Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Unify USG - Unify AC-Pro - 2 Gastzugänge mit und ohne Gästeportalanmeldung

Mitglied: Atompiltz

Atompiltz (Level 1) - Jetzt verbinden

14.06.2018 um 14:01 Uhr, 594 Aufrufe, 16 Kommentare

Hallo zusammen,

folgende Konstellation läuft bei mir. An einem Unify USG samt CloudKey laufen derzeit 3 AC-Pro Accesspoints.

Es werden aktuell 2 WLANs/SSIDs bereitgestellt. Ein WLAN vom Typ "Unternehmen" und ein Gäste-WLAN mit Gästeportal-Anmeldung (ohne Passwort, nur mit Zustimmung der Nutzungsbedingungen). Jedes WLAN hat seinen eigenen IP Bereich und bekommt diesen auch zuverlässig mitgeteilt.

Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast". Dadurch sollten entsprechend keine lokalen IPs vom Nutzer aufgerufen werden können.
Sobald das Netz allerdings den Verwendungstyp "Gast" bekommen hat, wird mir jedes mal die Gästeportalseite angezeigt... obwohl ich den Haken beim WLAN ja rausgenommen habe.

Gibt es hier einen Trick?

Grundsätzliches Ziel soll eigentlich sein, dass das WLAN mit PSK läuft aber den selben Einschränkungen des vordefinierten Gästenetzes unterliegt - also keine lokalen Adressen eingesehen werden können und solsche Späße.

Hat hier jemand eine Idee für mich?

Vielen Dank.
Mitglied: goscho
14.06.2018 um 14:21 Uhr
Mahlzeit,

erstelle doch ein weiteres WLAN und pack dies in ein anderes VLAN und lass kein Routing zwischen diesem und den anderen VLANs zu.
Bitte warten ..
Mitglied: Atompiltz
14.06.2018 um 14:45 Uhr
Hallo!

Vielleicht verstehe ich dich falsch (danke erst einmal für den Vorschlag). Das zusätzliche Gastnetz ist eine eigene SSID mit einem neuen VLAN. Wo kann ich das Routing verhindern? Ich nutze übrignes keinen Unifi Switch...

Viele Grüße
Bitte warten ..
Mitglied: goscho
14.06.2018 um 15:30 Uhr
Zitat von Atompiltz:

Hallo!

Vielleicht verstehe ich dich falsch (danke erst einmal für den Vorschlag). Das zusätzliche Gastnetz ist eine eigene SSID mit einem neuen VLAN. Wo kann ich das Routing verhindern? Ich nutze übrignes keinen Unifi Switch...
VLAN-fähige Switches sind vorhanden?
Standardmäßig wird zwischen den VLANs nicht geroutet, das muss erst (im Router, Layer3 Switch) eingeschaltet werden.
Bitte warten ..
Mitglied: Atompiltz
14.06.2018 um 15:41 Uhr
Hi,

noch hängt ein simpler d-link Switch in der Mitte...
Bitte warten ..
Mitglied: goscho
14.06.2018 um 15:44 Uhr
auch DLink hat VLAN-Switches
Bitte warten ..
Mitglied: Atompiltz
14.06.2018 um 15:51 Uhr
;) das stimmt, aber der jetzt kann leider nichts - nicht management fähig.
Bitte warten ..
Mitglied: maretz
15.06.2018 um 07:08 Uhr
Naja - ohne VLAN und/oder Firewall wird das wohl nix... du musst aber ja jetzt auch schon irgendwie den Geräten sagen das es ausm Gast-Netz keinen Zugriff aufs Unternehmensnetz gibt. Oder du machst das per simpler IP-Trennung, was aber m.e. fatal wäre...

Und wenn du irgendeine Firewall hast dann kannst du da drin ja sagen welches Netz wie mit welchem Netz sprechen darf (oder eben nicht).
Bitte warten ..
Mitglied: em-pie
15.06.2018, aktualisiert um 10:16 Uhr
Moin,

Ihr setzt Fake-Produkte ein!!!!!
Daher solltest du deinen von dir gekauften Unify-AP gegen einen UniFi austauschen, wer weiss, was noch alles an dem Gerät nicht mit dem Original übereinstimmt.

Warum ich darauf komme?
Unify baut TK-Anlagen/ -Komponenten und labelt Gigaset-Endgeräte um und bespielt diese mit einer eigenen Firmware. Deswegen wundert es mich nicht
UniFi indes ist eine Produkreihe des Hersteller Ubiquiti

Komischerweise kriegen das hier aber viele nicht sauber differenziert


Ansonsten schreibst du ja bereits:
Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast".

Demnach gehe ich davon aus, dass ihr bereits an allen Switchen das physische Netz in mehrere virtuelle aufteilen könnt und das "alte" Gästenetz ebenfalls in einem eigenem VLAN hängt, welches an der Firewall (oder des CoreSwitches) an einem eigenen (virt.) Anschluss terminiert wird.

Solltet ihr kein VLAN außerhalb des UniFi-APs haben: Vergiss dein Vorhaben. Dann kannst du es direkt sein lassen, weil du die Netze nicht sauber getrennt bekommst. Du trennst dann vielleicht auf IP-Ebene (Layer3), aber auf ETHERNET-EBene (Layer2) sehen sich weiterhin alle Geräte, was spätetestens beim EInsatz von DHCP nach hinten los gehen wird: https://www.google.com/search?q=DHCP+Process
Außer, der AP hat >1 NIC, sodass jede NIC mit einem eigenen WLAN verknüpft ist und ihr so alles auf physischer Ebene trennt...


Gruß
em-pie
Bitte warten ..
Mitglied: Atompiltz
18.06.2018 um 12:18 Uhr
Hallo!

Naja, wir setzten das Unify Security Gateway (USG) ein, dass die WLAN Netze steuert. Die Managementoberfläche läuft über den Unify Cloudkey.

Das USG stellt einen IP Bereich 192.168.1.x für das "Unternehmens"-Netz per DHCP bereit. Ebenso für das Gäste-WLAN mit Anmeldeportal als VLAN "2" mit eigenem IP Bereich 192.168.2.x (auch vom USG verteilt) und eben das neue Netz im VLAN 3 und eigenem IP Bereich 192.168.3.x (auch vom USG). Das "Gäste-WLAN" wird seitens des USG schon von Haus getrennt und stellt nur HTTP/S und POP/SMTP/IMAP bereit. Zugriff auf lokale Netze "RFC1918", VPN etc. sind gesperrt.

Das einzige, was ich jetzt über die USG nicht gesperrt bekomme ist, wenn ich im neuen WLAN mit PSK arbeite, dass die User auf die Anmeldeoberfläche der USG per IP kommen.. in diesem Beispiel 192.168.3.1. Beim Gästenetz mit Anmeldeportal ist das geblockt.

Nach Rücksprache mit dem Chat von Unify ist das leider auch nicht möglich. Man verweist mich immer darauf, das Netz als Typ "Gast" zu deklarieren... Dann ist es geblockt, der User bekommt aber das Anmeldeportal vorgeschaltet... was in dem Fall aber nicht soll ^^...
Bitte warten ..
Mitglied: em-pie
18.06.2018 um 12:38 Uhr
Zitat von Atompiltz:

Hallo!

Naja, wir setzten das Unify Security Gateway (USG) ein, dass die WLAN Netze steuert. Die Managementoberfläche läuft über den Unify Cloudkey.
Bezweifle ich, da Unify noch immer keines solcher Produkte im Portfolio hat!!!
Und falls ihr immernoch das UniFi meint, warum habt ihr es eingesetzt und jetzt nicht mehr? Was läuft da stattdessen nun?

Das USG stellt einen IP Bereich 192.168.1.x für das "Unternehmens"-Netz per DHCP bereit. Ebenso für das Gäste-WLAN mit Anmeldeportal als VLAN "2" mit eigenem IP Bereich 192.168.2.x (auch vom USG verteilt) und eben das neue Netz im VLAN 3 und eigenem IP Bereich 192.168.3.x (auch vom USG). Das "Gäste-WLAN" wird seitens des USG schon von Haus getrennt und stellt nur HTTP/S und POP/SMTP/IMAP bereit. Zugriff auf lokale Netze "RFC1918", VPN etc. sind gesperrt.
Klingt, als hättet ihr 'nen Wizard eingesetzt und wisst gar nicht, wass die USG eigentlich im Hintergrund macht.

Das einzige, was ich jetzt über die USG nicht gesperrt bekomme ist, wenn ich im neuen WLAN mit PSK arbeite, dass die User auf die Anmeldeoberfläche der USG per IP kommen.. in diesem Beispiel 192.168.3.1. Beim Gästenetz mit Anmeldeportal ist das geblockt.

Nach Rücksprache mit dem Chat von Unify ist das leider auch nicht möglich. Man verweist mich immer darauf, das Netz als Typ "Gast" zu deklarieren... Dann ist es geblockt, der User bekommt aber das Anmeldeportal vorgeschaltet... was in dem Fall aber nicht soll ^^...
Wundert mich auch hier nicht. DU hast mit einem TK-Hersteller gechattet. Warum sollten die dir mit deinem Netzwerk helfen können?



Ich verstehe dein/ euer Problem nicht.

So schwer ist das doch nicht
Bitte warten ..
Mitglied: Atompiltz
18.06.2018 um 13:18 Uhr
Hallo em-pie,

jetzt sehe ich was du mit Unify / UniFi meinst... da war ich beim Schreiben jetzt nicht ganz Korrekt... Wir setzen komplett Geräte von UniFi (Ubiquiti) ein (abgesehen vom simplen Switch)... das generell zur Klärung. Somit habe ich auch selbstverständlich mit dem korrekten Support geschrieben.

Einen Wizard habe ich nicht eingesetzt, wohl schon die Benutzeroberfläche, die mir ja zur Konfiguartion der Geräte angeboten wird.

Die von dir angesprochene Firewall-Regel habe ich - siehe meinen letzten Beitrag - habe ich bereits eingerichtet. geht soweit auch, abgesehen davon, dass eben das USG erreicht werden kann.

Nach Rücksprache mit dem Chat ist das wohl auch so. Eine expliziete auf das USG Interface gerichtete Firewall-Regel wirkt da auch nicht... also ob das seitens UniFi so gewollt ist..
Bitte warten ..
Mitglied: em-pie
LÖSUNG 18.06.2018 um 13:29 Uhr
Zitat von Atompiltz:

Hallo em-pie,

jetzt sehe ich was du mit Unify / UniFi meinst... da war ich beim Schreiben jetzt nicht ganz Korrekt... Wir setzen komplett Geräte von UniFi (Ubiquiti) ein (abgesehen vom simplen Switch)... das generell zur Klärung. Somit habe ich auch selbstverständlich mit dem korrekten Support geschrieben.
OK, dann kam meine MEssage ja an
Einen Wizard habe ich nicht eingesetzt, wohl schon die Benutzeroberfläche, die mir ja zur Konfiguartion der Geräte angeboten wird.
OK.
Die von dir angesprochene Firewall-Regel habe ich - siehe meinen letzten Beitrag - habe ich bereits eingerichtet. geht soweit auch, abgesehen davon, dass eben das USG erreicht werden kann.
Konnte man nicht einduetig entnehmen, nur dass es dir "irgendwie" gelungen ist, den Traffic fast komplett zu limiteren...
Wie sah denn die FW-Regel aus? Habt ihr nur auf Layer3 de VErsuche unternommen oder seid ihr auch mal in Layer4 gegangen und habt z.B. die TCP-Ports 22, 80, und 443 geblockt?

Nach Rücksprache mit dem Chat ist das wohl auch so. Eine expliziete auf das USG Interface gerichtete Firewall-Regel wirkt da auch nicht... also ob das seitens UniFi so gewollt ist..
Hast du es mal mit ACLs auf der CLI-Bene probiert:
https://community.ubnt.com/t5/UniFi-Routing-Switching/Unifi-Security-Gat ...
https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-Advanced-USG-Con ...
https://community.ubnt.com/t5/EdgeSwitch/restrict-management-access/td-p ... (hier geht es zwar um einen EdgeRouter, aber wer weiss...)
Bitte warten ..
Mitglied: Atompiltz
18.06.2018 um 13:59 Uhr
Sorry - war mein Fehler.

Jetzt habe ich den Zugriff sperren können, indem ich die Regel richtig positioniere... Die bisherigen Regeln habe ich unter "LAN EINGEHEND" definiert... Den Zugriff auf die USG musste ich unter "LAN LOKAL" sperren. Dort habe ich nun paschal alle lokalen Netze "RFC1918" im Portbereich 80, 443 aus dem neuen Gastnetz kommend gesperrt. Wenn ich mich nicht nur auf die Ports 80, 443 beschränke, ist kein Internetzugang über das Netz mehr möglich... im Zweifel weil DNS Anfragen auch nciht mehr durchgehen.

Danke für deine hilfreichen Links!
Bitte warten ..
Mitglied: Atompiltz
18.06.2018 um 14:02 Uhr
SSH 22 habe ich gleich mal mit beblockt... der war noch offen...
Bitte warten ..
Mitglied: em-pie
LÖSUNG 18.06.2018, aktualisiert um 14:09 Uhr
Jetzt habe ich den Zugriff sperren können, indem ich die Regel richtig positioniere... Die bisherigen Regeln habe ich unter "LAN EINGEHEND" definiert... Den Zugriff auf die USG musste ich unter "LAN LOKAL" sperren. Dort habe ich nun paschal alle lokalen Netze "RFC1918" im Portbereich 80, 443 aus dem neuen Gastnetz kommend gesperrt. Wenn ich mich nicht nur auf die Ports 80, 443 beschränke, ist kein Internetzugang über das Netz mehr möglich... im Zweifel weil DNS Anfragen auch nciht mehr durchgehen.

Kann man ja (anhand von Logs) prüfen:
Erstelle zudem mal zwei Regeln:
Die erste lässt Port 53, sowie ICMP zu,
Die zweite sperrt alles andere.

Bin mir nicht sicher, aber ich vermute mal, dass auch die USG von UniFi eine "FirstMatchWins" STrategie an den Tag legt:
Wurde eine Regel angewendet, wird die FW-Engine nicht nochmal bemüht.
Du solltest in jedem Fall aber auch noch den Port 22 (SSH) sowie Port 23 (TELNET) blocken

Danke für deine hilfreichen Links!
Kein Ding

€dit:
1. Hau dem Support auf die FInger, die sollten soetwas wissen
2. 22 hast du ja dann schon gesperrt
Bitte warten ..
Mitglied: Atompiltz
18.06.2018 um 14:52 Uhr
Der Weg ist in der Tat noch einmal der Bessere. Ich habe nun ausschließlich DNS erlaubt, den Rest in einer 2ten Regel komplett gesperrt. Passt. Juhu ;)

Besten Dank und einen schönen Tag!
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Unifi Ac ac pro
Frage von mirocosmoLAN, WAN, Wireless18 Kommentare

Hallo Hab mir das 1 Unifi AP‑AC Pro und 2 Ubiquiti UAP-AC-M Wireless Access Point UniFi AP AC Mesh ...

LAN, WAN, Wireless
2 Router und Gastzugang
Frage von mautz001LAN, WAN, Wireless4 Kommentare

Hallo Leute, bin neu hier im Forum und habe mir gerade den kleinen Thread über PfSense und eines Captive ...

Router & Routing
Ubiquiti UAP-AC-PRO und IPSec
gelöst Frage von Reini82Router & Routing11 Kommentare

Hallo Leute, ich bin gerade ziemlich am verzweifeln. Ich setze Ubiquiti AccessPoints vom Typ UAP-AC-PRO ein. Unifi Controller ist ...

LAN, WAN, Wireless
Wlan mit Gastzugang
gelöst Frage von screptosLAN, WAN, Wireless12 Kommentare

Hallo, möchte in einen Freund Wlan mit Gastzugang einbauen, da er aber mit Internet sehr viel arbeitet ebay amazon ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 1 TagHumor (lol)4 Kommentare

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 1 TagExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 2 TagenErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 2 TagenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...

DSL, VDSL
Router Neustarts
Frage von XerebusDSL, VDSL16 Kommentare

Hallo an alle, ich hab eine Problem mit dem Neustart von meiner Fritz Box wo ich einfach nicht mehr ...

Netzwerke
Netzwerk-Architektur mit VLANs
Frage von niLuxxNetzwerke13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Ich werde in Kürze das Netzwerk unserer (sehr) kleinen Firma ...

Webbrowser
Neuer Tab Firefox
gelöst Frage von BleifussWebbrowser12 Kommentare

Hallo, via Strg + T öffnet man ja einen neuen Tab. Gibt es die Möglichkeit, dass der Tab sich ...