Ongelma WLAN-vierasverkon kanssa

  • Keskustelun aloittaja Keskustelun aloittaja DaMan
  • Aloitettu Aloitettu

DaMan

BANNATTU
BANNED
Liittynyt
29.09.2017
Viestejä
596
Olen tässä yrittänyt säätää yhtä langatonta verkkoa vierasverkon osalta ja tökkii tökkii. Olisiko täällä asiantuntemusta triviaali-ongelman kanssa kun ei nyt itse vaan aukea missä väärin. On näitä tehty mutta nyt en itse vain huomaa missä kyntää. Kyseessä monibrändi ympäristö.

Pitäisi siis luoda langaton vierasverkko josta pääsee vain internettiin palomuurin kautta mutta ei näe sisäverkon resursseja saatika pääse niihin käsiksi. VLAN10:lla yrittänyt virittää mutta putki ei aukea. Ei mitään staattisia ohjauksia. Normaali konttorin WLAN toimii oikein hyvin ja pääsee kaikkiin annettuihin resursseihin käsiksi, mutta vierasverkko ei vain toimi.

Laitteet ja ympäristö:
WAPit: Ubiquiti AC Pro (+Unifi Controller)
Kytkin: Zyxel XGS1930
Palomuuri: Cisco ASA5505 (vanha romuläjä joka vaihtuu vielä tänä vuonna moderniin)

ACProssa vierasverkko konffattu toiseen aliverkkoon kun normiverkko.
Verkossa kaikki toimii kaikilta osin niin kuin pitää mutta tämä vieras-WLAN aiheuttaa tikkuja kynnenalle.
Miten tämä oikein pitää tehdä "oikein" ? Osaako joku neuvoa tarkemmin?
 
Kertoisitko tarkemmin mitä olet tehnyt ja miten laitteet kytketty? Oletan että tukari on siinä kytkimessä kiinni joka tietenkin on kiinni palomuurissa.

Yksinkertaisuudessaanhan tämä tehdään niin että luot sen VLANin sinne palomuuriin kera DHCP:t ynnämuut oleelliset asiat verkon toiminnan kannalta ja se VLAN on kiinni oikeassa portissa tägättynä, konffaat kytkimen niin että portti jossa tukari on kiinni että se oletus VLAN untagged ja vieras VLAN on tagged. Sitten Unifi controllerissa luot sen vieras WLANin haluamillasi asetuksilla ja määrittelet sen käyttämään aiemmin luotua VLAN ID:tä.
Liikenteen eristämisen voit sitten tehdä käyttäen joko tukarissa sitä "one click" vaihtoehtoa (guest policies) tai sitten siellä palomuurissa palomuuri säännöillä.

Tuossa Ben Pinin konffi video tästä aiheesta. Tämä nyt tietenkin on Edgerouter + UAP video mutta tuossa on askel kerrallaan se "miten tämä tehdään oikein" esimerkki jota voit soveltaa niihin omiin laitteisiisi.


Configuring Switch Ports and VLAN Interfaces for the Cisco ASA 5505 Adaptive Security Appliance
 
Onhan sun vieras verkolla ;
oletusyhdyskäytävä,
reitti Internetiin ja takaisin,
Estetty vain liikenne muuhun sisäverkkoon , ei estetty default gatewaylle kulkevaa dataa.

Noi sun pitää tehdä Asalle. Eli Vlan 10 pitää tehdä. Sekä sille toi Ip-osoitteeseen sidottu interface. Lisäksi asa reititykseen mukaan, katsot että tällä verkolla pääsee ulospäin - route 0.0.0.0 löytyy.

Sitten muurisäännöt sen jälkee päälle kun näet että perussetti pelaa.

Edit: ei pitäs humalassa mutta pienissä päissä tätä kirjotellessa ;)

Edi2: Ciscolla toi tagged vs untagged on yleensä näin kytkinporteissa naputeltu tähän tapaan.

Untagged =
Switchport mode acces
Switchport access vlan 10
Spanning tree port-fast

Tagged=
Switchport mode trunk
Trunk encapsulation dot1q
Trunk allowef vlan n,10,n2,n3
Native vlan 1

Ja vlan 1 me sammutetaan aina eikös.
Conf t
Vlan 1
Shutdown
 
Viimeksi muokattu:
Ja vlan 1 me sammutetaan aina eikös.
Conf t
Vlan 1
Shutdown

Mainittakoon että Unifin kohdalla vlan1 on tietenkin se natiivi untagged VLAN mutta hardcoded eli adoptointi pitää tehdä sitä kautta. Adoptoinnin jälkeen hallinnan voi toki siirtää jonnekin tägättynä.
 

Statistiikka

Viestiketjuista
261 315
Viestejä
4 534 899
Jäsenet
74 789
Uusin jäsen
anykanen

Hinta.fi

Back
Ylös Bottom