Bem-vindo à Comunidade UBNT

Usg Pro 4 + APs + DHCP visitante

Prezados, boa noite! 
Estou com muitas dúvidas em relação a configuração do USG pro 4. Inclusive fiquei hoje o dia inteiro no chat com pessoal da ubiquiti e mesmo assim não conseguiram me ajudar. 
Minha estrutura está assim: o mesmo meio físico do meu domínio (switchs Dell) também é o mesmo meio físico para os APs. Meu domínio o IP é distribuído uma faixa 172.20.3.xx ou seja só as máquinas plugadas com cabo de rede estão pegando essa faixa de IP. Eu comprei o USG no intuito de dividir minha rede. Tenho na rede também um fortigate onde a porta 2 desse firewall está distribuindo um IP 192.168
1.xx que criamos pensando em usar na rede guest dos APs. Porém tenho um problema, eu queria usar DHCP relay nas configurações do USG e dos APs, assim não teria que criar VLAN, mas como devo configurar isso? O suporte chat da ubiquiti me falou que essa função ainda está em desenvolvimento por isso não funciona bem, achei estranho. Tentaram configurar o USG usando DHCP server, porém quando é configurado por DHCP server posso ter 2 problemas, um deles ele pode conflitar com o DHCP server que vem do fortigate por estar na mesma faixa, segundo problema se configuro com DHCP server, as máquinas que estão na minha rede, podem começar a pegar o IP do USG e não do meu DHCP principal do domínio. Ou seja como faço para a guest funcionar pegando o IP 192.168.1.xx que vem do meu firewall no DHCP relay? Lembrando, não quero configurar VLAN, pois fui orientado a comprar esse usg pela própria ubiquiti, e sendo assim, a ferramenta tem que funcionar. Se for para fazer por DHCP server o que preciso fazer para não ter conflito na minha rede com meu DHCP e com meu firewall? 

Att,

Comentários

  • R4V3RR4V3R 8140 Pontos
    editado maio 29
    Antes de tudo vou deixar aqui duas observações que tem a ver com boas práticas de projeto e implementação de redes em geral, qualquer que sejam as marcas e modelos dos equipamentos em uso, a absolutamente nada a ver com equipamentos UniFi ou Ubiquiti especificamente: 
    • Se seus switches são gerenciáveis, a maneira correta de fazer o que você descreve é sim usando VLANs e segmentação lógica de redes. DHCP relay/server não são substitutos neste sentido, e isso sequer faz sentido.
    • Adquirir mais um roteador não é a maneira mais fácil, nem a mais adequada para segmentar um domínio de broadcast da maneira como você descreve, principalmente quando você já possui um roteador de qualidade, do qual você não deseja se desfazer, então adquirir um USG, ou qualquer outro roteador de qualquer outro fabricante não é a melhor opção, pelo simples fato de que um roteador não é a ferramenta mais adequada para resolver o problema proposto.
    Dito isso a topologia descrita pode sim ser implementada, com ou sem ressalvas, com os equipamentos que você cita, USG + Pontos de acesso UniFi, porém da maneira mais difícil, e menos flexível que eu consigo imaginar, e pior, dependendo dos seus requisitos em termos de SSIDs, você não vai escapar de ter que usar VLANs em algum lugar de sua topologia, pelo simples fato de que a configuração com DHCP relay e DHCP server não substitui a segmentação lógica por VLANs, então antes de te descrever orientações mais específicas ou mesmo uma topologia final, eu preciso fazer algumas perguntas:

    1) Quantos SSIDs você pretende propagar através dos pontos de acesso?
    2) Quantas subredes diferentes estariam associadas com estes SSIDs(no caso de ser mais do que um SSID)?
    3) São redes já existentes, com equipamentos conectados à elas, ou você apenas deseja centralizar a distribuição do endereçamento IP de sua rede, utilizando DHCP relay e server ao invés de um DHCP server no  USG?
    4) Qual a sua familiaridade com equipamentos UniFi, sendo os pontos de acesso e o roteador(USG), e também qual o modelo específico dos pontos de acesso que você comprou?
  • R4V3R disse:
    Antes de tudo vou deixar aqui duas observações que tem a ver com boas práticas de projeto e implementação de redes em geral, qualquer que sejam as marcas e modelos dos equipamentos em uso, a absolutamente nada a ver com equipamentos UniFi ou Ubiquiti especificamente: 
    • Se seus switches são gerenciáveis, a maneira correta de fazer o que você descreve é sim usando VLANs e segmentação lógica de redes. DHCP relay/server não são substitutos neste sentido, e isso sequer faz sentido.
    • Adquirir mais um roteador não é a maneira mais fácil, nem a mais adequada para segmentar um domínio de broadcast da maneira como você descreve, principalmente quando você já possui um roteador de qualidade, do qual você não deseja se desfazer, então adquirir um USG, ou qualquer outro roteador de qualquer outro fabricante não é a melhor opção, pelo simples fato de que um roteador não é a ferramenta mais adequada para resolver o problema proposto.
    Dito isso a topologia descrita pode sim ser implementada, com ou sem ressalvas, com os equipamentos que você cita, USG + Pontos de acesso UniFi, porém da maneira mais difícil, e menos flexível que eu consigo imaginar, e pior, dependendo dos seus requisitos em termos de SSIDs, você não vai escapar de ter que usar VLANs em algum lugar de sua topologia, pelo simples fato de que a configuração com DHCP relay e DHCP server não substitui a segmentação lógica por VLANs, então antes de te descrever orientações mais específicas ou mesmo uma topologia final, eu preciso fazer algumas perguntas:

    1) Quantos SSIDs você pretende propagar através dos pontos de acesso?
    2) Quantas subredes diferentes estariam associadas com estes SSIDs(no caso de ser mais do que um SSID)?
    3) São redes já existentes, com equipamentos conectados à elas, ou você apenas deseja centralizar a distribuição do endereçamento IP de sua rede, utilizando DHCP relay e server ao invés de um DHCP server no  USG?
    4) Qual a sua familiaridade com equipamentos UniFi, sendo os pontos de acesso e o roteador(USG), e também qual o modelo específico dos pontos de acesso que você comprou?
    Bom dia R4V3R,

    Seguem as respostas:
    1) Quantos SSIDs você pretende propagar através dos pontos de acesso?
    2 SSIDS, UM COMO CORP E OUTRO COMO GUEST

    2) Quantas subredes diferentes estariam associadas com estes SSIDs(no caso de ser mais do que um SSID)?
    2 SUBREDES, UMA 172.30.1.XX CORP E A OUTRA 192.168.1.XX GUEST

    3) São redes já existentes, com equipamentos conectados à elas, ou você apenas deseja centralizar a distribuição do endereçamento IP de sua rede, utilizando DHCP relay e server ao invés de um DHCP server no  USG?
    SAO REDES EXISTENTES, QUE VEM DO MEU FIREWALL FORTINET. MEU FIREWALL A PORTA 2 ESTA DISTRIBUINDO A 192.168.1.XX E A PORTA 3 ESTA 172.30.1.XX DIFERENTE DA MINHA REDE DE DOMINIO QUE O DHCP 172.20.3.XX VEM DE UM WINDOWS SERVER. TUDO ISSO USARA O MESMO MEIO FISICO DE SWITCHS DELL. 

    4) Qual a sua familiaridade com equipamentos UniFi, sendo os pontos de acesso e o roteador(USG), e também qual o modelo específico dos pontos de acesso que você comprou

    NENHUMA FAMILIARIDADE. QUANDO ENTREI NA EMPRESA ESSES EQUIPAMENTOS JÁ ESTAVAM AQUI E NÃO ESTAVAM CONFIGURADOS COM REDE SEGMENTADA POIS ANALISTAS ANTERIORES NÃO CONSEGUIRAM CONFIGURAR. OS PONTOS DE ACESSO SAO UAC-AP-LR
  • Outra informação interessante. Se eu conseguir fazer pegar por DHCP relay pelo menos a rede guest 192.168.1.xx a corp posso até deixar pegar o mesmo IP que vem do meu Windows server 172.20.3.xx pois de qualquer maneira a corp iria enxergar a minha rede de domínio, no firewall criei apenas uma rede para corp como 172.30.xx.xx para diferenciar o que é IP do wi-fi para o que é IP da rede cabeada. Mas se funcionar o DHCP relay pelo menos na guest com 192 já é o suficiente para gente. 
  • R4V3RR4V3R 8140 Pontos
    Sinceramente não sei de onde você trouxe esses conceitos de DHCP relay/server ou porque está tentando misturá-los à uma coisa muito mais simples que é segmentação lógica de subredes. No fim das contas você está complicando algo que é simples por natureza.
    Como você menciona precisar propagar dois SSIDs, cada um com uma subrede distinta, então não há qualquer opção, você tem que obrigatoriamente usar VLANs para isso. E sendo redes já existentes, o USG simplesmente não cabe nessa topologia, porque não faz sentido colocar um roteador no "meio do caminho" pra rotear pacotes entre redes com o mesmo endereçamento, isso sequer iria funcionar de maneira adequada.
    Lembre-se os pontos de acesso UniFi são pura e simplesmente pontos de acesso, "bridges", como muita gente gosta de definí-los, e tecnicamente semelhantes à hubs ethernet. Eles não tem capacidade de roteamento, tampouco incluem a funcionalidade de DHCP relay, mas podem segmentar o tráfego de cada SSID, e também o tráfego de gerenciamento em diferentes VLANs, que é justamente o que você precisa no seu cenário.
    Excluindo-se a segmentação lógica por VLANs como você está tentando fazer, você ainda pode ter mais do que um SSID, porém todos os seus SSIDs farão parte do mesmo domínio de broadcast, ou seja, da mesma subrede, já que você tem apenas um domínio de broadcast(subrede) abordando os access points.
    Dentro da plataforma UniFi é sim possível criar dois tipos de SSIDs distintos, um "corporate" e um "guest", onde o segundo tipo automaticamente vai criar regras que impedem a comunicação direta entre dispositivos, permitindo apenas a comunicação com o gateway da rede, ou seja, com a internet, enquanto no primeiro caso essas limitações não existem.
    De qualquer forma, sem segmentar o tráfego em diferentes VLANs, todo o tráfego de seus SSIDs usam a mesma sub-rede e logicamente podem ser "sniffados" por qualquer host conectado à ela.
    Minha recomendação: Deixe o USG de lado, configure seu firewall e switches para transportar VLANs para que cheguem do firewall até os pontos de acesso, e depois configure os pontos de acesso UniFi para atrelar cada SSID à sua VLAN específica...
  • Na verdade, o USG foi uma recomendação direta do suporte da ubiquiti. Mas como foi comprado vou ter que usar. Se é que me entende, o gerente comprou e vai ficar bem "fulo" da vida se não usarmos. 
    Sendo assim, ok, se eu quiser usar ele, pensando na topologia que já tenho aqui, qual seria a forma física de ligar ele? 
    Vou usar os pontos de acesso em VLAN e ele terei que colocar na VLAN também certo? 
    Já havíamos tentado ligar esses aps sem o USG antes de comprarmos, usando VLAN, e não funcionou, eles não pegavam os IPS Corretos, eu havia criado uma VLAN para corp e uma para guest, mas no final os APs pegavam sempre o meu iP do DHCP do domínio e não os do firewall. Não entendi porque. 
    Acabamos na época falando com suporte da ubiquiti, inclusive fizemos um desenho da topologia aqui e eles recomendaram fazer por DHCP relay. Eu quero fazer funcionar, mas agora vou ter que fazer isso com o USG, mesmo que eu tenha que criar VLANs. Eu falei do DHCP relay, pois achei que fosse mais fácil fazer dessa forma retransmitindo apenas o DHCP do firewall para os APs e tudo na mesma VLAN. 
    Nós switchs anteriormente eu havia criado com a VLAN em modo Trunk pois tenho 8 switchs na minha rede espalhados, essa seria a forma correta de passar os pacotes dessas redes para os APs né? Ou eles precisam de alguma configuração específica além disso? 






     R4V3R disse:
    Sinceramente não sei de onde você trouxe esses conceitos de DHCP relay/server ou porque está tentando misturá-los à uma coisa muito mais simples que é segmentação lógica de subredes. No fim das contas você está complicando algo que é simples por natureza.
    Como você menciona precisar propagar dois SSIDs, cada um com uma subrede distinta, então não há qualquer opção, você tem que obrigatoriamente usar VLANs para isso. E sendo redes já existentes, o USG simplesmente não cabe nessa topologia, porque não faz sentido colocar um roteador no "meio do caminho" pra rotear pacotes entre redes com o mesmo endereçamento, isso sequer iria funcionar de maneira adequada.
    Lembre-se os pontos de acesso UniFi são pura e simplesmente pontos de acesso, "bridges", como muita gente gosta de definí-los, e tecnicamente semelhantes à hubs ethernet. Eles não tem capacidade de roteamento, tampouco incluem a funcionalidade de DHCP relay, mas podem segmentar o tráfego de cada SSID, e também o tráfego de gerenciamento em diferentes VLANs, que é justamente o que você precisa no seu cenário.
    Excluindo-se a segmentação lógica por VLANs como você está tentando fazer, você ainda pode ter mais do que um SSID, porém todos os seus SSIDs farão parte do mesmo domínio de broadcast, ou seja, da mesma subrede, já que você tem apenas um domínio de broadcast(subrede) abordando os access points.
    Dentro da plataforma UniFi é sim possível criar dois tipos de SSIDs distintos, um "corporate" e um "guest", onde o segundo tipo automaticamente vai criar regras que impedem a comunicação direta entre dispositivos, permitindo apenas a comunicação com o gateway da rede, ou seja, com a internet, enquanto no primeiro caso essas limitações não existem.
    De qualquer forma, sem segmentar o tráfego em diferentes VLANs, todo o tráfego de seus SSIDs usam a mesma sub-rede e logicamente podem ser "sniffados" por qualquer host conectado à ela.
    Minha recomendação: Deixe o USG de lado, configure seu firewall e switches para transportar VLANs para que cheguem do firewall até os pontos de acesso, e depois configure os pontos de acesso UniFi para atrelar cada SSID à sua VLAN específica...

  • R4V3RR4V3R 8140 Pontos
    editado maio 31
    Bom, vou repetir, o USG não cabe na topologia que você vislumbra, mas se você quer utilizá-lo, obrigatoriamente vai ter que segmentar a rede a partir dele, ou seja, abaixo dele usando VLANs, então você vai precisar adquirir mais um switch gerenciável, pelo simples motivo de que você quer incorporar esse roteador na topologia, eu recomendo os switches UniFi pois vai facilitar bastante esta questão, mas você pode usar qualquer switch gerenciável com suporte à VLANs, desde que saiba configurá-lo corretamente. Além disso, logicamente as subredes existentes em sua topologia não podem ser reutilizadas, já que um roteador não pode ter as mesmas subredes em sua WAN e a LAN ao mesmo tempo, então adicionando o USG à topologia, você está, obrigatoriamente criando um novo segmento de rede, e não reutilizando um segmento existente.
    Desenhei uma topologia simples de como você precisa conectar os equipamentos. Do USG para baixo na hierarquia, você estará transportando ao menos duas VLANs indo do USG até os access points para poder propagar dois SSIDs distintos atrelados a subredes distintas, e essas configurações logicamente só precisam ser feitas do USG para baixo na topologia. A sua infraestrutura existente, neste caso, estaria servindo apenas como um "provedor" de acesso à internet para o USG e equipamentos abaixo dele.

    Já no seu fortigate, você vai ter que criar rotas estáticas para todas as subredes que estiverem atrás(ou abaixo) do USG, indicando o endereço da WAN do USG como nexthop, para que então a comunicação entre as subredes possa ocorrer corretamente, justamente porque você estará criando um ou mais novos segmentos de rede.
    Minhas orientações em termos de redes em geral vão apenas até este ponto, daqui em diante se você precisar de ajuda neste sentido, recomendo contratar uma consultoria especializada.
    Já na parte de configurações dos equipamentos UniFi especificamente, se houver dúvidas, você pode perguntar a vontade.

    EDIT: A base de conhecimentos da Ubiquiti tem diversos exemplos e informações interessantes sobre topologias e configurações de equipamentos UniFi, recomendo dar uma olhada. https://help.ubnt.com/hc/en-us/categories/200320654-UniFi-Enterprise
  • Ok. Agora, porque quando eu criei uma VLAN sem o usg, eles não pegavam o IP que vinha do fortigate e simplismente pegavam o DHCP principal do domínio que vem pelo meu Windows server? Eu fiz uma VLAN como Trunk e coloquei os APs para funcionarem dentro da VLAN criada, e os SSIDS também definimos com VLAN, para corp VLAN 10 para guest VLAN 20. Mas engraçado que o firewall distribuia os DHCP dele para minha rede de domínio também na vlan1 (padrão do switch). Mesmo estando em portas VLAN tanto os APs, como os cabos que vinham do firewall. Eu tenho um problema pois meu firewall fortigate é alugado pela vivo e quem faz as configurações nele são eles, tô começando a achar que eles não configuraram de maneira que os DHCP que vem dele passassem pacotes apenas nas VLANs mencionadas, por isso não deve ter funcionado quando tentamos sem o usg. Como falei após algumas tentativas, fizemos inclusive um desenho da nossa rede e passamos para o suporte da ubiquiti que nos recomendou o usg, uma pena perder um equipamento desse por uma má orientação da própria da ubiquiti / suporte oficial. 
    Enfim, então não tenho para onde correr, invés de gastar com outro equipamento, vou deixar o usg de lado, e fazer direto pelos aps e pela rede que já possuo. Neste caso eu ligaria os cabos do firewall portas 2 e 3 no switch, definiria uma VLAN para cada um e os APs eu colocaria eles em uma porta Trunk para repassar pacotes entre as redes, depois eu teria que definir em cada ssid a VLAN criada para cada DHCP é isso? E por último o firewall deve passar pacote do IP 192 para a VLAN x e o 172 ele deverá passar pacote para a VLAN y.  Basicamente seria isso? 
  • Outra dúvida, você comentou aí em cima que a rede guest por si só ela não comunica com a corp , mas nosso intuito além dos equipamentos trabalharem em rede separada era ter um sistema de voucher para guest, mas tenho um problema o meu controlador dos APs e que gera o voucher eu iria deixar em um dos servidores que teoricamente só a rede corp iria enxergar, ou seja então nesse caso eu não teria como ter controle por voucher visto que o controlador está em um servidor do DHCP do domínio? 
  • R4V3RR4V3R 8140 Pontos
    editado maio 31
    Bom o primeiro caso que você comenta é configuração incorreta com 100% de certeza, possivelmente nos switches, a única limitação dos APs UniFi é que o tráfego de gerenciamento para eles tem que chegar até os equipamentos sem tag, ou seja, eles não suportam ser gerenciados através de uma VLAN. Já o tráfego destinado à qualquer dos SSIDs pode ser atrelado diretamente à uma VLAN que chega ao AP ou não, é uma decisão de projeto isso.
    A recomendação de adquirir o USG eu creio que tenha sido no sentido de substituir seu firewall atual, já que o USG é um equipamento do tipo "highlander", "só pode haver um", ele funciona perfeitamente quando é o único roteador da rede, ou pelo menos o principal, no entanto, integrar ele em uma rede existente, principalmente quando você precisa manter outro roteador pode não ser a melhor escolha, que foi o que ocorreu aqui.
    Na parte do fortigate não tenho como ajudar o correto seria ter um único cabo de rede conectado entre ele e o seu switch principal passando um tronco com todas as VLANs que você precisa terminar neste roteador, os switches então se encarregam de transportar estas VLANs por toda sua rede até os pontos de acesso que recebem um tronco também, onde o tráfego de gerenciamento dos APs, ou seja, a rede onde eles irão pegar um IP por DHCP é da VLAN untagged na porta onde estão conectados, e os demais SSIDs podem ou não ser atrelados à VLANs , como você quiser.
    Não tem problema nenhum a controladora estar em uma rede separada da rede guest, independentemente de usar o guest portal ou não, pois a comunicação ocorre pela rede de gerenciamento dos APs, e basta que haja comunicação bi-direcional entre os APs e a controladora para que funcione.
    As liberações e bloqueios dos SSIDs guest também podem ser ajustados em settings/guest control/access control, para permitir ou negar acesso à endereços IP ou mesmo subredes completas a partir de um SSID guest.
  • Olá, boa noite! 
    Estive pensando, gostaria de uma opinião sua. 
    Minhas portas 2 e 3 do fortigate estão distribuindo os DHCP que falei, mas estava pensando em uma forma diferente de fazer funcionar. Gostaria de uma opinião sua. Invés das portas 2 e 3 do firewall distribuírem o DHCP, estava pensando em matar essa regra nessas portas e na porta 2 dele configurar que o dispositivo que estiver conectado a mesma, saia direto para internet. Esse cabo eu colocaria na porta WAN do USG, ou seja a porta WAN vai enxergar internet na porta que estiver no firewall.
    E o DHCP distribuiria pelo próprio usg. A porta Lan do USG eu criaria uma VLAN e colocaria os APs na mesma VLAN fazendo um tronco em todos os switchs, tenho um total de 8 switchs . Essa seria uma opcao ou não? 
  • R4V3RR4V3R 8140 Pontos
    Sim, é uma opção sim perfeitamente. Infelizmente é uma das mais difíceis de implementar e vai precisar de bastante configuração e bastante cuidado ao configurar os switches, mas pode ser feito e na verdade é uma topologia basicamente como descrevi na imagem acima, apenas aproveitando os switches existentes.
Entre ou Registre-se para fazer um comentário.