查看完整版本 : 老細想比街外客用wifi。

ncream 2018-5-18 08:38 PM

老細想比街外客用wifi。

公司位置多死角及離發射站遠。4G收得好差。老細話橫掂broadband都比左錢。方便d客用下wifi上網。但係要分開SSID。guest ssid不能存取公司資料,只能上網。

佢話唔可以比唔係自己既客上,要用每位username password。(佢地會用來登入我地FTP Server)。

我就話用返公司職員既802.1x radius/nps。但有同事話用captive portal方便d。大家認為邊個方案user會好用d?

sqd 2018-5-19 10:06 AM

Guest WiFi (single or no password for all) -> captive portal
Customer WiFi (customer accounts) -> 802.1x
Staff WiFi -> 802.1x

sandoeman 2018-5-19 06:55 PM

唔算IT 問題,只係一盤end user 問題,去search "Guest WiFi"

hungjoyee 2018-5-20 09:25 PM

點解要登入FTP SERVER ?
客用你WIFI 唔會去到登入你個NETWORK 攞你嘛

今咪介開NETWORK 咪得

KAZ327 2018-5-20 11:47 PM

[quote]原帖由 [i]ncream[/i] 於 2018-5-18 08:38 PM 發表 [url=http://www.discuss.com.hk/redirect.php?goto=findpost&pid=480481013&ptid=27451965][img]http://www.discuss.com.hk/images/common/back.gif[/img][/url]
公司位置多死角及離發射站遠。4G收得好差。老細話橫掂broadband都比左錢。方便d客用下wifi上網。但係要分開SSID。guest ssid不能存取公司資料,只能上網。

佢話唔可以比唔係自己既客上,要用每位username password。(佢地會用來登入我地FTP Server)。

我就話用返公司職員既802.1x radius/nps。但有同事話用captive porta ... [/quote]

打電話俾流動網絡營辦商,佢地會較大個信號

ncream 2018-5-21 09:24 AM

[quote]原帖由 [i]KAZ327[/i] 於 2018-5-20 11:47 PM 發表 [url=http://www.discuss.com.hk/redirect.php?goto=findpost&pid=480602564&ptid=27451965][img]http://www.discuss.com.hk/images/common/back.gif[/img][/url]


打電話俾流動網絡營辦商,佢地會較大個信號 [/quote]

都係方法,不過要逐間打。我問下先。:smile_o12:

patpat904 2018-5-21 05:53 PM

介vlan, 加隻router, disable broadcast  SSID, 用QR比客加wifi上網 可否?

PacificIslander 2018-5-21 07:21 PM

小板主,以前 dlink 有套野比網吧之類用。

隻 wlan controller 有連打印機出飛仔,登入去,打30分鐘,就會 gen 個 token 出來,客人可以登入 captive portal 用 30分鐘,乾手淨腳。其它 gen user/password 都好煩的。

至於其它你要既 guest isolation, 好少少既 router/controller 都做到,無需又搞 vlan 又改 routing 又盛。

PacificIslander 2018-5-21 07:23 PM

[quote]原帖由 [i]PacificIslander[/i] 於 2018-5-21 07:21 PM 發表 [url=http://www.discuss.com.hk/redirect.php?goto=findpost&pid=480647138&ptid=27451965][img]http://www.discuss.com.hk/images/common/back.gif[/img][/url]
小板主,以前 dlink 有套野比網吧之類用。

隻 wlan controller 有連打印機出飛仔,登入去,打30分鐘,就會 gen 個 token 出來,客人可以登入 captive portal 用 30分鐘,乾手淨腳。其它 gen user/password 都好煩的。

至於其它你要既 guest isolation, 好少少既 router/controller 都做到,無需 ... [/quote]

補充,噉樣嘅系統,操作係需要有 reception / operator 去做客服的。

ncream 2018-5-23 09:02 AM

[quote]原帖由 [i]patpat904[/i] 於 2018-5-21 05:53 PM 發表 [url=http://www.discuss.com.hk/redirect.php?goto=findpost&pid=480642933&ptid=27451965][img]http://www.discuss.com.hk/images/common/back.gif[/img][/url]
介vlan, 加隻router, disable broadcast  SSID, 用QR比客加wifi上網 可否? [/quote]

多謝CHING指教,我都係同你建議做法一樣。

搞左幾日,叫做見得下人。

VLAN本身介左4個,依家介多一個比GUEST WIFI 用。

ROUTER/FIREWALL我係用Pfsense,有埋Cative Portal,用Voucher上網。

[attach]8315291[/attach]

但要Set firewall rule 比guest wifi 上網only,又要set dhcp派ip 比vlan,有排搞。依家叫做搞完。

:smile_o16:

ncream 2018-5-23 09:40 AM

[quote]原帖由 [i]PacificIslander[/i] 於 2018-5-21 07:21 PM 發表 [url=http://www.discuss.com.hk/redirect.php?goto=findpost&pid=480647138&ptid=27451965][img]http://www.discuss.com.hk/images/common/back.gif[/img][/url]
小板主,以前 dlink 有套野比網吧之類用。

隻 wlan controller 有連打印機出飛仔,登入去,打30分鐘,就會 gen 個 token 出來,客人可以登入 captive portal 用 30分鐘,乾手淨腳。其它 gen user/password 都好煩的。

至於其它你要既 guest isolation, 好少少既 router/controller 都做到,無需 ... [/quote]

Thanks Ching,可惜睇你篇POST遲,原來DLINK有D咁好既野,搞到我做左咁多日。:smile_o03:

順便分享下我既小小經驗:smile_o05:

我用fpsense 免費Firewall軟件,用Firewall rule做Isolation。

[attach]8315390[/attach]

我用voucher(即係派飛仔),本來想用radius server,但諗諗下只係上網,無必要用username password咁煩。

[attach]8315391[/attach]

至於老細要求wifi security要加強,本身已有4個SSID,其實唔可以再多,因為太多SSID導致OVERHEAD增加,會減少可用既Bandwidth,還有更麻煩就是每個SSID都會每秒出10個beacons,會食晒你條Channel bandwidth,雖然個controller可以set到16個,但contorller說明書極之唔建議set超過4個。

咁超過4個我唯有做dynamic vlan assignment。(早知有件dlink做到captive portal,乾脆買多隻獨立運作唔跟個controller,就唔使煩)。:smile_o02:

即係得1個SSID,唔同AD group會自動Assign 唔同vlan,解決SSID太多問題,壞處係USER唔可以自己選入邊個VLAN,有D user multi-group就要用不同Accout。(下面係老細要我入file既文件)

[attach]8315392[/attach]

咁樣就由5個SSID減到3個SSID,但dynamic vlan要係radius server/nps set,Pfsense 已有Open Radius Server, 但我用開nps,用邊個都好,都係加呢4個參數:

[list][*]Service-Type: Framed[*]Tunnel-Type: VLAN[*]Tunnel-Medium-Type: 802[*]Tunnel-PVT-Group-ID: <VLAN Number>[/list]


但重有一樣野要set,就係WLC要 aaa override,將原本Assign vlan的工作,由AP轉左去Radius server,controller會根據radius 傳回既vlan 參數套落wifi client到,若果早知dlink有router做到,我就唔使煩,因為router有GUI,而我個wlc做aaa override只能用CLI(有GUI,但有D function只能用CLI):

>config wlan disable 11
>config wlan aaa-override enable 11
>config wlan enable 11
>config flexconnect group default-flexgroup vlan add 11
>config flexconnect group default-flexgroup vlan add 2
>config flexconnect group default-flexgroup vlan add 3
>logout

跟住就可以做到dynamic vlan。

搞左咁多日總算搞掂。

:smile_o16::smile_o16:

[[i] 本帖最後由 ncream 於 2018-5-23 09:57 AM 編輯 [/i]]

年輕人 2018-6-1 01:34 AM

其實....我會覺得..做好心唔係唔好,但有冇諗過就算剩係比你放個443比人上行網..都可以有不法之途借你個SSID去做甩賊呢....
何況劏開幾個subnet同vlan只不過某程度上o既security同埋唔比佢有inter vlan routing姐...
個人認為...呢種好心太risky喇...
頁: [1]
查看完整版本: 老細想比街外客用wifi。