Ограничить доступ клиентов WiFi к сети

[Striker]

Доброго дня, друзья!

Направьте в правильное русло )), необходимо пользователей подключающихся к WiFi переадресовать на страницу с вводом логина пароля, в случае правильной авторизации пускать в сеть, но с ограничением к доступу на ресурсы, в теории понимаю как организовать задуманное, но надо сейчас спланировать задумку на схеме перед реализацией. Итак:
На схеме представлена следующая организация взаимодействия UniFI, 3 точки доступа подключаю в коммутатор L3 выделяю отдельный vlan для точек доступа для контроллера (он уже установлен на базе debian) и для USG pro, в этот же vlan 10 в коммутаторе подключаю usg порт LAN1 и контроллер. Далее на контроллере настраиваю гостевой портал, страницу авторизации, активирую на USG радиус сервер прописываю пользователя. На USG порт WAN подключаю в основную ККС (vlan15). При подключении юзера он попадает на страницу авторизации, далее при верном логине попадает в сеть в vlan 10.

Вот далее какие мои действия? на сколько я понимаю, мне необходимо в USG через контроллер настроить маршрутизацию из vlan10 в vlan15 и мне так же надо чтоб все пользователи могли попасть только на один адрес в сети vlan15 это 192.168.10.200 и порт 889 и все, больше никуда не могли попасть. Наведите на мысль как бы вы организовали все это?

 

[fAntom]

Для начала, если у Вас 6 версия unifi controller'a (не суть как он сейчас называется), переключитесь на классический интерфейс, тогда Вам помогут многие советы и на форуме и от производителя.

 

[Striker]

Уже переключил, работаю в классическом интерфейсе.

 

[Striker]

USG pro только вот приобрели. До него настраивал связку, unifi ap, controller, freeradius. Без всяких Vlan все в одной сети. Настроил значит гостевой портал, настроил авторизацию через radius. В вкладке беспроводных сетей в нижней части меню указал какая сеть доступна до авторизации и какая после. Ну тоесть до авторизации указал доступ только к freeradius и controller, после авторизации к основной сети. Так вот если я подключаюсь и на страинице авторизации ничего не ввожу, просто сворачиваю экран с вводом логина пароля, то вся сеть доступна, игнор указанных правил.

 

[fAntom]

На форуме и в советах производителя, вроде все варианты перебирались (советы производителя: https://help.ui.com/hc/en-us/categories/200320654). И обратите внимание, что в каждом разделе, есть ссылка на его полное раскрытие тем (извините, не все замечают её). И ещё раз посмотрите по форуму, тем более Вы только, что начали с ним работать?
P.S. С CLI- Command Line Interface - аналог в данном случае линкуса (в ubiqiti есть разные вариации, основная текущая на основе debian).

 

[Striker]

В советах производителя, конечно базовые вещи описаны, по схеме вроде "нажми сюда, сюда" и все вся настройка, ну а ссылки на так называемые более полное раскрытие темы приводят к "Oops" страницы не существует )). В частности заинтересовал раздел UniFi - Guest Portal and Hotspot System
Но того что нужно так и не нашел. В целом реализовал я свою схему, ТД, контроллер, USG лан1 портом смотрят в нужный vlan, то есть внутри своей сети вертится вся эта инфраструктура. Настраиваю я значит гостевой портал с авторизацией по RADIUS. Сам радиус поднимаю на USG прописал пользователя пароль, настроил WiFi выбрал apply guest policies, В Guest Control выбрал Enable guest portal. Настроил все как на скрине.

При подключении пользователь указывает статический ip адрес из диапазона в котором работает wifi сеть шлюзом указывает usg. Подключается и... не происходит никакого редиректа на страницу авторизации, в сеть пользователь вошел и может пользоваться ресурсами сети.

Вот что с этим порталом делать.

 

[fAntom]

С гостевым порталом сложнее, вот недавняя тема: http://www.ubnt.su/forum/threads/princip-raboty-avtorizacii-gostej.9691/#post-50918 и таких тем по форуму много, нажмите на тег вверху темы, увидите список. Да и параметры (работа) гостевой сети отличаются от корпоративной с авторизацией.

 

[Striker]

В общем этот гостевой портал работает только когда есть доступ в интернет на роутере. Как только я отключаю интернет, никакого редиректа и гостевого портала не будет. Просто устройства пишут интернет не доступен. Как это все выяснил:

ставлю заново последнюю версию контроллера на линуксе, обновляю точки до последней версии прошивки. Настраиваю сеть следующим образом. В виде роутера USG лан порт подключен в сеть где точки доступа и контроллер, настроен DHCP. WAN порт соответственно в сеть где есть инет. Настраиваю captive портал, выбираю для теста ваучер или вход по паролю гостя. Применяю настройки. Сеть гостевая доступна.
Ок. Подключаюсь с мобильных устройств все отлично появляется, страничка авторизации, юзер вводит пароль, получает доступ в сеть. НО! как только вынимаю кабель с WAN порта. Клиенты подключаются к сети, и никакого гостевого портала не видят, просто сообщение интернет может быть не доступен и тупо подключаются к сети без ввода пароля на портале. Отличненько че )))). Как эту тряхомудию заставить работать без инета.

 

[fAntom]

Есть темы на форуме, где похожая проблема, blackview не могут, хоть и основаны на андроиде, не могут подключится, если нет подключения сети к интернету. Возможно у Вас та же самая проблема. Скорее баг в ПО. Именно связано с отсутствием связи с интернетом.