Настройка гостевой сети на две подсети. Hotspot

[911]

Добрый день, коллеги!
Ситуация в следующем:
Возникла необходимость в расширении количества ip-адресов гостевой подсети (192.168.4.0/24). Создали новую подсеть (192.168.40.0/23), объединили со старой в супер область на DHCP-сервере. При заполнении пула старой подсети абоненты получают адреса из новой - тут все ок. На самом контроллере (версии 5.2.9 развернутом на сервере 2008R2) устройства с адресом 192.168.40.* отображаются, но при попытке открыть браузер на подключенном устройстве, гостевой портал для ввода ваучера не открывается. При подключении абонентов "руками" проблем нет, но это очевидно не рабочий вариант. С устройствами получившими адрес 192.168.4.* - проблем нет, все работает.
В локальной сети настроены vlan'ы, фаервол на микротике, все необходимые правила для новой подсети настроил аналогичным образом. Гостевая подсеть отделена от всех ресурсов локальной сети.
Коллеги, прошу Вашего совета, может кто-то из Вас сталкивался с подобной проблемой. Всю сеть настраивал сам и 2 года никаких проблем и сложных моментов не было.
Господа, прошу простить за сумбурное изложение сути проблемы. Знаю, что много технических нюансов не изложил. Если будет необходима дополнительная информация/скрины, готов предоставить.
Два дня колупаюсь. Может не обращаю внимание на какую-нибудь мелочь...
Временное решение - погасил контроллер и гостевая сеть пускает в интернет без портала авторизации.

 

[arastegaev]

сети разные SSID?
как вы их в контроллере прописываете?

 

[Seryoga]

с маршрутизацией проблемки, подсети друг друга скорее всего не видят, смотри route print.

 

[911]

Добрый день, коллеги.

сети разные SSID?
как вы их в контроллере прописываете?

SSID для этих областей одинаковый - guest

с маршрутизацией проблемки, подсети друг друга скорее всего не видят, смотри route print.

маршруты одинаковые для областей 4.1 и 40.1

 

[Seryoga]

ставь последнюю версию 5.5.20, контролер айпи статический? какую гостевую авторизацию используешь?
AngularJS?
Legacy JSP?
используешь ли https redirection? попробуй еще java обновить.

 

[911]

ставь последнюю версию 5.5.20, контролер айпи статический? какую гостевую авторизацию используешь?
AngularJS?
Legacy JSP?
используешь ли https redirection? попробуй еще java обновить.

Обновить контроллер в планах. Адрес статический. Авторизация через hotspot ваучерами.
Legacy JSP использую.
Редирект не использую.
Вариант обновить java хорош, т.к. еще давно обратил внимание, что на x64 ОС используется java от x32.
Сейчас буду пробовать и отпишусь.
Спасибо!

 

[911]

Обновление java до последней версии x64 хоть и было интересным занятием, но не помогло.
Господа, есть еще варианты (кроме, как обновить версию контроллера)?
Есть ли в данном ПО возможность одной SSID работать с разными областями DHCP?

 

[dimacbz]

Обновление java до последней версии x64 хоть и было интересным занятием, но не помогло.
Господа, есть еще варианты (кроме, как обновить версию контроллера)?
Есть ли в данном ПО возможность одной SSID работать с разными областями DHCP?

Суть вопроса не понятна. Вам не хватает адресов для клиентов, который выдает dhcp? Тогда используйте более емкий пул.

 

[911]

Суть вопроса не понятна. Вам не хватает адресов для клиентов, который выдает dhcp? Тогда используйте более емкий пул.

Создана супер область на dhcp сервере и адреса выдаются, проблема в том, что из 4-ой подсети при подключении к гостевой сети, редирект на гостевой портал для ввода ваучера происходит, а для 40-ой подсети - нет. Обе подсети объедены в супер область.

 

[dimacbz]

Создана супер область на dhcp сервере и адреса выдаются, проблема в том, что из 4-ой подсети при подключении к гостевой сети, редирект на гостевой портал для ввода ваучера происходит, а для 40-ой подсети - нет. Обе подсети объедены в супер область.

Это нужно в логах контроллера и вашего сервера смотреть. Я немного вас не понимаю. Если вам нужен Большой пул адресов, зачем изобретать велосипед? Диапазон адресов, например: 192.168.4.0-192.168.5.255 (префикс /23) - маска: 255.255.254.0 - на 500 компьютеров не хватит вам?
Создаете на вашем сервере VLAN 50 например и вешаете на него больший пул адресов. В настройках контроллера/сети - указываете данный VLAN 50. Все.

Может быть у вас не правильно маска сети была прописана на сервере. Приведенный пример выше, это пример "Бесклассовой адресации сети" на 510 хостов.

 

[911]

Это нужно в логах контроллера и вашего сервера смотреть. Я немного вас не понимаю. Если вам нужен Большой пул адресов, зачем изобретать велосипед? Диапазон адресов, например: 192.168.4.0-192.168.5.255 (префикс /23) - маска: 255.255.254.0 - на 500 компьютеров не хватит вам?
Создаете на вашем сервере VLAN 50 например и вешаете на него больший пул адресов. В настройках контроллера/сети - указываете данный VLAN 50. Все.

Может быть у вас не правильно маска сети была прописана на сервере.

Во-первых спасибо за обратную связь =)
Изменить маску 4-ой подсети возможности нет, т.к. 5-ая подсеть активно используется большим количеством специфического оборудования. Для расширения была создана 40-ая подсеть с 23 битной маской, как раз как вы советуете. Но не понятно почему устройства при подключении не попадают на гостевой портал. Вопрос стоит именно в возможности контроллера работать с одной супер областью dhcp на две подсети. Крайний вариант воспользоваться Wireshark'ом.

Отказываться от 4-ой подсети не спортивно. Вопрос приобрел статус политического.

 

[dimacbz]

Во-первых спасибо за обратную связь =)
Изменить маску 4-ой подсети возможности нет, т.к. 5-ая подсеть активно используется большим количеством специфического оборудования. Для расширения была создана 40-ая подсеть с 23 битной маской, как раз как вы советуете. Но не понятно почему устройства при подключении не попадают на гостевой портал. Вопрос стоит именно в возможности контроллера работать с одной супер областью dhcp на две подсети. Крайний вариант воспользоваться Wireshark'ом.

Отказываться от 4-ой подсети не спортивно. Вопрос приобрел статус политического.

Я не знаю как у вас настроено, но: 192.168.4.0/24 / 255.255.255.0 / 192.168.4.1 /// и 192.168.40.0/23 - будет маска подсети равная 255.255.254.0 и автоматом адресация 192.168.40.0-192.168.41.255 /// Адрес сети: 192.168.40.0/ Адрес 1-ого хоста: 192.168.40.1

Так как вы указали у 192.168.40.0 префикс /23, - то маска соответственно равна 255.255.254.0, а у вашей первой - другая. Я написал выше, как что сделать. Спортивно или нет - решать вам.

Интересный калькулятор бесклассовых сетей: http://www.subnet-calculator.com/cidr.php

 

[911]

Я не знаю как у вас настроено, но: 192.168.4.0/24 / 255.255.255.0 / 192.168.4.1 /// и 192.168.40.0/23 - будет маска подсети равная 255.255.254.0 и автоматом адресация 192.168.40.0-192.168.41.255 /// Адрес сети: 192.168.40.0/ Адрес 1-ого хоста: 192.168.40.1

Так как вы указали у 192.168.40.0 префикс /23, - то маска соответственно равна 255.255.254.0, а у вашей первой - другая. Я написал выше, как что сделать. Спортивно или нет - решать вам.

Интересный калькулятор бесклассовых сетей: http://www.subnet-calculator.com/cidr.php

Про битность я знаю и настроил подсети специально подобным образом. Я не могу понять в чем именно проблема? Почему я вижу на контроллере устройства из 4-ой и 40-ой подсетей, но корректная работа только на 4-ой? Так же руками в контроллере можно авторизовать устройство из 40-ой подсети. Доступ на страницу портала у меня проброшен из всех подсетей, если пробовать вводить руками в браузере.

 

[dimacbz]

Про битность я знаю и настроил подсети специально подобным образом. Я не могу понять в чем именно проблема? Почему я вижу на контроллере устройства из 4-ой и 40-ой подсетей, но корректная работа только на 4-ой? Так же руками в контроллере можно авторизовать устройство из 40-ой подсети. Доступ на страницу портала у меня проброшен из всех подсетей, если пробовать вводить руками в браузере.

Мне вот уже интересно становится =) Покажите как вы настроили DHCP сервер и сделали объединение. Покажите логи с контроллера и сервера при подключении к 4 и 40 подсетям. Покажите настройки контроллера, а именно: Guest Control и настройки самого SSID.

 

[dimacbz]

И еще. Попробуйте пропинговать адрес устройства из 192.168.40.0/23 подсети и обратно. Скорее всего пинги проходить не будут, соответственно, устройство, получившее адрес из подсети 192.168.40.0/23 пробует подгрузить портал гостевой сети с Контроллера, который находится в подсети 192.168.4.0/24 - но увы. Копать надо в маршрутизации или Guest Control - задав там разрешенные подсети и ip контроллера (например 192.168.4.155/24)
для пре-авторизации.

Я конечно не создавал "суперобластей", но мне кажется, что объединять сети с разными масками и префиксами нельзя.

После правильно сделанных всех манипуляций - заработать должно.

 

[911]

Мне вот уже интересно становится =) Покажите как вы настроили DHCP сервер и сделали объединение. Покажите логи с контроллера и сервера при подключении к 4 и 40 подсетям. Покажите настройки контроллера, а именно: Guest Control и настройки самого SSID.

Подскажите, пожалуйста, какой именно момент Вас так заинтересовал? Собрать подобную информацию потребуется время, сегодня постараюсь скинуть.

 

[911]

И еще. Попробуйте пропинговать адрес устройства из 192.168.40.0/23 подсети и обратно. Скорее всего пинги проходить не будут, соответственно, устройство, получившее адрес из подсети 192.168.40.0/23 пробует подгрузить портал гостевой сети с Контроллера, который находится в подсети 192.168.4.0/24 - но увы. Копать надо в маршрутизации или Guest Control - задав там разрешенные подсети и ip контроллера (например 192.168.4.155/24)
для пре-авторизации.

Я конечно не создавал "суперобластей", но мне кажется, что объединять сети с разными масками и префиксами нельзя.

После правильно сделанных всех манипуляций - заработать должно.

адрес гостевого портала (а так же хотспот менеджера) 192.168.0.100, все точки так же в 0-ой подсети. Все подсети, кроме 4-ой и 40-ой находятся в разных vlan'ах. Из гостевой сети доступа на локальные ресурсы (кроме гостевого портала) нет.
Дополню: на портал из 40-ой сети попасть можно, вбив руками ссылку "http://192.168.0.100:8880/guest/s/default"

 

[dimacbz]

адрес гостевого портала (а так же хотспот менеджера) 192.168.0.100, все точки так же в 0-ой подсети. Все подсети, кроме 4-ой и 40-ой находятся в разных vlan'ах. Из гостевой сети доступа на локальные ресурсы (кроме гостевого портала) нет.
Дополню: на портал из 40-ой сети попасть можно, вбив руками ссылку "http://192.168.0.100:8880/guest/s/default"

Как я уже писал выше:
Проверьте пинги: туда и обратно.
у 192.168.40.0 сделайте префикс /24 и маску 255.255.255.0 соответственно - после этого перезагрузите свой DHCP
Добавьте 192.168.4.0/24 / 192.168.40.0/24 - в Ghost Control

 

[911]

Как я уже писал выше:
Проверьте пинги: туда и обратно.
у 192.168.40.0 сделайте префикс /24 и маску 255.255.255.0 соответственно - после этого перезагрузите свой DHCP
Добавьте 192.168.4.0/24 / 192.168.40.0/24 - в Ghost Control

Я добавлял в пре-авторизацию обе подсети. Вариант изменить маску не пробовал - но я не понимаю, с чего вдруг контроллер избирательно поступает с устройствами которые получили настройки сети от dhcp сервера.

Не могу понять фразу "пинги туда и обратно"? Что именно пропинговать? С какого адреса, какой адрес?

 

[dimacbz]

Я добавлял в пре-авторизацию обе подсети. Вариант изменить маску не пробовал - но я не понимаю, с чего вдруг контроллер избирательно поступает с устройствами которые получили настройки сети от dhcp сервера.

Не могу понять фразу "пинги туда и обратно"? Что именно пропинговать? С какого адреса, какой адрес?

Pre-Authorization Access - это адрес контроллера
Post-Authorization Restrictions - доступ к сетям после прохождения авторизации (external & internal).

К примеру доходят ли пинги из 40 к контроллеру и обратно.

Если не получится - то отключите гостевую сеть и посмотрите - на 40 есть ли вообще интернет?

https://help.ubnt.com/hc/en-us/articles/115000166827-UniFi-Wireless-Guest-Network-Setup