Bienvenido a la Comunidad UBNT

Acceso a hotspot desde distintas VLaN

Buenos días, mi nombre es Miguel, soy de México, y te comento un problema en una red que estoy tratando de rescatar, es una red llena de vicios, malos diseños etc , con un desempeño terriblemente malo, solo se usa prácticamente para tener internet..... resulta que estoy creando distintas VLAN , ya que antes era una única VLAN con clientes compartiendo los mismos recursos, resulta que ya cree una lana principal y dos VLaN(20 y 30) que se asignan a través del unifi por cada SSID, pero digamos que mis AP y controlador están en la red 192.168.88.0 y la VLAN 20 192.168.20.0 es donde quiero tener control de invitados por voucher y hotspot.... Pero como los clientes tienen una IP distinta al controlador no pueden acceder al HOTSPOT.... pudieran ayudarme a entender que puedo hacer para solucionar ese problema????

Comentarios

  • rickengineer6rickengineer6 91 Puntos
    editado junio 2018
    Buenos días, mi nombre es Miguel, soy de México, y te comento un problema en una red que estoy tratando de rescatar, es una red llena de vicios, malos diseños etc , con un desempeño terriblemente malo, solo se usa prácticamente para tener internet..... resulta que estoy creando distintas VLAN , ya que antes era una única VLAN con clientes compartiendo los mismos recursos, resulta que ya cree una lana principal y dos VLaN(20 y 30) que se asignan a través del unifi por cada SSID, pero digamos que mis AP y controlador están en la red 192.168.88.0 y la VLAN 20 192.168.20.0 es donde quiero tener control de invitados por voucher y hotspot.... Pero como los clientes tienen una IP distinta al controlador no pueden acceder al HOTSPOT.... pudieran ayudarme a entender que puedo hacer para solucionar ese problema????

    Hola @bikeking ¿No eres el forero de ITExpertS? 
    Si lo eres, un gusto saludarte, cuanto tiempo ha pasado =).
    Ahora concentremonos en tu problema.
    Por lo que acabas de comentar, parece que no existe un diseño sobre el cual basarnos para ir depurando los problemas de la topologia. Dicho de otra forma, es un gran problema.

    Si de una red estilo corporativa nos referimos. Lo recomendable es que primero se elabore el diseño en capa 2, puesto de otra manera es que se haga un device-collector de todo en cuanto a dispositivos de capa 2 se refiere, posteriormente trabajariamos en el diseño de capa 3, sobre el cual referiremos el diseño final para poder lograr el cometido que buscas.

    Te comparto con mucho gusto un diseño para que vayas escalando la red que has adquirido apenas ejecutes la revision de la misma:

    Diseño de Red AUZComm - Australia:
    Componentes para NAS:
    *MikroTik CCR-1016
    *Switch DELL S4048-ON - Cumulus VX

    Componentes para HotSpot Sites:

    *UniFi 2.4 GHz
    *MikroTik 3011

    Tomando como referencia lo que quieres lograr:

    "Buenos días, mi nombre es Miguel, soy de México, y te comento un problema en una red que estoy tratando de rescatar, es una red llena de vicios, malos diseños etc , con un desempeño terriblemente malo, solo se usa prácticamente para tener internet..... resulta que estoy creando distintas VLANs , ya que antes era una única VLAN con clientes compartiendo los mismos recursos, resulta que ya cree una lana principal y dos VLaN(20 y 30) que se asignan a través del unifi por cada SSID, pero digamos que mis AP y controlador están en la red 192.168.88.0 y la VLAN 20 192.168.20.0 es donde quiero tener control de invitados por voucher y hotspot.... Pero como los clientes tienen una IP distinta al controlador no pueden acceder al HOTSPOT.... pudieran ayudarme a entender que puedo hacer para solucionar ese problema????"

     El controlador principal no importa que este en otra subred asi por igual como los clientes, siempre y cuando exista un enrutamiento sea por medio de ICMP (Static Routing) o por medio de OSPF, IS-IS, EIGRP, etc, etc.
    Lo que puedo deducir es que la actual red aun se mantiene en un solo y unico dominio de broadcast.
    Dicho asi primero deberias enrutar por cualquiera de los 2 metodos antes mencionados, el routeo estatico se hace mas complejo si manejas distintas subredes, mientras que el route dinamico por cualquier protocolo del mismo que elijas instalara las rutas automaticamente en cada Concentrador de Datos (Llamese RB o Router) o Conmutador de Datos (Llamese Switch de capa 3/4). De esta manera podrias ahorrarte algunos inconvenientes. Por otra parte al momento de segmentar la red ya incluyendo un diseño enrutado de la red, te permitira manejar distintas VLANs por Comunidad, Estacion, o Nodo. un ejemplo claro seria el siguiente

    Routeo Ya logrado:

    Comunidad.1:
    VLAN100
    172.20.1.0/24
               
    Comunidad.1:
    VLAN100
    172.20.1.0/24
              
    Comunidad.2:
    VLAN200
    172.20.2.0/24
               
    Comunidad.3:
    VLAN300
    172.20.3.0/24
               
    Comunidad.4:
    VLAN400
    172.20.4.0/24

               
    Comunidad.5:
    VLAN500
    172.20.5.0/24

    No olvidar, crear dentro del mismo controlador o desde un Concentrador de Datos o algun appliance desde un servidor, crear las politicas de seguridad a nivel de seguridad perimetral para proteger, el compartir conexion desde bluetooh hasta por laptops desde el mismo SO, asi mismo proteger contra los diferentes ataques que puedan surgir, hay opciones comerciales en este apartado hasta opciones OPEN Source, en las comerciales tienes la de Cisco ISE y en OPEN Source esta la distro de SELKS.

    Un gusto poderte ayudar.

  • bikekingbikeking 7 Puntos
    Que tal mi estimado  @rickengineer6 ; no soy quien piensas que soy, la verdad no conozco a esas o esa persona en fin.

    Mira básicamente tengo un único routerboard RB2011 de ahi baja a un switch cisco SG200, en un puerto de fibra enlazo con otro switch cisco sg200 y en su puerto de fibra enlazo con otro switch cisco sg200, cada switch mencionado esa en un edificio separado, de esos switches se cascadea otros switches.
    lo que hice fue implementar una VLAN20 en el switch que baja de router, y puse todos los clientes cableados que representan un departamento y comparten una impresora, y pueden compartir archivos, y como en cada edificio cuento con AP unifi y tengo un controlador, cree varias SSID, y les asigne una VLAN, los raro es que cuando cree la VLAN40 en el mikrotik y quise conectar a los clientes en el puerto correspondiente en modo ACCESS 40UP , simplemente no entraban a la red, pero si le ponia VLAN20 , 30 o 50 si entraba, todas las VLAn fueron creadas en el mikrotik, tienen su propio servidor DHCP, 
    entre cada switch principal los uno con troncales en modo TRUNK y dejo pasar todas las VLAN que cree....

    aohrita he tenido ciertos problemas, sacando a los clientes de un dominio de brodcast principal....
  • rickengineer6rickengineer6 91 Puntos
    editado junio 2018
    Bueno saberlo en otro foro hay un usuario que usa tu nickname pense eres el mismo, de cualquier forma, mucho gusto @bikeking ;
    En relacion con tu problema, manejas Switches Capa 3 de Cisco Buena Idea !!! (Espero sean los SG200-26FP-NA), sin embargo parece que no estas haciendo uso de todas sus funciones como por ejemplo LACP es comun que tambien se confunda las VLANs sobre la interfaz que deben de ir para poder lograr lo que buscas, seria preferible que en lugar de hacerlo como lo estas haciendo lo ejecutes de la siguiente forma te comparto una rapida arquitectura que arme para ti, el resto es sencillo, tendras una mejor administracion ya que ando en horas laborales ahora.

    Si necesitas mas ayuda lo podemos revisar con gusto




    Architecture
Inicia Sesión o Regístrate para dejar un comentario.