Bem-vindo à Comunidade UBNT

Autenticação de usuários hostpot e liberar a conexão sem a necessidade de senhas

Olá tenho 2 unifi e uma rede e preciso resolver o seguinte problema,
Tenho 2 SSID Interno e visitantes no interno preciso autenticar as maquinas da rede sem a necessidade de senha pós os usuários desses dispositivos não podem ter acesso a senha, minha ultima tentativa foi o guest mais geralmente no outro dia tenho que liberar as maquinas novamente pelo software ou seja, preciso deixar a internet nas maquinas internas liberadas sem ter que autorizar os acessos diariamente, mais em contra partida não posso inserir um autenticação por senha  por que os usuários mais espertos acabam pegando a senha nas configurações da rede sem fio do windows e conectando celulares e dispositivos indevidos na rede, alguém tem uma solução pra isso, e são meus primeiros unifi.

Att
Andrew

Comentários

  • R4V3RR4V3R 8420 Pontos
    Olá @Andrewpalmeira você pode configurar uma rede guest com autenticação estilo "simple password". A senha que será utilizada neste caso é irrelevante, basta que você não a repasse para ninguém. Ao se conectar à este SSID, ninguém terá acesso à internet, mas aparecerá na controladora como guest, com status "pending", ou seja, aguardando autenticação. Como os usuários não terão a senha para se autenticar no portal web, ninguém conseguirá acesso à rede, desta maneira:

    guests1

    Aí você vai no painel de guests e autoriza manualmente somente as máquinas que quiser, e a partir deste momento elas terão acesso à rede, permanecendo as demais bloqueadas.

    guests2

    De "pending" o status mudará para "authorized" escrito em verde. O tempo pelo qual essa ação é válida você especifica no campo "expiration", conforme a primeira imagem.
  • R4V3R disse:

    Boa tarde muito obrigado pela ajuda, só que dessa forma eu acabo perdendo o hotspot para os visitantes isso acaba ficando inviável, ou existe um forma de manter as 2 autenticações?


    Olá @Andrewpalmeira você pode configurar uma rede guest com autenticação estilo "simple password". A senha que será utilizada neste caso é irrelevante, basta que você não a repasse para ninguém. Ao se conectar à este SSID, ninguém terá acesso à internet, mas aparecerá na controladora como guest, com status "pending", ou seja, aguardando autenticação. Como os usuários não terão a senha para se autenticar no portal web, ninguém conseguirá acesso à rede, desta maneira:


    guests1

    Aí você vai no painel de guests e autoriza manualmente somente as máquinas que quiser, e a partir deste momento elas terão acesso à rede, permanecendo as demais bloqueadas.

    guests2

    De "pending" o status mudará para "authorized" escrito em verde. O tempo pelo qual essa ação é válida você especifica no campo "expiration", conforme a primeira imagem.

  • R4V3RR4V3R 8420 Pontos
    Não, não há como manter ambos, ou você usa uma forma ou outra, pois as políticas guest são únicas para cada site, ou seja, o guest portal em si é único.
  • jaunmjaunm 3 Pontos
    Boa Tarde a todos!

    Estou passando pelo mesmo problema que o amigo Andrewpalmeira pois preciso controlar o WIFI dos colaboradores sem correr o risco que a senha vaze e eles coloquem nos dispositivos mobiles deles, e também preciso controlar o WIFI dos convidados. 

    Atualmente tenho 2 SSID's uma para colaborador, que permite acesso a rede devido aos sistemas e arquivos nos servidores e outra SSID para convidado sem acesso a rede e com controle por vouchers.

    A solução para convidados me atende bem, o problema é com a rede dos colaboradores pois a senha sempre vaza, pois como o amigo disse, alguns usuários mais espertinhos sabem visualizar a senha nas configurações do Windows.

    Estou pensando em utilizar a seguinte solução e gostaria de saber a opinião de vocês quanto a funcionalidade eficiência:

    Estou pensando em colocar cada SSID em uma VLAN e as duas do tipo guest com controle por vouchers. Iria configurar uma VLAN para ter acesso a rede local e esta seria para os colaboradores e a outra completamente isolada sem acesso a rede. Desta forma conseguiria ter a redes separadas e também conseguiria controlar o acesso pois geraria os vouchers tanto para os convidados quanto para os colaboradores, porém para os colaboradores colocaria o voucher com o maior período possível de expiração ou se possível período de expiração indeterminado.

    É possível fazer isso ? ainda não atualizei meu controler para versão 4 portando não sei se existe novos recursos nas redes guests.

    Obrigado desde já pela atenção e um forte abraço a todos!

    Att.,

    João Marcelo Barcelos
  • R4V3RR4V3R 8420 Pontos
    @jaunm não tem muita coisa nova relacionada à isso na versão 4.6.6 não.. Nada que me lembre agora, só a interface é diferente mesmo. Só que no caso, o que você quer fazer não iria funcionar, pois como o portal é o mesmo, os vouchers que você gerar serão válidos pra qualquer das duas redes guest, então os usuários poderiam se conectar aonde quisessem. A não ser que você colocasse uma senha específica(WPA2) no SSID dos colaboradores, mantendo ela ainda como rede guest, utilizando os vouchers, então mesmo conectado ao SSID, eles apenas teriam acesso à internet se tiverem um voucher válido. E desta fora os convidados não teriam acesso à ela. Só que aí vem outro problema que é o isolamento, ou "guest policies" que impede que usuários em uma rede guest acessem outros guests e também recursos em sua rede cabeada. Esse comportamento pode ser manualmente controlado, liberando e bloqueado endereços IP ou subredes inteiras em settings/guest control, no entanto estas configurações, da mesma maneira, valeriam para ambos os SSIDs.
    Então, se considerarmos apenas soluções elegantes, sem gambiarras, a única forma de fazer o que você quer é trocar a forma de autenticação de pelo menos um dos SSIDs, utilizando WPA-Entreprise com um servidor RADIUS, por exemplo, ou então desenvolvendo por conta própria um portal de autenticação que possa fazer distinção entre autenticações vindas de SSIDs distintos, isso é perfeitamente possível.
  • jaunmjaunm 3 Pontos
    Então @R4V3R a idéia de usar VLAN's é justamente para conseguir isolar as redes. Para que eu possa deixar a configuração das redes guests com acesso a rede local cabeada, e faria o bloqueio da SSID de convidado através da VLAN.

    Mas estou pensando em implantar um servidor RADIUS mesmo para o SSID dos colaboradores, ficará mais eficaz e prático para administrar.

    Obrigado pelas informações!

    Um abraço!
  • ThiemannThiemann 303 Pontos
    Eu iria sugerir o RADIUS para rede interna e Guest Policies para os visitantes.. Se não me engano você pode vincular o RADIUS à um AD (caso você tenha um AD na sua rede) assim o login seria o mesmo do wifi e do logon do usuario na rede (onde cada um já possui o seu individualmente) mas também nada impede do usuario acabar logando com a mesma conta em outros dispositivos, não tenho conhecimento se há como limitar conexões simultaneas com o mesmo login..
  • Olá, estou com o seguinte problema:
    Estou liberando a internet para os clientes apenas com a autenticação de Vouchers, porém se a máquina que está instalada o Unifi for desligada a rede fica aberta e não precisa autenticação alguma. Gostaria de saber se há alguma opção para bloquear a internet caso o "servidor" unifi seja desligado.
Entre ou Registre-se para fazer um comentário.