5
Routing mit Unifi USG
Hallo Ihr,
ich habe ein Unifi USG auf diesen sind mehrere VLANs eingerichtet.
Problem:
Gäste die sich mit einer bestimmten SSID im WLAN mittels Voucher authentifizieren landen in einem VLAN 5 mit folgenden Eigenschaften: 192.168.5.0/24, 255.255.255.0 .
Nun sollen Gäste nur das WWW nutzen also Ports 80 und 443. Die anderen IP Ranges sollen geschlossen sein. Sprich es soll kein Zugriff auf ein anderes Netz Verfügbar sein.
Ausnahme soll sein, dass die Benutzer sich mit dem Radius Server Authentifizieren sollen mittels Voucher. Heißt also, Sie müssen auf einen Server mit einen bestimmten Port auf das Web Front end zugreifen können.
Wie richte ich VLAN Trennung ein? Bist jetzt kann ich von diesem VLAN Problemlos alles erreichen.
VLAN5 soll in kein anderes Zugreifen können (VLAN1-4)
VLAN5 soll nur auf dem Radius Server mit einem Bestimmten Port Zugriff (8088) haben. Spricht mittels https://Server-Name:8088/
VLAN5 soll nur die Ports ins WWW ermöglichen. (80,443) andere Ports sollen geschlossen werden.
Ich hoffe Ihr könnt mir Helfen, beim Routing mit dem Unifi USG und der Controller Software
Danke schon mal
ich habe ein Unifi USG auf diesen sind mehrere VLANs eingerichtet.
Problem:
Gäste die sich mit einer bestimmten SSID im WLAN mittels Voucher authentifizieren landen in einem VLAN 5 mit folgenden Eigenschaften: 192.168.5.0/24, 255.255.255.0 .
Nun sollen Gäste nur das WWW nutzen also Ports 80 und 443. Die anderen IP Ranges sollen geschlossen sein. Sprich es soll kein Zugriff auf ein anderes Netz Verfügbar sein.
Ausnahme soll sein, dass die Benutzer sich mit dem Radius Server Authentifizieren sollen mittels Voucher. Heißt also, Sie müssen auf einen Server mit einen bestimmten Port auf das Web Front end zugreifen können.
Wie richte ich VLAN Trennung ein? Bist jetzt kann ich von diesem VLAN Problemlos alles erreichen.
VLAN5 soll in kein anderes Zugreifen können (VLAN1-4)
VLAN5 soll nur auf dem Radius Server mit einem Bestimmten Port Zugriff (8088) haben. Spricht mittels https://Server-Name:8088/
VLAN5 soll nur die Ports ins WWW ermöglichen. (80,443) andere Ports sollen geschlossen werden.
Ich hoffe Ihr könnt mir Helfen, beim Routing mit dem Unifi USG und der Controller Software
Danke schon mal
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 386926
Url: https://administrator.de/contentid/386926
Printed on: April 16, 2024 at 18:04 o'clock
5 Comments
Latest comment
Moin,
mach das doch über separate VLANs. Der Radius trennt dann die User mit Zugriff vom Rest.
Die VLANs kannst Du dann über die USG im Zugriff weiter einschränken.
Alternative:
Kann die USG mit Benutzergruppen umgehen? Dann wäre auch möglich:
User mit Zugriff definieren (hier könnte man auch eine AD-Gruppe nehmen, wenn möglich)
Firewall Regel für diese User: Zusätzlich Port 8088 freigeben.
Gruß
Looser
mach das doch über separate VLANs. Der Radius trennt dann die User mit Zugriff vom Rest.
Die VLANs kannst Du dann über die USG im Zugriff weiter einschränken.
Alternative:
Kann die USG mit Benutzergruppen umgehen? Dann wäre auch möglich:
User mit Zugriff definieren (hier könnte man auch eine AD-Gruppe nehmen, wenn möglich)
Firewall Regel für diese User: Zusätzlich Port 8088 freigeben.
Gruß
Looser
So einfach ist das Konstrukt leider nicht.
Accesspoint Verwaltung läuft über einen EAP Controller von TP-Link, hier werden auch die Voucher mittels Portal erstellt und aktiviert.
SSID to VLAN Bereitstellung, WPA Schlüssel, Portal Authentifizierung, Voucher
USG und Switch Controller von Unifi läuft auf einen anderen Server, hier werden nur die Netze und VLANs bereitgestellt und weitergereicht.
Die Server mit demControllern laufen um VLAN 1 mit dem Netz 192.168.1.0/24 255.255.255.0
Accesspoint Verwaltung läuft über einen EAP Controller von TP-Link, hier werden auch die Voucher mittels Portal erstellt und aktiviert.
SSID to VLAN Bereitstellung, WPA Schlüssel, Portal Authentifizierung, Voucher
USG und Switch Controller von Unifi läuft auf einen anderen Server, hier werden nur die Netze und VLANs bereitgestellt und weitergereicht.
Die Server mit demControllern laufen um VLAN 1 mit dem Netz 192.168.1.0/24 255.255.255.0
Wie richte ich VLAN Trennung ein? Bist jetzt kann ich von diesem VLAN Problemlos alles erreichen.
Mit einer simplen IP Accessliste auf den VLAN IP Interfaces 
Im Unifi Controller gibt es mehrere Einstellungsformen (WAN, LAN Lokas, LAN ausgehend ussw.. Wo da genau.
Du musst eine inbound IP Accessliste an das lokale Router IP Interface legen was zum VLAN gehört.
