Страница 1 из 1
Пмогите разрулить - скилла не хватает
Добавлено: 03 сен 2019, 09:32
Volant
Приветствую!
Имеем - Микротик с двумя подсетями 100.0/24 и 1.0/24 клиенты получают адреса от dhcp и все это дело распихано по двум бриджам, доступ из подсетей друг к другу ограничен в route rule, клиенты обоих подсетей ходят в инет. Дальше - из порта в бридже с подсетью 100.0/24 выходит витая пара 2Х2 и идет в другое помещение, втыкается в тупой свич, в свиче воткнуто физическое оборудование работающее в подсети 100.0/24 - все хорошо, все работает.
Дальше встала необходимость в помещении, в котором стоит свич, дать доступ в интернет ви-фи клиентам, НО! без доступа в сеть 100.0/24
Воткнул в свич микротик, создал сетку 1.0/24, поднял dhcp, создал dhcp клиент на порту который воткнут в свич(типа wan порт)... что бы клиенты ходили в инет, нужно маскарадить wan порт... и тут засада - ограничить доступ клиентов подсети 1.0/24 в подсеть 100.0/24 ни в route rule, ни в firewall не получается, что логично, т.к адреса клиентов на выходе маскарадятся. Как разрулить? или каким другим способом дать доступ ви-фи клиентам в инет без доступа в подсеть 100.0/24?
Возможности прокинуть витую пару 4Х2 нет - это бы, конечно, решило вопрос сполна.
Re: Пмогите разрулить - скилла не хватает
Добавлено: 03 сен 2019, 09:39
Erik_U
Вам пора смотреть на VLAN.
Тупой свич и микротик в дальней комнате менять местами.
1.0/24 делать 1 виланом,
100.0/24 делать вторым виланом.
Порты, соединяющие микротики между собой делать транком.
И настроить 2 вилана на 1 микротике, по транковому порту на второй микротик, там 2 вилан только на порт для свича, а 1 вилан - на остальные порты и WiFi.
Re: Пмогите разрулить - скилла не хватает
Добавлено: 03 сен 2019, 09:45
Volant
что то подобное и предполагал.
Спасибо!
буду пробовать
Re: Пмогите разрулить - скилла не хватает
Добавлено: 03 сен 2019, 11:08
evgeniy7676
Код: Выделить всё
# sep/03/2019 10:59:23 by RouterOS 6.45.1
# model = 951Ui-2HnD
/interface bridge
add admin-mac=D4:CA:6D:D7:B0:1F auto-mac=no fast-forward=no name=bridge-local \
protocol-mode=none
add name=bridge_free
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n disabled=no distance=indoors max-station-count=32 mode=\
ap-bridge multicast-helper=disabled radio-name=Office ssid=TVRWL \
tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\
enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
12345678 wpa2-pre-shared-key=12345678
add authentication-types=wpa-psk,wpa2-psk eap-methods="" name=profile1_free \
supplicant-identity=""
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=D6:CA:6D:D7:B0:23 \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=profile1_free ssid=TVRDZ wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.100
add name=dhcp_pool1 ranges=172.16.0.2-172.16.0.254
/ip dhcp-server
add address-pool=default-dhcp authoritative=after-2sec-delay disabled=no \
interface=bridge-local name=default
add address-pool=dhcp_pool1 disabled=no interface=bridge_free lease-time=5m \
name=dhcp1
/interface bridge port
add bridge=bridge-local hw=no interface=ether2
add bridge=bridge-local interface=wlan1
add bridge=bridge-local hw=no interface=ether3
add bridge=bridge-local hw=no interface=ether4
add bridge=bridge-local hw=no interface=ether5
add bridge=bridge_free interface=wlan2
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
bridge-local network=192.168.88.0
add address=192.168.1.228/24 interface=ether1-gateway network=192.168.1.0
add address=172.16.0.1/24 interface=bridge_free network=172.16.0.0
/ip dhcp-server network
add address=172.16.0.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=172.16.0.1
add address=192.168.88.0/24 comment="default configuration" dns-server=\
192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.243,192.168.1.244
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway src-address=172.16.0.0/24
/ip route
add distance=1 gateway=192.168.1.239
/ip route rule
add action=unreachable dst-address=192.168.5.0/24 src-address=172.16.0.0/24
add action=unreachable dst-address=172.16.0.0/24 src-address=192.168.5.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=172.16.0.0/24
add action=unreachable dst-address=172.16.0.0/24 src-address=192.168.1.0/24
Re: Пмогите разрулить - скилла не хватает
Добавлено: 04 сен 2019, 10:02
Volant
Erik_U, Благодарю за пинок в нужном направлении! все получилось, все отлично работает!
Re: Пмогите разрулить - скилла не хватает
Добавлено: 05 сен 2019, 21:08
Volant
Вопрос по безопасности имею - как правильно сконфигурировать с технической точки зрения?
Имеем МТ с vlan(в брижде) в этом же бридже wlan и тупой свич, в свиче физическое оборудование. Адреса в бридж раздает dhcp
Задача - ограничить возможность подключения левых клиентов именно к портам свича или к порту самого МТ в который воткнут свич(допускаю такую возможность теоретически, но все же)
Варианты решения:
1. тупо в bridge=>filters разрешить вход по определенным mac, все остальное дропать
2. сделать в dhcp server address pool=static only, в bridge сделать arp=reply only, а саму таблицу arp сделать static
3. другие варианты решения