Jump to content

NSM5 PBM5 NBM5

X-Lod

By X-Lod
in Ubiquiti Networks

 Share

Recommended Posts

X-Lod

X-Lod

Posted
Posted (edited)

Ситуация следующая. Несколько точек доступа, по 3-4 клиентских М5 на каждой. Ночью рухнула. Ни одна из точек не пускает (локально) ни по старому ip, ни по 192.168.1.20. Не пингуются, на ресет не реагируют, lan горит. Все на 5.6.9ct с этого форума. Вышеперечисленное и о базовых и о клиентских. Некоторые клиентские на расстоянии до 4км. Идеи?

 

P.S. Странным образом сбросился и роутер (RT-N56u), к которому были подключены точки доступа.

Edited by X-Lod
Ferdin

Ferdin

Posted
Posted

Ситуация следующая. Несколько точек доступа, по 3-4 клиентских М5 на каждой. Ночью рухнула.

А ночью был (снег+град+гроза), вот и причина.

X-Lod

X-Lod

Posted
  • Author
Posted

Факт. Однако, подчеркиваю, удаленность точек от 500м до 4км. Да и сеть далеко не одна. Смущает то, что и база и клиентские попадали. Без возможности ресета.

SSD

SSD

Posted
Posted

Да каким образом?

Как вариант через уязвимости в софте. Под данную версию есть эксплоит, и для более новых тоже.

rdc

rdc

Posted
Posted
Как избежать?
Сделать влан управления, унести всё железо туда.

Ни от абонентов, ни из интернета ни одно устройство в сети напрямую не должно быть доступно.

X-Lod

X-Lod

Posted
  • Author
Posted

Да, придётся всё усложнять. Сегодня ситуация повторилась, рухнули все точки и роутер (уже другой) в дефолте.

rdc

rdc

Posted
Posted

Дать всем устройствам серые адреса.

Ни в коем случае не использовать устройства в качестве роутеров - только мосты.

Абонентов и управление разнести по вланам.

SSD

SSD

Posted
Posted

Они отключены. Осталось понять как закрыть извне.

Выше же написали. Все устройства убрать в managment vlan.

Saab95

Saab95

Posted
Posted

Можно просто на центральном роутере заблокировать доступ на соответствующие порты устройств из интернета, и они вполне могут себе продолжать работать роутерами. И никакие вланы управления не нужны.

SSD

SSD

Posted
Posted

У меня прозрачные бриджи, роутерами не работали.

Саб в очередной раз сморозил глупость, запрет портов ситуацию кардинально не изменит. Уберите управление точками в отдельный vlan, это решит большинство вопросов безопасности устройств.

Saab95

Saab95

Posted
Posted

У меня прозрачные бриджи, роутерами не работали.

Саб в очередной раз сморозил глупость, запрет портов ситуацию кардинально не изменит. Уберите управление точками в отдельный vlan, это решит большинство вопросов безопасности устройств.

 

Обычно морозят глупость при создании сети, а потом ищут как решить проблемы.

 

Если CPE работают прозрачными бриджами, то им выдана некая адресация и все. Далее в этом же канале идет трафик абонентов, если он тоже по IP то им выдаются какие-то другие адреса, и просто так абоненты напрямую попасть на устройства не могут, если только руками себе нужную подсеть с адресом не поставят. В этом случае в сеть обычно никто попасть кроме администратора не может и никакие порты на оборудовании закрывать не надо. Кроме всего, если заблокировать трафик между клиентами радио, а так же трафик с БС упаковать во влан, то в случае взлома одного клиентского устройства, с него не получиться атаковать клиентов этого же сектора и саму БС, а в ядре сети, куда данные сходятся, обычно оборудование другое установлено и никаких проблем не возникает.

SSD

SSD

Posted
Posted

Обычно морозят глупость при создании сети, а потом ищут как решить проблемы.

 

Если CPE работают прозрачными бриджами, то им выдана некая адресация и все. Далее в этом же канале идет трафик абонентов, если он тоже по IP то им выдаются какие-то другие адреса, и просто так абоненты напрямую попасть на устройства не могут, если только руками себе нужную подсеть с адресом не поставят. В этом случае в сеть обычно никто попасть кроме администратора не может и никакие порты на оборудовании закрывать не надо. Кроме всего, если заблокировать трафик между клиентами радио, а так же трафик с БС упаковать во влан, то в случае взлома одного клиентского устройства, с него не получиться атаковать клиентов этого же сектора и саму БС, а в ядре сети, куда данные сходятся, обычно оборудование другое установлено и никаких проблем не возникает.

Ты чет начал про Фому, а закончил про Ерему.

  • 3 weeks later...
X-Lod

X-Lod

Posted
  • Author
Posted (edited)

Вопрос первый - при таком раскладе с любого клиентского всё равно открываются все точки. Client isolation включен, клиентские Station переведены в Router (с включенным NAT'ом). Почему? Стоит ли убрать Default Gateway?

Вопрос второй - помогает ли чем-либо Secure Connection (enable)?

 

d6ezf3ng.png

 

AP

 

48avnknb.png

kdkxkc7w.png

x2nkltv3.png

mpfiwisu.png

 

Station

 

xnfyqtsi.png

6ragsk2f.png

7yst8qsv.png

9bfqd8sn.png

Edited by X-Lod

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.