Aparaten draadloos onvindbaar maken

Meestal kun je dat bereiken door broadcast berichten te blokkeren. App's gebruiken die vaak om apparaten te vinden. Het apparaat stuurt regelmatig een identificatie over het netwerk.

Dus: broadcast vanaf ip/mac naar wifi, actie: drop.
Kun je zo specifiek firewall regels maken?

Bedoel je met "apparaten" de Unifi's of iets anders?

erikfaber schreef op vrijdag 12 november 2021 @ 11:36:
Ik zit met de volgende vraag waar ik na zoek- en speurwerk niet achter kan komen.

Situatie:
Unifi netwerk ( gateway USG-3P, switch US-48-500W en 3 x UAP-AC-Pro )
Het gaat om het netwerk van 1 gebruikte vlan waar mijn vraag over gaat

Een aantal apparaten worden via een computer ( met utp kabel aangesloten ) bestuurt maar deze apparaten kunnen ook via een app op smartphones bestuurt worden. Echter, ik wil nou juist dat dit niet met de app gebeurd. En daarom wil ik dat deze apparaten niet gevonden kunnen op het draadloze netwerk.

De vraag is dus: Kan ik een apparaat blokkeren om gevonden te worden op draadloze apparaten zonder het te blokkeren voor bedrade apparaten binnen 1 vlan ?

Nee. Binnen één VLAN kan dat niet. Je moet minstens 3 VLAN's hebben: een voor de apparaten, een voor de computer en een voor de smartphones

Je kunt op een ssid geloof ik een acl opvoeren waar je ip adressen kunt blokkeren

Moet je hem wel labelen als guest, kan natuurlijk alsnog gewoon encryptie op

Simply edit your guest wifi network and check "Apply guest policies" and Save.

After that, go to "Guest Control" and add to "Post-Authorization Restrictions" the networks that you don't want the guest to have access.

[ Voor 65% gewijzigd door laurens0619 op 12-11-2021 12:16 ]

Kun je in de apparaten zelf de functie om ze met een app te bedienen niet uitzetten? En anders uitzoeken welke poorten/protocollen de app gebruikt en die misschien blokkeren.

Zullen we eens beginnen met wat je nou echt wil bereiken, en waarom je denkt dat apparaten draadloos onvindbaar maken de oplossing is?

Probeer je firmware updates te voorkomen?

Wat @Brahiewahiewa zegt, maar dan met twee VLAN's - eentje voor je apparaten en de PC die je wilt gebruiken om ze te bedienen, en eentje voor je draadloze apparatuur.

Vlans is helemaal niet nodig
Gewoon basic firewalling

Is ook hoe de meeste guest netwerken werken

@laurens0619 een firewall kan je tussen netwerken gebruiken als het een netwerk is kan dat dus typisch niet. TS wil iets wat juist de basis is van 1 netwerk, als je dat wilt voorkomen moet je de apparaten in verschillende netwerken zetten waarna je met een firewall inderdaad zaken kan blokkeren.

@Frogmen
Jawel hoor. Al het verkeer van een accesspoint naar een LAN device gaat door het accesspoint. Je kunt daarom prima de firewall op de unifi gebruiken om te filteren.

Zo werkt ook de Guest optie op Unifi als je geen VLANS gebruikt.
Dan dropt een firewall gewoon al het verkeer behalve het verkeer wat naar de DNS server en gateway ip gaat

Dit kan al vanaf de 1e unifi generatie
zie ook voorbeeld

[ Voor 22% gewijzigd door laurens0619 op 12-11-2021 16:05 ]

Helaas quest control is gewoon een simpele benaming van een VLAN al zal de implementatie per merk kunnen verschillen. Het Quest netwerk heeft een andere IP range dus ander netwerk dan het normale netwerk.

Frogmen schreef op vrijdag 12 november 2021 @ 16:08:
Helaas quest control is gewoon een simpele benaming van een VLAN al zal de implementatie per merk kunnen verschillen. Het Quest netwerk heeft een andere IP range dus ander netwerk dan het normale netwerk.

Nee hoor
Het werkt echt zonder VLANS en in dezelfde ip range
Geloof mij nou maar

laurens0619 schreef op vrijdag 12 november 2021 @ 16:14:
[...]

Nee hoor
Het werkt echt zonder VLANS en in dezelfde ip range
Geloof mij nou maar

Ja dat klopt maar daar kan je niks op filteren vanuit het Quest SSID wordt al het verkeer behalve naar de gateway geblokkeerd dat doet in dit geval dan de AP.

Frogmen schreef op vrijdag 12 november 2021 @ 16:20:
[...]

Ja dat klopt maar daar kan je niks op filteren vanuit het Quest SSID wordt al het verkeer behalve naar de gateway geblokkeerd dat doet in dit geval dan de AP.

Dat kun je instellen, je kunt ipv de gateway allow ook een paar denys opnemen met de ip adressen die je wilt blokkeren

laurens0619 schreef op vrijdag 12 november 2021 @ 16:14:
[...]

Nee hoor
Het werkt echt zonder VLANS en in dezelfde ip range
Geloof mij nou maar

Je hebt gelijk v.w.b. wireless clients. Maar merk op dat die inderdaad alleen maar met "het internet" kunnen praten. Als je dus in je netwerk een ander apparaat hebt waarvan je wel wilt dat het door wireless clients benaderd kan worden, heb je een probleem. Bovendien is het voor wired clients ook geen oplossing

Brahiewahiewa schreef op vrijdag 12 november 2021 @ 16:25:
[...]

Je hebt gelijk v.w.b. wireless clients. Maar merk op dat die inderdaad alleen maar met "het internet" kunnen praten. Als je dus in je netwerk een ander apparaat hebt waarvan je wel wilt dat het door wireless clients benaderd kan worden, heb je een probleem. Bovendien is het voor wired clients ook geen oplossing

Nee, je kunt een guest wifi prima zo instellen dat ze naar al je interne hosts mogen praten + het internet maar niet met de devices waar de TS niet wil dat hij bij kan. Het zou kunnen dat je je subnet/reeks wel creatief moet inrichten maar dat hangt er even vanaf hoe unifi tegenwoordig die feature heeft geimplementeerd. Ik gebruikte dit 5 jaar geleden oid en heb geen unifi meer

Is voor Wired clients geen oplossing nee, maar dat was ook niet de vraag van de TS

[ Voor 13% gewijzigd door laurens0619 op 12-11-2021 16:36 ]

laurens0619 schreef op vrijdag 12 november 2021 @ 16:34:
[...]je kunt een guest wifi prima zo instellen dat ze naar al je interne hosts mogen praten + het internet maar niet met de devices waar de TS niet wil dat hij bij kan...

Nog een nuance dan: dat kan op een unifi access point, maar bijvoorbeeld niet op een ziggo connectbox.
Ja, het unifi access point staat in de TS vermeld dus je antwoord is correct. Maar niet algemeen toepasbaar; niet ieder guest network ondersteunt het

Brahiewahiewa schreef op vrijdag 12 november 2021 @ 16:38:
[...]

Nog een nuance dan: dat kan op een unifi access point, maar bijvoorbeeld niet op een ziggo connectbox.
Ja, het unifi access point staat in de TS vermeld dus je antwoord is correct. Maar niet algemeen toepasbaar; niet ieder guest network ondersteunt het

Het kan op ieder guest netwerk, theoretisch gezien. Het is inderdaad niet instelbaar op een Ziggo connectbox. Ik geloof ook niet dat ik dat ergens stelde maar anders heb je inderdaad gelijk.

Als je een Deco setje koopt en je zet guest wifi aan, dan worden er echt geen vlans opgebouwd hoor. Dan stelt hij gewoon een slimme firewall regel in.
Dat het niet instelbaar is klopt bij een Ziggo connectbox klopt maar de TS stelde de vraag voor Unifi
Tegelijk, Unifi is ook het enige model wat ik ken waar je zo op een accesspoint de firewall kunt inregelen. Ik heb dat altijd een gave en unieke feature van unifi gevonden.

Excuses dat ik er trouwens zo fel in ga maar ik heb gewoon te vaak op tweakers gelezen dat mensen denken perse een VLAN aware netwerk nodig te hebben voor een simpele guest Wifi of firewalling van bepaalde hosts

Daarnaast:
Als de TS echt niet aan de VLANS wilt dan kan hij ook een simpele firewall achter het accesspoint plaatsen. 2 utp kabels erin, 1 naar accesspoint en 1 naar netwerk.. Dan reguleer je het alleen voor het complete accesspoint en niet alleen voor een restricted SSID.

[ Voor 14% gewijzigd door laurens0619 op 12-11-2021 16:59 ]