PPSK

[rheinen]

Hallo allemaal,

Sinds de laatste update van de Network applicatie (7.5.187) is het mogelijk gebruik te maken van ppsk. Ik wilde dat graag eens testen, dus ik heb het volgende gedaan.

Op dit moment bestaat mijn netwerk uit de (v)lans Main, IoT en Gast met bijbehorende WiFi netwerken. Nu was mijn plan om IoT en Gast ook te koppelen aan de WiFi van Main, zodat ik nog maar 1 wifi netwerk overhoud.

Zo gezegd, zo gedaan ik heb IoT en Gast gekoppeld aan Main via ppsk en dezelfde wachtwoorden meegegeven als voorheen. Main was alleen ingesteld op 5ghz, en aangezien mijn IoT apparaten ook gebruik maken van 2,4ghz, deze dan ook aangevinkt.

Vervolgens een test gedaan met onze robotstofzuiger om die verbonden te krijgen met Main met het wachtwoord van IoT. Voorheen was de stofzuiger dus met het aparte IoT netwerk verbonden, maar ik krijg hem met geen mogelijkheid gekoppeld aan de Main met het wachtwoord van IoT.

Hebben jullie al ervaringen met ppsk?

 

[Eddie the Eagle]

Ik heb er mee getest (UDR) met laptop en Iphone en het deed precies wat het moest doen. Ik kan me zo voorstellen dat IoT rommel er wat meer moeite mee heeft. Dat heb ik nog niet geprobeerd, voorlopig laat ik fijn het aparte SSID uitstralen.

 

[m4v3r1ck]

Ik kan me zo voorstellen dat IoT rommel er wat meer moeite mee heeft. Dat heb ik nog niet geprobeerd, voorlopig laat ik fijn het aparte SSID uitstralen.

Idem, niet getest en hou dat voorlopig nog wel even zo.

 

[rheinen]

Ja, dat is nu ook mijn idee. Het IoT netwerk laat ik bestaan. Ik bentzt wel benieuwd naar de ervaringen van anderen...

 

[rheinen]

Nog een aanvullende vraag uitgaande van de situatie dat Main en Gast gebruikmaken van hetzelfde WiFi netwerk op basis van ppsk: hoe stel je dan enkel voor Gast device isolation in?

 

[PE1PQX]

Ik denk op de zelfde manier als in de oude situatie, aparte VLAN aanmaken, juiste firewall regeltjes en daar zit alleen een PPSK WiFi aan vast.

Voor zover ik bij het filmpje van Mac Telecom kan na gaan.

 

[rheinen]

Maar dan bereik je geen device isolation (= apparaten kunnen elkaar niet bereiken binnen hetzelfde (v)lan), maar enkel dat (v)lans van elkaar gescheiden worden. Of zie ik dat verkeerd?

 

[PE1PQX]

Dacht het wel, je meld aan op de zelfde WiFi netwerk, maar met een ander passkey,
Hierdoor kom je vanzelf op een ander netwerk/vlan terecht en kun je middels firewall etc. e.e.a. inregelen.

Effect is het zelfde als je verschillende SSID's gebruikt.

 

[Davey400]

Ik zou er rekening mee houden dat veel IoT apparaten alleen 2,4 'praten'.
Isoleren is gewoon een stuk simpeler als je ook een netwerk hebt dat alleen die band gebruikt.
Het wordt helemaal problematisch als je wifi devices hebt die je via een app op je telefoon moet koppelen met de backend van de vendor; de app op de telefoon ziet dan jouw SSID en krijgt te horen dat ie die info door moet zetten. Je telefoon doet dat ook fijn op 5GHz (of 6) en dus heeft de app gewoon verkeer, maar het IoT device zelf begrijpt er niets van.

In theorie zou het allemaal natuurlijk best moeten kunnen, maar met het scheiden van IoT devices van je 'gewone' verkeer bespaart je een hoop ellende vermoed ik, nu en in de toekomst. (Tenminste, zolang je WiFi IoT devices blijft inzetten.)

(Of je ze vervolgens netwerktechnisch gaat scheiden staat hier dan wel weer los van.)

 

[PE1PQX]

Als een cliënt alleen maar '2.4' praat, zal deze ook nooit op '5' kunnen kletsen. Daar hoef je je niet druk om te maken.

Als jij je private SSID zowel 2.4 als 5 GHz gebruikt, en ook je IoT SSID dit doet is geen probleem.
Als je een IoT apparaat separaat op een IoT netwerk instellen wilt, zet dan je telefoon/laptop/whatever dat je hiervoor gebruiken moet (uiteraard met de juiste beveiliging) ook even op die IoT WLAN... Is niet ideaal, maar het werkt wel.

Of je haalt voor een paar dikke knaken een prepaid foon bij de telecomboer en werk daarmee.

 

[rheinen]

Dacht het wel, je meld aan op de zelfde WiFi netwerk, maar met een ander passkey,
Hierdoor kom je vanzelf op een ander netwerk/vlan terecht en kun je middels firewall etc. e.e.a. inregelen.

Effect is het zelfde als je verschillende SSID's gebruikt.

Volgens mij praten we langs elkaar heen. Met device isolation bedoel ik dat binnen hetzelfde vlan apparaten niet met elkaar kunnen communiceren. Stel wij zitten beiden met onze telefoons op hetzelfde vlan, dan kunnen onze telefoons elkaar niet pingen. Volgens mij kun je dat ook niet met firewall regels instellen.

 

[PE1PQX]

Dat zijn instellingen in de VLAN zelf, dit is onafhankelijk van de gebruikte SSID.

Of je nu SSID-1 gebruikt of SSID-2 (om wat te noemen) mag op dat vlak niets uitmaken.

 

[Eddie the Eagle]

Volgens mij praten we langs elkaar heen. Met device isolation bedoel ik dat binnen hetzelfde vlan apparaten niet met elkaar kunnen communiceren. Stel wij zitten beiden met onze telefoons op hetzelfde vlan, dan kunnen onze telefoons elkaar niet pingen. Volgens mij kun je dat ook niet met firewall regels instellen.

Ik heb het zojuist getest; eerlijk gezegd dacht ik dat Client Device Isolation (per SSID ingesteld) inderdaad niet meer zou werken met PPSK (dus wifi gasten elkaar onderling wel kunnen pingen) en alleen nog maar de Network Isolation (per VLAN ingesteld) actief zou zijn (dus gasten niet naar andere VLAN`s kunnen door de Firewall regels die dan automatisch worden aangemaakt).

Dus nu met PPSK getest, client device isolation uit omdat je alleen nog maar de Default SSID hebt bij PPSK:

Default: pingen lukt zoals verwacht
Gast (network isolation): pingen lukt niet, ik had eigenlijk gedacht dat dit wel zou werken

Dus ook nog maar eens het Gast SSID weer aangezet en daarbij Client Device Isolation uitgezet. Devices onderling pingen op datzelfde VLAN lukt ook niet.

Maw.....de functie van Client Device Isolation op SSID niveau ontgaat me. Ik kan op geen enkele manier van Gast naar Gast pingen of dit nu aan of uit staat. Uiteindelijk is dit wel de gewenste werking.

 

[rheinen]

Dat is goed om te horen maar andere kant ook vreemd. Ik kon mijn apparaten op het gast vlan onder de ppsk situatie wel pingen.

 

[Eddie the Eagle]

Ik kon mijn apparaten op het gast vlan onder de ppsk situatie wel pingen.

Gast -> Gast

of

Default -> Gast

?

Ik heb alleen de eerste getest.

 

[rheinen]

Situatie:
Main wifi met obv ppsk inhoudende Main + Gast netwerk.

Wat werkt wel:
Obv de firewallregels kan een apparaat verbonden met Gast uiteraard geen apparaat in Main pingen.

Wat werkt niet:
Maar wanneer apparaten zijn verbonden met Gast, kunnen ze elkaar wel pingen (=geen device isolation ). Dat zou je in een gastennetwerk liever niet willen.

Probleem:
Ik kan vanaf een apparaat in Gast een ander apparaat in Gast pingen.

 

[Eddie the Eagle]

Probleem:
Ik kan vanaf een apparaat in Gast een ander apparaat in Gast pingen.

Apart, dat lukt mij dus juist weer niet (ook geen device isolation). Zelfs niet op het aparte SSID (met en zonder device isolation). Ik had verwacht dat het zo zou werken als bij jou (in de PPSK situatie).

 

[Ferry_k]

Heeft nog niemand de ervaring dat sinds het in gebruik nemen van de PPSK oplossing dat er soms devices zijn die een IP adres krijgen vanuit het native VLAN ipv het tagged VLAN dat ze zouden moeten krijgen.
En dat als je dat ontdekt en de verbinding even uit en aan zet, dat het device dan wel weer een juist IP adres krijgt.

Ik vind dit wel zorgelijk en een grote security risk die Ubiquiti asap moet gaan fixen.

 

[Hofstede]

Er zijn issues bekend. Voornamelijk een firmware issue voor sommige AP’s.
Als je wilt dat er ASAP wat aan gedaan wordt moet je een bug report indienen bij Ui.

 

[Ferry_k]

Heeft nog niemand de ervaring dat sinds het in gebruik nemen van de PPSK oplossing dat er soms devices zijn die een IP adres krijgen vanuit het native VLAN ipv het tagged VLAN dat ze zouden moeten krijgen.
En dat als je dat ontdekt en de verbinding even uit en aan zet, dat het device dan wel weer een juist IP adres krijgt.

Ik vind dit wel zorgelijk en een grote security risk die Ubiquiti asap moet gaan fixen.

Het valt mij op dat dit zich in mijn geval voornamelijk bij Apple devices voordoet.
Ben daardoor erg benieuwd hoe dit zich bij anderen gedraagt.

Bug report heb ik inderdaad al ingediend, maar het verbaasde mij dat ik er op dit forum nog niemand over heb gehoord.