Перейти до

Mikrotik CAPSMAN + 2-ва SIDa разделение доступа


sattva

Рекомендованные сообщения

Mikrotik CAPSMAN + 2-ва SIDa (WiFi Access Point mikrotik cAP-2n) + разделение доступа:
 
прошу подсказки - есть два SIDa: SID1, SID2Office (Wireless подымается c помощью CAPSMAN).
Задача разделить доступ между этими двумя SID-ами, а именно что бы пользователи подключенные к SID1 не могли получить доступ к ресурсам локальной сети + они должны быть ограниченными по скорости доступа в интернет. Пользователи SID2Office - это офисные сотрудники, поэтому они должны иметь доступ в локальную сеть без каких либо ограничений по скорости!

Ссылка на сообщение
Поделиться на других сайтах

для того, что бы обеспечить офисным сотрудникам доступ к локальной сети я объеденил интерфейсы ether1 и wlan2 (SID2Office) в бридж. А вы предлагаете поднять vlan-ы между wlan2 (SID2Office) и пограничным роутером (mikrotik) c его LAN-интерфейсом? (но у меня все LAN-интерфейсы на пограничном роутере объеденены в bridge)

Ссылка на сообщение
Поделиться на других сайтах

создать интерфейс vlan через бридж засунуть vlan ,wlan1? а вообще в капс мене в конфиге можно указать для какого сида какой влан нужен , чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

для SID2Office - так и сделал. и там все отлично работает. Но теперь другая задача как ограничить доступ клиентов подключенных к SID1 - к локальной сети (в которую входят те клиенты, которые подключены по SID2Office). Я в принципе знаю как это решается: IP-> Routers -> Rules:

 

 /ip route rule> print

Flags: X - disabled, I - inactive

 0   src-address=10.194.128.0/24 dst-address=192.168.128.0/24 action=unreachable

т.е. ограничить доступ с одной подсети в другую. А значит для этого мне на wlan1 (SID1) - надо, чтобы клиентам выдавался IP-адрес из другой подсети. Как это сделать понятно: настроил Pool, поднял DHCP-сервер на интерфейсе wlan1... Как теперь этим клиентам дать доступ в интернет? Подымать VLAN? Как?

Відредаговано sattva
Ссылка на сообщение
Поделиться на других сайтах

 

 

чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

для SID2Office - так и сделал. и там все отлично работает. Но теперь другая задача как ограничить доступ клиентов подключенных к SID1 - к локальной сети (в которую входят те клиенты, которые подключены по SID2Office). Я в принципе знаю как это решается: IP-> Routers -> Rules:

 

 /ip route rule> print

Flags: X - disabled, I - inactive

 0   src-address=10.194.128.0/24 dst-address=192.168.128.0/24 action=unreachable

т.е. ограничить доступ с одной подсети в другую. А значит для этого мне на wlan1 (SID1) - надо, чтобы клиентам выдавался IP-адрес из другой подсети. Как это сделать понятно: настроил Pool, поднял DHCP-сервер на интерфейсе wlan1... Как теперь этим клиентам дать доступ в интернет? Подымать VLAN? Как?

 

Если вешаете dhcp на интерфейс, нужно еще добавить правило NAT для src адресов 10.194.128.0/24. Тогда для SID1 точка будет работать в режиме роутера, SID2 будет бриджем.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

 

Если вешаете dhcp на интерфейс, нужно еще добавить правило NAT для src адресов 10.194.128.0/24. Тогда для SID1 точка будет работать в режиме роутера, SID2 будет бриджем.

 

 

само собой

Відредаговано sattva
Ссылка на сообщение
Поделиться на других сайтах

нашел мануал под мою тему: http://wiki.netair.by/wiki/settings/howto_capsman_vlan_2ssid

единственный вопрос: а если у меня сам mikrotik cAP - подлючается  ethernet-портом в обычный свитч, тогда как настраивать VLAN?

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...
Опубліковано: (відредаговано)

Удалось настроить, делал таким образом:

 

Мы использовали следующее оборудование:

  1. Маршрутизатор MikroTik RB750GL - в качестве шлюза в Интернет и DHCP-сервера
  2. Беспроводные маршрутизаторы MikroTik CAP 2n

Настройка шлюза в сеть Интернет, DHCP-сервера и VLAN на MikroTik RB750GL

  • Для начала настроим интерфейс, в который у нас будет приходить линк от коммутатора MikroTik CAP 2n
  • Выводим интерфейс из свитч-группы:
750gl_1.jpg
 
Добавляем на этот интерфейс vlan47:
 
Добавляем адреса на созданные интерфейсы vlan47 и создаем, для них же, пулы адресов:
 
Настраиваем DHCP-сервера для vlan47 :
 
Все проделанные настройки в виде кода:

 

/interface ethernet
set [ find name=ether5-slave-local ] master-port=none
/interface vlan
add interface=ether5-slave-local name=vlan47 vlan-id=47
/ip pool
add name=pool_vlan47 ranges=192.168.47.10-192.168.47.200
/ip dhcp-server
add add-arp=yes address-pool=pool_vlan47 authoritative=yes disabled=no \
interface=vlan47 name=server_vlan47
/ip address
add address=192.168.47.254/24 interface=vlan47 network=192.168.47.0
/ip dhcp-server network
add address=192.168.47.0/24 dns-server=192.168.47.254 gateway=192.168.47.254
 

 

Настройка CAPsMAN

 

Создадим профили безопасности беспроводной сети для VLAN 47

 

crs210_4.jpg?w=600&tok=3afb33

 

  • Создадим Datapath для VLAN 47
  • Создадим конфигурации для VLAN 101 и VLAN 47, указываем название конфигурации, имя сети (SSiD) и режим AP

На закладке Channel указываем частоту, ширину канала, протоколы и направление расширения частоты

 

crs210_8.jpg?w=600&tok=68b97b

 

На закладке Datapath - выбираем свой ранее созданный datapath для каждого из VLAN

 

На закладке Provision создаем профиль и затем включаем менеджер CAPsMAN

 

Все проделанные настройки в виде кода:

 

/caps-man datapath
add local-forwarding=yes name=datapath_Office
add local-forwarding=yes name=datapath_vlan47 vlan-id=47 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security_Office \
passphrase=1234567890
add name="open" authentication-types="" encryption=""
/caps-man configuration
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
channel.width=20 datapath=datapath_Ofice mode=ap name=cfg_Office \
security=security_Office ssid=Office
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
channel.width=20 datapath=datapath_vlan47 mode=ap name=cfg_Guest \
security=security_vlan47 ssid=Guest
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_Office \
slave-configurations=cfg_vlan47
/caps-man manager
set enabled=yes

 

 

Настройка маршрутизатора CAP-2n под управление менеджером CAPsMAN

 

Изменим IP-адрес маршрутизатора и удалим из bridge-local интерфейс wlan1

cap2n_1.jpg?w=400&tok=0465b2cap2n_2.jpg?w=400&tok=15b475

 

Теперь настроим маршрутизатор под управление менеджером CAPsMAN - укажем интерфейс, явный IP-адрес менеджера CAPsMAN и бридж, в который у нас будут добавляться наши беспроводные интерфейсы

 

cap2n_3.jpg?w=600&tok=95b5e4

 

/ip address
set [ find name=bridge-local ] address=192.168.88.3/24 network=192.168.88.0
/interface bridge port
remove [ find interface=wlan1 ]
/interface wireless cap
set bridge=bridge-local caps-man-addresses=172.16.1.1 discovery-interfaces=\
bridge-local enabled=yes interfaces=wlan1

 

 

 

Відредаговано sattva
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від GekaPeka
      mikrotik RB 40111GS+RM новый, 7500 грн.
    • Від DjBodya
      Вітаю.
      Одразу попереджу, що з мікротіками не новачок. Знаю, як з ними поводитись і налаштовувати.
      Купив собі це диво. І не можу налаштувати. 
      Скидаю в нуль, або просто включаю, без різниці. Буває вдається навіть підключитися по winbox. Потім вилітає в помилку.
      Зазвичай одразу System LED переходить в режим блимаючого червоного і все. 
      DHCP не роздає. По МАС підключитися не вдається.
    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
×
×
  • Створити нове...