Bem-vindo à Comunidade UBNT

Dois UNIFI Controllers em Um USG

willkariokwillkariok 21 Pontos
editado agosto 2017 em UniFi Wireless
Bom dia meus amigos.
image
tenho o seguinte cenário:
 Em USG 3P Recebendo um Link de Internet, pela WAN, e pela LAN, indo para um Switch Central, na qual eu distribuo a comunicação a 16 UNIFIs Diversos Modelos, que estão distribuído pela usina.

Os acessos a esta rede e controlado manualmente, os SSID tem Senha WPA2, porem as senha vazam, tendo em vista de quem possui acesso a senha, acaba compartilhando irregularmente, quem possui a senha e devidamente cadastrado na opção de Cliente, e quem não tem este cadastro, e feito o bloqueio, para que ele não consiga acessar a esta rede wifi mesmo possuindo a senha, logo o mac dele é bloqueado.

porem surgiu uma demanda interna, que preciso entregar assim :
image
3 UAP-AC-PRO
SSID SEM SENHA
CADA CONEXÃO 1Mbps
Horário de Funcionamento das 11:00 as 14:30

Eu iria adotar estes 3 UAP no Controller existente, porem eu teria o problema dos MACs Bloqueados, que ai neste caso eu teria que liberar todos, porem, o desejo que ele somente acessem nesta localidade com SSID liberado, e não em outras localidades com a rede que eles possuem a senha.

a duvida é se eu criar outro Controller, atrelado ao mesmo USG, os MACs continuaram sendo bloqueados ?
O bloqueio de MAC e feito somente no Controller ou no USG ?

em anexo tem um croqui, que vcs podem ver.



Obrigado pela Atenção e fico no aguardo de um feedback.

att




Rotulado:

Comentários

  • R4V3RR4V3R 8446 Pontos
    Me parece uma situação para usar um "site" diferente na controladora UniFi, não há necessidade alguma de usar outra controladora.. Só não entendi aonde exatamente você quer fazer o controle via MAC address. Se for via controladora na versão 5.5x, ele é por SSID, então você não teria esse problema....
  • R4V3R disse:

    Me parece uma situação para usar um "site" diferente na controladora UniFi, não há necessidade alguma de usar outra controladora.. Só não entendi aonde exatamente você quer fazer o controle via MAC address. Se for via controladora na versão 5.5x, ele é por SSID, então você não teria esse problema....

    Boa tarde R4V3R, oq ocorre é :

    qual um dispositivo conecta no SITE A, e eu realizo o bloqueio ele neste site, ele nao consegue acessar os SSID dos SITE B, quando eu faço a consulta de MACs bloqueados, ele consta como bloqueado, mesmo que ele tenha sido bloqueado no site A.


    Eu tenho 4 SSID diferentes, porem eles entregam a mesma VLAN, que sai do USG é uma mera ilusão para os usuários finais, para que imaginem que estão em rede diferentes, ainda não possuo a necessidade neste ambiente de segregar por VLAN, para separar as redes.
    e quem ingressa em uma destas redes, sem a nossa autorização, ( quando o cara tem autorização, nos conectamos ele na rede, e identificamos o dispositivo com o nome do usuário, quando ele entra sem autorização ( senha vazou) o dispositivo fica sem identificação na controladora e quando identificamos isso, bloqueamos ele com a função "block") .

    oq ocorre, é que a demanda que apareceu, é deixar qualquer um conectar em um SSID sem senha que irei criar, este SSID terá que esta disponivel para conexão das 11 as 14:30 de seg a sexta, e se algum dispositivo que tiver bloqueado na controladora, em outro SSID possa conectar neste sem demais problemas, no horario e dias permitidos.

    conseguiu entender.... sei que é meio complicado + mais ou menos isso que preciso.


    obrigado !!
  • R4V3RR4V3R 8446 Pontos
    editado agosto 2017
    Você não está fazendo controle via MAC address, você está fazendo bloqueio de dispositivos via controladora UniFi o que é muito diferente.
    Bloqueio de dispositivos = Global para todo o site(e não para toda a controladora), não há o que modificar aqui, é assim que o recurso funciona.
    Bloqueio via MAC address = Por SSID, você pode escolher lista branca ou lista negra e configurar de acordo. Está disponível apenas nas versões 5.5x mais recentes.
  • R4V3R disse:

    Você não está fazendo controle via MAC address, você está fazendo bloqueio de dispositivos via controladora UniFi o que é muito diferente.

    Bloqueio de dispositivos = Global para todo o site(e não para toda a controladora), não há o que modificar aqui, é assim que o recurso funciona.
    Bloqueio via MAC address = Por SSID, você pode escolher lista branca ou lista negra e configurar de acordo. Está disponível apenas nas versões 5.5x mais recentes.
    R4V3R
    Exato, sou apenas realizando o bloqueio de dispositivo global, a minha duvida é, se eu bloquear o dispositivo no SITE A , ele estará bloqueado no SITE B ?? 

    Quando eu criar o SITE B, irei criar um SSID sem senha, e quem esta bloqueado no SITE A, na teoria poderá conectar nos SSID do site B, sem demais problemas.

    é possivel ?

    relativo a lista branca, vou fazer esta mudança no SITE A, vou remover todos os SSID, e manter apenas 1 SSID ativo, e sem senha, e só poderão conectar quem estiver na lista branca, ja rodei um informativo na empresa para que todos os permitidos me informe os MACs para terem acesso.


    obrigado pela interação.


    att

  • R4V3RR4V3R 8446 Pontos
    Não, o bloqueio de dispositivos, assim como toda e qualquer configuração é contida em cada site e não irá influenciar configurações em outros sites, na verdade nem há como fazer isso.
    Sim, dispositivos bloqueados no site A irão poder se conectar à equipamentos adotados no site B. Logicamente, cada equipamento UniFi só pode pertencer à um site.
  • willkariokwillkariok 21 Pontos
    editado agosto 2017
    R4V3R disse:

    Não, o bloqueio de dispositivos, assim como toda e qualquer configuração é contida em cada site e não irá influenciar configurações em outros sites, na verdade nem há como fazer isso.

    Sim, dispositivos bloqueados no site A irão poder se conectar à equipamentos adotados no site B. Logicamente, cada equipamento UniFi só pode pertencer à um site.
    Acabei de fazer um laboratorio:

    Criei o Site B, coloquei um novo UAP, adotei ele no Site B, criei um SSID sem senha, e conectei um dispositivo que esta com o acesso liberado no SITE A, neste novo SSID que criei apartir do SITE B, funcionou perfeito.

    porem peguei este mesmo dispositivo que esta liberado no SITE A, e realizei o bloqueio, logo ele nao se conecta a nenhum SSID criado no SITE A.
    Em seguida tentei conectar ele no SSID criado no SITE B, aonde foi adotado este novo UAP, e não obtive sucesso na conexão, ele não se conectou.

    Quando eu realizei o desbloq no Site A, ele conseguiu se conectar no Site B.

    estranho?? sera que terei que criar vlan para o SSID do Site B ?

    versão do meu controller 5.6.7

    no aguardo.
  • R4V3RR4V3R 8446 Pontos
    Tá péra.. você tem um USG na rede e quando ele está presente ele participa deste processo também. Se a VLAN é a mesma logicamente isso vai ocorrer porque o USG é um equipamento em comum aos dois sites.
    Eu recomendo criar dois sites novos, um com cada AP e sem nenhum USG nestes sites.
    Depois refaça os testes.
  • R4V3R disse:

    Resolvi da seguinte forma:

    R4V3R disse:

    Você pode criar quantos sites quiser, porem se o site principal aonde o USG estiver adotado, tiver uma lista de bloqueio, todos os demais sites terão os dispositivos bloqueados também.

    R4V3R disse:

    Fiz o seguinte.

    R4V3R disse:

    Peguei o USG e criei um Site somente para Ele e transferi ele, neste site não existe nenhum dispositivo bloqueado ( Mac Bloqueado).

    R4V3R disse:

    Criei todas as configurações de LAN e de NAT neste outro site para que a minha rede nao tivesse nenhum problema( sempre bom ter um backup antes de fazer isso ), já que este novo site que irá propagar DHCP e IP para toda a rede.

    R4V3R disse:

    Os site antigo que eu gostaria de manter os dispositivos bloqueados, a lista se manteve e os dispositivos continuaram bloqueados, no site novo que criei que a lista estava em branco, criei um ssid sem senha em guest , com um schedule, para que a rede seja propagada de 10 da manha as 14hrs da tarde ( hr de almoço ), e todo e qualquer dispositivo possa se conectar nesta rede neste periodo, e logo apos este periodo a rede deixa de ser propagada e logo os dispositivos sao desconectados automaticamente, e que mesmo que se este dispositivo esteja liberado para conectar neste site, quando ele voltar para o escritorio, se o dispositivo dele nao for permitido para conectar, ele não ira conectar.

    R4V3R disse:

    relativo ao schedule de horario, tive que fazer uma adaptação nos horários, porque se inserir no horario, do controller, nunca bate com o horario real, mesmo voce alterando as configuraçoes de fuso horario e pais e servidor NTP.

    R4V3R disse:


    R4V3R disse:

    obrigado por me lerem, caso o meu cenario seja parecido com o de alguém, segue a forma que achei pra solucionar

  • R4V3R disse:

    Resolvi da seguinte forma:

    R4V3R disse:

    Você pode criar quantos sites quiser, porem se o site principal aonde o USG estiver adotado, tiver uma lista de bloqueio, todos os demais sites terão os dispositivos bloqueados também.

    R4V3R disse:

    Fiz o seguinte.

    R4V3R disse:

    Peguei o USG e criei um Site somente para Ele e transferi ele, neste site não existe nenhum dispositivo bloqueado ( Mac Bloqueado).

    R4V3R disse:

    Criei todas as configurações de LAN e de NAT neste outro site para que a minha rede nao tivesse nenhum problema( sempre bom ter um backup antes de fazer isso ), já que este novo site que irá propagar DHCP e IP para toda a rede.

    R4V3R disse:

    Os site antigo que eu gostaria de manter os dispositivos bloqueados, a lista se manteve e os dispositivos continuaram bloqueados, no site novo que criei que a lista estava em branco, criei um ssid sem senha em guest , com um schedule, para que a rede seja propagada de 10 da manha as 14hrs da tarde ( hr de almoço ), e todo e qualquer dispositivo possa se conectar nesta rede neste período, e logo apos este período a rede deixa de ser propagada e logo os dispositivos são desconectados automaticamente, e que mesmo que se este dispositivo esteja liberado para conectar neste site, quando ele voltar para o escritório, se o dispositivo dele nao for permitido para conectar, ele não ira conectar.

    R4V3R disse:

    relativo ao schedule de horário, tive que fazer uma adaptação nos horários, porque se inserir no horário, do controller, nunca bate com o horário real, mesmo você alterando as configurações de fuso horário e pais e servidor NTP.

    R4V3R disse:


    R4V3R disse:

    obrigado por me lerem, caso o meu cenário seja parecido com o de alguém, segue a forma que achei pra solucionar

  • willkariok disse:

    R4V3R disse:

    Resolvi da seguinte forma:

    R4V3R disse:

    Você pode criar quantos sites quiser, porem se o site principal aonde o USG estiver adotado, tiver uma lista de bloqueio, todos os demais sites terão os dispositivos bloqueados também.

    R4V3R disse:

    Fiz o seguinte.

    R4V3R disse:

    Peguei o USG e criei um Site somente para Ele e transferi ele, neste site não existe nenhum dispositivo bloqueado ( Mac Bloqueado).

    R4V3R disse:

    Criei todas as configurações de LAN e de NAT neste outro site para que a minha rede nao tivesse nenhum problema( sempre bom ter um backup antes de fazer isso ), já que este novo site que irá propagar DHCP e IP para toda a rede.

    R4V3R disse:

    Os site antigo que eu gostaria de manter os dispositivos bloqueados, a lista se manteve e os dispositivos continuaram bloqueados, no site novo que criei que a lista estava em branco, criei um ssid sem senha em guest , com um schedule, para que a rede seja propagada de 10 da manha as 14hrs da tarde ( hr de almoço ), e todo e qualquer dispositivo possa se conectar nesta rede neste periodo, e logo apos este periodo a rede deixa de ser propagada e logo os dispositivos sao desconectados automaticamente, e que mesmo que se este dispositivo esteja liberado para conectar neste site, quando ele voltar para o escritorio, se o dispositivo dele nao for permitido para conectar, ele não ira conectar.

    R4V3R disse:

    relativo ao schedule de horario, tive que fazer uma adaptação nos horários, porque se inserir no horario, do controller, nunca bate com o horario real, mesmo voce alterando as configuraçoes de fuso horario e pais e servidor NTP.

    R4V3R disse:


    R4V3R disse:

    obrigado por me lerem, caso o meu cenario seja parecido com o de alguém, segue a forma que achei pra solucionar

    willkariok disse:

    R4V3R disse:

    Resolvi da seguinte forma:

    R4V3R disse:

    Você pode criar quantos sites quiser, porem se o site principal aonde o USG estiver adotado, tiver uma lista de bloqueio, todos os demais sites terão os dispositivos bloqueados também.

    R4V3R disse:

    Fiz o seguinte.

    R4V3R disse:

    Peguei o USG e criei um Site somente para Ele e transferi ele, neste site não existe nenhum dispositivo bloqueado ( Mac Bloqueado).

    R4V3R disse:

    Criei todas as configurações de LAN e de NAT neste outro site para que a minha rede nao tivesse nenhum problema( sempre bom ter um backup antes de fazer isso ), já que este novo site que irá propagar DHCP e IP para toda a rede.

    R4V3R disse:

    Os site antigo que eu gostaria de manter os dispositivos bloqueados, a lista se manteve e os dispositivos continuaram bloqueados, no site novo que criei que a lista estava em branco, criei um ssid sem senha em guest , com um schedule, para que a rede seja propagada de 10 da manha as 14hrs da tarde ( hr de almoço ), e todo e qualquer dispositivo possa se conectar nesta rede neste período, e logo apos este período a rede deixa de ser propagada e logo os dispositivos são desconectados automaticamente, e que mesmo que se este dispositivo esteja liberado para conectar neste site, quando ele voltar para o escritório, se o dispositivo dele nao for permitido para conectar, ele não ira conectar.

    R4V3R disse:

    relativo ao schedule de horário, tive que fazer uma adaptação nos horários, porque se inserir no horário, do controller, nunca bate com o horário real, mesmo você alterando as configurações de fuso horário e pais e servidor NTP.

    R4V3R disse:


    R4V3R disse:

    obrigado por me lerem, caso o meu cenário seja parecido com o de alguém, segue a forma que achei pra solucionar


  • R4V3RR4V3R 8446 Pontos
    Nossa, ficou meio embolado, não consegui entender hehehe
    Faz o seguinte, escreve sua resposta num bloco de notas e depois só cola aqui no fórum, sem citação pra não ferrar com a formatação..
    Infelizmente esse fórum não é muito amigável neste sentido, não posso fazer nada quanto à isso...
  • Resolvi da seguinte forma:
    Você pode criar quantos sites quiser, porem se o site principal aonde o USG estiver adotado, tiver uma lista de bloqueio, todos os demais sites terão os dispositivos bloqueados também.
    Fiz o seguinte.
    Peguei o USG e criei um Site somente para Ele e transferi ele, neste site não existe nenhum dispositivo bloqueado ( Mac Bloqueado).
    Criei todas as configurações de LAN e de NAT neste outro site para que a minha rede nao tivesse nenhum problema( sempre bom ter um backup antes de fazer isso ), já que este novo site que irá propagar DHCP e IP para toda a rede.
    Os site antigo que eu gostaria de manter os dispositivos bloqueados, a lista se manteve e os dispositivos continuaram bloqueados, no site novo que criei que a lista estava em branco, criei um ssid sem senha em guest , com um schedule, para que a rede seja propagada de 10 da manha as 14hrs da tarde ( hr de almoço ), e todo e qualquer dispositivo possa se conectar nesta rede neste período, e logo apos este período a rede deixa de ser propagada e logo os dispositivos são desconectados automaticamente, e que mesmo que se este dispositivo esteja liberado para conectar neste site, quando ele voltar para o escritório, se o dispositivo dele nao for permitido para conectar, ele não ira conectar.
    relativo ao schedule de horário, tive que fazer uma adaptação nos horários, porque se inserir no horário, do controller, nunca bate com o horário real, mesmo você alterando as configurações de fuso horário e pais e servidor NTP.
    obrigado por me lerem, caso o meu cenário seja parecido com o de alguém, segue a forma que achei pra solucionar
  • R4V3RR4V3R 8446 Pontos
    show de bola ;)
  • Bom dia, E meu amigo Bem interessante essa situação sua, pelo que entendi o USG influenciou no bloqueio do dispositivo nos sitios, como eu não uso ele aqui nunca ia advinhar que isso poderia acontecer, pois aqui com sites diferentes o dispositivo bloqueado funcionar em outro site.. Inclusive estou pensando em comprar um para aplicar e entender o funcionamento.
    O que me chamou a atenção foi a questão de colocar Hora programada, coisa que aqui eu não conseguir e ja foi discutido com R4V3R e da forma que ele explicou me pareceu mas complexo para mim que sair de uma área de cabeamento estruturado e estou em outros mundo..
    De qualquer forma e mas uma base de conhecimento..
Entre ou Registre-se para fazer um comentário.