atompiltz
Goto Top

Unify USG - Unify AC-Pro - 2 Gastzugänge mit und ohne Gästeportalanmeldung

Hallo zusammen,

folgende Konstellation läuft bei mir. An einem Unify USG samt CloudKey laufen derzeit 3 AC-Pro Accesspoints.

Es werden aktuell 2 WLANs/SSIDs bereitgestellt. Ein WLAN vom Typ "Unternehmen" und ein Gäste-WLAN mit Gästeportal-Anmeldung (ohne Passwort, nur mit Zustimmung der Nutzungsbedingungen). Jedes WLAN hat seinen eigenen IP Bereich und bekommt diesen auch zuverlässig mitgeteilt.

Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast". Dadurch sollten entsprechend keine lokalen IPs vom Nutzer aufgerufen werden können.
Sobald das Netz allerdings den Verwendungstyp "Gast" bekommen hat, wird mir jedes mal die Gästeportalseite angezeigt... obwohl ich den Haken beim WLAN ja rausgenommen habe.

Gibt es hier einen Trick?

Grundsätzliches Ziel soll eigentlich sein, dass das WLAN mit PSK läuft aber den selben Einschränkungen des vordefinierten Gästenetzes unterliegt - also keine lokalen Adressen eingesehen werden können und solsche Späße.

Hat hier jemand eine Idee für mich?

Vielen Dank.

Content-Key: 377034

Url: https://administrator.de/contentid/377034

Ausgedruckt am: 28.03.2024 um 09:03 Uhr

Mitglied: goscho
goscho 14.06.2018 um 14:21:38 Uhr
Goto Top
Mahlzeit,

erstelle doch ein weiteres WLAN und pack dies in ein anderes VLAN und lass kein Routing zwischen diesem und den anderen VLANs zu.
Mitglied: Atompiltz
Atompiltz 14.06.2018 um 14:45:02 Uhr
Goto Top
Hallo!

Vielleicht verstehe ich dich falsch (danke erst einmal für den Vorschlag). Das zusätzliche Gastnetz ist eine eigene SSID mit einem neuen VLAN. Wo kann ich das Routing verhindern? Ich nutze übrignes keinen Unifi Switch...

Viele Grüße
Mitglied: goscho
goscho 14.06.2018 um 15:30:58 Uhr
Goto Top
Zitat von @Atompiltz:

Hallo!

Vielleicht verstehe ich dich falsch (danke erst einmal für den Vorschlag). Das zusätzliche Gastnetz ist eine eigene SSID mit einem neuen VLAN. Wo kann ich das Routing verhindern? Ich nutze übrignes keinen Unifi Switch...
VLAN-fähige Switches sind vorhanden?
Standardmäßig wird zwischen den VLANs nicht geroutet, das muss erst (im Router, Layer3 Switch) eingeschaltet werden.
Mitglied: Atompiltz
Atompiltz 14.06.2018 um 15:41:51 Uhr
Goto Top
Hi,

noch hängt ein simpler d-link Switch in der Mitte... face-sad
Mitglied: goscho
goscho 14.06.2018 um 15:44:56 Uhr
Goto Top
auch DLink hat VLAN-Switches
Mitglied: Atompiltz
Atompiltz 14.06.2018 um 15:51:48 Uhr
Goto Top
;) das stimmt, aber der jetzt kann leider nichts - nicht management fähig.
Mitglied: maretz
maretz 15.06.2018 um 07:08:13 Uhr
Goto Top
Naja - ohne VLAN und/oder Firewall wird das wohl nix... du musst aber ja jetzt auch schon irgendwie den Geräten sagen das es ausm Gast-Netz keinen Zugriff aufs Unternehmensnetz gibt. Oder du machst das per simpler IP-Trennung, was aber m.e. fatal wäre...

Und wenn du irgendeine Firewall hast dann kannst du da drin ja sagen welches Netz wie mit welchem Netz sprechen darf (oder eben nicht).
Mitglied: em-pie
em-pie 15.06.2018 aktualisiert um 10:16:56 Uhr
Goto Top
Moin,

Ihr setzt Fake-Produkte ein!!!!!
Daher solltest du deinen von dir gekauften Unify-AP gegen einen UniFi austauschen, wer weiss, was noch alles an dem Gerät nicht mit dem Original übereinstimmt.

Warum ich darauf komme?
Unify baut TK-Anlagen/ -Komponenten und labelt Gigaset-Endgeräte um und bespielt diese mit einer eigenen Firmware. Deswegen wundert es mich nicht face-wink
UniFi indes ist eine Produkreihe des Hersteller Ubiquiti

Komischerweise kriegen das hier aber viele nicht sauber differenziert face-confused


Ansonsten schreibst du ja bereits:
Nun möchte ich ein weiteres GÄSTE-WLAN hinzufügen mit PSK aber OHNE Gästeportal-Anmeldung. Dieses Netz habe ich unter "Dratlosnetzwerke" entsprechend angelegt, den Haken bei WPA Personal gesetzt und den Haken bei "Gastrichtlinie" nicht gesetzt.
Unter "Netzwerke" habe ich ein weiteres Netz angelegt mit eigenem IP Bereich, VLAN und Verwendungstyp "Gast".

Demnach gehe ich davon aus, dass ihr bereits an allen Switchen das physische Netz in mehrere virtuelle aufteilen könnt und das "alte" Gästenetz ebenfalls in einem eigenem VLAN hängt, welches an der Firewall (oder des CoreSwitches) an einem eigenen (virt.) Anschluss terminiert wird.

Solltet ihr kein VLAN außerhalb des UniFi-APs haben: Vergiss dein Vorhaben. Dann kannst du es direkt sein lassen, weil du die Netze nicht sauber getrennt bekommst. Du trennst dann vielleicht auf IP-Ebene (Layer3), aber auf ETHERNET-EBene (Layer2) sehen sich weiterhin alle Geräte, was spätetestens beim EInsatz von DHCP nach hinten los gehen wird: https://www.google.com/search?q=DHCP+Process
Außer, der AP hat >1 NIC, sodass jede NIC mit einem eigenen WLAN verknüpft ist und ihr so alles auf physischer Ebene trennt...


Gruß
em-pie
Mitglied: Atompiltz
Atompiltz 18.06.2018 um 12:18:35 Uhr
Goto Top
Hallo!

Naja, wir setzten das Unify Security Gateway (USG) ein, dass die WLAN Netze steuert. Die Managementoberfläche läuft über den Unify Cloudkey.

Das USG stellt einen IP Bereich 192.168.1.x für das "Unternehmens"-Netz per DHCP bereit. Ebenso für das Gäste-WLAN mit Anmeldeportal als VLAN "2" mit eigenem IP Bereich 192.168.2.x (auch vom USG verteilt) und eben das neue Netz im VLAN 3 und eigenem IP Bereich 192.168.3.x (auch vom USG). Das "Gäste-WLAN" wird seitens des USG schon von Haus getrennt und stellt nur HTTP/S und POP/SMTP/IMAP bereit. Zugriff auf lokale Netze "RFC1918", VPN etc. sind gesperrt.

Das einzige, was ich jetzt über die USG nicht gesperrt bekomme ist, wenn ich im neuen WLAN mit PSK arbeite, dass die User auf die Anmeldeoberfläche der USG per IP kommen.. in diesem Beispiel 192.168.3.1. Beim Gästenetz mit Anmeldeportal ist das geblockt.

Nach Rücksprache mit dem Chat von Unify ist das leider auch nicht möglich. Man verweist mich immer darauf, das Netz als Typ "Gast" zu deklarieren... Dann ist es geblockt, der User bekommt aber das Anmeldeportal vorgeschaltet... was in dem Fall aber nicht soll ^^...
Mitglied: em-pie
em-pie 18.06.2018 um 12:38:43 Uhr
Goto Top
Zitat von @Atompiltz:

Hallo!

Naja, wir setzten das Unify Security Gateway (USG) ein, dass die WLAN Netze steuert. Die Managementoberfläche läuft über den Unify Cloudkey.
Bezweifle ich, da Unify noch immer keines solcher Produkte im Portfolio hat!!!
Und falls ihr immernoch das UniFi meint, warum habt ihr es eingesetzt und jetzt nicht mehr? Was läuft da stattdessen nun?

Das USG stellt einen IP Bereich 192.168.1.x für das "Unternehmens"-Netz per DHCP bereit. Ebenso für das Gäste-WLAN mit Anmeldeportal als VLAN "2" mit eigenem IP Bereich 192.168.2.x (auch vom USG verteilt) und eben das neue Netz im VLAN 3 und eigenem IP Bereich 192.168.3.x (auch vom USG). Das "Gäste-WLAN" wird seitens des USG schon von Haus getrennt und stellt nur HTTP/S und POP/SMTP/IMAP bereit. Zugriff auf lokale Netze "RFC1918", VPN etc. sind gesperrt.
Klingt, als hättet ihr 'nen Wizard eingesetzt und wisst gar nicht, wass die USG eigentlich im Hintergrund macht.

Das einzige, was ich jetzt über die USG nicht gesperrt bekomme ist, wenn ich im neuen WLAN mit PSK arbeite, dass die User auf die Anmeldeoberfläche der USG per IP kommen.. in diesem Beispiel 192.168.3.1. Beim Gästenetz mit Anmeldeportal ist das geblockt.

Nach Rücksprache mit dem Chat von Unify ist das leider auch nicht möglich. Man verweist mich immer darauf, das Netz als Typ "Gast" zu deklarieren... Dann ist es geblockt, der User bekommt aber das Anmeldeportal vorgeschaltet... was in dem Fall aber nicht soll ^^...
Wundert mich auch hier nicht. DU hast mit einem TK-Hersteller gechattet. Warum sollten die dir mit deinem Netzwerk helfen können?


Ich verstehe dein/ euer Problem nicht.

So schwer ist das doch nicht
Mitglied: Atompiltz
Atompiltz 18.06.2018 um 13:18:19 Uhr
Goto Top
Hallo em-pie,

jetzt sehe ich was du mit Unify / UniFi meinst... da war ich beim Schreiben jetzt nicht ganz Korrekt... Wir setzen komplett Geräte von UniFi (Ubiquiti) ein (abgesehen vom simplen Switch)... das generell zur Klärung. Somit habe ich auch selbstverständlich mit dem korrekten Support geschrieben.

Einen Wizard habe ich nicht eingesetzt, wohl schon die Benutzeroberfläche, die mir ja zur Konfiguartion der Geräte angeboten wird.

Die von dir angesprochene Firewall-Regel habe ich - siehe meinen letzten Beitrag - habe ich bereits eingerichtet. geht soweit auch, abgesehen davon, dass eben das USG erreicht werden kann.

Nach Rücksprache mit dem Chat ist das wohl auch so. Eine expliziete auf das USG Interface gerichtete Firewall-Regel wirkt da auch nicht... also ob das seitens UniFi so gewollt ist..
Mitglied: em-pie
Lösung em-pie 18.06.2018 um 13:29:37 Uhr
Goto Top
Zitat von @Atompiltz:

Hallo em-pie,

jetzt sehe ich was du mit Unify / UniFi meinst... da war ich beim Schreiben jetzt nicht ganz Korrekt... Wir setzen komplett Geräte von UniFi (Ubiquiti) ein (abgesehen vom simplen Switch)... das generell zur Klärung. Somit habe ich auch selbstverständlich mit dem korrekten Support geschrieben.
OK, dann kam meine MEssage ja an face-smile
Einen Wizard habe ich nicht eingesetzt, wohl schon die Benutzeroberfläche, die mir ja zur Konfiguartion der Geräte angeboten wird.
OK.
Die von dir angesprochene Firewall-Regel habe ich - siehe meinen letzten Beitrag - habe ich bereits eingerichtet. geht soweit auch, abgesehen davon, dass eben das USG erreicht werden kann.
Konnte man nicht einduetig entnehmen, nur dass es dir "irgendwie" gelungen ist, den Traffic fast komplett zu limiteren...
Wie sah denn die FW-Regel aus? Habt ihr nur auf Layer3 de VErsuche unternommen oder seid ihr auch mal in Layer4 gegangen und habt z.B. die TCP-Ports 22, 80, und 443 geblockt?

Nach Rücksprache mit dem Chat ist das wohl auch so. Eine expliziete auf das USG Interface gerichtete Firewall-Regel wirkt da auch nicht... also ob das seitens UniFi so gewollt ist..
Hast du es mal mit ACLs auf der CLI-Bene probiert:
https://community.ubnt.com/t5/UniFi-Routing-Switching/Unifi-Security-Gat ...
https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-Advanced-USG-Con ...
https://community.ubnt.com/t5/EdgeSwitch/restrict-management-access/td-p ... (hier geht es zwar um einen EdgeRouter, aber wer weiss...)
Mitglied: Atompiltz
Atompiltz 18.06.2018 um 13:59:37 Uhr
Goto Top
face-smile Sorry - war mein Fehler.

Jetzt habe ich den Zugriff sperren können, indem ich die Regel richtig positioniere... Die bisherigen Regeln habe ich unter "LAN EINGEHEND" definiert... Den Zugriff auf die USG musste ich unter "LAN LOKAL" sperren. Dort habe ich nun paschal alle lokalen Netze "RFC1918" im Portbereich 80, 443 aus dem neuen Gastnetz kommend gesperrt. Wenn ich mich nicht nur auf die Ports 80, 443 beschränke, ist kein Internetzugang über das Netz mehr möglich... im Zweifel weil DNS Anfragen auch nciht mehr durchgehen.

Danke für deine hilfreichen Links!
Mitglied: Atompiltz
Atompiltz 18.06.2018 um 14:02:49 Uhr
Goto Top
SSH 22 habe ich gleich mal mit beblockt... der war noch offen...
Mitglied: em-pie
Lösung em-pie 18.06.2018 aktualisiert um 14:09:38 Uhr
Goto Top
Jetzt habe ich den Zugriff sperren können, indem ich die Regel richtig positioniere... Die bisherigen Regeln habe ich unter "LAN EINGEHEND" definiert... Den Zugriff auf die USG musste ich unter "LAN LOKAL" sperren. Dort habe ich nun paschal alle lokalen Netze "RFC1918" im Portbereich 80, 443 aus dem neuen Gastnetz kommend gesperrt. Wenn ich mich nicht nur auf die Ports 80, 443 beschränke, ist kein Internetzugang über das Netz mehr möglich... im Zweifel weil DNS Anfragen auch nciht mehr durchgehen.

Kann man ja (anhand von Logs) prüfen:
Erstelle zudem mal zwei Regeln:
Die erste lässt Port 53, sowie ICMP zu,
Die zweite sperrt alles andere.

Bin mir nicht sicher, aber ich vermute mal, dass auch die USG von UniFi eine "FirstMatchWins" STrategie an den Tag legt:
Wurde eine Regel angewendet, wird die FW-Engine nicht nochmal bemüht.
Du solltest in jedem Fall aber auch noch den Port 22 (SSH) sowie Port 23 (TELNET) blocken

Danke für deine hilfreichen Links!
Kein Ding

€dit:
1. Hau dem Support auf die FInger, die sollten soetwas wissen
2. 22 hast du ja dann schon gesperrt face-smile
Mitglied: Atompiltz
Atompiltz 18.06.2018 um 14:52:04 Uhr
Goto Top
Der Weg ist in der Tat noch einmal der Bessere. Ich habe nun ausschließlich DNS erlaubt, den Rest in einer 2ten Regel komplett gesperrt. Passt. Juhu ;)

Besten Dank und einen schönen Tag!