UNIFI APs Guest Network Printer

rockwood

Cadet 4th Year
Registriert
Feb. 2016
Beiträge
67
Hallo zusammen,

Ich setze hier folgendes Setup ein, einen Edge Router Pro als DHCP/ DNS, sowie die Unifi AP HD als Accesspoints, diese manage Ich über einen Controller in der Cloud.

Ich würde sehr gerne für das Guest WIFI, die Anbindung an unseren Printer gewähren, sprich ausschlich für den Printer. Leider kann Ich über den Controller keinen weiteren DHCP konfigurieren, da natürlich kein direkter Router angebunden ist bzw. eine UNIFI Secure Gateway. Beispielsweise um ein VLAN zu generieren. Aktuell bekommen die Guest Clients vom EDGE Router zugewiesen und sind rein sowie Ich das verstehe virtuell vom General Netzwerk getrennt. (Obwohl keine öffentlich einsehbaren Firewall Regeln aktiv sind?)

Ist es hierbei möglich beispielsweise eine Firewall Regel zuerstellen für das durch routen des Printers? Wie würde diese ausschauen? Hat jemand hierbei Erfahrungen gemacht?


Vielen Dank
 
Wenn es sich dabei tatsächlich um ein "Guest Network" nach Ubiquiti Definition handelt, hast du vermutlich einfach das hier noch in der Standardkonfiguration aktiv:

2018-07-09_UAP_GuestControl.png


Suboptimal ist dabei leider, dass du die ACL nur als Blacklist und nicht als Whitelist pflegen kannst. Ist dein Drucker also im gleichen Adressbereich wie alles andere, wird's blöd...
 
Danke für deine Antwort. Es handelt sich aufjedenfall um ein Guest WIFI.
Den Punkt Post-Autorization Restrictions habe Ich nur das main network stehen.

Post-Autorization Restrictions: 10.0.0.0/8
 
Dieser ist natürlich in diesen Netzwerk (10.0.0.XX). Deshalb die Frage ob man durch diese Einschränkung trotzdem z.B. nur das drucken durch routen kann?
 
Genau das geht eben wie gesagt nicht so einfach.

Wenn es eine Whitelist wäre, könntest du dort nur die IP deines Druckers eintragen und das Thema wäre erledigt. Da es aber eine Blacklist ist, bleibt alles geblockt, was dort (einzeln oder als ganzes Netz) eingetragen ist.

Du kannst also dein gesamtes Netz nur dadurch "absperren" und gleichzeitig den Drucker im Guest WiFi erreichbar machen, indem du alle IPs aus deinem 10.0.0.0/8 dort einträgst (also gut 16 Mio.) und lediglich die IP deines Druckers nicht. Dass das natürlich nicht praktikabel ist, dürfte sofort einleuchten ;) Das sollte nur verdeutlichen, dass die Designentscheidung der Entwickler, hier kein Whitelisting anzubieten, nicht sonderlich gut war...

Ich habe bei mir sowieso einzelne Gerätetypen in eigenen (kleineren) Netzen bzw. VLANs. So bin ich in der Lage, z.B. 10.1.1.0/24 und 10.1.2.0/24 dort einzutragen und zu sperren, aber die 10.1.3.0/24 (in dem mein fiktiver Drucker stehen könnte) außen vor zu lassen und somit auch für Guest WiFi erreichbar zu machen.
 
Mein Problem ist jedoch, dass Ich es wie gesagt nicht mit einem Unifi Secure Gateway mache und die IP-Adressen demnach nicht verteilt werden. Sprich, eine DHCP Konfiguration über die Unifi Oberfläche bringt nichts. Wie oben geschrieben, ist der Unifi Controller in der Cloud. Vielleicht stehe Ich auch auf dem Schlauch.
 
rockwood schrieb:
Vielleicht stehe Ich auch auf dem Schlauch.
Ich denke nicht - die Funktion ist für das Szenario einfach nur nicht sauber implementiert.

Kurz gesagt:
  • Alles was in der Liste steht, wird geblockt fürs Guest WiFi.
  • Alles was nicht in der Liste steht, ist für Clients im Guest WiFi erreichbar.
  • Ist eine IP oder ein Netz in der ACL definiert, kannst du nicht "daran vorbei routen" - der Bereich ist und bleibt blockiert fürs Guest WiFi.
  • WIllst du eine einzelne IP eines Netzbereichs "freischalten" fürs Guest WIFi, musst du alle anderen IPs dieses Netzbereichs eintragen ...
  • ... oder das Guest WiFi komplett öffnen (also überhaupt nichts in der ACL eintragen).
Alternativ gibst du deinem Drucker eine (statische) IP Adresse in einem anderen Bereich, den du nicht in der ACL einträgst.

rockwood schrieb:
Sprich, eine DHCP Konfiguration über die Unifi Oberfläche bringt nichts.
Du solltest ja die DHCP Konfiguration auch dort vornehmen, wo sie stattfindet - also auf deinem DHCP Server.
 
Zurück
Oben