Jump to content
Калькуляторы

L2 Isolation Ubiquiti UniFi Pro Помогите понять, можно или нет.

Reply to this topic

Alex S. B.   

Alex S. B.
Posted (edited)

Линейка ubiquiti unifi ap pro

 

Нужна реализация port isolation, один клиент не должен передавать данные другому! Только на аплинк точки.

при этом сеть должна быть открытой. Никаких паролей,порталов и прочего.

 

Проект - точка доступа через которую клиенты авторизуются у обсоса по pppoe но не могут передавать данные друг другу.

 

Другими словами L2 client isolation.

Это вообще реально на UniFi??

Edited by Alex S. B.

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted

http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf

 

Guest Traffic Isolation - Supported

Все дело в том что оно работает, лочит l2 но пропускает на аплинк только http https а pppoe нет! даже на аплинк.

Share this post

Link to post
Share on other sites

SSD   

SSD
Posted

http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf

 

Guest Traffic Isolation - Supported

Все дело в том что оно работает, лочит l2 но пропускает на аплинк только http https а pppoe нет! даже на аплинк.

PPPoE не работает вообще?

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted

Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают...

Share this post

Link to post
Share on other sites

SSD   

SSD
Posted

Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают...

А если отключить работает?

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted

Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают...

А если отключить работает?

 

Не проверял но думаю да. При включении этой фичи пинги за аплинк да и вообще куда угодно пропадают а при отключении всё гуд.

Это я так понимаю просто гостевая сеть в которой работает только http https.

 

изолируеться все что можно кроме http https и все бы хорошо..а мне нужно изолировать все кроме аплинка а на него пускать все а конкретно pppoe

Share this post

Link to post
Share on other sites

SSD   

SSD
Posted

Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают...

А если отключить работает?

 

Не проверял но думаю да. При включении этой фичи пинги за аплинк да и вообще куда угодно пропадают а при отключении всё гуд.

Это я так понимаю просто гостевая сеть в которой работает только http https.

 

изолируеться все что можно кроме http https и все бы хорошо..а мне нужно изолировать все кроме аплинка а на него пускать все а конкретно pppoe

Стоит проверить. ;)

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=)

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted

Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=)

Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен((

А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой!

Share this post

Link to post
Share on other sites

namake   

namake
Posted (edited)

Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=)

Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен((

А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой!

Шейте прошивкой, работающей без контроллера. Будет нормальная изоляция клиентов на L2 с работоспособным пппое.

Edited by namake

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted

Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=)

Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен((

А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой!

Шейте прошивкой, работающей без контроллера. Будет нормальная изоляция клиентов на L2 с работоспособным пппое.

О чем говорим? что за прошива такая? линк можно?

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=)

Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен((

А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой!

 

Есть, правда не из коробки, но тоже на потолок вешается.

Share this post

Link to post
Share on other sites

NewUse   

NewUse
Posted

Тема вредных советов?

ЮниФай должен работать как юнифай.

Л2-изоляция работает и ПППоЕ ПРАВИЛЬНО не проходит.

В этом и суть гостевой сети.

 

Хотите совет -- откажитесь от пппое.

Изолировать клиентов можно через динамические ВЛАНы.

 

http://community.ubnt.com/t5/UniFi/VLAN-authorisation-via-RADIUS/td-p/329721

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted (edited)

Итак, резюмируя сие..

Я получил ровно то что хотел в итоге.

Включаем гостевую сеть, портал НЕ включаем.

pppoe пропускает! (изначально ввел в заблуждение).

Все работает гуд!! Оставалась задача как прибить весь ip трафик потому как правила в точке выглядели как...

 

# ebtables
ebtables.status=enabled
ebtables.1.cmd=-t nat -N GUESTIN -P DROP
ebtables.2.cmd=-t nat -N GUESTOUT -P ACCEPT
ebtables.3.cmd=-t nat -A PREROUTING --in-interface ath1 -j mark --set-mark 16 --mark-target CONTINUE
ebtables.4.cmd=-t nat -A POSTROUTING --out-interface ath1 -j mark --mark-or 16 --mark-target CONTINUE
ebtables.5.cmd=-t nat -A PREROUTING --in-interface ath1 --proto 0x888e -j ACCEPT
ebtables.6.cmd=-t nat -A PREROUTING --in-interface ath2 -j mark --set-mark 32 --mark-target CONTINUE
ebtables.7.cmd=-t nat -A POSTROUTING --out-interface ath2 -j mark --mark-or 32 --mark-target CONTINUE
ebtables.8.cmd=-t nat -A PREROUTING --in-interface ath2 -j GUESTIN
ebtables.9.cmd=-t nat -A POSTROUTING --out-interface ath2 -j GUESTOUT
ebtables.10.cmd=-t nat -A GUESTIN -p 0x800 --pkttype-type broadcast --ip-proto 17 --ip-sport 68 --ip-dport 67 -j ACCEPT
ebtables.11.cmd=-t nat -A GUESTIN -p 0x86dd -j DROP
ebtables.12.cmd=-t nat -A GUESTOUT -p 0x86dd -j DROP
ebtables.13.cmd=-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP
ebtables.14.cmd=-t nat -A GUESTOUT -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP
ebtables.15.cmd=-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 53 -j ACCEPT
ebtables.16.cmd=-t nat -A GUESTIN -p 0x806 -j ACCEPT
ebtables.17.cmd=-t nat -N CAPTIVE_PORTAL -P RETURN
ebtables.18.cmd=-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 -j CAPTIVE_PORTAL
ebtables.20.cmd=-t nat -I GUESTOUT -p 0x800 --ip-src 192.168.3.1/32 -j ACCEPT
ebtables.21.cmd=-t nat -A GUESTIN -p 0x800 --ip-dst 224.0.0.0/4 -j DROP
ebtables.22.cmd=-t nat -A GUESTIN -p 0x800 --ip-dst 10.0.0.0/8 -j DROP
ebtables.23.cmd=-t nat -A GUESTIN -j ACCEPT
# iptables
iptables.status=disabled
iptables.1.cmd=-t nat -A PREROUTING -p tcp -m mark --mark 0x00500000/0xffff0000 -j REDIRECT --to-ports 80
iptables.2.cmd=-t nat -A PREROUTING -p tcp -m mark --mark 0x01BB0000/0xffff0000 -j REDIRECT --to-ports 443
redirector.status=disabled

 

Пришлось немного покапаться в контроллере а точнее в java файлах и малось модернизировать его чтобы правила выглядели по феншую т.е. точно как угодно мне (благо что там линукс с iptables). Теперь, поняв что тут к чему я доволен железкой как удав))) Руки развязаны..

 

Теперь у меня вкладка Guest Control выглядит совсеееем подругому ))

З.Ы. Можно и без контроллера через CLI режим но это не айс..на каждую точку ходить..

Edited by Alex S. B.

Share this post

Link to post
Share on other sites

Alex S. B.   

Alex S. B.
Posted

Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=)

Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен((

А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой!

 

Есть, правда не из коробки, но тоже на потолок вешается.

Хех..эт понятно что можно собрать)) Проект большой - 45точек. Ой как неохота ответкой крутить...

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Беспроводные сети Wi-Fi, 3G/LTE/5G, LoRa...