Veřejný hotspot bez šifrování pro hosty na domácím AP (Ubiquiti)

[Pavouk106]

Mám AP od Ubiquiti a viděl jsem v něm možnost "guest hotspot", což má vytvořit druhé SSID, které oddělí klienty od zbytku domácí LAN. Chtěl bych to takhle rozjet, nejlépe bez šifrování (resp. bez hesla) pro doručovací služby (blbý signál na mobil = žádný internet = žádná platba kartou), naše hosty a třeba i sousedy, když jsou mimo dosah vlastní wifi.

Jde mi tedy o připojení "vnějších" klientů k internetu, aniž by lezli/viděli do mojí sítě. Bydlím na vesnici a navíc na kraji, takže neočekávám, že si ke mě budou chodit sousedi na internet zdarma (jen dodávám). Nechci rozdávat heslo k wifi (a tím pádem ke svojí LAN) jen tak kdekomu.

Otázka je, zda mám věřit tomu, že Ubiquiti opravdu dokáže dobře odstínit hosty od domácí sítě... Zajímají mě vaše názory - věřili byste tomu?

Druhá věc je - lze to zjevně udělat/pojistit pomocí VLAN. Mám Mikrotik router, kde by to mělo jít dát dokupy, ale protože o VLAN nic nevím, zatím řeším možnost bez toho.

[Reklama]

[alex6bbc]

a proc pro sousedy neudelas druhy ssid, ale s heslem, ktere sousedum reknes.

[Pavouk106]

Nemusím být doma. Stejně tak když třeba dětem přijede návštěva nebo když přijede pizzař a uvidí otevřenej hotspot...

Navíc heslo jako takový mi neřeší to, jestli se mi dostanou nebo nedostanou do zbytku domácí sítě. Jde mi primárně o to, aby byla oddělená domácí síť (tj. zařízení na druhém zaheslovaném SSID; případně rozsah IP adres, ale to je spíš na VLAN, pokud dobře chápu) od "hostů".

[František Ryšánek]

Jestli je to na kraji vesnice, tak bych se třeba úplně nebál jet bez šifrování... obecně jako lepší variantu vidím, udělat na tom GUEST essidu normálně WPA2 šifru a zájemcům dávat heslo. V tom případě se klienti nemohou odposlouchávat navzájem, s výjimkou broadcastového provozu. Jako na metalickém switchi.
Na otevřené síti může kdokoli v doslechu odposlouchávat hesla, která nejdou nad end-to-end šifrováním typu SSL/SSH. Tzn. klasické FTP, POP3, HTTP apod. se odposlechnout dají.

Tzn. ty sítě mohou být i tři:
1) interní LAN
2) sousedi
3) kdokoli kdo jde okolo. Heslo si klidně vylepte na vrátka.

Vykousnout guestovský ESSID+subnet lze velmi účinně v případě, že AP je zároveň NAT routerem do divokého internetu. Pokud AP jako uplink používá vnitřní LAN, je ta guestovská síť jenom zabalená do NATu, ale její traffic jede dál skrz interní LAN směrem na upstream gateway do internetu. Jak správně píšete, v tom případě je řešením, udělat pro guesty nejen ESSID, ale taky ohraničenou VLAN.

VLAN na Mikrotiku jsem potkal jednou, na switchi CRS-112 (RouterOS). Pro mě rozmazleného Ciscem a D-Linkem to bylo na Mikrotiku trochu přes koleno (každá VLAN asi na 3 kroky), ale nakonec jsem to dal. Kdyžtak prostě tady dál rozvíjejte téma.

[Mmmartan]

Na otevřené síti může kdokoli v doslechu odposlouchávat hesla, která nejdou nad end-to-end šifrováním typu SSL/SSH. Tzn. klasické FTP, POP3, HTTP apod. se odposlechnout dají.

Jestli někdo jede nešifrované protokoly, tak si odposlechnutí zaslouží. Nemá smysl pro takové lidi dělat třetí síť.

[Reklama]

[ja.]

Na Ubiquiti funguje guest hotspot tak, ze:

1) vytvori guest network, ktora ma zapnutu l2 client isolation, svoj vlan tag, svoj subnet, do firewallu vlozi pravidla na zahodenie trafficu do ostatnych lokalnych subnetov.

2) vytvori extra ssid, namapuje ho na siet z kroku 1; je mozne vybrat skupinu AP, na ktorych bude tento ssid broadcastovany. To, ci ma ssid zapnute wpa alebo je open, nesuvisi s tym, ci je to guest wifi alebo nie, je to na rozhodnuti prevadzkovatela.

3) volitelne: zapne captive portal / hotspot manazer, takze aj ked je to open, mozno nejakym sposobom chciet, aby sa ludia preukazali kto su a ze mozu pristupovat k sieti.

Pre bod 1) treba zjavne unifi router; krok 2 mozno urobit aj bez neho, ale v tom pripade ekvivalent treba urobit manualne na mikrotiku, a v bode 2 len zadat prislusny vlan id. Bod 3) vyzaduje beziaci unifi network controller, ale tiez sa to da hodit na hotspot manager v mikrotiku.

Rozhodnutie ci open alebo wpa: existuje niekto, kto sa aktivne pripoji na otvorenu wifi, ktoru vidi? Ja takych nepoznam... a pokial ide o suseda/postara/kuriera, ktory by potreboval wifi, stitok s qr kodom pre ssid/heslo (stale do hostovskej siete) by to nevyriesil? Sifrovana otvorena siet by sa dala s OWE, ale kolko zariadeni to dnes realne stale (ne)zvlada?

VLAN v Mikrotiku sa mozu zdat trocha nestastne, pretoze na rozlicnych modeloch sa nastavuje rozlicnym sposobom, aby sa vyuzili moznosti pouziteho switch chipu; takze tu zavisi od pouziteho modelu,

[Pavouk106]

Na otevřené síti může kdokoli v doslechu odposlouchávat hesla, která nejdou nad end-to-end šifrováním typu SSL/SSH. Tzn. klasické FTP, POP3, HTTP apod. se odposlechnout dají.

Jestli někdo jede nešifrované protokoly, tak si odposlechnutí zaslouží. Nemá smysl pro takové lidi dělat třetí síť.

S tím víceméně souhlasím - já poskytnu připojení k internetu zdarma otevřeným hotspotem, ostatní ať si řeší klienti.

v případě, že AP je zároveň NAT routerem do divokého internetu. Pokud AP jako uplink používá vnitřní LAN, je ta guestovská síť jenom zabalená do NATu, ale její traffic jede dál skrz interní LAN směrem na upstream gateway do internetu. Jak správně píšete, v tom případě je řešením, udělat pro guesty nejen ESSID, ale taky ohraničenou VLAN.

VLAN na Mikrotiku jsem potkal jednou, na switchi CRS-112 (RouterOS). Pro mě rozmazleného Ciscem a D-Linkem to bylo na Mikrotiku trochu přes koleno (každá VLAN asi na 3 kroky), ale nakonec jsem to dal. Kdyžtak prostě tady dál rozvíjejte téma.

To jsem se trochu obával - že bez VLAN se neobejdu, pokud to chci udělat dobře a (pro bezpečnost mojí vlastní vnitřní sítě) robustně.

...

Ubiquiti mám jen samotná AP, router ne. Mám běžící Network controller, ale nechci dělat hotspot/guest bránu. Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.

VLAN v Mikrotiku mě asi nemine... Nejde mi ani o nastavení, to udělám podle návodu/-ů, ale jde mi o to, že o VLAN vím plus mínus prdlajs. A nechce se mi úplně načítat složitosti od nuly. Nemáte někdo odkaz na něco jednoduchýho, srozumitelnýho? Česky nebo anglicky.

Musím udělat 2x VLAN -jednu pro svou LAN a druhou pro hosty? Nebo stačí jedna pro hosty? Může mít stejnou podsíť a být oddělená jen rozsahem IP (řekněme vnitřní 10.0.0.1 - 100 a VLAN pro hosty 10.0.0.101 - 200)? Kde v bodě 2 (příspěvek od "ja.") zadám VLAN ID a kde to ID vezmu?

Router mám CRS326. Ale s nastavením už bych si poradil, jakmile bych měl představu o tom, co vlastně potřebuju nastavit Nejsem v tomhle neschopný, jen neznalý.

[ja.]

...

Ubiquiti mám jen samotná AP, router ne. Mám běžící Network controller, ale nechci dělat hotspot/guest bránu. Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.

VLAN v Mikrotiku mě asi nemine... Nejde mi ani o nastavení, to udělám podle návodu/-ů, ale jde mi o to, že o VLAN vím plus mínus prdlajs. A nechce se mi úplně načítat složitosti od nuly. Nemáte někdo odkaz na něco jednoduchýho, srozumitelnýho? Česky nebo anglicky.

Musím udělat 2x VLAN -jednu pro svou LAN a druhou pro hosty? Nebo stačí jedna pro hosty? Může mít stejnou podsíť a být oddělená jen rozsahem IP (řekněme vnitřní 10.0.0.1 - 100 a VLAN pro hosty 10.0.0.101 - 200)? Kde v bodě 2 (příspěvek od "ja.") zadám VLAN ID a kde to ID vezmu?

Router mám CRS326. Ale s nastavením už bych si poradil, jakmile bych měl představu o tom, co vlastně potřebuju nastavit Nejsem v tomhle neschopný, jen neznalý.

Na strane Ubiquiti nieco taketo: https://imgur.com/a/FyGvIqY

Najprv vytvorit siet... to vlan id si definujete sam, ako tag, ktorym sa rozlisuju jednotlive siete. Je to hodnota 1-4096; (1 je v Unifi specialna hodnota pre netagovanu siet). V tomto konkretnom pripade je to '50'.

Potom vytvorite SSID, ktore namapujete na danu siet. Priklad na obrazku je iot siet, nie guest, ale je to velmi podobne, (a nemam po ruke guest siet s mikrotikom, kde by som tipal obrazky).

Na strane Mikrotiku eventualne dojdete k niecomu takemuto (zase, vypreparovane s iot sietou, nie guest):

Kód: [Vybrat]

/interface bridge
add auto-mac=no frame-types=admit-only-vlan-tagged name=bridge pvid=10 vlan-filtering=yes

/interface vlan
add interface=bridge name=vlan-iot vlan-id=50
add interface=bridge name=vlan-main vlan-id=10

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=LAN_MAIN
add name=LAN_IOT

/ip pool
add name=dhcp-main ranges=X.Y.Z.20-X.Y.Z.254
add name=dhcp-iot ranges=X.Y.W.2-X.Y.W.254

/ip dhcp-server
add address-pool=dhcp-main interface=vlan-main name=dhcp-main-server
add address-pool=dhcp-iot interface=vlan-iot lease-time=12h name=dhcp-iot-server

/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3 pvid=10
...

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether2,ether3,... vlan-ids=10
add bridge=bridge tagged=bridge,sfp-sfpplus1,ether2,ether3... vlan-ids=50

/interface list member
add interface=vlan-main list=LAN
add interface=vlan-iot list=LAN
add interface=vlan-iot list=LAN_IOT
add interface=vlan-main list=LAN_MAIN

/ip address
add address=A.B.C.D/30 interface=ether1 network=A.B.C.D0
add address=X.Y.Z.1/24 interface=vlan-main network=X.Y.Z.0
add address=X.Y.W.1/24 interface=vlan-iot network=X.Y.W.0

/ip dhcp-server network
add address=X.Y.Z.0/24 dns-server=X.Y.Z.A domain=... gateway=X.Y.Z.1
add address=X.Y.W.0/24 dns-server=X.Y.W.A domain=... gateway=X.Y.W.1

/ip firewall filter
...
add action=drop chain=forward comment="drop IoT to Main LAN" in-interface-list=LAN_IOT out-interface-list=LAN_MAIN
add action=drop chain=forward comment="drop Main to IoT LAN" in-interface-list=LAN_MAIN out-interface-list=LAN_IOT

Vytvorit bridge; zadefinovat mu porty; definovat vlan-y; nastavit tagovanie na portoch, co je default a co musi byt tagovane. Potom vytvorit interfaces pre vlan, zadefinovat subnety, nastavit ip na jednotlivych interfaces v subnetoch, nastavit dhcp v subnetoch, zakazat traffic medzi interfaces.

Tu si treba dat pozor na zapnutie filtrovania na bridge (hned druhy riadok), ak to nie je nastavene dobre, odrezete si pristup. Safe mode prudko odporucany.

VLAN tagy treba pouzit konzistentne medzi oboma zariadeniami; tu je '10' pre hlavnu lan, nastavenu ako default pre netagovany traffic a '50' pre izolovanu siet.

Trocha pozeram zboku na ten crs326; to je switch, nie router. Zvlada sice l3 routing, ale nie je to jeho silna stranka.

[ja.]

1 je v Unifi specialna hodnota pre netagovanu siet

Este si odpoviem sam na seba:

Unifi tento vlan id ma specialnu; poklada ju za netagovanu. Okrem toho, vsetky unifi zariadenia komunikuju / hladaju controller cez netagovanu vlan.

Z Mikrotik extraktu som to dal prec (asi som nemal), ale je tam vytvorena dalsia vlan, vlan-unifi s tagom 1, porty v bridge kde su pripojene cloud key a ap nemaju v bridge nastavene pvid, vlan v bridge ma nastavene 1 ako netagovane na tychto portoch -- aby sa unifi zariadenia spolu dohodli.

[Pavouk106]

Na strane Ubiquiti nieco taketo: https://imgur.com/a/FyGvIqY

Najprv vytvorit siet... to vlan id si definujete sam, ako tag, ktorym sa rozlisuju jednotlive siete. Je to hodnota 1-4096; (1 je v Unifi specialna hodnota pre netagovanu siet). V tomto konkretnom pripade je to '50'.

Potom vytvorite SSID, ktore namapujete na danu siet. Priklad na obrazku je iot siet, nie guest, ale je to velmi podobne, (a nemam po ruke guest siet s mikrotikom, kde by som tipal obrazky).

Na strane Mikrotiku eventualne dojdete k niecomu takemuto (zase, vypreparovane s iot sietou, nie guest):

Kód: [Vybrat]

...

Vytvorit bridge; zadefinovat mu porty; definovat vlan-y; nastavit tagovanie na portoch, co je default a co musi byt tagovane. Potom vytvorit interfaces pre vlan, zadefinovat subnety, nastavit ip na jednotlivych interfaces v subnetoch, nastavit dhcp v subnetoch, zakazat traffic medzi interfaces.

Tu si treba dat pozor na zapnutie filtrovania na bridge (hned druhy riadok), ak to nie je nastavene dobre, odrezete si pristup. Safe mode prudko odporucany.

VLAN tagy treba pouzit konzistentne medzi oboma zariadeniami; tu je '10' pre hlavnu lan, nastavenu ako default pre netagovany traffic a '50' pre izolovanu siet.

Trocha pozeram zboku na ten crs326; to je switch, nie router. Zvlada sice l3 routing, ale nie je to jeho silna stranka.

Díky moc! Vícemně chápu o co jde, čeho dosáhnout a jak.

Odříznout přístup bych si mohl, díky za upozornění. Teoreticky bych se teda měl do reouteru dostat přes jeden port, který mám vyhrazený pro případy podobných přešlapů - jede na něm jen DHCP klient a jinak není s níčím nijak spojen. Předpokládám, že tahle věc by mě případně zachránila :-)

CRS326 je primárně switch, ale já ho používám jako router. Pro mých 10 zařízení a mojí vesnické rychlosti internetu routovat zvládá dobře. Doteď jsem měl stařičký avšak perfektně fungující RB433.

[McFly]

Provozujeme guest portal na Unifi. Samostatná VLAN s izolací guestů, routing s NATem dělá Mikrotik a šlape to pěkně. Osobně bych řešil i to, zda směrem do Internetu je pro guesty vyhrazená vlastní veřejná IP adresa. Doma bych na vlastní veřejné IP adrese nechtěl traffic guestů, co projdou kolem. :-) Lákadlo pro podvodníky z Bazoše, spammery, vyděrače politiků nebo stahovače dětského porna...

[František Ryšánek]

Na VLANách v principu nic složitého není. Přihřeju si polívku, tentokrát s křížkem po funuse - ohledně základních principů VLAN jsem svého času cosi sepsal...

Překvapuje mě informace, že na Ubiquiti VLAN 1 = "tento provoz není tagovaný".

Ve standardním 802.1Q platí, že VID=0 => tento paket nepatří do tagované VLAN, tag má jenom kvůli 802.1p prioritě. S tímto paketem zacházejte, jakoby byl untagged.

VLAN 1 je tradičně "default VLAN". Ve factory default settings v ní má switch managementové IP rozhraní a všechny vnější porty (untagged). Lze ji třeba ponechat jako interní/privátní síť - pokud Vám nevadí, že je ve vnitřní síti vidět management síťových prvků. Nebo si ji nechte fakt jenom na management, a porty pro užovky v LAN zavřete do jiné, dedicated VLAN. A guestům každopádně další, jejich vlastní VLAN.

Provozovat na trunkových portech mix tagovaných VLAN spolu s netagovanou default VLAN... u některých výrobců lze, v obecném Linuxu to asi taky lze, ale přide mi to trochu trapné... Je mi příjemná abstrakce, že jak jednou je nějaký port na switchi "vlan trunk", tak tam untagged paket nechci vidět (s výjimkou režijních protokolů L2 sítě, které nejsou per VLAN). Třeba IEEE1588=PTP se dřív pouštělo po trunku untagged nebo v default VLAN (a byla možná pouze jedna instance), v novějších switchích už může fungovat per VLAN (více instancí zároveň). S tím PTP už tady ale vyloženě trollím na okraj :-)

[Tonda]

Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.

Nedělal bych si iluze, že pizzaře, balíčkáře napadne v případě špatného signálu hledat otevřenou wifi a použít ji. Takže stejně musíš předat informaci, že to tam je k dispozici. A nebo bude poučen a nebude se chtít připojit na nezabezpečenou wifi.

[honzako]

Jestli to neumíš nastavit tak je to všechno pro tebe složité.
Kup si za tisícovku kaček TP-Link EAP115 a máš to na první dobrou!

Nemusíš vymýšlet VLAN, nebo routování apod.

[Pavouk106]

Provozujeme guest portal na Unifi. Samostatná VLAN s izolací guestů, routing s NATem dělá Mikrotik a šlape to pěkně. Osobně bych řešil i to, zda směrem do Internetu je pro guesty vyhrazená vlastní veřejná IP adresa. Doma bych na vlastní veřejné IP adrese nechtěl traffic guestů, co projdou kolem. :-) Lákadlo pro podvodníky z Bazoše, spammery, vyděrače politiků nebo stahovače dětského porna...

Je to domácí vesnickej net, ani já sám nemám VIP... :-) Ale dobrá poznámka.

Na VLANách v principu nic složitého není. Přihřeju si polívku, tentokrát s křížkem po funuse - ohledně základních principů VLAN jsem svého času cosi sepsal...

Překvapuje mě informace, že na Ubiquiti VLAN 1 = "tento provoz není tagovaný".

Ve standardním 802.1Q platí, že VID=0 => tento paket nepatří do tagované VLAN, tag má jenom kvůli 802.1p prioritě. S tímto paketem zacházejte, jakoby byl untagged.

VLAN 1 je tradičně "default VLAN". Ve factory default settings v ní má switch managementové IP rozhraní a všechny vnější porty (untagged). Lze ji třeba ponechat jako interní/privátní síť - pokud Vám nevadí, že je ve vnitřní síti vidět management síťových prvků. Nebo si ji nechte fakt jenom na management, a porty pro užovky v LAN zavřete do jiné, dedicated VLAN. A guestům každopádně další, jejich vlastní VLAN.

Provozovat na trunkových portech mix tagovaných VLAN spolu s netagovanou default VLAN... u některých výrobců lze, v obecném Linuxu to asi taky lze, ale přide mi to trochu trapné... Je mi příjemná abstrakce, že jak jednou je nějaký port na switchi "vlan trunk", tak tam untagged paket nechci vidět (s výjimkou režijních protokolů L2 sítě, které nejsou per VLAN). Třeba IEEE1588=PTP se dřív pouštělo po trunku untagged nebo v default VLAN (a byla možná pouze jedna instance), v novějších switchích už může fungovat per VLAN (více instancí zároveň). S tím PTP už tady ale vyloženě trollím na okraj :-)

Omrknu to a nejspíš udělám dvě VLAN pro domácí a "externí" síť.

Jestli to neumíš nastavit tak je to všechno pro tebe složité.
Kup si za tisícovku kaček TP-Link EAP115 a máš to na první dobrou!

Nemusíš vymýšlet VLAN, nebo routování apod.

Já to budu umět nastavit, ale nevím co nastavit. Mimochodem - s takovým přístupem bychom se pořád ještě mlátili klackama a žili v jeskyních.