Scheiden van netwerken Unifi UAP-Pro

Makkelijkste manier (denk ik) is om met VLAN's te gaan werken. Maar dan zal je in ieder geval een andere router moeten hebben (denk aan van Ubiquiti of MikroTik) en eventueel VLAN supporting switch(es).

Je kan een Edgerouter Lite halen, kost geen drol maar heeft meer dan prima VLAN support

Op basis van guest client isolation kun je exeptions maken voor enkel het ip van de printer(s). Gescheiden natwerken zijn het dan niet maar met je voorkomt iig dat de clients toegang hebben tot niets anders dat de gateway en de printer.

Wil je echt met fysiek gescheiden netwerken gaan werken zul je inderdaad een router en een switch moeten aanschaffen die vlan support kennen.

Correct.... Maar de software (unifi controller) moet je wel eenmalig installeren op een pc om de configuratie te kunnen maken.

Wat bedoel je met meerdere SSID's? Een normaal en een gasten wifi of meerdere "normale" wifi's?

Jeroen, ben wel een beetje benieuwd hoe je toegang kan geven aan 2 ip adressen (printer en gateway).
Als ik op mijn controller pagina kijk dan kan ik alleen 1 subnet toegang geven en geen 2.
Ik neem aan dat jij bedoelde een rechtstreekse verwijzing naar beide ip adressen. (bijv dus een 192.168.1.1/255.255.255.255)
Is natuurlijk wel te omzeilen door een heel klein subnet te gebruiken en beide ip adressen in dat subnet te kiezen, maar toch als er een andere manier is...

Huidige controller versie 3.2.10

[ Voor 18% gewijzigd door MdBruin op 07-06-2015 20:18 . Reden: verduidelijking ]

Onder guest control kun je allowed en resticted subnetten opgeven. Wil je enkel 1 adres toestaan, dan zet die onder allowed als bv 192.168.178.12/32 (je zit dus in de goede richting met 255.255.255.255). Die /32 geeft een enkel ip adres aan in dit geval. Wil je er meerdere beschikbaar maken, dan zul je meerdere moeten toevoegen.

Die /32 wist ik niet zo, vandaar dat ik het maar zo even vermelde.

Maar dan blijft m'n vraag nog wel hoe ik dit kan doen als ik maar 1 veld heb, kunnen er meerdere subnets in staan of zie ik wat over het hoofd.

Klopt, zo oogt het, maar als je één veld gevuld hebt, verschijnt eronder een nieuw leeg veld.

[ Voor 10% gewijzigd door Jeroen_ae92 op 07-06-2015 20:30 ]

thanks, ga het zo even proberen als de raspberry pi weer een beetje afgekoeld is.
Kan nu even geen toegang tot de pagina krijgen, gelukkig werkt ssh nog wel

Edit:
Na een PM van Jeroen werkt het voor mij.
Als je dit wilt gebruiken moet je zorgen dat je bij het SSID "guest policy" hebt aangevinkt.

[ Voor 31% gewijzigd door MdBruin op 07-06-2015 21:56 ]

je kan ook --> http://www.edgerouterconfig.nl/configuratie-aanvragen/

die gasten een mailtje sturen, ze maken je dan een config op maat en je kan ook bij ze de edge router lite bestellen zetten ze je de software+ settings op t apparaat hoef jij alleen nog maar aan te sluiten en done..
kost ene paar euro.. maar dan hoef je zelf niet te knutselen enzo ;-)


WAN adres toegewezen door DHCP --> JA

aantal dhcp scopres --> Meerdere

edgerouter IP --> een IP dat met .1 eindigd en in het vlan zit van jouw eigen (V)Lan lijkt t gemakkelijkste

DHCP scopes
192.168.1.0/24 gezin 1
192.168.2.0/24 gezin 2
192.168.3.0/24 gezin 3
192.168.4.0/24 gast lan

klonen zal niet nodig zijn...

nagelang de benodigde poorten heb je dan wel/niet 1extra switch nodig die ook vlan tagging aankan per AP een VLAN heeft (met trunking kan je eea regelen)

[ Voor 43% gewijzigd door Dutch2007 op 07-06-2015 22:59 . Reden: wat extra info enzo... ]

Frazzy schreef op zondag 07 juni 2015 @ 18:54:
Dus de mogelijkheid om aparte SSID's aan te maken in de UniFi controller is een wassen neus zonder een extra stukje hardware?

Niet echt. Je kunt per ssid een filter instellen.

Correct, ik dacht dat het enkel om een guest netwerk ging die ook bij de printer moest kunnen. Na je verduidelijking blijkt dat je het over 4 lan segmenten hebt die enkel toegang heeft tot het eigen lan en eventueel een shared printer. Dit kan niet met je huidige apparatuur.

Er zal dus een router achter de experia moeten komen die de mogelijk heeft om meerdere subnetten aan te maken. Dit zou een microtik, edgerouter etc kunnen zijn. Vervolgens heb je nog een aantal smartmanaged switches nodig die ook vlan's snappen.

Hangt er een beetje vanaf Jeroen.
Mogelijk liggen alle UAP-Pro LAN kabel allemaal richting de experia box je zou dan bijv. de volgende configuratie kunnen maken.

VLAN ondersteunende router
Daarachter een VLAN ondersteunende switch
Op de VLAN andersteunende switch sluit je je UAP-Pro's op een trunk ingestelde poort (zo kunnen de wireless clients toch nog roamen op alle UAP-Pro's en toch op hun eigen netwerk verbonden blijven)
En eventueel kan je nog een bedraad netwerk (indien nodig maar de ts geeft dit niet aan) untagged per poort/VLAN (per gezin dus) verder verdelen met een domme switch.

Wat betreft Duttch2007 aangeeft met de VLAN's, ik zou er nog 1 bij maken. En die is dan voor de printer.
Dat maakt de configuratie net wat makkelijker, je hoeft hierdoor geen toegang te geven op je eigen VLAN om bij de printer te kunnen komen.

Sorry Frans, was niet bedoeld om je in de war te brengen

[ Voor 3% gewijzigd door MdBruin op 08-06-2015 09:53 ]

Dit is tegen spam aan, niet doen

[ Voor 95% gewijzigd door Koffie op 09-06-2015 10:30 ]

Frazzy schreef op zondag 07 juni 2015 @ 18:54:
Dus de mogelijkheid om aparte SSID's aan te maken in de UniFi controller is een wassen neus zonder een extra stukje hardware?

Stukje uitleg, omdat mensen hier wel heel snel VLAN roepen zonder even uit te leggen wat er aan de hand is.

Jouw AP heeft 1 netwerkaansluiting, dus fysiek gaat al het verkeer over 1 kabel. Om over 1 kabel meerdere netwerken te kunnen laten lopen (zonder te veel rare hacks te hoeven toepassen) hebben ze VLAN's bedacht.
Het is 'the next best thing' om een netwerk gescheiden te houden na een daadwerkelijk gescheiden fysiek netwerk (of daadwerkelijk gekoppeld netwerk, afhankelijk van wat je wilt bereiken)

Een router kan verschillende 'netwerken' aan elkaar koppelen en normaal gebruik je een router om bijvoorbeeld je interne netwerk te koppelen aan je internet verbinding. Dus een poort is je internet en een poort is je interne netwerk en de router doet de rest.
VLAN's werken niet anders, de router ziet die net zoals een echte poort, maar dan als een virtuele aansluiting. En je kunt daarna alle magic toepassen alsof het een losse 'netwerkkabel/verbinding' is.

In jouw situatie heb je waarschijnlijk een VLAN nodig waar de printer inzit en die kun je daarna koppelen aan de andere 3. Hierdoor is verkeer niet mogelijk tussen de 3 andere VLANs, maar wel van die 3 naar de printer.

Het is dus niet zozeer een wassen neus, maar juist een hele professionele oplossing. Helaas heb je dus wel professionelere spullen nodig om daar van gebruik te kunnen maken. Je normale thuisroutertje heeft daar niet altijd support voor.