Bem-vindo à Comunidade UBNT

Bloquear trafego WAN em apenas um SSID

Boa noite amigos, algum de vocês já se deparou com o seguinte caso? Ter de bloquear acesso WAN a apenas 1 SSID de um AP que transmita 2 SSIDs?

Exemplo real:
UAP AC PRO
1 SSID para utilização interna (apenas acesso LAN, sem internet)
1 SSID para utilização de internet (apenas acesso WAN) - Aqui ok, apenas ativei a regra de Políticas de Convidados na criação do SSID.

Porém, o inverso, não estou conseguindo sair do lugar, imagino que seja criando uma VLAN e não informando o DNS preferencial para tal rede e atrelar essa SSID para tal VLAN, ou perfis específicos, não sei. Estou perdido aqui.

Alguém tem uma luz?

Aguardo, obrigado.

Rotulado:

Comentários

  • UI-SamuelUI-Samuel 895 Pontos
    editado julho 2018
    A solução é bem simples, na verdade. Basta você atrelar o SSID de uso interno com uma sub-rede própria em sua respectiva VLAN. Feito isso, basta criar uma regra de firewall na borda que faça o bloqueio de qualquer tentativa de acesso originada pela sub-rede vinculada ao SSID. 

    Obs.: Esqueça esse macete de não informar DNS, já que isso não passa de gambiarra porque qualquer usuário poderia facilmente informar manualmente um endereço de servidor DNS público para conseguir navegar. 
  • R4V3RR4V3R 8455 Pontos
    A coisa é mais simples do que você está imaginando, o problema é que você está procurando a solução no lugar errado. Não é tarefa do access point fazer isso, mas sim do roteador na borda de sua rede, e para fazer isso, sim, você precisa que o tráfego daquele SSID esteja isolado em uma VLAN.
    Logicamente, seus switches e o roteador na borda tem que estar configurados de acordo pra transportar ao menos essa VLAN, mas é no roteador que você cria uma política ou regra de firewall impedindo o acesso daquela VLAN específica à internet, OK?
Entre ou Registre-se para fazer um comentário.