Unifi настройка гостевого wifi

Обновлено: 23.01.2025

Обзор - руководство пользователя по создание сети предприятия на основе решений семейства Ubiquiti UniFi. (Часть 3)

Одной из основных функций Wi-Fi сетей является организация гостевого доступа к сети Интернет. Под «гостями» в данном случае понимаются все пользователи, не являющиеся сотрудниками организации. Также, во многих случаях, есть необходимость обеспечить доступ к сети Интернет с устройств, принадлежащих сотрудникам, но не соответствующих требованиям по уровню контроля безопасности (например, личные смартфоны и планшеты). Такая сеть должна иметь ряд специфических настроек. Во первых, клиенты должны быть изолированы как от «рабочей» сети, так и друг от друга. Во вторых желательно предусмотреть возможность ограничения времени доступа к сети для каждого пользователя (что особенно важно для гостевых сетей гостиниц, кафе и ресторанов, других общественных заведений). Очень часто полезным дополнением может стать демонстрация определенной информации рекламного или информационного характера перед предоставлением доступа к сети Интернет.

В рамках контроллера UniFi есть несколько вариантов создания сетей гостевого доступа.

Первый и самый простой способ – применить только правила изоляции клиентов в рамках гостевой политики и создать отдельную Wi-Fi сеть с такой политикой. Такой вариант лучше всего подходит для создания дополнительных сетей доступа для сотрудников или «доверенных» клиентов компании.

Второй способ заключается в использовании портала авторизации. Именно этот вариант является предпочтительным, поскольку позволяет применить все характерные особенности гостевых Wi-Fi сетей.

Создание Wi-Fi сети гостевого доступа с авторизацией на базе «ваучеров».

Создание новой Wi-Fi сети гостевого доступа начинается с выбора параметров в разделе «Settings» - «Wireless Networks» - «Create New Wireless Network». Необходимо выбрать имя сети и применить гостевую политику. Поскольку авторизация будет проходить на отдельном портале, в разделе «Security» оставляем открытый тип сети.

Дополнительные возможности могут включать ограничение скорости для клиентов (также можно отдельно настроить и в настройках портала для каждой серии ваучеров) и определенное расписание времени работы беспроводной сети (например, совпадающее с расписанием работы организации).

Рисунок 1. Создание новой гостевой сети.

Остальные настройки должны выполняться в разделе «Guest Control». Для включения портала авторизации необходимо установить чекбокс «Enable Guest Portal» и выбрать ряд дополнительных параметров.

Авторизация («Authentification»). Варианты включают в себя:

• Отсутствие авторизации. Открытая сеть с применением гостевых ограничений. Это самый простой из вариантов, но его применение нежелательно с точки зрения соответствия закону. Постановление Правительства РФ от 31 июля 2014 г. N 758 "О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей" обязывает владельцев точек бесплатного wifi идентифицировать пользователей. Поэтому, использование открытых сетей для публичного Wi-Fi невозможно.

• Простой пароль («Simple Password»). При активации этой настройки пользователю будет показано лицензионное соглашение и форма ввода пароля – единого для всех пользователей сети. Такая схема позволяет выполнить формальное соответствие закону, но фактически не более безопасна, чем открытая сеть. Через некоторое время информация о пароле доступа распространится достаточно широко, чтобы сделать такую сеть общедоступной. В сети Интернет есть многочисленные сайты и сервисы с информацией о паролях общественным Wi-Fi сетям. Даже отзывы пользователей о гостиницах, кафе и ресторанах на таких популярных ресурсах как Trip Advisor или Foursquare часто содержат информацию о паролях Wi-Fi.

• Хотспот – именно тот вариант, который наиболее удачно подходит для относительно небольших сетей. Один из вариантов настройки хотспота будет рассмотрен в данном обзоре.

• Внешний портал авторизации. Этот вариант хорошо подходит для крупных и очень крупных сетей. В этом варианте возможности могут включать использование нестандартных платежных сетей, SMS авторизации и многое другое.

Раздел «Portal Customization» позволяет заменить оригинальные файлы портала копией. После этого администратор может изменять содержание страниц портала авторизации (например, добавлять перевод страниц, логотипы и названия, изменить лицензионное соглашение для пользователей).

Настройки хотспота позволяют включит ь авторизацию на базе ваучеров (наиболее простой и удобных вариант для небольших сетей) или включить интеграцию с платежными системами. Тут же расположена ссылка на портал оператора хотспота, где доступно управление ваучерами, гостевыми подключениями и информацией о платежных системах. Включаем чекбокс «Voucher».

Раздел «Access Control» позволяет ограничить доступ клиентов к определенным IP подсетям. По умолчанию блокируется доступ к частным IP подсетям.

Рисунок 2. Настройка гостевого контроля.

Настройка портала оператора и работа с ваучерами.

Для удобства обслуживания хотспота, его управление в рамках портала UniFi выделено в отдельную часть – портал менеджера. Первоначально, ссылка на портал менеджера доступна в разделе Hotspot основного портала. После перехода по ссылке будет открыто окно авторизации.

Рисунок 3. Экран авторизации портала менеджера хотспота.

Работу с порталом менеджера удобнее всего проводить не под администраторским аккаунтом, а под специально созданным аккаунтом с ограниченными полномочиями. Администратор может создать новых пользователей в разделе «Operators». Пользователь с ограниченными полномочиями может создавать новые ваучеры, отслеживать статус гостевых подключений, но не сможет менять настройки портала и сети UniFi.

Рисунок 4. Основной экран портала менеджера.

После создания аккаунта оператора, можно приступать к созданию ваучеров. Возможные варианты включают одноразовые и многоразовые ваучеры, ограничение скорости соединения или квоты трафика, продолжительность действия ваучера. Можно выпускать ваучеры различного типа в рамках одной сети.

Рисунок 5. Создание серии ваучеров.

Все созданные ваучеры будут отображаться в интерфейсе менеджера. Их можно распечатать и (при необходимости) отменить.

Рисунок 6. Список созданных ваучеров.

Рисунок 7. Распечатанный лист ваучеров.

Ваучер выдается пользователю гостевой сети. При подключении к Wi-Fi пользователь будет перенаправлен на страницу портала авторизации, где он должен будет ввести код ваучера и подтвердить согласие с условиями соглашения об использовании.

Рисунок 8. Пользовательская страница авторизации гостевой сети.

Все подключенные пользователи будут отображаться на основной странице портала менеджера. При необходимости, оператор может как принудительно отключить пользователя, так и продлить доступное ему время работы в сети.

Рисунок 9. Информация о гостевом доступе.

Кастомизация портала гостевого доступа.

Рисунок 10. Интерфейс файлового SFTP менеджера WinSCP.

Рисунок 11. Доступ к файлам гостевого портала UniFi.

В четвертой части обзора будут рассмотрены дополнительные настройки маршрутизатора и коммутаторов UniFi, возможности мониторинга сети и «облачный» доступ к интерфейсу управления.

Примечания и требования:

Для того, чтобы портал для гостей функционировал, сам контроллер UniFi должен работать постоянно. Гости перенаправляются на контроллер для доступа к гостевому порталу, и перенаправление не будет успешным, если контроллер недоступен.

Содержание

Введение
Почему гостевая сеть?
Как создать гостевую сеть в UniFi-контроллере
Как настроить гостевой контроль
Как ограничить гостевую пропускную способность
Как управлять гостевыми сетями
Изоляция клиента в локальной сети
Статьи по Теме

Введение

Во многих сетях доступ общественности стал необходимой и ценной функцией. От отелей, до аэропортов и кафе, гостевые сети выполняют потребности клиентов, одновременно минимизируя риски для безопасности и обеспечивая качественную беспроводную связь. UniFi позволяет администраторам использовать все возможности: от монетизации гостевого WiFi до расширенного управления гостями. В этой статье рассказывается, как настроить гостевую сеть и предлагаются некоторые рекомендации по управлению этими сетями в UniFi.

Почему гостевая сеть?

Почти каждая беспроводная сеть должна обеспечивать доступ как к постоянным, так и к временным пользователям.

Чтобы обеспечить безопасность и успех постоянной локальной беспроводной сети, необходимо разделять временных и постоянных пользователей своей сети.

Это дает очевидные преимущества, такие как отсутствие необходимости запоминать сетевой ключ WPA или поиск творческого способа сказать «нет» вашему соседу, а также гарантирует, что внутренние операции и ресурсы защищены от гостей, которые могли бы использовать вашу сеть.

Гостевые сети предлагают ряд других преимуществ:

Дополнительные параметры авторизации, такие как социальные входы
Возможность предоставления условий для доступа к сети
Возможности монетизации
Брендинг
Возможность ограничения пропускной способности для гостей
Изоляция клиента на уровне AP: используйте изолирование портов для сетевой изоляции
Более короткие условия доступа к беспроводной сети
И многое другое…

Чтобы помочь вам извлечь выгоду из преимуществ этой функции, оставшаяся часть этой статьи объяснит, как настроить гостевую сеть и как настроить соответствующие параметры.

Как создать гостевую сеть в UniFi-контроллере

1. Откройте свой контроллер UniFi и перейдите в « Настройки» > « Беспроводные сети» .

2. Чтобы создать новую гостевую сеть, выберите « Создать новую беспроводную сеть» , иначе измените существующую сеть.

3. Введите имя, чтобы назначить эту сеть в качестве гостевой сети.

4. Выберите метод, который будет использоваться для аутентификации гостевой сети. Можно использовать ключ безопасности, а также использовать гостевой портал.

5. Чтобы сделать эту новую сеть гостевой сетью, установите флажок «Применить гостевые политики . ».

Далее в этой статье объясняется, что составляет гостевую политику, связанную с этим параметром, и как настроить эти функции.

Как настроить гостевой контроль

В контроллере UniFi в разделе «Управление гостями» администраторы настраивают пользовательский гостевой портал и определяют, какие подсетей они должны и не должны иметь доступ до и после авторизации.

1. Откройте контроллер UniFi.

2. Выберите «Настройки»> «Управление гостями».

3. Если вы хотите, чтобы гости взаимодействовали с порталом, нажмите « Включить гостевой портал» . Это позволит открыть дополнительные параметры, включая метод аутентификации, связанный с гостевым порталом, срок действия и т. Д.

4. В разделе «Настройка портала» выберите «AngularJS» и «Legacy JSP». AngularJS позволяет настраивать и просматривать параметры настройки портала. Legacy JSP предоставляет вам нашу классическую простую целевую страницу для гостей.

5. Контроль доступа позволяет вам определять подсети, необходимые для доступа к устройствам до и после авторизации. Примером примера, в котором может быть полезен предварительный авторизационный доступ, является обеспечение того, чтобы устройства могли получить доступ к гостевому порталу до его авторизации. - Чтобы сделать это, просто укажите подсеть, содержащую IP-адрес гостевого портала. Аналогично, если во внутренней сети есть подсеть, которую вы не хотите разрешать своим посетителям после подключения, вы можете использовать ограничения после авторизации для их определения.

Во многих случаях, когда портал недоступен, причиной неправильной настройки Контроля доступа является причина.

Как ограничить гостевую пропускную способность

Еще одна полезная функция в UniFi Controller - это возможность ограничить распределение полосы пропускания для разных групп пользователей. Это может быть важно для обеспечения того, чтобы гости не ограничивали производительность и скорость для постоянных пользователей / критически важных приложений. Чтобы ограничить гостевую пропускную способность, выполните следующие действия:

1. Выберите «Настройки»> «Группы пользователей»

2. Создайте новую группу пользователей.

3. Определите требуемый предел пропускной способности.

Затем добавьте эту группу в гостевую сеть:

4. Перейдите в «Настройки»> «Беспроводные сети».

5. Выберите соответствующую гостевую сеть и разверните расширенные параметры.

6. Выберите раскрывающийся список рядом с Группой пользователей и выберите гостевую группу пользователей.

7. Нажмите « Сохранить», чтобы применить изменения.

Как управлять гостевыми сетями

После того, как была создана гостевая сеть, рекомендуется проверить и оценить функции и производительность, чтобы гарантировать, что гости не столкнутся с трудностями и не потребуют ненужной помощи при подключении к WiFi. По мере продолжения работы вашей гостевой сети убедитесь, что ваша гостевая сеть не забивает вашу частную сеть. Оцените безопасность и убедитесь, что гостевая сеть представляет минимальный риск для безопасности. Если изменения необходимы, эти параметры можно перенастроить и применить в любое время.

Изоляция клиента в локальной сети

После того, как у вас установлена гостевая сеть на стороне WLAN (AP), необходимо убедиться, что в локальной сети имеется достаточная изоляция, а также для предоставления общих служб, которые могут потребоваться (принтеры, серверы и т. Д.).

В дополнение к обеспечению желаемого изоляции клиента, локальной сети на стороне управления на изоляции клиента уменьшить / исключить ненужную широковещательной / многоадресной передачи данных, которые , если их не остановить будет оказывать неблагоприятное воздействие на установку с 10 или более точек доступа сети WLAN (см здесь для подробностей).

На приведенной ниже диаграмме показана обобщенная компоновка изоляции клиента по всей сети (WLAN и LAN), при этом все еще разрешая основные сетевые службы.

Вот как это сделать, как показано в приведенном выше примере в контроллере UniFi:

Сначала откройте контроллер UniFi, который управляет вашей сетью.
Перейдите на вкладку « Устройства » слева, чтобы увидеть свои устройства.
Нажмите переключатель, на который вы хотите включить выделение портов, и перейдите на вкладку « Порты ».
Выбирайте только порты, которые вы хотите включить для изоляции портов, или нажмите кнопку, чтобы выбрать все.
Нажмите « Изменить выбранное» внизу.
Перейдите в Advanced.
Разверните дополнительные параметры.
В разделе « Изоляция» выберите « Включить изоляцию порта» .
Нажмите « Применить», чтобы завершить изменения.

Для более сложных конфигураций, связанных с вашей гостевой сетью, см. Соответствующие статьи ниже.

В сети, построенной на основе точек доступа и контроллера UniFi часто возникает необходимость создать несколько независимых подсетей с различными настройками безопасности. Это может потребоваться с целью организации:

бесплатной Wi-Fi сети для гостей, покупателей или посетителей;
HotSpot в развлекательных заведениях или местах отдыха (санаториях, гостиницах, кинотеатрах) с ограниченным доступом по карточкам или ваучерам;
разграничений доступа к ресурсам в корпоративной сети для различных групп пользователей - руководства, отдела продаж и т.д.

Организация отдельной независимой сети

UniFi поддерживает настройку до 4-х WLAN в системе и до 4-х VLAN. Для их создания необходимо зайти в меню Settings => Wireless Networks и нажать кнопку Create.

Далее присваиваем сети имя (SSID), устанавливаем пароль доступа, шифрование. Настройки WLAN зависят от ее предназначения - открытый доступ, ограниченный доступ для клиентов, внутрикорпоративный доступ с приоритезацией трафика.

Каждая WLAN может быть транслирована в отдельную VLAN для обеспечения защиты информации и изоляции трафика в сети. Создание и настройка VLAN производится на уровне сетевого коммутатора или роутера с поддержкой VLAN.

Организация свободного гостевого доступа

Здесь все предельно просто. Создаем отдельную подсеть и в настройках Security отмечаем Open (без шифрования).

Система предусматривает возможность просмотра информации по каждому подключенному клиенту (на вкладке Users) - скорость передачи и приема данных, время подключения и т.д., а также общей статистики на вкладке Statistics (в меню вверху).

Организация HotSpot с идентификацией доступа по ваучерам

В системе UniFi предусмотрена возможность создания хотспот и генерации карточек (ваучеров) доступа.

На практике это выглядит так. Клиент (гость, постоялец и т.д.) свободно подключается к сети WiFi, но для использования Интернет система предлагает ввести номер ваучера на странице авторизации. Клиент обращается к администратору и получает ваучер (карточку, талон) - платно или бесплатно, согласно правилам заведения, - и вводит код доступа на портале HotSpot. Ваучеры могут быть многоразовые и одноразовые, а также иметь различный срок действия. После подключения контроллер UniFi контролирует время доступа к сети каждого клиента.

Настройки HotSpot:

Создаем открытую гостевую сеть.
В настройках ставим галочку в пункте Guest Policy (обратите внимание, в примере выше эта галочка в пункте меню не стоит).
Идем в меню Settings → Guest Control и отмечаем галочкой пункт Guest Portal.
Здесь же в пункте Authentification выбираем вариант - Hotspot.
Галочкой отмечаем пункт Voucher.

Генерация ваучеров:

В этом же меню Settings → Guest Control кликаем по ссылке Go to Hotspot Manager и идем на вкладку Vouchers.
Внизу расположены настройки генерации ваучеров (в левом углу). Можно установить - одноразовыми или многоразовыми они будут, а также время их действия.
Жмем кнопку справа - Create Vouchers.
Печатаем ваучеры - кнопка вверху Print All Unused Vouchers.

Все, распечатанные и разрезанные карточки можно выдавать клиентам.

Ограничение трафика

В любой корпоративной сети может возникнуть необходимость предоставлять разную скорость пользователям - неограниченную сотрудникам и ограниченную - гостям, или отдать приоритет трафика какому-то из отделов. Для этого в программном обеспечении UniFi предусмотрена возможность создания групп пользователей с настройками скорости получени и отправки данных.

Одно из наиболее доступных и простых решений на рынке бесшовного WiFi можно реализовать на базе оборудования и ПО Ubiquiti серии Unifi. Рассмотрим базовый сценарий развертывания бесшовной беспроводной сети.

Установка Ubiquiti Unifi Controller

Процесс минималистичен, нельзя даже выбрать каталог для установки контроллера (к слову, он устанавливается в каталог %USERPROFILE%\Ubiquiti UniFi). После завершения установки, жмем Finish:

Настройка Ubiquiti Unifi Controller с помощью мастера UniFi Setup Wizard

В открывшемся окне контроллера жмем Launch a Browser to Manage the Network:

При первом запуске контроллера запускается мастер настройки. Выбираем страну и часовой пояс. При необходимости в этом же диалоговом окне можно запустить восстановление контроллера из резервной копии (см. зеленую стрелку на скриншоте). Жмем Next:

Контроллер сразу же обнаружит доступные точки доступа, подключенные к сети (если точки доступа присоединены к другому контроллеру, то в этом списке они не появятся). Отмечаем нужные нам точки доступа галочками и жмем Next:

На следующем шаге можно настроить первую WiFi сеть. Вводим ее SSID и ключ доступа. При необходимости можно сразу настроить гостевой доступ (см. зеленую стреку на скриншоте). Жмем Next:

Теперь создаем аккаунт администратора: вводим название учетной записи и пароль дважды. Next:

И завершаем работу мастера нажатием Finish:

Присоединение новых точек доступа к Ubiquiti Unifi Controller

После завершения работы мастера настройки, входим в контроллер под ранее созданной учетной записью администратора:

И попадаем в панель управления контроллером:

Доприсоединим точки доступа к контроллеру. Нужная нам точка доступа находится под управлением другого контроллера. Установим над ней контроль: войдем в меню Devices, кликнем по ней, в появившемся справа окне свойств нажмем Advanced Options:

Введем ее логин и пароль (по умолчанию - ubnt/ubnt) и нажмем Adopt:

Спустя полминуты точка доступа присоединится к нашему контроллеру:

Новые точки доступа, подключенные к сети, подключаются аналогичным образом, только для них не нужно вводить логинов и паролей - достаточно просто скомандовать Adopt.

Теперь между точками доступа уже работает роуминг клиентов. WiFi-сеть уже вещается, клиенты могут переходить из зоны покрытия одной точки доступа в зону покрытия другой, при этом не теряя соединение.

Легкий тюнинг

Если у вас есть план помещений/местности, где будет развернута беспроводная сеть, то его можно использовать полезным для обслуживания сети образом. Зайдем в меню Map, кликнем на Sample в правом верхнем углу, затем на Configure Maps:

В появившемся окне нажмем Add a map:

Откроется диалоговое окно проводника Windows, где можно выбрать графический план помещения. После подтверждения выбора мы окажемся в окне Add Map. Вверху вводим название и жмем Done:

Теперь на нашей карте размещен наш план. Раскидаем по нему точки доступа. Жмем по кнопке .. Unplaced Devices и перетягиваем точки доступа из открывшегося окошка на план:

Вверху плана можно включить отображение зоны покрытия точек доступа (кнопка Coverage) и частотный диапазон. Сами точки доступа кликабельны. Жмем на одну из точек доступа, затем на шестеренку. Справа откроются ее свойства. В меню Configuration можно задать Alias (название, которое будет отображаться в списке устройств и на плане местности). Наша первая точка доступа получила имя "1 этаж - офисный блок":

В свойствах Radios можно выбрать каналы WiFi, частотный спектр и мощность передатчика:

В свойствах WLAN выбираются WLAN-группы, а также назначаются WiFi-сети, которые будут вещать точки доступа (для двухдиапазонных точек доступа наподобие Ubiquiti Unifi AP Pro, будет 2 набора опций для обоих частотных диапазонов). Нажмем Override:

Тут можно отключить вещание сети на точке доступа и задать VLAN:

Вернемся в режим конфигурации точки доступа и заглянем в секцию Network. Тут можно задать способ получения сетевых настроек точки доступа: статические или получаемые по DHCP. Нас вполне устраивает вариант с DHCP:

Обзор настроек Ubiquiti Unifi Controller

Посмотрим, что таится в глубинах конфигурации контроллера. Внизу слева кликнем по Settings:

В появившемся окне настроек есть 9 секций. Начнем с Site. Тут:
1. задается название т.н. "сайта". Параметр носит косметический характер. Для удобства администрирования мы предпочитаем использовать наши внутренние наименования локаций. Свой "сайт" мы назовем "Офис - Одинцово". Понятное название упрощает управление ИТ-ресурсами: не надо вспоминать, какой конкретно контроллер открыт. Видно сразу. Также точки доступа Ubiquiti Unifi могут "передаваться" между контроллерами (функцией Move). Контроллеры в одном широковещательном домене видят друг друга, видят имена друг друга, что позволяет перемещать точки доступа, не ломая себе голову, куда именно осуществляется перемещение;
2. включается/отключается автоматическое обновление прошивок точек доступа и IP-телефонов Ubiquiti;
3. включаются/отключаются светодиодные подсветки точек доступа;
4. включаются/отключаются email-оповещения;
5. включается/отключается монитор соединений точек доступа и Wireless Uplink;
6. настраивается SNMP и логирование событий на выделенный сервер syslog:

В секции Wireless Networks, как ни странно, осуществляется управление беспроводными сетями. Здесь можно создавать новые SSID и управлять уже созданными. Также тут осуществляется настройка шифрования и ключей безопасности сетей, сокрытие SSID, настройка VLAN, выбор групп, на основе которых можно настраивать политики доступа, о чем мы еще вспомним чуть ниже, и настройка расписаний работы беспроводных сетей:

В секции Networks можно настроить IP-сети. Тут же включаются DHCP, настраиваются WINS, настраиваются сетевые диапазоны IP для гостевых сетей, VPN и VLAN'ы. Для базовой настройки достаточно указать используемую подсеть, а также включить/выключить DHCP (в зависимости от того, есть ли он в вашей сети):

Теперь перейдем в секцию User Groups. Тут можно создавать группы пользователей и управлять ими, а также задавать им ограничения полосы пропускания. Хорошей практикой считается выделение полос пропускания для сотрудников (среднюю), гостей (минимально возможную для комфортного использования браузера и электронной почты) и руководства (максимально возможную):

Перейдем в секцию Controller. Тут ~~можно~~ нужно задать ему hostname или IP, включить его обнаружение на уровне L2 (широковещание), настроить параметры SMTP для отправки уведомлений на почту:

В секции Maintenance скрываются возможности сделать/восстановить резервную копию, а также настроить уровень подробности ведения логов.

На этом, пожалуй, наш мини-обзор можно считать оконченным.

Одно из главных преимуществ решений Ubiquiti в области бесшовного WiFi - это простота их реализации. А в сочетании с более чем доступной ценой оборудования, можно смело говорить о том, что конкурентов по соотношению цена/качество у Ubiquiti не так уж и много. Если они вообще есть.

Читайте также: