Всем привет. Хочу поделиться вариантом реализации корпоративного wifi на нескольких SSID с разными политиками доступа для каждой беспроводной сети и доменной аутентификацией.
Схема тестового стенда выглядит так:
![](https://habrastorage.org/r/w1560/files/9fd/5a1/e30/9fd5a1e30fa54189a7cdd49dc86051ad.png)
Подробности под катом.
Итак, задача выглядит следующим образом. Точка должна вещать 3 беспроводных сети
Первая задача — создаем на контроллере нужные беспроводные сети. Контроллер позволяет разлить настройки на все точки в сети.
В Profiles добавляем наш Radius-сервер, указав общий Secret. Точка должна быть добавлена как Radius Client на сервере. Если точек много, можно настроить nat, чтобы все точки виделись на сервере с одним IP.
![](https://habrastorage.org/r/w1560/files/bc3/ed2/f3f/bc3ed2f3f8214c34996c5f12ea45cdf1.png)
Добавляем нужные SSID на контроллере.
![](https://habrastorage.org/r/w1560/files/7e7/5f9/caa/7e75f9caa9594d9eba5f68c8538232cc.png)
![](https://habrastorage.org/r/w1560/files/50c/f3b/b57/50cf3bb57d8840dab15f2e262ba07d55.png)
Особенность решения заключается в том, что Radius-сервер должен применять разные политики аутентификации для этих SSID. Разделение по политикам можно сделать на основании поля Called-Station-ID, который передается в запросе аутентификации и представляет собой MAC точки и SSID.
![](https://habrastorage.org/r/w1560/files/1d0/e19/8ec/1d0e198ec7564f28889829b41cb5c951.png)
Для этого создаем политику для Private vlan, которая проверяет, является ли пользователь членом доменной группы WIFI_PL_Private.
![](https://habrastorage.org/r/w1560/files/e0a/f05/baf/e0af05bafb2443dc93d873800008f4f7.png)
В условиях указываем регулярное выражение для Caller Station ID, позволяющее проверять SSID со всех точек в сети .*:PL_Private, а также проверку членства в группе.
![](https://habrastorage.org/r/w1560/files/4f0/a4a/11c/4f0a4a11c53d47ccb728c6b2e60d11cc.png)
Вторая политика запрещает доступ для всех остальных пользователей домена к этой SSID. Это сделано потому, что если не будет явного Deny Access, следующая по списку политика аутентифицирует всех пользователей.
Третья политика разрешает доступ к сети PL_Public для всех пользователей домена.
Вторая задача — гостевой портал для одноразовых паролей. Эта задача решается средствами самого контроллера UniFi.
Для сети PL_Guest определяем, что она является открытой и гостевой.
![](https://habrastorage.org/r/w1560/files/a1e/1a2/d1d/a1e1a2d1dfec48ecab52959b066c8645.png)
Во вкладке Guest Portal включаем Hotspot-аутентификацию, при желании кастомизируем стартовую страницу портала.
![](https://habrastorage.org/r/w1560/files/fd4/b62/b38/fd4b62b3849347c58a2a91666a6dface.png)
В настройках Hotspot включаем аутентификацию по ваучерам.
![](https://habrastorage.org/r/w1560/files/74f/9c9/1e4/74f9c91e4fc04db3b050b20d32ab29c9.png)
Нажав на ссылку Go to hotspot manager, генерируем ваучеры.
![](https://habrastorage.org/r/w1560/files/562/1d4/8d0/5621d48d07914f14b8869425df6412d5.png)
При попытке подключения к гостевой сети с телефона, видим приглашение ввести код ваучера:
![](https://habrastorage.org/r/w1560/files/26f/3b5/9be/26f3b59beff3449b83f7c744d4ebb4a7.png)
После подключения видим в менеджере хотспота статистику.
![](https://habrastorage.org/r/w1560/files/314/045/082/3140450829de44a98df5dd4f9323b662.png)
Из VLAN, в котором находится гостевая сеть, должен быть доступ к UniFi контроллеру, так как портал крутится на нем.
Благодарю за внимание :)
Схема тестового стенда выглядит так:
![](https://habrastorage.org/files/9fd/5a1/e30/9fd5a1e30fa54189a7cdd49dc86051ad.png)
Подробности под катом.
Итак, задача выглядит следующим образом. Точка должна вещать 3 беспроводных сети
- vlan 10 — SSID PL_Public — сеть с доменной авторизацией для подключения персональных устройств сотрудников к Internet без доступа к корпоративным ресурсам
- vlan 20 — SSID PL_Private — сеть с доменной авторизацией для сотрудников, находящихся в домене в группе WIFI_PL_Private c доступом к корпоративным ресурсам
- vlan 30 — SSID PL_Guest — сеть с одноразовыми паролями со сроком действия 8 часов, вводимыми через веб-портал
Первая задача — создаем на контроллере нужные беспроводные сети. Контроллер позволяет разлить настройки на все точки в сети.
В Profiles добавляем наш Radius-сервер, указав общий Secret. Точка должна быть добавлена как Radius Client на сервере. Если точек много, можно настроить nat, чтобы все точки виделись на сервере с одним IP.
![](https://habrastorage.org/files/bc3/ed2/f3f/bc3ed2f3f8214c34996c5f12ea45cdf1.png)
Добавляем нужные SSID на контроллере.
![](https://habrastorage.org/files/7e7/5f9/caa/7e75f9caa9594d9eba5f68c8538232cc.png)
![](https://habrastorage.org/files/50c/f3b/b57/50cf3bb57d8840dab15f2e262ba07d55.png)
Особенность решения заключается в том, что Radius-сервер должен применять разные политики аутентификации для этих SSID. Разделение по политикам можно сделать на основании поля Called-Station-ID, который передается в запросе аутентификации и представляет собой MAC точки и SSID.
![](https://habrastorage.org/files/1d0/e19/8ec/1d0e198ec7564f28889829b41cb5c951.png)
Для этого создаем политику для Private vlan, которая проверяет, является ли пользователь членом доменной группы WIFI_PL_Private.
![](https://habrastorage.org/files/e0a/f05/baf/e0af05bafb2443dc93d873800008f4f7.png)
В условиях указываем регулярное выражение для Caller Station ID, позволяющее проверять SSID со всех точек в сети .*:PL_Private, а также проверку членства в группе.
![](https://habrastorage.org/files/4f0/a4a/11c/4f0a4a11c53d47ccb728c6b2e60d11cc.png)
Вторая политика запрещает доступ для всех остальных пользователей домена к этой SSID. Это сделано потому, что если не будет явного Deny Access, следующая по списку политика аутентифицирует всех пользователей.
Третья политика разрешает доступ к сети PL_Public для всех пользователей домена.
Вторая задача — гостевой портал для одноразовых паролей. Эта задача решается средствами самого контроллера UniFi.
Для сети PL_Guest определяем, что она является открытой и гостевой.
![](https://habrastorage.org/files/a1e/1a2/d1d/a1e1a2d1dfec48ecab52959b066c8645.png)
Во вкладке Guest Portal включаем Hotspot-аутентификацию, при желании кастомизируем стартовую страницу портала.
![](https://habrastorage.org/files/fd4/b62/b38/fd4b62b3849347c58a2a91666a6dface.png)
В настройках Hotspot включаем аутентификацию по ваучерам.
![](https://habrastorage.org/files/74f/9c9/1e4/74f9c91e4fc04db3b050b20d32ab29c9.png)
Нажав на ссылку Go to hotspot manager, генерируем ваучеры.
![](https://habrastorage.org/files/562/1d4/8d0/5621d48d07914f14b8869425df6412d5.png)
При попытке подключения к гостевой сети с телефона, видим приглашение ввести код ваучера:
![](https://habrastorage.org/files/26f/3b5/9be/26f3b59beff3449b83f7c744d4ebb4a7.png)
После подключения видим в менеджере хотспота статистику.
![](https://habrastorage.org/files/314/045/082/3140450829de44a98df5dd4f9323b662.png)
Из VLAN, в котором находится гостевая сеть, должен быть доступ к UniFi контроллеру, так как портал крутится на нем.
Благодарю за внимание :)