Bonjour,
 
Je dois activer un wifi guest pour certaines personnes, jusqu'à la pas de problème, par contre je voudrais isoler ce réseau de mon autre réseau d'entreprise, je ne veux pas que les personnes qui sont en wifi puisse voir ou pinguer l'autre réseau, est-ce possible si le routeur qui gère cette connection wifi et sur le réseau entreprise ?
 
Voici la configuration :
 
Asus RT-AC68U
Adresse IP WAN = une ip du réseau d'entreprise, exemple 192.168.5.200
Réseau Wifi du routeur mis sur une autre range d'IP du routeur, exemple 192.168.1.1 avec DHCP
 
Si oui comment faire ? quoi que je test, cela peux toujous pinguer l'autre réseau !!
 
Merci d'avance

Pas de vlan ?pas de proxy, de firewall ? de dmz ?
Pour aller au bout, aucun contrôle des flux sur tes connexions internet ? (qu'elles soient interne ou guest) Donc un employé ou un guest fait une connerie, ou télécharge ce qu'il ne faut pas, c'est sur ta tête ou celle du patron que ça retombe ?

Dans les bonnes pratiques pour un réseau guest :
- soit la box gère les portails captif nativement, sur un SSID, qui n'a aucun accès à la patte LAN, et conserve les historiques de connexion et info nécessaires en cas de soucis.
- un vrai contrôleur wifi, en aval de la box, ou tu peux gérer les vlan, et donc isoler le réseau du ssid guest (et qui gère les portails captifs, aussi)
- une boiboite qui gère ça toute seule (telmat, ucopia, etc) y compris sur l'aspect légal.
- bien te renseigner sur les obligations légales consécutives à la mise à disposition d'une connexion internet à des visiteurs. (même à tes employés, remarque)

edit : Asus Guest Network peut faire ça de façon simplifiée, à priori pour 3 users guest. à defaut....

Bonjour,
 
Pour répondre à tes questions :
 
Pas de vlan - le routeur Asus ne le gère pas
Pas de proxy - en effet
Pas de firewall - A part celui du routeur ...
De DMZ - non plus
 
Pour le moment j'ai fais un réseau isolé sur une autre IP Fixe, le wifi guest a quand même un mot de passe mais en effet je n'ai rien pour pister, cela me dérange pas mal...
 
Pour l'asus guest, j'ai essayé dans tous les sens, les clients arrivent à remonter sur mon réseau d'entreprise
 
J'avais l'idée de mettre des bornes Meraki mais c'est trop chère, j'ai vu aussi du Ubikiti, tplink avec l'omada cloud ou du linksys
 
Merci encore

faut virer ton routeur Asus qui n’a rien d’un matos d’entreprise et tout reprendre à 0.
 
Firewall / VLAN et co
Et effectivement un UTM (type Ucopia) au moins pour les guests

oui je sais pour le asus... a l'origine c'étais plutôt pour le wifi interne sauf que maintenant la société voudrait du wifi guest pour les salles de réeunions... et bien-sur pas chère....

ubiquiti c'est une bonne idée.
quelques bornes selon la surface à couvrir, avec le controleur Unifi sur une VM ou un serveur.  
cependant, il te faudra :
- firewall pour gerer securité et VLAN (1 VLAN entreprise, 1 VLAN guest) et mettre les SSID sur les VLANS correspondant.
dans l'idée cela peut suffire car le controleur Unifi permet de mettre en place un portail captif sur reseau guest. Sauf que tu ne rempliras pas les obligations légales de tracage de l'activité sur ton réseau. Pour cela, à toi de voir

Pour le traçage j'ai eu les 2 sons de cloches, comme quoi c'est moi qui doit tracer et une version ou c'est le FAI
Et pour le traçage avec un simple VPN on peut le contourner ?

Le FAI tracera ce qui sort, c'est clair. Il pourra dire "OK monsieur le policier, c'est la société machin qui est aller voir un site pedobear, à 12h05, lancée une attaque ddos sans doute par un poste infecté à 13h, téléchargé 42 films sous copyright à 18h30,  via l'IP xxxxxx" Mais eux ne sont pas sur ton LAN. Charge à toi de trouver / fournir de quoi trouver la personne exacte. D'ou ces logs.
Sur notre réseau Guest, si un utilisateur utilise un VPN, il a tout de même du s'authentifier avant sur le portail captif. Après, l’intérêt de ce type de portail, c'est que tu peux décider quel flux passe (pas de VPN, par exemple, ou de proxy, etc)
à partir du moment ou tu mets à disposition une connexion internet à des tiers, tu deviens toi même en quelque sorte FAI, et donc soumis aux mêmes obligations. Par défaut, si une couille se passe sur ta connexion, mais que tu n'as aucune trace, ça sera ta société qui sera responsable. (enfin, son SI, ça retombe toujours sur nous ce genre de boulette, ce qui est normal) Et je le répète, pas que pour le réseau Guest. Là, même en interne, tu 'as rien, au final.  
Pour les solutions techniques, Meraki, c'est pas le meilleur marché En effet Ubiquiti semble pas mal.  
Sinon, pour tes users....z'avez un domaine, des AD ? Si oui, tu rajoute juste un proxy à ce que te propose antoincy, qui se chargera de logguer les users internes (bien sur, faut prévenir, si vous avez un CE / DP  pas de charte info, etc). Sur un environnement virtuel, une debian, un squid, c'est gratos ^^
Déjà mettre internet à dispo des employés de la boite, c'est pas simple "administrativement", alors les externes....

En routeur/firewall très bien tu as du Fortigate, très simple à configurer.

Bonjour,
 
Pour le moment je vais faire juste un guest pour les salles de réunions, il est actuellement isolé du réseau interne, donc pas de problème pour le réseau entreprise, pour les salariés on verra plus tard
 
Donc ce que je voudrais c'est un portail captif facile à administrer pour donner les codes autre que par moi, j'ai 1 IP Fixe WAN de dispo, il faudrait que je lui colle un routeur firewall fortinet (lequel pas trop chère) ou sophos ou autre, ensuite des bornes wifi, il y a du meraki, linksys avec cloud manager, tplink avec omada, ubikiti, aucune de ces solutions peux tracer ? laquel utiliser ?
 
Je voudrais un truc simple a mettre en place, pas trop chère et facilement administrable, en gros c'est moi qui gère le plus gros, après je cré un user qui gère les codes
 
Merci encore
 

ubiquiti a un système super de gestion de ticket.
le portail captif est facile à personnaliser, gérer et est performant (en prod depuis 2 ans sur 2 sites)
tu sors des tickets personnalisés (multi usage ou pas, un jour ou 365, bref)
 
au risque de nous répéter ce n’est pas cela qui va tracer quoi que ce soit.  
pour tracer il te faut un proxy ou un UTM mais dans ce cas (Ucopia par exemple) pas besoin du portail captif de ubiquiti Unifi

pas moyen de mettre des routes statique ni de Acl?

pour ?

si tu mets tel plage d'adresse peut aller que sur internet, ça permet de bloquer les connexions avec les autres réseaux

bonsoir, merci de vos retour, je ne veux pas l'intégrer a mon réseau entreprise, je préfère séparer, je recherche surtout des retours d'expérience sur ce que vous avez mis comme matériel et la mise en place du portail et log

Chez nous, l'infra wifi était déjà en place lors du projet "réseau guest", donc on s'est pas emmerdé. Boitier Telmat pour le portail captif (aux environ de 800€), et un proxy (squid) pour l'interne.
 
Pour l'infra wifi, on est sur 2 contrôleurs ex-motorola (RFS-4000)et une quarantaine d'AP. Mais c'est totalement dissocié du projet guest

Bonjour, merci de ton retour, vous en êtes content du boitier telmat ? pour les ap je peux mettre ce que je veux avec ? apparemment le boitier termat fait le portail captif avec les logs

Oui, le telmat fait très bien le boulot et est totalement indépendant de la partie WiFi. Il ne fait que la partie portail captif / log. Par contre, ça demande quand même un peu de paramétrage, hein. Il ne gère pas la partie réseau, il se plug dessus. Dans l'idéal, il te faut un SSID "Guest", sur un vlan à part, relié au telmat.

Bonjour,
 
Le réseau guest réunion ne suffisant déjà plus, j'ai la mission de faire un réseau guest....
 
Je sais que Meraki fait du portail captif mai est-ce qu'il garde les logs ?
 
Merci d'avance

 
Il ne garde pas la durée légale (1 an) . Il faut prévoir un serveur syslog a coté .