@wjb Het enige dat je zou hoeven instellen is een vinkje bij guest policy. Dat staat uiteraard aan.
Ik kan geen andere instellingen vinden die lijken op quest isolation oid.
@Hsd Uiteraard, maar daar staat dat dat vinkje genoeg zou moeten zijn. Een portal en apart access control is niet nodig, een password volstaat.
Misschien voor de duidelijkheid: ik gebruik Network Analyzer om te scannen via het guestnetwerk en zie daar alle privé apparaten (met ip-adressen)
Heb je ook daadwerkelijk geprobeerd om toegang te krijgen tot die andere apparaten? Ik heb tegenwoordig mijn hele netwerk op Ubiquiti zitten en daarmee het gastnetwerk op een ander geisoleerd VLAN.
Bij jou zitten de apparaten (gast en prive) allemaal op hetzelfde LAN.
Ik meen me te herinneren dat ik wel apparaten kon zien (via broadcast) maar niet daadwerkelijk kon benaderen. Omdat de AP alle verkeer van een gast naar buiten toe routeert en geen routing naar een ander apparaat op hetzelfde LAN toestaat.
@Hsd Volgens de scan zijn de apparaten pingable. Of ze echt benaderbaar zijn moet ik uittesten.
Maakt niet uit. Je zou ze niet eens moeten kunnen zien. Dit gelezen:
Ik denk dat je onder Acces Control in moet stellen dat het subnet van de Experiabox niet meer bereikbaar moet zijn.
Ik verwees al naar hetzelfde artikel.
Het probleem is dat je in dit geval geen apart VLAN gebruikt met apart subnet / DHCP voor het gastnetwerk. Dus de gasten krijgen een IP uit hetzelfde subnet als de apparaten die in het “normale” LAN van de Experia Box zitten (192.168.2.x). Dat subnet kun je dus niet volledig afblokken.
Met een netwerkscanner op het gastnetwerk zie je daarom inderdaad de andere apparaten in het netwerk. Maar de gast apparaten kunnen door de toepassing van IPTABLES binnen de AP geen informatie uitwisselen met andere apparaten in hetzelfde subnet. Je kunt het nog iets verder inperken door bij de configuratie van het gastnetwerk op te geven dat er geen broadcasts van en naar WLAN mogen.
Het probleem is dat je in dit geval geen apart VLAN gebruikt met apart subnet / DHCP voor het gastnetwerk. Dus de gasten krijgen een IP uit hetzelfde subnet als de apparaten die in het “normale” LAN van de Experia Box zitten (192.168.2.x). Dat subnet kun je dus niet afblokken.
Dat is nu net waar "sta isolation" voor is, het blokkeren dat apparaten elkaar op het netwerk kunnen zien en benaderen. Je zou eigenlijk mogen verwachten dat met het aanzetten van de "guest policy" die "sta isolation" ook geactiveerd wordt maar blijkbaar is dat niet het geval of is deze alleen onderling voor de apparaten op het gast wifi netwerk geldig.
@Nick83 Dank voor je reactie. Ik begreep dat Acces Control gebruikt wordt om je eigen toegang te creeeren voor gasten. Ik zie niet hoe je het subnet kan uitsluiten (maar ik ben dan ook geen expert)
@Hsd Een VLAN inrichten lijkt mij eigenlijk de beste optie. Maar ietwat te groot voor mij op dit ogenblik. Heb je misschien een link oid waar ik mee kan beginnen?
Ik hoop vandaag te kunnen testen of de apparaten kunnen worden benaderd vanuit het gastennetwerk. Maar ja ook het werk gaat door. :-)
Een VLAN inrichten lijkt mij eigenlijk de beste optie. Maar ietwat te groot voor mij op dit ogenblik. Heb je misschien een link oid waar ik mee kan beginnen?
Dat gaat niet werken immers de Experia Box ondersteunt geen vlans en dus zijn via de Experia Box apparaten op een ander vlan nog steeds te benaderen.
Vul de access control zoals aangegeven op het onderstaande scherm...
...en zet bij Pre-Authorization Access ook 192.168.2.254/32 als je als gast Internet niet kunt benaderen. Als je als gast al wel Internet kunt benaderen dan is die laatste instelling niet nodig.
Dat zou er al moeten staan. Is default in de controller.
Pre-authorization is alleen van belang als je echt een gast portaal website gebruikt, Anders doet deze optie niets.
Het probleem is dat je in dit geval geen apart VLAN gebruikt met apart subnet / DHCP voor het gastnetwerk. Dus de gasten krijgen een IP uit hetzelfde subnet als de apparaten die in het “normale” LAN van de Experia Box zitten (192.168.2.x). Dat subnet kun je dus niet afblokken.
Dat is nu net waar "sta isolation" voor is, het blokkeren dat apparaten elkaar op het netwerk kunnen zien en benaderen. Je zou eigenlijk mogen verwachten dat met het aanzetten van de "guest policy" die "sta isolation" ook geactiveerd wordt maar blijkbaar is dat niet het geval of is deze alleen onderling voor de apparaten op het gast wifi netwerk geldig.
Correct, de “sta isolation” blokkeert de toegang tot andere gasten die verbonden zijn met dezelfde AP.
Als je het netjes wilt doen, dan ontkom je dus niet aan een router met vlan ondersteuning.
Als je het netjes wilt doen, dan ontkom je dus niet aan een router met vlan ondersteuning.
Dat hoeft niet, dat kan je met de professionelere wifi accesspoints ook bewerkstelligen.
Onderstaand een screenshot van de instellingen voor het gastnetwerk op mijn EDIMAX CAP1200 waarmee het thuisnetwerk geblokkeerd zal zijn.
Overigens draai ik mijn gastnetwerk tegenwoordig wel (netjes) op een apart vlan, maar bovenstaande heb ik operationeel gehad toen ik nog een Experia Box had en dus geen vlans kon hanteren.
Overigens zou ik verwachten dat de Ubiquiti dit ook ondersteunt door het uitsluiten van de LAN subnetten. (Post-Authorization Restrictions)
@wjb@Hsd De Guest Control aangepast. Als ik de Pre-authorization aanpas is het hele gastennetwerk onzichtbaar geworden. Nadat ik die verwijderd had werkte het weer. Na de scan zijn de prive-apparaten wel zichtbaar, maar niet pingable. Dus dat is al veel beter. Overigens zijn de prive-apparaten met ‘normale’ software niet zichtbaar of bereikbaar. Maar hackers gebruiken andere software, die ik niet heb.
@Nick83 Dat betekent dat ik de Experia box moet gaan vervangen?
Als ik de Pre-authorization aanpas is het hele gastennetwerk onzichtbaar geworden. Nadat ik die verwijderd had werkte het weer.
Als je aangesloten bent op het gastnetwerk zou niet alleen het gastnetwerk onzichtbaar geworden moeten zijn maar alle lokale apparaten uitgezonderd de Experia Box.
Wat had je ingevuld bij Pre-Authorization?
Wat staat er nu ingevuld bij Pre- en Post-Authorization?
@wjb dit is wat er nu staat:
Ik zal de waarde die je hiervoor gaf nogmaals invoeren bij Pre en weer testen. tot zo.
@wjb de nieuwe waardes:
Nu werkt het wel (misschien daarnet vertikt, sorry). Echter wel een verschil met het scanresultaat. de experiabox is nu wel pingable, zonder de pre-aut niet.
Wel blijven alle apparaten zichtbaar. Daar wil ik eigenlijk vanaf omdat voor onze gasten het duidelijk is wat wij hebben. Meestal geen probleem, maar er zullen ook wel eens kwaaien tussen zitten.
@wjb@Hsd@Nick83 Tot zover super bedankt allemaal.
alleen heb ik geen idee wat ik ingevuld heb. Weten jullie iets waar ik het e.e.a. kan lezen, maar niet direct de diepte in? Alvast bedankt.
Als je zonder die pre-authorization ook gewoon Internet op kunt vanaf het gast wifi netwerk, dan mag je die pre-authorization ook weer weghalen.
@Nick83Dat betekent dat ik de Experia box moet gaan vervangen?
Dat is een optie. Bij glasvezel een redelijk reële optie. Bij ADSL iets minder. Bij ADSL kun je een fritzbox gebruiken als alternatief, maar deze ondersteund geen vlans. Dus schiet je niks mee op.
Een andere optie is een router achter je Experiabox zetten. Dat heb ik al jaren.
Reageer
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.