Alex S. B. Опубликовано 22 апреля, 2013 (изменено) · Жалоба Линейка ubiquiti unifi ap pro Нужна реализация port isolation, один клиент не должен передавать данные другому! Только на аплинк точки. при этом сеть должна быть открытой. Никаких паролей,порталов и прочего. Проект - точка доступа через которую клиенты авторизуются у обсоса по pppoe но не могут передавать данные друг другу. Другими словами L2 client isolation. Это вообще реально на UniFi?? Изменено 22 апреля, 2013 пользователем Alex S. B. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 22 апреля, 2013 · Жалоба http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf Guest Traffic Isolation - Supported Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 · Жалоба http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf Guest Traffic Isolation - Supported Все дело в том что оно работает, лочит l2 но пропускает на аплинк только http https а pppoe нет! даже на аплинк. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 22 апреля, 2013 · Жалоба http://dl.ubnt.com/datasheets/unifi/UniFi_AP_DS.pdf Guest Traffic Isolation - Supported Все дело в том что оно работает, лочит l2 но пропускает на аплинк только http https а pppoe нет! даже на аплинк. PPPoE не работает вообще? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 · Жалоба Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 22 апреля, 2013 · Жалоба Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают... А если отключить работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 · Жалоба Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают... А если отключить работает? Не проверял но думаю да. При включении этой фичи пинги за аплинк да и вообще куда угодно пропадают а при отключении всё гуд. Это я так понимаю просто гостевая сеть в которой работает только http https. изолируеться все что можно кроме http https и все бы хорошо..а мне нужно изолировать все кроме аплинка а на него пускать все а конкретно pppoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 22 апреля, 2013 · Жалоба Да. Вот сейчас сижу за точкой у которой это включено, pppoe discover - тишина, arp -an мак аплинка и точки. При этом http https работают... А если отключить работает? Не проверял но думаю да. При включении этой фичи пинги за аплинк да и вообще куда угодно пропадают а при отключении всё гуд. Это я так понимаю просто гостевая сеть в которой работает только http https. изолируеться все что можно кроме http https и все бы хорошо..а мне нужно изолировать все кроме аплинка а на него пускать все а конкретно pppoe Стоит проверить. ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 апреля, 2013 · Жалоба Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 · Жалоба Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=) Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен(( А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
namake Опубликовано 22 апреля, 2013 (изменено) · Жалоба Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=) Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен(( А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой! Шейте прошивкой, работающей без контроллера. Будет нормальная изоляция клиентов на L2 с работоспособным пппое. Изменено 22 апреля, 2013 пользователем namake Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 · Жалоба Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=) Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен(( А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой! Шейте прошивкой, работающей без контроллера. Будет нормальная изоляция клиентов на L2 с работоспособным пппое. О чем говорим? что за прошива такая? линк можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
p9160ff Опубликовано 22 апреля, 2013 · Жалоба Блин, опять микротик интересную тему обгавнял перевел на себя Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 апреля, 2013 · Жалоба Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=) Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен(( А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой! Есть, правда не из коробки, но тоже на потолок вешается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 22 апреля, 2013 · Жалоба Тема вредных советов? ЮниФай должен работать как юнифай. Л2-изоляция работает и ПППоЕ ПРАВИЛЬНО не проходит. В этом и суть гостевой сети. Хотите совет -- откажитесь от пппое. Изолировать клиентов можно через динамические ВЛАНы. http://community.ubnt.com/t5/UniFi/VLAN-authorisation-via-RADIUS/td-p/329721 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 (изменено) · Жалоба Итак, резюмируя сие.. Я получил ровно то что хотел в итоге. Включаем гостевую сеть, портал НЕ включаем. pppoe пропускает! (изначально ввел в заблуждение). Все работает гуд!! Оставалась задача как прибить весь ip трафик потому как правила в точке выглядели как... # ebtables ebtables.status=enabled ebtables.1.cmd=-t nat -N GUESTIN -P DROP ebtables.2.cmd=-t nat -N GUESTOUT -P ACCEPT ebtables.3.cmd=-t nat -A PREROUTING --in-interface ath1 -j mark --set-mark 16 --mark-target CONTINUE ebtables.4.cmd=-t nat -A POSTROUTING --out-interface ath1 -j mark --mark-or 16 --mark-target CONTINUE ebtables.5.cmd=-t nat -A PREROUTING --in-interface ath1 --proto 0x888e -j ACCEPT ebtables.6.cmd=-t nat -A PREROUTING --in-interface ath2 -j mark --set-mark 32 --mark-target CONTINUE ebtables.7.cmd=-t nat -A POSTROUTING --out-interface ath2 -j mark --mark-or 32 --mark-target CONTINUE ebtables.8.cmd=-t nat -A PREROUTING --in-interface ath2 -j GUESTIN ebtables.9.cmd=-t nat -A POSTROUTING --out-interface ath2 -j GUESTOUT ebtables.10.cmd=-t nat -A GUESTIN -p 0x800 --pkttype-type broadcast --ip-proto 17 --ip-sport 68 --ip-dport 67 -j ACCEPT ebtables.11.cmd=-t nat -A GUESTIN -p 0x86dd -j DROP ebtables.12.cmd=-t nat -A GUESTOUT -p 0x86dd -j DROP ebtables.13.cmd=-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP ebtables.14.cmd=-t nat -A GUESTOUT -p 0x800 --ip-proto 17 --ip-dport 5353 -j DROP ebtables.15.cmd=-t nat -A GUESTIN -p 0x800 --ip-proto 17 --ip-dport 53 -j ACCEPT ebtables.16.cmd=-t nat -A GUESTIN -p 0x806 -j ACCEPT ebtables.17.cmd=-t nat -N CAPTIVE_PORTAL -P RETURN ebtables.18.cmd=-t nat -A GUESTIN -p 0x800 --ip-proto 6 --ip-dport 443 -j CAPTIVE_PORTAL ebtables.20.cmd=-t nat -I GUESTOUT -p 0x800 --ip-src 192.168.3.1/32 -j ACCEPT ebtables.21.cmd=-t nat -A GUESTIN -p 0x800 --ip-dst 224.0.0.0/4 -j DROP ebtables.22.cmd=-t nat -A GUESTIN -p 0x800 --ip-dst 10.0.0.0/8 -j DROP ebtables.23.cmd=-t nat -A GUESTIN -j ACCEPT # iptables iptables.status=disabled iptables.1.cmd=-t nat -A PREROUTING -p tcp -m mark --mark 0x00500000/0xffff0000 -j REDIRECT --to-ports 80 iptables.2.cmd=-t nat -A PREROUTING -p tcp -m mark --mark 0x01BB0000/0xffff0000 -j REDIRECT --to-ports 443 redirector.status=disabled Пришлось немного покапаться в контроллере а точнее в java файлах и малось модернизировать его чтобы правила выглядели по феншую т.е. точно как угодно мне (благо что там линукс с iptables). Теперь, поняв что тут к чему я доволен железкой как удав))) Руки развязаны.. Теперь у меня вкладка Guest Control выглядит совсеееем подругому )) З.Ы. Можно и без контроллера через CLI режим но это не айс..на каждую точку ходить.. Изменено 22 апреля, 2013 пользователем Alex S. B. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex S. B. Опубликовано 22 апреля, 2013 · Жалоба Микротик позволяет все легко изолировать, а на этих игрушках от убнт если что и можно - то через встроенный линукс=) Хых..дайте мне до него добраться до этого линукса... а то никакой консоли нет только дибильный контроллер. Если конечно кли режим но он примитивен(( А микротик это конечно гуд только вот одно но! нужно двухдиапазонная точка внутреннего исполнения "из коробки".. а вотот засада.. нету такой! Есть, правда не из коробки, но тоже на потолок вешается. Хех..эт понятно что можно собрать)) Проект большой - 45точек. Ой как неохота ответкой крутить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...