Bienvenido a la Comunidad UBNT

Implementacion acceso a invitados

Hola, quiero crear un nuevo SSID para los invitados y que no puedan acceder a la red corporativa 192.168.12.0/24.
Mi duda es la siguiente, como se le da IP al nuevo SSID trabajando con el portal guest activado, quien hace de DHCP? O como puedo hacer para tener dos redes separadas?
Etiquetado:

Comentarios

  • Hola @adorssi, bienvenid@ a nuestra comunidad!

    El DHCP lo provee tu router.  Está seguro que requieres que tus guests estén en una red distinta, o es suficiente con que no puedan comunicarse con los equipos de la red corporativa?

    Si con la segunda opción es suficiente (que no se puedan comunicar, sólo al internet), puedes habilitar la opción de Guest Policy sobre el SSID que uses para tus guests, y con eso basta para que la comunicación esté aislado.

    Si realmente quieres utilizar una subred aparte, tienes dos opciones.  Utilizando el USG y los UniFi Switches, puedes configurar todo usando el controlador UniFi y simplemente crear un Network nuevo tipo Guest, y en la configuración WLAN asignar la VLAN que configuraste.

    Si estás utilizando un router y switches de otra marca, vas a tener que configurar las VLAN, tagging por puerto y el servidor DHCP manualmente.  Luego, igual que antes, indicas cual VLAN utilizar para los guests al configurar la WLAN.
  • Gracias, estoy utilizando un switck linksys y un mikrotik RB750. La idea es que esten en una subred diferente, porque el wifi tambien lo utiliza gente que accede a los recursos de red via wifi. Voy a probar hacer lo que indicas.
    Muchas gracias
  • Podrías aclarar que quieres decir con esto?    "La idea es que esten en una subred diferente, porque el wifi tambien lo utiliza gente que accede a los recursos de red via wifi."
  • Si claro. En este momento solo existe un SSID con el cual se puede acceder a toda la red corporativa, entonces hay empleados que con sus notebooks acceden al sistema de la empresa, cuya base de datos esta en un servidor de la red. Tambien imprimen en impresoras conectadas a la red, entonces necesito que esto siga igual y crear otra red wifi para los visitantes y me gustaria que fuera en otro rango de IP, en este momento tengo una de las interfaces del mikrotik con un dhcp y vlan2, me conecto por cable directo y accedo a internet, el dhcp funciona perfecto. Despues tengo un switch linksys donde tengo el puerto21 como trunk, donde conecto el unifi y el puerto22 como acceso en la vlan2, pero conectandome por wifi tomo ip del dhcp pero no accedo a internet. Voy a seguir revisando, si soluciono aviso.
  • Hay un par de cosas importantes.  Primero, el UAP debe estar conectado a un puerto que tenga el admin en VLAN nativo con conexión al controlador.  A nivel de SSID, solo tienes que especificar a cuál VLAN quieres que la data sea taggeada, y tu red se encargaría de lo demás.
  • Lo solucione de la siguiente forma:

    Configuracion mikrotik:
    Se agrego ether3 al bridge1 existente.
    En interfaces se creo la vlan2 ARP enable VLANID 2 Interface bridge1 user service tag DESMARCADO.
    En IP - Adresses se creo una nueva direccion 10.0.0.1/26 asignado a la interfaz vlan2
    En IP - Pool se creo un nuevo pool de direcciones llamado DHCP-guest, el rango es 10.0.0.2-10.0.0.60
    En IP - DHCP Server se creo un nuevo servidor DHCP asignado a la vlan2 y en Address Pool se selecciono el pool creado (DHCP-guest)
    En la misma seccion del DHCP Server en la segunda pestaña Network se creo una nueva red - Addres 10.0.0.0/26 Gateway 10.0.0.1 netmask 28 DNS 8.8.8.8 200.40.220.245
    En IP - Routes pestaña Rules se crearon dos reglas para no permitir el trafico entre las dos redes - Src. Address 192.168.13.0/24 Dst. Address 10.0.0.0/26 Action unreachable, se crea una segunda regla pero se invierten las direcciones.

    En el unifi se creo un nuevo SSID y se le marco la opcion VLAN con el valor 2.

    En el switch linksys se configuro una nueva vlan llamada wifi-guest con id 2.
    Luego en vlan management - Port settings se configuro el puerto 21 como General y que solo admita trafico etiqueado, en PVID poner 2.
    Despues en la opcion Vlan to ports en el puerto 21 apretar en Join vlan y seleccionar la vlan2, tiene que quedar como 2T.
    El puerto 22 va configurado en modo trunk.
Accede o Regístrate para comentar.