что делать.
Прошу Вас помогите настроить все правильно.
 
Автор
S

serik1986

новичок
17 Сен 2015
4
0
0
Baku
чисто логически я не совсем понимаю как может точка доступа находящаяся в сети 172.28.0.0/19 подключить (выдать ip адрес) пользователю для гостевого уровня находящегося в другой сети, просто система не дает создать диапазон в той же сети, получается зачем вообще нужен гостевой доступ если находится внутри нашей корпоративной сети?
 

DeLL

участник
13 Авг 2013
490
15
20
Ростовская обл
delltroy.ru
неужели у вас столько компьютеров и другого сетевого оборудования, что была необходимость использования /19 маски?
настраиваете у себя на роутере (керио как я понимаю) еще одну подсеть для гостей с выходом в интернет, но без доступа в локальную сеть. поднимаете на нем dhcp с адресами 10.х.х.0/24
всю эту подсеть заворачиваете в отдельный vlan и транком пропускаете по всем коммутаторам до точек доступа . на саму точку данный vlan тоже подавать транком.
в контроллере настраиваете гостевую сеть и привязываете её к созданному vlan. все.
 
Автор
S

serik1986

новичок
17 Сен 2015
4
0
0
Baku
"в контроллере настраиваете гостевую сеть и привязываете её к созданному vlan. все. "

настроил транки, DHCP на керио, настроил открытый WLAN.
клиенты получают IP из выделенного мной диапазона, пингуются как сервер КЕРИО так и айпи адрес Ubiquiti который отвечает за гостевую сеть (я на VMware настроил VLAN28 и подключил его к Ubiquiti серверу) , но во-первых нет переброса на страницу авторизации гостя, и во-вторых нет пинга на первичный порт Ubiquiti сервера (думаю загвоздка в этом). пока не знаю что делать...
 

DeLL

участник
13 Авг 2013
490
15
20
Ростовская обл
delltroy.ru
в контроллере забыли включить гостевой доступ к созданной открытой wlan. в 4 ветке я не подскажу где это делается - не пользуюсь 4 веткой.
А пинг до контроллера должен маршрутизироваться, так как открытая гостевая сеть находится в другой подсети, нежели сам контроллер. Это настройки керио
 
Автор
S

serik1986

новичок
17 Сен 2015
4
0
0
Baku
готово сделал!
суть такая:
1) создаем необходимый VLAN
2) пробрасываем транком через все умные свитчи и плюс у меня КЕРИО (добавил как дополнительный интерфейс локальной сети)
3) на сервере Ubiquiti помимо родной сети добавляем в закладке Networks - новый VLAN который обзываем также
4) а в закладке Wireless Networks добавив гостевую открытую сеть, в Advanced Options - указываем необходимый нам VLAN, так мы подсказываем серверу Ubiquiti помечать пакеты этой сети для транка.
5) в закладке Guest Control в разделе Restricted Subnets на ваше усмотрение можете оставить свои локальные сети чтобы заблокировать к ним доступ. я заблокировал, но мне необходимо было чтобы guest portal открывался а он находится в той подсети которую я заблокировал, но к моему удивлению сервер Ubiquiti умеет исключать определенные IP, это делается путем создания в разделе Allowed Subnets нужного IP с маской /32. После проверки убедился что ни один IP из заблокированной подсети недоступен кроме дозволенного ip/32.
Также учтите, что если вы используете DNS сервера внутреннего назначения то желательно и их поставить в исключения таким же способом.

остальное все настраивается в КЕРИО, т.е. можно конечно настроить скорости пропускания для гостевой группы в Ubiquiti, но удобнее все это делать в КЕРИО, что я и сделал назначив созданную локальную подсеть которую КЕРИО регистрирует на одного и того же пользователя, у меня Wifi_guest. И дальше все тонкие настройки, чего можно а чего нельзя, куда можно а куда нельзя в глобальном интернете.

DeLL огромное спасибо за наставления. думаю тему можно считать закрытой. если у кого то есть вопросы, можете обращаться на имеил, здесь появляюсь редко. yezhov собака metak.az