Guest network isolata

[sartots]

Buonasera a tutti.

Mi trovo davanti ad una struttura che ha installato n. 5 Unifi-AP per l'accesso ad Internet via WiFi.

Gli stessi sono collegati ad un comune Switch D-Link (allo stato attuale non conosco ancora il modello)

In cascata abbiamo un Router Asus RT-AC1200GPLUS che gestisce il DHCP, Firewall ecc ecc al quale è collegato un pc-desktop, un POS Lan, un sistema DVR, ed un miniserver al cui interno è stato installato il programma del Controller UniFi e gestito il GuestPortal di UniFi.

Il router poi è collegato via DMZ ad una Vodafone Station.

Gli AP sono configurati con due SSID uno per rete Guest e uno Privata.

Allo stato attuale la rete Guest, oltre che accedere al GuestPortal per l'accesso tramite Voucher, limita solo la banda in base alle configurazioni settate nel software di Controller.

Mi è stato chiesto se è possibile rendere la rete guest isolata in maniera tale che qualche mal intenzionato non acceda ai dispositivi collegati in LAN ed utilizzati per il lavoro (Pc Desktop, MiniServer, POS, DVR).

Mi verrebbe in mente di creare delle VLAN separate, ma probabilmente lo/gli switch presenti non credo abbiano tali funzioni.

Cosa mi consigliate, e come procedere ??
Grazie mille.

Allego immagine della rete inviata, calcolando che a parte il ponte DMZ tutto il resto ha stessa Subnet e Gateway (192.168.1.1) che corrisponde al Router Asus.

[redfive]

Sicuramente, la cosa migliore, sarebbe quella di utilizzarre le VLANs, se non è possibile, comunque, dichiarando la rete come guest, vengono aggiunte delle regole firewall direttamente negli APs (relative alle athX's della rete guest) che impediscono l'accesso a tutte le reti private (sono consentiti l'accesso al controller, per il guest portal, pacchetti DHCP e DNS), puoi vedere collegandoti ad un AP via SSH, e dando il comando

Codice: Seleziona tutto

ebtables -t nat -L

Inoltre, da Settings, Wireless Networks, edita il guest SSID, e spunta 'Block LAN to WLAN Multicast and Broadcast Data'
ciao

[sartots]

Grazie per la risposta, proverò le cose da te descritte.

Deduco che ovviamente qualsiasi guest potrà avere accesso al miniserver che contiene il GuestPortal, e ciò non è che mi piaccia molto in quanto lo stesso gestisce un server SQL ed altre cose.
Per isolare la cosa sarebbe meglio una UC-CK vero?

Allo stato attuale, nonostante sia stata abilitata una rete guest, nelle configurazioni Access Control sia il Pre che il Post-Autorization non sono compilati.
Siccome è la prima volta che uso UNIFI và dichiarato qualcosa per poter procedere a quanto sopra da me richiesto?
Inoltre anche nella sezione Firewall non sono presenti regole attive.

[redfive]

'Pre-Authorization Access' lascialo in bianco, in 'Post-Authorization Restrictions' và dichiarato l'intero spazio RFC1918 (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16), le regole create per la rete guest, consentono l'accesso all'ip del controller, sulle porte tcp 8880 e 8843 (quelle dove è in ascolto il CP).
ciao

[sartots]

Come dicevo allo stato attuale non esiste alcuna regola nel Firewall.

Sapendo che il server ha indirizzo IP 192.168.1.10 e che il router/gateway è 192.168.1.1 come dovrei configurare?
L'interfaccia del Controller mi è un po ostica.

[redfive]

Parlo di regole firewall aggiunte in automatico negli APs quando un SSID viene dichiarato come 'guest', anche perchè, con un unico domino di broadcast, gli hosts non passano 'attraverso' il firewall per comunicare tra di loro in L2. Connetti via SSH ad un AP e dai
ebtables -t nat -L
e le vedrai.
ciao

[sartots]

Ho seguito tutte le tue istruzioni, e connettendomi alla rete guest non vedo i dispositivi della lan.
Grazie mille, è ciò che cercavamo.

Nonostante le istruzioni via SHH, che da responso hanno funzionato, nella maschera regole Firewall del controller non appare nulla.
Ti dirò, poco male perchè comunque funziona.

Purtroppo il GuestPortal non funziona, leggevo qui sul forum potrebbe essere un problema di Java.
Sai darmi info, o megli oche apra una nuova discussione?
E' stata effettuata una nuova installazione con recupero dei dati da backup.

Grazie mille.