Situatie:
KPN Experia aangesloten op glasvezel.
Met netwerkkabel twee Ubiquity accesspoints naar het zakelijk gedeelte
Op de accesspoints is een gasten wifi en prive wifi geinstalleerd
Maar helaas kan je via het gasten wifi ook alle prive apparaten zien.
Vraag: moet er in de experiabox iets worden ingesteld om dit te voorkomen?
Heb al vele topics gelezen, maar kom er tot nu toe niet uit.
Alvast bedankt voor jullie antwoorden.
Beste antwoord door wjb
Bekijk origineel
Heben die ubiquiti accesspoints een instelling als "sta isolation" of "guest isolation"?
Staat die aan?
Dit artikel al gelezen?
https://help.ubnt.com/hc/en-us/articles/115000166827-UniFi-Wireless-Guest-Network-Setup
Ik kan geen andere instellingen vinden die lijken op quest isolation oid.
Misschien voor de duidelijkheid: ik gebruik Network Analyzer om te scannen via het guestnetwerk en zie daar alle privé apparaten (met ip-adressen)
Heb je ook daadwerkelijk geprobeerd om toegang te krijgen tot die andere apparaten? Ik heb tegenwoordig mijn hele netwerk op Ubiquiti zitten en daarmee het gastnetwerk op een ander geisoleerd VLAN.
Bij jou zitten de apparaten (gast en prive) allemaal op hetzelfde LAN.
Ik meen me te herinneren dat ik wel apparaten kon zien (via broadcast) maar niet daadwerkelijk kon benaderen. Omdat de AP alle verkeer van een gast naar buiten toe routeert en geen routing naar een ander apparaat op hetzelfde LAN toestaat.
+24
Maakt niet uit. Je zou ze niet eens moeten kunnen zien. Dit gelezen:
Ik denk dat je onder Acces Control in moet stellen dat het subnet van de Experiabox niet meer bereikbaar moet zijn.
Ik verwees al naar hetzelfde artikel.
Het probleem is dat je in dit geval geen apart VLAN gebruikt met apart subnet / DHCP voor het gastnetwerk. Dus de gasten krijgen een IP uit hetzelfde subnet als de apparaten die in het “normale” LAN van de Experia Box zitten (192.168.2.x). Dat subnet kun je dus niet volledig afblokken.
Met een netwerkscanner op het gastnetwerk zie je daarom inderdaad de andere apparaten in het netwerk. Maar de gast apparaten kunnen door de toepassing van IPTABLES binnen de AP geen informatie uitwisselen met andere apparaten in hetzelfde subnet. Je kunt het nog iets verder inperken door bij de configuratie van het gastnetwerk op te geven dat er geen broadcasts van en naar WLAN mogen.
Het probleem is dat je in dit geval geen apart VLAN gebruikt met apart subnet / DHCP voor het gastnetwerk. Dus de gasten krijgen een IP uit hetzelfde subnet als de apparaten die in het “normale” LAN van de Experia Box zitten (192.168.2.x). Dat subnet kun je dus niet afblokken.
Dat is nu net waar "sta isolation" voor is, het blokkeren dat apparaten elkaar op het netwerk kunnen zien en benaderen. Je zou eigenlijk mogen verwachten dat met het aanzetten van de "guest policy" die "sta isolation" ook geactiveerd wordt maar blijkbaar is dat niet het geval of is deze alleen onderling voor de apparaten op het gast wifi netwerk geldig.
Ik hoop vandaag te kunnen testen of de apparaten kunnen worden benaderd vanuit het gastennetwerk. Maar ja ook het werk gaat door. :-)
Een VLAN inrichten lijkt mij eigenlijk de beste optie. Maar ietwat te groot voor mij op dit ogenblik. Heb je misschien een link oid waar ik mee kan beginnen?
Dat gaat niet werken immers de Experia Box ondersteunt geen vlans en dus zijn via de Experia Box apparaten op een ander vlan nog steeds te benaderen.
Vul de access control zoals aangegeven op het onderstaande scherm...
...en zet bij Pre-Authorization Access ook 192.168.2.254/32 als je als gast Internet niet kunt benaderen. Als je als gast al wel Internet kunt benaderen dan is die laatste instelling niet nodig.
Dat zou er al moeten staan. Is default in de controller.
Pre-authorization is alleen van belang als je echt een gast portaal website gebruikt, Anders doet deze optie niets.
Het probleem is dat je in dit geval geen apart VLAN gebruikt met apart subnet / DHCP voor het gastnetwerk. Dus de gasten krijgen een IP uit hetzelfde subnet als de apparaten die in het “normale” LAN van de Experia Box zitten (192.168.2.x). Dat subnet kun je dus niet afblokken.
Dat is nu net waar "sta isolation" voor is, het blokkeren dat apparaten elkaar op het netwerk kunnen zien en benaderen. Je zou eigenlijk mogen verwachten dat met het aanzetten van de "guest policy" die "sta isolation" ook geactiveerd wordt maar blijkbaar is dat niet het geval of is deze alleen onderling voor de apparaten op het gast wifi netwerk geldig.
Correct, de “sta isolation” blokkeert de toegang tot andere gasten die verbonden zijn met dezelfde AP.
+24
Als je het netjes wilt doen, dan ontkom je dus niet aan een router met vlan ondersteuning.
Als je het netjes wilt doen, dan ontkom je dus niet aan een router met vlan ondersteuning.
Dat hoeft niet, dat kan je met de professionelere wifi accesspoints ook bewerkstelligen.
Onderstaand een screenshot van de instellingen voor het gastnetwerk op mijn EDIMAX CAP1200 waarmee het thuisnetwerk geblokkeerd zal zijn.
Overigens draai ik mijn gastnetwerk tegenwoordig wel (netjes) op een apart vlan, maar bovenstaande heb ik operationeel gehad toen ik nog een Experia Box had en dus geen vlans kon hanteren.
Overigens zou ik verwachten dat de Ubiquiti dit ook ondersteunt door het uitsluiten van de LAN subnetten. (Post-Authorization Restrictions)
Als ik de Pre-authorization aanpas is het hele gastennetwerk onzichtbaar geworden. Nadat ik die verwijderd had werkte het weer.
Als je aangesloten bent op het gastnetwerk zou niet alleen het gastnetwerk onzichtbaar geworden moeten zijn maar alle lokale apparaten uitgezonderd de Experia Box.
Wat had je ingevuld bij Pre-Authorization?
Wat staat er nu ingevuld bij Pre- en Post-Authorization?
Ik zal de waarde die je hiervoor gaf nogmaals invoeren bij Pre en weer testen. tot zo.
Nu werkt het wel (misschien daarnet vertikt, sorry). Echter wel een verschil met het scanresultaat. de experiabox is nu wel pingable, zonder de pre-aut niet.
Wel blijven alle apparaten zichtbaar. Daar wil ik eigenlijk vanaf omdat voor onze gasten het duidelijk is wat wij hebben. Meestal geen probleem, maar er zullen ook wel eens kwaaien tussen zitten.
alleen heb ik geen idee wat ik ingevuld heb. Weten jullie iets waar ik het e.e.a. kan lezen, maar niet direct de diepte in? Alvast bedankt.
Als je zonder die pre-authorization ook gewoon Internet op kunt vanaf het gast wifi netwerk, dan mag je die pre-authorization ook weer weghalen.
+24
Dat is een optie. Bij glasvezel een redelijk reële optie. Bij ADSL iets minder. Bij ADSL kun je een fritzbox gebruiken als alternatief, maar deze ondersteund geen vlans. Dus schiet je niks mee op.
Een andere optie is een router achter je Experiabox zetten. Dat heb ik al jaren.
Enter your username or e-mail address. We'll send you an e-mail with instructions to reset your password.
