Ubiquiti unifi config

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Wuter
Plus Member
Plus Member
Berichten: 218
Lid geworden op: 23 mei 2012, 20:18
Uitgedeelde bedankjes: 22 keer
Bedankt: 12 keer

Ik had eens een klein configuratie vraagje over een Ubiquiti AP in de controller (AP-AC-LR is de versie). Mijn vraag was of het mogelijk was om op een guest wifi om de toegang tot een proximus modem/router te blokkeren zodoende dat men niet via de guest wifi tot op web-interface van de bbox3 geraakt. En of deze een ip in een andere range kunnen krijgen.

Alvast bedankt voor tips
Gebruikersavatar
jphermans
Elite Poster
Elite Poster
Berichten: 922
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 139 keer
Bedankt: 109 keer

Ik denk dat dit gaat wannneer je met een vlan werkt.
Heb het zelf nog niet geconfigureerd.
Internet via Mobile Vikings
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ja, dit kan... je kan gewoon IP-ranges opgeven waartoe guests geen access mogen hebben.

Nu in jou geval heb je wel een probleem... want die BBOX3 is ook je default gateway om op internet te geraken.

De beste oplossing blijft het werken met VLAN's.
JelleLampaert
Starter Plus
Starter Plus
Berichten: 33
Lid geworden op: 16 aug 2012, 16:15
Bedankt: 4 keer

Je kan bij de instellingen van het draadloze netwerk "Apply guest policies" aanvinken.
Onder "Guest Control", kan je dan je volledige subnet ingeven (ik denk zelfs dat dit standaard ingesteld staat, a.d.h.v. "192.168.0.0/16").

Ik heb zelf geen web-interface op m'n Telenet HGW, maar als ik dit instel kan ik niets meer in mijn intern netwerk bereiken en de gateway ook niet meer pingen, dus ik vermoed dat een eventuele webinterface ook niet meer zou werken.
Wuter
Plus Member
Plus Member
Berichten: 218
Lid geworden op: 23 mei 2012, 20:18
Uitgedeelde bedankjes: 22 keer
Bedankt: 12 keer

@JelleLampaert
Je kan bij de instellingen van het draadloze netwerk "Apply guest policies" aanvinken.
Onder "Guest Control", kan je dan je volledige subnet ingeven (ik denk zelfs dat dit standaard ingesteld staat, a.d.h.v. "192.168.0.0/16").
idd dit is het geval deze staat standaard ingesteld als ook een 172.x.0.0 en een 10.x.x.x

Kan je vlans aanmaken in een bbox 3? Weet dat vlan 10, 20 al gebruikt worden. Of moet je hiervoor die admin login hebben??

Heb eens snel gebladerd door de instellingen maar niet direct gevonden.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

r2504 schreef:Ja, dit kan... je kan gewoon IP-ranges opgeven waartoe guests geen access mogen hebben.

Nu in jou geval heb je wel een probleem... want die BBOX3 is ook je default gateway om op internet te geraken.

De beste oplossing blijft het werken met VLAN's.
Dat lijkt me idd het probleem; je kan denk ik niet de webinterface blokkeren maar de gateway zelf niet, tenzij je als geblokkeerde bestemming een volledige socket (ip+port) kan opgeven.

Ik weet niet in hoeverre vlans hier een oplossing bieden.
Aan het einde van de rit moeten de clients in de guest vlan ook op internet geraken, en dus de gateway passeren, en aangezien ik niet denk dat de bbox zo vlan capable is (buiten dan die iptv vlan) zal je ze toch moeten routen alvorens de bbox te passeren, dmv een layer 3 switch of router on a stick.

Een mogelijke oplossing lijkt me een firewall te plaatsen, bv een pfsense, die de guest vlan op een aparte OPT interface binnenkrijgt, en dan bepaalde poorten/bestemmingen blokkeert.

Conclusie:
Tenzij de bbox dit intelligent aankan (zelf vlans kan behandelen en routen), zal dit geen makkelijke taak worden om zonder ingewikkelde omwegen in orde te krijgen.
Consumer toestellen zijn vaak gewoon niet advanced genoeg.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Ik weet niet in hoeverre vlans hier een oplossing bieden.
Aan het einde van de rit moeten de clients in de guest vlan ook op internet geraken, en dus de gateway passeren
Inderdaad, puur met VLANs kom je er niet... nu iemand die guest netwerken wil, UBNT apparatuur gebruikt, ... denkt misschien best ook eens aan een volwaardige router/firewall (ik gebruik hiervoor een Mikrotik).

Langs de andere kant... op de webinterface zit toch een paswoord of kan je dit niet aanpassen op de BBOX ?
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

Wanneer je op de controller een 2e SSID voor je gasten aanmaakt, kan je "guest policy" activeren(zonder captive portal!). Ook op hetzelfde subnet/vlan zullen de AP's die op deze wijze provisioned zijn aan client isolation doen. Clients verbonden met de guest SSID zullen enkel het internet op kunnen, andere clients/servers hun services worden geblokkeerd. Ik heb dit zonet getest. Steeds bereid om meer hulp te bieden indien nodig, intussen behoorlijk wat ervaring in het Unifi-ecosysteem.
Argon
Elite Poster
Elite Poster
Berichten: 1264
Lid geworden op: 21 mei 2007, 22:26
Uitgedeelde bedankjes: 20 keer
Bedankt: 49 keer

+1 ik doe hetzelfde om mijn Sonos apparatuur te "beschermen". Als men bij mij thuis zat op WIFI en men installeerde SONOS app, dan kon iedereen alles bedienen.

Heb dus ook een guest SSID aangemaakt met "Guest policy" en men kan op internet, maar de Sonos app vind niets meer van apparaten terug. Men kan dus het volume niet meer luider/stiller zetten als we bezoek hebben ;-)
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Volgens mij gaat die isolation policy toch echt niet werken; de toestellen moeten nl wel met de gateway kunnen communiceren, dus die zal wel vrijgesteld zijn van de isolation policy.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Nu verbind je natuurlijk nooit met die gateway... die doet louter routing (de eigenlijke verbinding maak je met servers op internet).

Gewoon je LAN subnet blacklisten en kijken of het werkt zou ik zeggen.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ja, maar of die ap isolation werkt op mac of op ip adres weet ik echt niet.
En als dat op mac is moet de gateway toch een uitzondering krijgen.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Isolation heeft louter en alléén betrekking op clients onderling, niet tussen clients en devices op het netwerk.

Het feit dat het ook werkt voor het Sonos voorbeeld is vanwege de broadcasts die men gebruikt.

Met isolation ga je dus NOOIT verhinderen dat een client de defaultgateway niet meer kan aanspreken (gelukkig maar).
Gebruikersavatar
serialchiller
Premium Member
Premium Member
Berichten: 606
Lid geworden op: 03 feb 2012, 14:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 73 keer
Recent bedankt: 3 keer

Even mijn testconfig dubbel nagekeken. Naast client isolation stond inderdaad het subnet in de "Post-Authorization Restrictions" onder "guest control" in de unifi controller. :oops:

In die lijst kan je overigens ook specifieke hostnames/IPs zetten indien je bv enkel de webinterface van de bbox wil "afsluiten".

Opnieuw, GETEST, met echte computers en al. Het functioneert zoals de topicstarter vroeg. :-)
Plaats reactie

Terug naar “Netwerken en Security”