Организация доступа к интернету для посетителей офиса или гостей дома — это не просто вопрос удобства, но и критически важная задача по обеспечению безопасности вашей основной инфраструктуры. Гостевая сеть WiFi в экосистеме Ubiquiti позволяет отделить трафик посетителей от корпоративных данных, ограничить скорость и даже создать стильный портал авторизации. Современные контроллеры UniFi Network предоставляют гибкие инструменты для реализации любых сценариев, от простого пароля до сложной авторизации через SMS.
В отличие от стандартных домашних роутеров, где гостевой доступ часто ограничен базовым функционалом, оборудование Ubiquiti дает полный контроль над политикой доступа. Вы можете настраивать временные интервалы, квоты трафика и даже внешний вид страницы приветствия. Ключевым моментом является правильная сегментация трафика, что предотвращает возможность злоумышленнику или зараженному устройству гостя получить доступ к вашим NAS-хранилищам или принтерам.
В этой статье мы разберем процесс создания и тонкой настройки гостевого доступа в контроллере UniFi. Мы затронем вопросы безопасности, настройки VLAN, а также рассмотрим создание Hotspot портала. Инструкция актуальна для актуальных версий программного обеспечения UniFi Network Application, интерфейс которых может незначительно отличаться в зависимости от версии прошивки контроллера.
⚠️ Внимание: Интерфейс UniFi Controller регулярно обновляется разработчиками. Расположение кнопок или названия пунктов меню могут отличаться в зависимости от установленной версии ПО. Если вы не находите опцию, проверьте официальную документацию Ubiquiti для вашей версии.
Планирование архитектуры и безопасность
Прежде чем приступать к непосредственной настройке в интерфейсе, необходимо четко понимать, какую роль будет выполнять гостевая сеть в вашей инфраструктуре. Сегментация сети — это фундаментальный принцип безопасности, который требует изоляции гостевого трафика от основного. В идеальном сценарии гостевые устройства не должны видеть ваши компьютеры, серверы печати или системы видеонаблюдения.
Для реализации качественной изоляции часто используется технология VLAN (Virtual Local Area Network). Это позволяет логически разделить сеть на одном физическом оборудовании. Если вы используете управляемые коммутаторы UniFi Switch и точки доступа UniFi AP, создание отдельного VLAN для гостей является. Это гарантирует, что даже при компрометации гостевого устройства, основная сеть останется в безопасности.
Также стоит заранее определиться с методом авторизации. Будет ли это простой пароль (Pre-Shared Key), открытый портал с принятием условий (Captive Portal) или voucher-система? От этого зависит нагрузка на контроллер и удобство для конечных пользователей. Для кафе и отелей часто требуется интеграция с внешними системами или платежными шлюзами, что также нужно учитывать на этапе планирования.
Создание нового SSID в UniFi Controller
Процесс настройки начинается в веб-интерфейсе контроллера. Вам необходимо перейти в раздел настроек беспроводных сетей. В новых версиях интерфейса это делается через меню Settings → WiFi, где нужно нажать кнопку Create New WiFi Network. Здесь вы задаете базовые параметры, которые будут транслироваться точками доступа.
В поле SSID введите название сети, которое будут видеть пользователи, например,"Guest_WiFi" или"Office_Guests". Важно выбрать правильный профиль безопасности. Для большинства случаев подойдет WPA2/WPA3 Personal, если используется простой пароль, или Open (Открытая), если планируется использование Captive Portal. Не рекомендуется оставлять сеть открытой без авторизации, так как это позволяет любому перехватывать трафик.
☑️ Проверка перед созданием SSID
Особое внимание уделите полю Advanced Options. Именно здесь скрываются важные настройки, такие как выбор конкретной группы устройств или ограничение мощности сигнала. Если у вас несколько точек доступа, убедитесь, что сеть включена на всех необходимых устройствах или группах устройств. Также здесь можно настроить поддержку старых стандартов WiFi, хотя для гостевой сети это редко бывает критичным требованием.
Настройка изоляции и VLAN
После создания базового SSID необходимо перейти к настройке изоляции. В разделе настроек беспроводной сети найдите опцию Client Device Isolation (или"Block Intra-SSID Traffic"). Активация этой функции запрещает устройствам, подключенным к одной и той же гостевой сети, обмениваться данными между собой. Это предотвращает распространение вирусов внутри гостевого сегмента и защищает пользователей друг от друга.
Для более глубокой изоляции, особенно в корпоративной среде, используется присвоение отдельного VLAN ID. В настройках SSID в поле"Network" выберите"Create New" или выберите существующий гостевой VLAN. Это потребует соответствующей настройки на коммутаторах и маршрутизаторе (например, UniFi Gateway или стороннем роутере), чтобы трафик с этим тегом правильно маршрутизировался в интернет, минуя локальную сеть.
| Параметр | Рекомендуемое значение | Описание влияния |
|---|---|---|
| Client Device Isolation | Включено (Enabled) | Запрещает обмен данными между гостями |
| Access Control | Pre-Authorization Access | Разрешает доступ только к DNS и порталу |
| VLAN ID | Отдельный ID (напр. 20) | Логическое разделение трафика на уровне L2 |
| Minimum Data Rate | 12 Mbps (опционально) | Отсекает очень старые и медленные устройства |
Не забудьте проверить настройки брандмауэра (Firewall Rules), если вы используете шлюз UniFi Dream Machine или USG/UXG. По умолчанию правила могут разрешать доступ из гостевой сети в основную. Необходимо создать правило DWAN_IN или LAN_IN, которое явно блокирует трафик из гостевого VLAN в основной, разрешая только ответные пакеты (Established/Related) и доступ в интернет.
Настройка Hotspot и Captive Portal
Для общественных заведений простой пароль может быть неудобным или небезопасным. В этом случае настраивается Captive Portal. Это страница, которая открывается автоматически при попытке доступа в интернет. В UniFi Controller это настраивается в разделе Settings → WiFi → Edit Network → Advanced Options → Guest Control.
Здесь вы можете выбрать тип авторизации:"Simple Password","Voucher","Facebook Wi-Fi" или"No Authentication" (только принятие условий). Для кафе популярна опция"Simple Password", где пользователь вводит код, действительный определенное время. Для отелей или коворкингов идеальна система Voucher, позволяющая генерировать одноразовые коды с лимитом времени или трафика.
⚠️ Внимание: При использовании Facebook Wi-Fi или других внешних провайдеров авторизации, убедитесь, что у вашего контроллера UniFi есть прямой доступ в интернет и открыты необходимые порты для связи с серверами социальной сети.
Внешний вид портала также поддается кастомизации. Вы можете загрузить логотип компании, изменить фоновое изображение и цвета, чтобы они соответствовали брендингу заведения. В разделе Settings → Branding загружаются графические элементы, которые затем применяются ко всем точкам доступа в выбранной группе. Это создает профессиональное впечатление у гостей.
Ограничение скорости и управление трафиком
Чтобы гости не"съедали" весь канал, оставляя сотрудников без интернета, необходимо настроить ограничение скорости. В UniFi это делается через создание профилей Traffic Rules или непосредственно в настройках гостевой сети. Перейдите в Settings → Profiles → Traffic Rules и создайте новое правило ограничения скорости (Rate Limit).
Укажите максимальную скорость скачивания (Download) и отдачи (Upload) в Мбит/с. Например, установка лимита в 10 Мбит/с на устройство позволит комфортно веб-страницы и переписываться в мессенджерах, но не даст запустить торренты или стримить видео в 4K, что сохранит канал для бизнес-задач.
Нюансы ограничения скорости
Ограничение применяется на одно устройство (Per User), а не на всю сеть в целом. Это означает, что если у вас подключится 100 гостей, они теоретически могут суммарно занять весь канал, если не настроены глобальные лимиты на уровне шлюза.
После создания профиля ограничения скорости, его нужно применить к гостевой сети. В настройках SSID в разделе Advanced Options найдите пункт"Traffic Rules" или"Speed Limit" и выберите созданный профиль. Также можно настроить приоритизацию трафика, хотя для гостевой сети это обычно означает отсутствие приоритетов по сравнению с критически важным трафиком.
Мониторинг и управление клиентами
После запуска гостевой сети важно иметь возможность отслеживать активность. В разделе Clients контроллера UniFi вы видите всех подключенных пользователей. Вы можете фильтровать их по сети (SSID), видеть объем переданных данных, время подключения и тип устройства. Это помогает выявлять аномалии, например, если одно устройство генерирует подозрительно высокий трафик.
Для управления доступом в реальном времени используйте функцию блокировки. Если вы заметили подозрительную активность, можно мгновенно заблокировать клиента (Block) или отключить его (Disconnect). Также доступна функция"Forget", которая удаляет устройство из списка известных, заставляя его проходить авторизацию заново при следующем подключении.
Для продвинутого мониторинга можно настроить отправку алертов на email. В разделе Settings → Alerts активируйте уведомления о подключении новых устройств или превышении лимитов трафика. Это позволит администратору быть в курсе событий без необходимости постоянно держать открытым интерфейс контроллера.
Часто задаваемые вопросы (FAQ)
Можно ли настроить гостевую сеть без выделенного VLAN?
Да, это возможно. Вы можете создать гостевую сеть в том же VLAN, что и основная, но обязательно включите опцию Client Device Isolation и настройте правила Firewall, запрещающие доступ из гостевой подсети в основную. Однако использование отдельного VLAN является более безопасным и профессиональным подходом.
Как изменить время действия ваучера?
Время действия ваучера настраивается в профиле ваучеров. Перейдите в Settings → Hotspot (или в зависимости от версии в настройки гостевого доступа), создайте новый профиль ваучера и укажите.duration (длительность) в минутах, часах или днях. Затем при генерации кодов выберите этот профиль.
Почему гости не видят страницу авторизации?
Чаще всего проблема в HTTPS. Современные браузеры блокируют перенаправление на портал авторизации, если сайт использует защищенное соединение. Убедитесь, что в настройках Guest Control включена опция"Pre-Authorization Access" и разрешены необходимые домены. Также попробуйте открыть любой HTTP сайт (например, neverssl.com) для инициирования перехода.
Снижает ли гостевая сеть скорость основного WiFi?
Да, так как все устройства делят одну и ту же радиоэфирную среду. Даже при ограничении скорости интернета, большое количество гостевых устройств создает шум и занимает эфирное время. Рекомендуется выделять гостевую сеть на отдельную частоту (например, только 2.4 ГГц для гостей, оставив 5 ГГц для бизнеса) или использовать отдельные точки доступа для гостей.