Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Микротик. Дополнительные роутеры в сети для раздачи только интернета.  (Прочитано 868 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6846
    • Просмотр профиля
Товарищи, хочу реализовать раздачу инета через вай-фай с помощью нескольких точек доступа, расположенных в разных точках здания. Причем эти точки доступа должны получать WAN через общую сеть, но при этом нужно не пускать запросы от клиентов вай-фай в локальную сеть.

Вариант 1
Локальная сеть: 192.168.1.0/24
Основной шлюз: 192.168.1.1
WAN wifi 1: 192.168.1.2/29 (29, т.к. точек будет несколько, с такой маской точка доступа сможет обращаться в сеть, минуя основной шлюз, только к адресам 1-6)
Запрещено перенаправление запросов от 192.168.1.0/29 в 192.168.1.0/24.
Т.е. как я ожидаю поступает запрос от клиента вай-фай к хосту 192.168.1.10. Точка доступа не посылает широковещательный запрос в сеть, т.к. этот хост не в сети 192.168.1.0/29, запрос уходит на основной шлюз 192.168.1.1, который должен зарубить запрос, т.к. перенаправление запрещено.
Но этого не происходит, значит я неправильно понимаю как оно работает.

Вариант 2
Локальная сеть: 192.168.1.0/24
Основной шлюз: 192.168.1.1, 192.168.10.1 (2 адреса на одном мосту в микротике. 2-я сеть как раз, чтобы закрыть доступ в основую сеть)
WAN wifi 1: 192.168.10.2/24
Запрещено перенаправление запросов от 192.168.10.0/24 в 192.168.1.0/24.
Т.е. как я ожидаю поступает запрос от клиента вай-фай к хосту 192.168.1.10. Точка доступа отправляет запрос на основной шлюз 192.168.1.1, который должен зарубить запрос, т.к. перенаправление запрещено.
Но этого не происходит, значит я неправильно понимаю как оно работает.

Сейчас возникла мысль, что перенаправление происходит из-за того, что я использую 1 мост/интерфейс, т.е. перенаправление происходит до цепочки FORWARD. Может надо использовать 2 разных интерфейса (не связанных мостом) с разными сетями и оба воткнуть в общий коммутатор, тогда связь между интерфейсами будет возможна только через FORWARD.


« Последнее редактирование: 28 Января 2020, 04:39:43 от thunderamur »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Причем эти точки доступа должны получать WAN через общую сеть, но при этом нужно не пускать запросы от клиентов вай-фай в локальную сеть.
Пока не зарубили как оффтоп
Код: (text) [Выделить]
/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 out-bridge=bridge1
Пробовали на точках?
OpenWrt 19.07

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2539
    • Просмотр профиля
Причем эти точки доступа должны получать WAN через общую сеть, но при этом нужно не пускать запросы от клиентов вай-фай в локальную сеть.

Так подключите точки доступа wan портом к сети.
Клиенты WiFi будут,  по умолчанию, изолированы от сети к которой подключен маршрутизатор.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6846
    • Просмотр профиля
Клиенты WiFi будут,  по умолчанию, изолированы от сети к которой подключен маршрутизатор.
Не будут. Ты же не изолирован от, например, этого форума при работе через роутер. По-умолчанию изолирована локалка от внешней сети, у меня другая задача.

/interface bridge filter
add action=drop chain=forward in-bridge=bridge1 out-bridge=bridge1
Пробовали на точках?
Для точек обычные роутеры, не микротики.
И даже если бы были микротики. Правильно ли я понимаю, что понимается под bridge1 - мост, включающий порты lan и wlan. Т.е. это правило по идее должно изолировать клиентов вай-фай друг от друга, но не от сети, находящейся на wan-порту микротика, что является целью.

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2539
    • Просмотр профиля
Нет будут. По умолчанию сегменты сети на маршрутизаторе изолированы друг от друга. То что за шлюзом, видно будет, тоесть интернет будет работать. Локальная сеть видна не будет.

Ну раз другая задача то извините, видимо я что то не понял.

Оффлайн bezbo

  • Старожил
  • *
  • Сообщений: 1742
    • Просмотр профиля
нужно не пускать запросы от клиентов вай-фай в локальную сеть

На большинстве роутеров реализована функция "изолированной сети wi-fi", которая не позволяет видеть локальную сеть и даже клиенты wi-fi не видят друг друга, только доступ в интернет.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6846
    • Просмотр профиля
Usermaster, bezbo, вы не поняли о чем речь.




koshev, я сейчас понял что ты предложил, походу это то, что нужно - запретить перенаправление запросов на бридже, т.о. если запрос пришел не к микротику и не во внешнюю сеть, а в локалку, то рубить его. Должно сработать, спасибо. На выходных попробую этот вариант.

Оффлайн Usermaster

  • СуперМодератор
  • Старожил
  • *
  • Сообщений: 2539
    • Просмотр профиля
Ну правильно, я так всё и понял. Если в основной сети на Microtic выделить ip адрес и на дополнительном маршрутизаторе WAN порт настроить на эту сеть а в качестве шлюза указать Microtic то получится 2 отдельные (в Вашем случае 3) сети. Интернет работать будте а межсетевой маршрутизации не будет.
Тоесть 3 независимые локальные сети видеть друг друга небудут.

И да, извините, был не прав, запамятовал немного.

Ещё на фаерволе подклюённых маршрутизаторов надо закрыть исходящую трансляцию из подсети в подсеть.

Я не поленился перенастроить свой маршрутизатор, у меня получилось так.
Основная подсеть :10.6.7.0
Подсеть маршрутизатора: 192.168.1.0

Настройки Wan порта:
ip: 10.6.7.8
mask: 255.255.255.0
Gateway: 10.6.7.2
DNS: 10.6.7.5
DNS2:10.6.7.6

Lan порт:
192.168.1.1
255.255.255.0
DHCP

Firewall
3 правила для локальной сети
Запретить IP, UDP, ICMP из подсети 192.168.1.0 в подсеть 10.6.7.0

Интернет работает, доступа в подсеть 10.6.7.0 нет.

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6846
    • Просмотр профиля
Usermaster, да, я уже понял, где ошибка, я не там закрывал перенаправление :D
Спасибо, что проверил решение!

Оффлайн thunderamur

  • Автор темы
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 6846
    • Просмотр профиля
В общем, решил проблему. Я настраивал фильтр в Firewall. Чтобы он работал нужно, чтобы использовались разные порты для каждого адреса, т.е. не как у меня 1 мост с 2-мя адресами, а на каждый адрес отдельный интерфейс. В таком случае работает.

Но далее настраивая гостевую сеть по какой-то хорошей статье увидел там пункт про блокирование запросов в IP-Routes-Rules. Попробовал блокировку здесь - ОНО, работает даже в изначальной схеме с 2-мя адресами на 1 мосту.

 

Страница сгенерирована за 0.029 секунд. Запросов: 24.