Решено Нужна помощь с интеграцией USG и настройкой гостевой сети

[Дмитрий_К]

Доброго дня. Очень прошу помощи разобраться с нуля как и что сделать. Имеется локальная сеть 193.168.1.0/24 через Mikrotik RB2011UAS (mipsbe), коммутатор UniFi Switch-8-60 и 3 функционирующие точки доступа UniFi AP-LR (как я понял, без настроенного VLAN), На складе есть еще один свободный комплект из 3 таких же точек доступа (для расширения уже имеющейся сети), коммутатор US-8-150, и шлюз USG 3P. На данный момент функционирующие точки доступа работают в дефолтном режиме, просто задан SSID и пароль по WPA-PSK. Необходимо разделить WiFi сеть на корпоративную для сотрудников и на гостевую (можно с подключением через СМС, либо иначе). Как интегрировать и настроить USG? Как настроить разные WiFi сети? Если требуются скриншоты, скажите какие разделы.

 

[dimacbz]

Доброго дня. Очень прошу помощи разобраться с нуля как и что сделать. Имеется локальная сеть 193.168.1.0/24 через Mikrotik RB2011UAS (mipsbe), коммутатор UniFi Switch-8-60 и 3 функционирующие точки доступа UniFi AP-LR (как я понял, без настроенного VLAN), На складе есть еще один свободный комплект из 3 таких же точек доступа (для расширения уже имеющейся сети), коммутатор US-8-150, и шлюз USG 3P. На данный момент функционирующие точки доступа работают в дефолтном режиме, просто задан SSID и пароль по WPA-PSK. Необходимо разделить WiFi сеть на корпоративную для сотрудников и на гостевую (можно с подключением через СМС, либо иначе). Как интегрировать и настроить USG? Как настроить разные WiFi сети? Если требуются скриншоты, скажите какие разделы.

1) У вас есть Микротик - зачем вам USG?
2) Зайдите на контроллер точек UNIFI и создайте дополнительную сеть (для гостей).
3) Если вам нужно авторизовать гостей в сети WIFI по закону, то существует несколько способов:
а) по паспорту (с каждого брать ксерокопию паспорта и выдавать ваучер - встроенная функция).
б) портал гос. услуг ЕСИА (можете арендовать сервис).
в) по мобильному номеру телефона (можете арендовать или приобрести без аренды на неограниченный срок действия, например: http://www.ubnt.su/forum/threads/wifi-sms-avtorizacija-identifikacija.5902/ )

 

[Дмитрий_К]

1) У вас есть Микротик - зачем вам USG?

USG как бы есть, не выкидывать же потраченные деньги. Извиняюсь, скажем так - для отчетности в документах, что он установлен, как бы банально это не звучало

в) по мобильному номеру телефона (можете арендовать или приобрести без аренды на неограниченный срок действия, например: http://www.ubnt.su/forum/threads/wifi-sms-avtorizacija-identifikacija.5902/ )

Такой вариант интересен.
А конкретно по USG. Пробно подключал его к порту микротика. Контроллер UniFi его увидел, но вот настроить не получилось. Каждый раз при применении настроек высвечивалась красным цветом надпись "Adoption Failed"!. Получение адреса было выставлено по умолчанию (DHCP), пытался сменить на статический.

 

[dimacbz]

USG как бы есть, не выкидывать же потраченные деньги. Извиняюсь, скажем так - для отчетности в документах, что он установлен, как бы банально это не звучало

Такой вариант интересен.
А конкретно по USG. Пробно подключал его к порту микротика. Контроллер UniFi его увидел, но вот настроить не получилось. Каждый раз при применении настроек высвечивалась красным цветом надпись "Adoption Failed"!. Получение адреса было выставлено по умолчанию (DHCP), пытался сменить на статический.

Пример:

• Микротик выступает в роли "главного роутера" и имеет подсеть 192.168.0.0/24
• USG выступает в роли "вторичного роутера" и имеет подсеть 192.168.1.0/24 (по большому счету он не нужен)
• Настройте маршрутизацию между этими роутерами, чтобы хосты пинговались с обеих подсетей (если нужен в сети USG)
• От Микроика отходят провода и далее идут на Неуправляемые свичи - далее на UNIFI тарелки
• Тарелки получают ip адреса из подсети Микротика 192.168.0.0/24
• В контроллере создайте новую WIFI сеть с названием "Guests" для гостей и укажите например VLAN 50
• Создайте на Микротике VLAN 50 /// DHCP сервер с подсетью 192.168.50.0/24 и привяжите его к VLAN 50
• Теперь гости, которые подключены к WIFI сети "Guests" - будут получать адреса из подсети 192.168.50.0/24
• Далее переходите в настройки Фаервола Микротика и создаёте правила, которые запретят коннект Гостей в вашу корпоративную сеть:

add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.50.0/24
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.50.0/24

 

[Дмитрий_К]

От Микроика отходят провода и далее идут на Неуправляемые свичи - далее на UNIFI тарелки

То есть USG не обязательно втыкать между микротиком и свитчом?

Настройте маршрутизацию между этими роутерами, чтобы хосты пинговались с обеих подсетей (если нужен в сети USG)

Если не трудно, можно подробнее.

 

[fAntom]

Если Вы хотите полноценно использовать USG, то Вам понадобится UniFi Controller. Можете установить его на любую машину (как ПО - бесплатно), либо приобрести UniFi Cloud Key. В таком случае USG должен быть включен между входящим проводом и дальнейшим свичем.

 

[Дмитрий_К]

Если Вы хотите полноценно использовать USG, то Вам понадобится UniFi Controller. Можете установить его на любую машину (как ПО - бесплатно), либо приобрести UniFi Cloud Key. В таком случае USG должен быть включен между входящим проводом и дальнейшим свичем.

UniFi контроллер установлен на сервере с WinServ2008R2. Как я писал выше, к контроллеру подключен US-8-60 и 3 тарелки. Сегодня пробно подключил новый USG, контроллер его "увидел" с адресом 192.168.1.1. Попытался сменить на статический своей подсети, но USG почему то принял адрес Микротика, хотя в я прописывал совершенно другой статический адрес. Поэтому я его отключил, и решил искать правды на форуме

 

[fAntom]

Весьма странно, но у микротика бывает перехват управления, при отказе основного. Попробуйте напрямую подключить к ПК и заново задать настройки, потом всё-таки USG поставить до микротика, от входящей линии.

 

[Дмитрий_К]

Весьма странно, но у микротика бывает перехват управления, при отказе основного. Попробуйте напрямую подключить к ПК и заново задать настройки, потом всё-таки USG поставить до микротика, от входящей линии.

не хотелось бы трогать настройки Микротика. Попробую напрямую USG-ПК подключить, настроить, потом поставить за микротиком.

 

[fAntom]

Если есть возможность - отпишитесь в этой теме.

 

[Дмитрий_К]

Если есть возможность - отпишитесь в этой теме.

Напрямую от ПК настраивается прекрасно. Перенес в серверную, подключил к микротику, опять не хочет, принимает адрес самого микротика и ни в какую.

 

[Дмитрий_К]

И снова доброго дня. Что имею на данный момент: USG подключен к рабочему ПК с установленным на него контроллером. Все работает. При переносе USG к месту установки и попытке подключения к микротику, заданный адрес на USG меняется на адрес Микротика и снова Adoption failed. Какие настройки необходимо произвести на USG, чтобы он стал проходным роутером, а не основным?

 

[dimacbz]

И снова доброго дня. Что имею на данный момент: USG подключен к рабочему ПК с установленным на него контроллером. Все работает. При переносе USG к месту установки и попытке подключения к микротику, заданный адрес на USG меняется на адрес Микротика и снова Adoption failed. Какие настройки необходимо произвести на USG, чтобы он стал проходным роутером, а не основным?

DHCP client должен быть настроен на WAN порту USG.

Как должно выглядеть на деле:
(!!!КАК ПРИМЕР!!!)
1) Интернет ---> Mikrotik (dhcp server 192.168.1.0/24) ---> USG (получает например от Микротика ip 192.168.1.2 --- + на нём запущен тоже DHCP server 192.168.2.0/24 --- соответственно после USG всё оборудование будет получать ip из диапазона 192.168.2.2 - 192.168.2.254)
2) На USG можно указать шлюзом Микротик 192.168.1.1 и dns + не делать на нём DHCP сервер - соответственно все клиенты после USG будут получать ip из диапазона 192.168.1.3 - 192.168.1.254, а USG будет как "проходной" роутер.

И всё ровно я не понимаю, зачем делать такой "балаган"? "Спишите" USG просто или используйте в будущей сети. USG по сути нужен для DPI

 

[Дмитрий_К]

DHCP client должен быть настроен на WAN порту USG.
2) На USG можно указать шлюзом Микротик 192.168.1.1 и dns + не делать на нём DHCP сервер - соответственно все клиенты после USG будут получать ip из диапазона 192.168.1.3 - 192.168.1.254, а USG будет как "проходной" роутер.

Сделал именно так, как в Вашем 2-м пункте. Теперь все устройства на контроллере отображаются как отключенные "Disconnected".

 

[dimacbz]

Сделал именно так, как в Вашем 2-м пункте. Теперь все устройства на контроллере отображаются как отключенные "Disconnected".

Правильно. А ip контроллера какой был до этого? И в какой подсети были и сейчас находятся точки? Может точки в одной подсети, а контроллер в другой.

 

[Дмитрий_К]

Правильно. А ip контроллера какой был до этого? И в какой подсети были и сейчас находятся точки? Может точки в одной подсети, а контроллер в другой.

ip на контроллере менял. Указывал и IP USG и IP Микротика - на выходе 0. Сейчас стоит IP Микротика, и в таком варианте почему то из 3 AP активны 2 из них, хотя по факту работают все 3. Теперь не пойму, в чем причина.

 

[Дмитрий_К]

Решил последовать совету, убрать USG до лучших времен. Оставил как было, добавил USW и 3 AP, все работает. Единственное напоследок хотел спросить, чтобы все 6 точек были бесшовными, нужно установить галку на Zero-Handoff?

 

[fAntom]

Да, нужно установить галку на Zero-Handoff.