Sietova uloha - len pre odbornikov;o)
Popis problemu.
Mam siet s cca 400 zariadeniami. Polovicku z nich tvori "plebs", cize ludia z vyroby, ktory nemaju mat pristup na net. Kedze hesla neustale unikali a Radius a spol zase nechcu ako otravne spravil som kontrolu cez mac, cize na net sa dostanu len ludia z urciteho IP rozsahu, ti co maju ine sa na net nedostanu.
Problem je s guest ludmi, ktory dostavaju IP ako nezname zariadenia z rozsahu, ktory pristup na net nema. Navyse guest siet robi UAC s controlerom, takze tam neviem spustit routing. Zvysok siete zase tvori siet Motorol AP, ktore nemam pod spravou (trosku komplikovana situacia;o)).
Ako rozumne spravit, aby guestom z UAC siel net bez nutnosti zasahu zvonku? Uporoznujem, ze IP su este kontrolovane na hlavnej brane (MT), takze tam sa ti guesti vzdy zastavia.
Pro guesty vytvořit samostatnou VLAN.
Toto ma napadlo uz predtym, ale na UAP mi bezi klasicke SSID (rovnake ako u Motorol) a siet Guest bezi ako druha. Useri z UAP teda dostavaju IP z rovnakeho rozsahu ako useri z primarneho SSID. Jedine, zeby som sa vlanoval este aj priamo na UAP (s tym skusenosti nemam) a tak oddelil guestov od ludi z primarneho SSID. Povodne som totizto premyslal vlanovat len medzi MT a switchom (Zyxel) a vlanom tagovat vsetky packety prichadzajuce z daneho portu.
Cize podla teba vie UAP otagovat len guestov vlan tagom a ja ich uz len prepustim do siete? Ono totizto UAP blokuje guest packety uz na seba (tipujem arp-poisoning), takze som si neni isty akoby to cele islo.
Já to běžně řeším tak, že co Wifi síť, to separátní VLAN, nevidím důvod, aby to uhnijquity neumělo.
edit: aha - klasika...:
https://demo.ubnt.com/manage/site/default/settings/wlans/5a02217ce4b06f3afb5beebf/edit/5a022182e4b06f3afb5befa6
akorát si budeš muset správně nastavit switche.
Ano uz som si nasiel, ze priamo v guest menu stazi oznacit cislo vlan, takze uz len ukecavam zyxela nech pusta okrem normalnych packetov aj vlanoveske na porte 9;o).