Red CapsMan + Caps hAP ac2 en oficinas

Lo del DHCP es perfectamente correcto lo que está haciendo. Yo, por manía, suelo dejar un "hueco" en el pool para las direcciones que voy asignando estáticamente. No es necesario, pero es una manía que tengo: si por ejemplo tengo una red como tu red de empleados con un pool 192.168.106.0/24, mi pool va de la 192.168.106.20 - 192.168.106.254, y los clientes que hago estáticos, con el método que indicas, les doy una IP de la .2 a la .19. De esta manera evito confrontar con el pool y, de un vistazo rápido a la IP de un equipo, sé si está reservada manualmente o no, sin entrar al router. Pero insisto, que esto no es para nada necesario y es por pura manía que tiene uno, nada más.

Pues lo cierto es que prácticamente todos los móviles de los empleados son de empresa y gestionados, pero también es cierto que en esos móviles no hay necesidad de conectar a la red de empleados (106) porque no usan aplicaciones que tengan que tener acceso a tal o cual servidor, por lo que hablaré con la empresa para recomendar que se conecten a la red de invitados.
Si puedes, te ahorrarás muchos disgustos. Hoy por hoy esos chismes son la principal causa de infección en sistemas informáticos. Si los metes en una red donde se permite el forward, como es la de empleados, y que además tiene comunicación con la vlan de servidores, si un bicho se te cuela en esa red, tienes muchas probabilidades de que la líe pero bien. Aislándolos no evitas el problema, pero sí lo mitigas. Aun así pueden usar la red para cosas chungas, pero ya es otro tema, porque no tendrían comunicación con otros sistemas más delicados. De hecho, en tu setup, yo haría, para las redes inalámbricas que tienes:

- empleados: acceso restringido por certificado EAP y acceso gestionado por Radius. De esa manera te evitas que nadie venga con un portátil de casa y se pinche a la red de empleados, bien sea cable o wifi.
- coworking: con varios perfiles, los dedicados (cada uno con su vlan, intercomunicados entre sí), que crearía ad-hoc para empresas o coworkers habituales que necesiten red local entre sí, y una "pública" para esporádicos, que tenga unas caracterísiticas de seguridad similares a las de la red pública.
- invitados: abierta o con seguridad compartida (semi pública), sólo con salida a internet, sin forward. Puedes montar un hotspot para ella

Para la parte de invitados (y quizá también la de coworkers "pública"), te voy a dar un truco de seguridad desde ya, basado en mi propia configuración de casa: aparte de deshabilitar el forward, que es algo que ya tenemos hecho en la wifi de invitados desde CAPsMAN (default-forward=no, no sé si lo recuerdas, parámetro en el datapath), vamos a aislar físicamente cada dispositivo, y vamos a cerrar la puerta a que alguien se plante una IP estática y navegue. Para ello, en la vlan de invitados, edítala y modifica el parámetro del ARP, y en lugar de "enable", le pones "reply-only".
1650890495661.png


Desde ese momento, esa interfaz dejará de meter contenido en la tabla ARP, evitando que un tío que plante la dirección IP a mano en su interfaz inalámbrica, meta una entrada en tu tabla ARP, pudiendo causarte un conflicto de IP. Como la propia VLAN ya no aprende la relación entre IP y MAC address de manera automática, le vamos a decir ahora que lo haga el DHCP. Vas al servidor DHCP de esa subred en concreto, y lo editas, marcando la opción "Add ARP for Leases".
1650890678235.png


Esto hace que únicamente los clientes a los que tú les has entregado una dirección por DHCP naveguen, porque son los únicos que van a meter entradas en la tabla ARP de manera automática (la vlan ya no lo hace por nosotros). Además de esto, vamos a dar una vuelta más de tuerca y, a nivel de L2, vamos a decirles a esos clientes que ellos no tienen broadcast alguno, como si fueran conexiones punto a punto. Para ello, en la misma opción del DNS, vas a la pestaña Network y modificas el parámetro "Netmask", donde vas a indicar una red de tipo "32" es decir, sin broadcast ninguno (conservando el /24 o /loquesea en la dirección de red).
1650890912651.png


De esa manera, consigues:
- Que sólo navegue quien previamente ha pasado por tu DHCP
- Que, independientemente de cómo se conecten, los clientes no se vean entre sí, puesto que no tienen broadcast alguno (direcciones /32).

Para el tema del failover, sin problema, cuando tengas lo que sea que vayas a montar dime, y montamos una segunda cola padre "Total_4G", con sus colas hijas con las velcidades acordes a la salida a internet que tengamos, y ya veremos cómo hacemos el failover. Con un poco de suerte, podemos configurar la padre por interfaz en lugar de por IP, y así que sea automático. Y, si la oficina tiene tejado y vistas al exterior y tenéis opción de montar algo así, dadle una vuelta, porque os va a funcionar mil veces mejor que un pincho 3G que le plantes al router.

Para lo de casa, cuando quieras. No me va a asustar ningún desastre que me enseñes, descuida.

Saludos!
 
Lo del DHCP es perfectamente correcto lo que está haciendo. Yo, por manía, suelo dejar un "hueco" en el pool para las direcciones que voy asignando estáticamente.
OK entonces la asignación se está haciendo de forma correcta. Por otro lado, ya hablaremos algún día de las "manías" y similares "intuiciones" creo que no le damos la importancia que verdaderamente tienen, a lo mejor esas "manías" responden aunque no seamos realmente conscientes de ello a algo con mucho mas trasfondo...
De todas formas, entiendo entonces que si el pool que tengo para la red 106 de empleados 192.168.106.0/24 lo subo para que el inicio esté en la IP 192.168.106.20 el servidor DHCP no entregará de forma automática direcciones por debajo de esa IP, mi pregunta para implementar esa "manía" que creo que es útil es la siguiente, si por ejemplo llegamos con una impresora nueva se deja por supuesto configurada solicitando dirección IP y se conecta a una toma de red de empleados, ésta recibirá una IP dentro de la red empleados, digamos por ejemplo la 192.168.106.31 ¿cuando la pase a estática y edite esa "concesión" puedo asignarle una IP que esté por debajo del pool? por ejemplo la 192.168.106.3 Entiendo que funcionaría bien porque está en una IP de la red 192.168.106.0/24 aunque pase a estar fijada a una IP que no está dentro del pool que maneja el servidor DHCP de la red 106 ¿? si me lo confirmas, entonces lo tengo claro, con esa red y con la de coworker hago lo mismo y me reservo las primeras direcciones IP.
Si puedes, te ahorrarás muchos disgustos. Hoy por hoy esos chismes son la principal causa de infección en sistemas informáticos. Si los metes en una red donde se permite el forward, como es la de empleados, y que además tiene comunicación con la vlan de servidores, si un bicho se te cuela en esa red, tienes muchas probabilidades de que la líe pero bien.
Machote. Santa palabra, mira ha sido comentarlo con responsable de TIC de la empresa y no solo está totalmente de acuerdo sino que hemos cambiado automáticamente la password de acceso de la red wifi Uninoovo-Empleados por una que no conoce nadie, salvo esa persona y yo (por cierto que vaya comodidad para hacerlo con el tema de CapsMan) automáticamente han sido expulsados las 6 o 7 conexiones que ya había por wifi a la red de empleados y simplemente cuando se han puesto a protestar les hemos dicho que conecten a invitados con la clave de invitados que todo el mundo conocerá. Asunto resuelto, la red wifi de empleados uninoovo será usada solamente para cosas muy muy puntuales (ejemplo tenemos una impresora wifi que tiene que estar compartida para la organización y no podemos conectarla por cable).

Para la parte de invitados (y quizá también la de coworkers "pública"), te voy a dar un truco de seguridad desde ya, basado en mi propia configuración de casa: aparte de deshabilitar el forward, que es algo que ya tenemos hecho en la wifi de invitados desde CAPsMAN (default-forward=no, no sé si lo recuerdas, parámetro en el datapath), vamos a aislar físicamente cada dispositivo, y vamos a cerrar la puerta a que alguien se plante una IP estática y navegue. Para ello, en la vlan de invitados, edítala y modifica el parámetro del ARP, y en lugar de "enable", le pones "reply-only".
a ver esto me interesa y mucho, pero quiero dar los pasos correctos y seguros no vaya a dejarlos mañana sin red wifi a los empleados que ya están en Uninoovo-Inivitados.

PASO 1
aparte de deshabilitar el forward, que es algo que ya tenemos hecho en la wifi de invitados desde CAPsMAN (default-forward=no, no sé si lo recuerdas, parámetro en el datapath)
asegurarme de que esto lo tenemos fijado así.
paso 1 no hay forwarding.png

entiendo que no hay forwarding.

PASO 2 Cambio aquí en ARP: de enabled a reply-only
paso 2 interface vlan invitados.png


PASO 3 Como la propia VLAN ya no aprende la relación entre IP y MAC address de manera automática, le vamos a decir ahora que lo haga el DHCP
Paso 3 marcar que se añada a la tabla ARP desde la concesión del DHCP.png


PASO 4 Cerrar que cada conexión parezca punto a punto porque no hay broadcast en las direcciones concedidas.
Paso 4 cerrar mediante netmask el boradcast.png

Y con esto y un bizcocho. :) está guay porque como yo vulgarmente lo entiendo, lo que hacemos es "acotar" mucho las posibilidades de interacción de ese "invitado" con el resto de la red, a ver si te estoy dejando conectar y te estoy dando internet, pero no me toques los "guitos" con el resto de mi red. :)
SI VES BIEN los pantallazos y no me he confundido en ninguno de ellos, lo implemento por lo pronto en Invitados y ya consultaré si incluso en coworkers que creo que va a ser que si, (salvo por algún despacho coworker grande donde una misma empresa pueda tener 2 o mas ordenadores conectados ¿? y tengan que verse entre ellos ¿?)

Para el tema del failover, sin problema, cuando tengas lo que sea que vayas a montar dime, y montamos una segunda cola padre "Total_4G", con sus colas hijas con las velcidades acordes a la salida a internet que tengamos, y ya veremos cómo hacemos el failover. Con un poco de suerte, podemos configurar la padre por interfaz en lugar de por IP, y así que sea automático. Y, si la oficina tiene tejado y vistas al exterior y tenéis opción de montar algo así, dadle una vuelta, porque os va a funcionar mil veces mejor que un pincho 3G que le plantes al router.
Me gusta mucho la idea esa del SXTLTE6 que he visto en el enlace, lo cierto es que no tienen posibilidad de usar la terraza (zona comunitaria) de todas formas no había pensado en pincho 3G porque eso nos queda ya obsoleto, como he realizado pruebas directamente con el teléfono sin mas desde dentro de la misma sala técnica y me entrega Movis casi los 45Mb y en la calle casi 100Mb hemos pensado en montar un router 4G LTE dentro de la sala técnica pero conectandole una antena que llega a la fachada (han tenido que hacer algo así con el CELFI, el repetidor de telefonía para poder dar red de movil a todo el interior del local) Pero el SXTLTE6 me lo quedo como idea para la casita de campo que tengo que hacer algo porque ahora mismo cuando voy algún finde lo que tengo es internet compartido con un teléfono viejo así que habrá que mejorar algo esa señal. jijiji


No me va a asustar ningún desastre que me enseñes, descuida.
Seguro ¿? :) vale, vale, que conste que estabas avisado jijiji :) tu lo has dicho que no te ibas a asustar.
desastre total.jpg


Nuevamente y como siempre un saludo a los foreros y mi agradecimiento a @pokoyo
 
OK entonces la asignación se está haciendo de forma correcta. Por otro lado, ya hablaremos algún día de las "manías" y similares "intuiciones" creo que no le damos la importancia que verdaderamente tienen, a lo mejor esas "manías" responden aunque no seamos realmente conscientes de ello a algo con mucho mas trasfondo...
De todas formas, entiendo entonces que si el pool que tengo para la red 106 de empleados 192.168.106.0/24 lo subo para que el inicio esté en la IP 192.168.106.20 el servidor DHCP no entregará de forma automática direcciones por debajo de esa IP, mi pregunta para implementar esa "manía" que creo que es útil es la siguiente, si por ejemplo llegamos con una impresora nueva se deja por supuesto configurada solicitando dirección IP y se conecta a una toma de red de empleados, ésta recibirá una IP dentro de la red empleados, digamos por ejemplo la 192.168.106.31 ¿cuando la pase a estática y edite esa "concesión" puedo asignarle una IP que esté por debajo del pool? por ejemplo la 192.168.106.3 Entiendo que funcionaría bien porque está en una IP de la red 192.168.106.0/24 aunque pase a estar fijada a una IP que no está dentro del pool que maneja el servidor DHCP de la red 106 ¿? si me lo confirmas, entonces lo tengo claro, con esa red y con la de coworker hago lo mismo y me reservo las primeras direcciones IP.
Correcto. Justo así lo tengo en casa. El hueco que dejo delante, entre la IP del propio gateway (.1) y la que sea donde arranco el pool, es el hueco que luego uso para meter ahí los clientes a los que le fijo la IP en los Leases del DHCP. Y sí, funciona perfectamente, da igual que la IP no esté en el pool, mientras esté dentro de la subred que declaras en la pestaña Networks.
Machote. Santa palabra, mira ha sido comentarlo con responsable de TIC de la empresa y no solo está totalmente de acuerdo sino que hemos cambiado automáticamente la password de acceso de la red wifi Uninoovo-Empleados por una que no conoce nadie, salvo esa persona y yo (por cierto que vaya comodidad para hacerlo con el tema de CapsMan) automáticamente han sido expulsados las 6 o 7 conexiones que ya había por wifi a la red de empleados y simplemente cuando se han puesto a protestar les hemos dicho que conecten a invitados con la clave de invitados que todo el mundo conocerá. Asunto resuelto, la red wifi de empleados uninoovo será usada solamente para cosas muy muy puntuales (ejemplo tenemos una impresora wifi que tiene que estar compartida para la organización y no podemos conectarla por cable).
Puedes ir incluso un paso más allá. Si a esa red sólo se van a conectar dispositivos de manera controlada, puedes meter una regla en el Access list que deniegue toda conexión a esa interfaz, salvo los clientes previamente autorizados (que aparecerán en la lista antes que la regla de reject. De esa manera, sólo a quien deis de alta manualmente con una entrada en el Address List, accederá a dicha red. Incluso, en modo paranóico ya, poner el pool del DHCP estático, y que sólo las leases metidas a mano sean capaces de llegar a navegar.

SI VES BIEN los pantallazos y no me he confundido en ninguno de ellos, lo implemento por lo pronto en Invitados y ya consultaré si incluso en coworkers que creo que va a ser que si, (salvo por algún despacho coworker grande donde una misma empresa pueda tener 2 o mas ordenadores conectados ¿? y tengan que verse entre ellos ¿?)
La implementación del ARP es correcta según la pintas. Si quieres ver que está funcionando, ve a IP -> ARP, y verás entradas nuevas con un flag "H", de DHCP. Es decir, las entradas de la red de invitados pasarán de DC a DCH (dynamic, complete, DHCP). Al ponerles el /32 impides ningún tipo de comunicación vía broadcast, con lo que aíslas al tío por completo, haciéndole pensar que lo suyo es una conexión punto a punto.
Yo lo implementaría idéntico en coworkers y, para los que necesiten comunicación entre ellos, te cuesta nada crear una VLAN aparte, con una wifi COWORKERS_XYZ (siendo XYZ la que sea su empresa o como quieras llamarlo, ya has visto lo que cuesta un cambio de estos en CPAsMAN) y le das comunicación a ellos en esa VLAN. El resto, los pasaría todos por el mismo filtro que a los invitados, salvo por la diferencia de velocidad de acceso que les vas a brindar.

Seguro ¿? :) vale, vale, que conste que estabas avisado jijiji :) tu lo has dicho que no te ibas a asustar.
Eso, con algo de paciencia un un buen puñado de bridas os velcros, lo dejamos más bonito que un San Luis.

Saludos, y buenas noches!
 
Arriba