Partiendo del diagrama a continuación, explicaremos como configurar el filtro de contenido “WifiCLOUD” en una instalación con Ubiquiti Unifi.
Para esta guía, saltaremos la configuración básica del Unifi Controller, ya que ésta configuración la hemos abordado en la siguiente guía:
Para esta guía, utilizaremos la topología a continuación:
Configuraremos el filtro de contenido para la red LAN2 y el SSID2.
Para configurar el filtro de contenidos, debemos configurar las DNS de WifiCloud tanto en la WAN como en la LAN de nuestro USG.
En el supuesto que tengamos ya las DNS de WifiCloud configuradas en el router principal, no harían falta configurarlas en la WAN del USG, en este ejemplo, solo configuraremos las dns en el USG y no cambiaremos ningún parámetro en el router original.
Configuración Básica
Para configurar las DNS de WifiCloud en la WAN de USG, accedemos a “Settings → Network → WAN → Edit”
Configuramos los parámetros de red como en la imagen:
Guardamos los cambios y procederemos a configurar ahora las DNS de WifiCloud en la LAN2 (VLAN 17) que hemos creado previamente en nuestro USG.
Para ello, accedemos a “Settings → Network → LAN2 → Edit”
Marcamos la opción DHCP Name en “Manual” e introducimos las direcciones DNS de WifiCLOUD como en la siguiente imagen:
Guardamos los cambios y con eso, la configuración de filtro de contenido de WifiCLOUD estará completamente operativa.
Como podréis ver en la siguiente imagen, si acedemos a un domino incluido en alguna de las categorías que hemos bloqueado, aparecerá el siguiente mensaje:
Configuración Avanzada
Pasamos ahora a la configuración avanzada de nuestro Controller.
En este parte, explicamos cómo evitar que el usuario se salte las restricciones del filtrado de contenido WifiCLOUD introduciendo una DNS pública diferente en la configuración del equipo cliente. (Por ejemplo 8.8.8.8 o 9.9.9.9)
Para ello, debemos crear una especie de DNS redirect en el Controller, utilizando las opciones de firewall que disponemos.
El protocolo DNS funciona por el puerto 53, por lo tanto, diremos a nuestro USG que todas las peticiones TCP y UDP por el puerto 53 sean descartadas exceptuando las peticiones a través de las DNS de WifiCLOUD.
Accedemos a “Settings → Routing&Firewall → Firewall → WAN OUT → Create a New Rule”
En la imagen anterior, está el resumen de las reglas que hemos creado. Ahora explicaremos como crear cada una de ellas.
Regla 2000. Permitir peticiones a través del puerto 53 con la DNS primaria de WifiCLOUD 185.236.104.104
En el apartado EDIT RULE configuramos un nombre para la regla y la acción que en éste caso es “Accept” y qué protocolo utiliza. En este caso, es TCP/UDP.
Ahora vamos al apartado “Source” e indicamos a qué subnet aplicará esta regla. En nuestro ejemplo, solo aplicaremos la regla a la LAN 2 correspondiente a la red de “invitados”.
Debemos marcar la opción de “Network” posteriormente seleccionamos la LAN 2 sobre Ipv4 como en la siguiente imagen:
En el menú “Destination” debemos especificar qué esta regla se aplica a la DNS primaria de WifiCLOUD sobre el puerto 53.
En el apartado “Destinaton Type” seleccionamos “Address/Port Group”.
En Ipv4 Address Group, hacemos clic en “Create Ipv4 Address group” y lo configuramos de la siguiente manera.
Guardamos los cambios con el botón “Save” y pasaremos a indicar el puerto por el cual, la regla se aplicará cuando reciba las peticiones DNS.
En el menú “Port Group” seleccionamos la opción “Create Port Group” y lo configuramos de la siguiente manera:
Si todo está correcto, así nos quedaría la configuración final del apartado “Destination”.
Debemos crear otra regla exactamente igual, solo cambiaremos la DNS primaria 185.236.104.104 por la DNS secundaria 185.236.105.105.
Ahora crearemos una regla para bloquear peticiones TCP/UDP sobre el puerto 53 que no tenga como destino las DNS de WifiCLOUD.
Volvemos al menú “WAN OUT” y hacemos clic en “Create New Rule”.
En “EDIT rule”, creamos un nombre para la regla.
En “Action” seleccionamos “Drop” y protocolo seleccionamos TCP/UDP.
Pasamos al menú “Souce” para definir a que subnet aplicaremos la regla.
Seleccionamos “Network” y en el menú, seleccionamos LAN 2 sobre Ipv4.
Ahora, en el menú “destination” lo configuremos de la siguiente manera:
Destination Type: “Any” y posteriormente hacemos clic en “Create Port Group” y lo configuramos como sigue a continuación:
Hacemos clic en “save” y así quedaría la configuración final:
Ahora, si cambiamos las DNS del PC, por cualquiera que no sea las de WifiCLOUD no tendrá acceso a Internet.
CONOCE NUESTROS PRODUCTOS Y SOLUCIONES WIRELESS
Para obtener más información, ponte en contacto con el Departamento de Soporte o el Departamento de Pedidos 902 506 100 o envía un correo electrónico a info@wifisafe.com