MikroTik RB951Ui-2HnD + Nanostation M2 в подсети + ограничения

[aleksandr.kuznetsov]

Всем здравствуйте! Вызвался тут помочь знакомым с их гостиницей. Что-то им делали несколько организаций, которые все это строили я даже не знаю, только разобрался более менее в паутине, которую они сплели. Ситуация такая провайдер приходит оптикой (тариф на 20мбит) через конвертер в Mikrotik, от него через один ether2 пошла LAN паутина из свичей DGS-1005D по нескольким зданиям, соответственно от них прокинуто по IP камерам, рабочим ПК и к трем точкам доступа в виде Nanostation M2 по который раздается Wi-Fi доступ постояльцам и гостям. Как-то заездом подключившись к публичному вайфаю, я "приятно" ошарашил хозяина заведения, того самого знакомого, я нашел все их камеры, которые в добавок еще и дефолтно запаролены от производителя, вся сеть на виду + конечно частенько проседал интернет. С чего бы это? Ведь впритык почти только отстроили дома. Я им все дыры показал и меня попросили помочь что-нибудь сделать, т.к. обслуживающие организации только акты выполненных работ приносят. Цель отсечь клиентов wifi от основной 192.168.1.0/24 сети + ограничить им скорость. Прошу подсказать опытным сетестроителям мне верный путь. Я если бы собирал всю схему сначала, то скорее всего справился сам, но переделывать весь этот бардак, ну очень долго и хотелось бы избежать этого. 2 дня я пробовал разные идеи, пробовал раздавать вайфай с микротика, а М2 переводить в режим репитера. Вроде на микротике прописал виртуалку с пулами, адресами и ограничениями. Все бы ничего, только M2 адекватно не работают в режиме повторителя с микротиком + там только WEP шифрование, а открытую сеть совершенно не хочется. В голову пришел такой вариант - перевести M2 из точек доступа в режим роутера со своими подсетями 192.168.10(...13).0/24, чтобы Микротик видел их и можно было заходить из основной сети на вебморду М2, так чтобы и интенет транстлировать в эти подсети , так же на эти подсети настроить правила ограничения (Queues) по скорости. Реальна ли такая схема? Или может есть другие варианты попроще? Могу ли я ничего не трогая поднять VLAn и запихать туда точки доступа, дав им ограничения на скорость? Сети конечно не мой профиль, но поверхностно я понимаю что да как, да и в обучении я легок, так что если мне более менее растолковать, то я думаю справлюсь.

[aleksandr.kuznetsov]

Настроил на микротике VPN и подключаюсь к нему удаленно. Попробовал схему с VLAN... Создан на бридже VLAN3, в IP - Addresses добавил 192.168.3.1/24 и интерфейсом VLAN3, затем IP - Pool с диапазоном 192.168.3.1-192.168.3.254, поднял IP - DHCP server с интерфейсом VLAN3 и созданным пулом, в Networks добавил сеть 192.168.3.0/24, включил NAT для 192.168.3.0/24.

Код: Выделить всё

# apr/02/2018 10:41:45 by RouterOS 6.41.3
# software id = KXQF-AQV4
#
# model = 951Ui-2HnD
# serial number = 43CE02475545
/interface bridge
add admin-mac=D4:CA:6D:D7:A7:C7 arp=proxy-arp auto-mac=no comment=defconf name=\
    bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country="united states" \
    default-forwarding=no distance=indoors frequency=auto hide-ssid=yes mode=\
    ap-bridge name=WiFi ssid=Admin wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=bridge name=VLAN3 vlan-id=3
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=********** \
    wpa2-pre-shared-key=**********
/ip pool
add name=dhcp ranges=192.168.1.3-192.168.1.254
add name=pool_vlan3 ranges=192.168.3.1-192.168.3.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
add address-pool=pool_vlan3 authoritative=after-2sec-delay disabled=no \
    interface=VLAN3 lease-time=12h name=vlan3_server
/ppp profile
set *0 bridge=bridge
set *FFFFFFFE bridge=bridge
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge comment=defconf hw=no interface=ether2
add bridge=bridge hw=no interface=ether3
add bridge=bridge hw=no interface=ether4
add bridge=bridge hw=no interface=ether5
add bridge=bridge disabled=yes hw=no interface=ether1
add interface=*B
/interface l2tp-server server
set authentication=mschap2 default-profile=default ipsec-secret=\
    tradition-restoran use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge list=LAN
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
add address=91.237.150.44/29 interface=ether1 network=91.237.150.40
add address=192.168.3.1/24 interface=VLAN3 network=192.168.3.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
add dhcp-options=hostname,clientid
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1 netmask=\
    24
/ip dns
set allow-remote-requests=yes servers=91.237.150.22,8.8.8.8
/ip dns static
add address=192.168.1.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=input dst-address=91.237.150.44 dst-port=1723 \
    in-interface=bridge protocol=tcp src-address-type=""
add action=accept chain=input protocol=gre
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1 out-interface-list=WAN
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    out-interface=*8
add action=dst-nat chain=dstnat comment="Camera 1" dst-port=81 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.1.110 to-ports=81
add action=dst-nat chain=dstnat comment="Camera 2" dst-port=82 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.1.112 to-ports=82
add action=dst-nat chain=dstnat comment="Camera 3" dst-port=78 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.1.108 to-ports=78
add action=dst-nat chain=dstnat comment="Camera 4" dst-port=84 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.1.114 to-ports=78
add action=dst-nat chain=dstnat comment="Camera 5" dst-port=86 in-interface=\
    ether1 protocol=tcp to-addresses=192.168.1.116 to-ports=86
add action=dst-nat chain=dstnat comment=Video dst-port=9002 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.112 to-ports=9002
add action=dst-nat chain=dstnat comment=Video dst-port=86 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.116 to-ports=86
add action=dst-nat chain=dstnat comment=Video dst-port=9004 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.114 to-ports=9004
add action=dst-nat chain=dstnat comment=Video dst-port=9000 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.108 to-ports=9000
add action=dst-nat chain=dstnat comment=Video dst-port=9006 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.116 to-ports=9006
add action=dst-nat chain=dstnat comment=IP_Camera dst-port=34565-34569 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.1.115
add action=dst-nat chain=dstnat comment=Video dst-port=78 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.108 to-ports=9000
add action=dst-nat chain=dstnat comment=Video dst-port=9001 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.110 to-ports=9001
add action=dst-nat chain=dstnat comment=Video dst-port=81 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.110 to-ports=81
add action=dst-nat chain=dstnat comment=Video dst-port=82 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.112 to-ports=9002
add action=dst-nat chain=dstnat comment=Video dst-port=84 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.114 to-ports=84
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
    192.168.3.0/24
/ip route
add distance=1 gateway=91.237.150.41
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.1.200 name=******* password=********* profile=\
    default-encryption remote-address=192.168.1.201 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name="MikroTik-OLD Tradition"
/tool user-manager database
set db-path=user-manager
[admin@MikroTik-OLD Tradition] > 

На одной подопытной Nanostatoin M2 настроил точку доступа и сеть 192.168.3.2/255.255.255.0/192.168.3.1, во VLAN Settings LAN0 присвоил ID - 3. Сохранился и применил, все... точка доступа пропала, 192.168.3.2 не пингуется. Где моя ошибка или такая схема работать не будет?

ЗЫ.. Зашел удаленно через TeamViewer на один ноутбук подключенный через WIFi к M2... интернет соответственно есть, проверил через Discovery Tool точки доступа тоже видны и смена адресов на 192.168.3.Х есть. Но так же на них не зайти и самое главное ноут получил адрес 192.168.1.11 фигня какая-то

[algerka]

от него через один ether2 пошла LAN паутина из свичей по нескольким зданиям

а vlan-ы на коммутаторах настроены?
без схемы коммутации и конфигов со всех железок будет сложно помочь. с схемой вам и самому будет проще.
да и конфигурация микротика у вас кривая.

Предложенный вами вариант преобразовывать адреса на точках доступа, не удачен, хотя бы по той причине что при использовании приоретизации для маршрутизатора каждая точка доступа будет как один клиент, на зависимо от того сколько на ней wifi клиентов.

Распланируйте сеть разделив на несколько виланов. Одна для управления (маршрутизаторы, коммутаторы, точки доступа), вторая для клиентов на точках доступа, третья для компьютеров и т.д.
Начните с настройки коммутаторов, после того как с определенных портов будут доступны нужные vlan-ы и между коммутаторами будет связность, тогда переходите к настройке микротика, лучше обнулить и на чистом делать. Опять же настройка виланов на невротике зависит от его модели. В любом случае, документации в сети море, было бы желание.

[aleksandr.kuznetsov]

а vlan-ы на коммутаторах настроены?

Вот о них я и не подумал...
Стоят неуправляемые DES-1005D походу не пропускают VLAN?

Конфиг микротика не мой изначально, я только по VPN, VLAN с пулом, адресацией и DHCP сервером добавил...

[algerka]

а vlan-ы на коммутаторах настроены?

Вот о них я и не подумал...
DES-1005D походу не пропускают VLAN?

Нет конечно, они тупые. Можно конечно и на них попробовать пустить vlan, они же тупые, что взяли то и отдали, но тогда вам придется разбирать тегегированный трафик на точках доступа, если они это поддерживают.
Похоже вам надо всею сеть переделывать и оборудование менять на нормальное. Обратитесь к специалистам - потраченное время и деньги на не правильное оборудование выйдет дороже.

[aleksandr.kuznetsov]

Просто хотел обойтись малой кровью и не хотел перелопачивать все, так как вроде на безвозмездной основе вроде как обещал помочь, а не брать на обслуживание
Если менять свичи на какие лучше не из дорогих управляемых с нормальной поддержкой VLAn?

[algerka]

Если менять свичи на какие лучше не из дорогих управляемых с нормальной поддержкой VLAn?

Я не продавец, да и прежде чем что-то предлагать, нужно знать требования. где схема ? Уверен что раз предложили пятипортовые д-линки, то и с СКС явно будет полный бардак.

Я ненавижу d-link, хотя многие с ними работают и ничего. Вот тот же DGS-1100 меньше 1500р стоит.
Из не дорогих, из тех с чем я работал, посмотри Huawei и Eltex. Микротик не рекомендую потому, что ты не знаешь как их настраивать, а в настройке они сложнее чем первых два.

[aleksandr.kuznetsov]

Делала сеть организация... но через одно место в плане монтажа, что даже тронуть страшно что-то и ничего на бумаге. Вот схема которую увидел я:



Цель отсечь точки доступа от 192.168.1.0/24 с сохранением доступа в интернет и возможностью контроля/ограничения скорости без вмешательства в существующую схему (кроме если как заменить какую-нибудь железку)

[algerka]

Делала сеть организация... но через одно место в плане монтажа, что даже тронуть страшно что-то и ничего на бумаге. Вот схема которую увидел я:



Цель отсечь точки доступа от 192.168.1.0/24 с сохранением доступа в интернет и возможностью контроля/ограничения скорости без вмешательства в существующую схему (кроме если как заменить какую-нибудь железку)

Это не схема, это картинка. Если вам надо отделить только wifi то это можно сделать даже ничего не меняя.

Но если хотите сделать хорошо - замените д-линки и замените Nanostation M2, т.к. это оборудование для беспроводных мостов (не, конечно если направленность антенны и мощность вас устраивает, и клиентов не жалко что они буду рядом с микроволновкой, то можете и оставить), все настройте и будет вам счастье.
СКС тоже надо переделывать т.к. если сдохнет самый первый коммутатор, то все упадет. Я бы сделал петлю.
И не забудьте про грозозащиту, раз у вас все медью соединено (у eltex-а кстати на коммутаторах на портах защита до 10КВ)

[aleksandr.kuznetsov]

Если вам надо отделить только wifi то это можно сделать даже ничего не меняя

Тут поподробнее... На первое время хоть так сделать.
Я конечно предложу сделать все по человечески и чутка раскошелиться, но пока в плане бизнеса дела идут не очень и насколько я знаю лишних денег нет, может к концу лета будут свободные финансы.