Mikrotik CAPSMAN + 2-ва SIDa разделение доступа

[sattva 0]

Mikrotik CAPSMAN + 2-ва SIDa (WiFi Access Point mikrotik cAP-2n) + разделение доступа:
 
прошу подсказки - есть два SIDa: SID1, SID2Office (Wireless подымается c помощью CAPSMAN).
Задача разделить доступ между этими двумя SID-ами, а именно что бы пользователи подключенные к SID1 не могли получить доступ к ресурсам локальной сети + они должны быть ограниченными по скорости доступа в интернет. Пользователи SID2Office - это офисные сотрудники, поэтому они должны иметь доступ в локальную сеть без каких либо ограничений по скорости!

[Angel_ua 3]

в access list, vlan id

[sattva 0]

для того, что бы обеспечить офисным сотрудникам доступ к локальной сети я объеденил интерфейсы ether1 и wlan2 (SID2Office) в бридж. А вы предлагаете поднять vlan-ы между wlan2 (SID2Office) и пограничным роутером (mikrotik) c его LAN-интерфейсом? (но у меня все LAN-интерфейсы на пограничном роутере объеденены в bridge)

[sattva 0]

как поднять vlan между wlan1  и  пограничным роутером?

[DemonidZe 15]

создать интерфейс vlan через бридж засунуть vlan ,wlan1? а вообще в капс мене в конфиге можно указать для какого сида какой влан нужен , чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

[sattva 0]

 

чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

для SID2Office - так и сделал. и там все отлично работает. Но теперь другая задача как ограничить доступ клиентов подключенных к SID1 - к локальной сети (в которую входят те клиенты, которые подключены по SID2Office). Я в принципе знаю как это решается: IP-> Routers -> Rules:

 

 /ip route rule> print

Flags: X - disabled, I - inactive

 0   src-address=10.194.128.0/24 dst-address=192.168.128.0/24 action=unreachable

т.е. ограничить доступ с одной подсети в другую. А значит для этого мне на wlan1 (SID1) - надо, чтобы клиентам выдавался IP-адрес из другой подсети. Как это сделать понятно: настроил Pool, поднял DHCP-сервер на интерфейсе wlan1... Как теперь этим клиентам дать доступ в интернет? Подымать VLAN? Как?

Изменено 2016-03-01 10:58:07 пользователем sattva

[DemonidZe 15]

у вас два сида это два влана по факту , естесно две разных сети

[sv-lex 38]

 

 

чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

для SID2Office - так и сделал. и там все отлично работает. Но теперь другая задача как ограничить доступ клиентов подключенных к SID1 - к локальной сети (в которую входят те клиенты, которые подключены по SID2Office). Я в принципе знаю как это решается: IP-> Routers -> Rules:

 

 /ip route rule> print

Flags: X - disabled, I - inactive

 0   src-address=10.194.128.0/24 dst-address=192.168.128.0/24 action=unreachable

т.е. ограничить доступ с одной подсети в другую. А значит для этого мне на wlan1 (SID1) - надо, чтобы клиентам выдавался IP-адрес из другой подсети. Как это сделать понятно: настроил Pool, поднял DHCP-сервер на интерфейсе wlan1... Как теперь этим клиентам дать доступ в интернет? Подымать VLAN? Как?

 

Если вешаете dhcp на интерфейс, нужно еще добавить правило NAT для src адресов 10.194.128.0/24. Тогда для SID1 точка будет работать в режиме роутера, SID2 будет бриджем.

[sattva 0]

 

 

Если вешаете dhcp на интерфейс, нужно еще добавить правило NAT для src адресов 10.194.128.0/24. Тогда для SID1 точка будет работать в режиме роутера, SID2 будет бриджем.

 

 

само собой

Изменено 2016-03-01 12:48:48 пользователем sattva

[sattva 0]

нашел мануал под мою тему: http://wiki.netair.by/wiki/settings/howto_capsman_vlan_2ssid

единственный вопрос: а если у меня сам mikrotik cAP - подлючается  ethernet-портом в обычный свитч, тогда как настраивать VLAN?

[sattva 0]

клиентам не выдается IP-адрес! почему?

[sattva 0]

Удалось настроить, делал таким образом:

 

Мы использовали следующее оборудование:

1. Маршрутизатор MikroTik RB750GL - в качестве шлюза в Интернет и DHCP-сервера
2. Беспроводные маршрутизаторы MikroTik CAP 2n

Настройка шлюза в сеть Интернет, DHCP-сервера и VLAN на MikroTik RB750GL

• Для начала настроим интерфейс, в который у нас будет приходить линк от коммутатора MikroTik CAP 2n
• Выводим интерфейс из свитч-группы:

 

Добавляем на этот интерфейс vlan47:

 

Добавляем адреса на созданные интерфейсы vlan47 и создаем, для них же, пулы адресов:

 

Настраиваем DHCP-сервера для vlan47 :

 

Все проделанные настройки в виде кода:

 

/interface ethernet
set [ find name=ether5-slave-local ] master-port=none
/interface vlan
add interface=ether5-slave-local name=vlan47 vlan-id=47
/ip pool
add name=pool_vlan47 ranges=192.168.47.10-192.168.47.200
/ip dhcp-server
add add-arp=yes address-pool=pool_vlan47 authoritative=yes disabled=no \
interface=vlan47 name=server_vlan47
/ip address
add address=192.168.47.254/24 interface=vlan47 network=192.168.47.0
/ip dhcp-server network
add address=192.168.47.0/24 dns-server=192.168.47.254 gateway=192.168.47.254
 

 

Настройка CAPsMAN

 

Создадим профили безопасности беспроводной сети для VLAN 47

 

 

• Создадим Datapath для VLAN 47
• Создадим конфигурации для VLAN 101 и VLAN 47, указываем название конфигурации, имя сети (SSiD) и режим AP

На закладке Channel указываем частоту, ширину канала, протоколы и направление расширения частоты

 

 

На закладке Datapath - выбираем свой ранее созданный datapath для каждого из VLAN

 

На закладке Provision создаем профиль и затем включаем менеджер CAPsMAN

 

Все проделанные настройки в виде кода:

 

/caps-man datapath
add local-forwarding=yes name=datapath_Office
add local-forwarding=yes name=datapath_vlan47 vlan-id=47 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security_Office \
passphrase=1234567890
add name="open" authentication-types="" encryption=""
/caps-man configuration
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
channel.width=20 datapath=datapath_Ofice mode=ap name=cfg_Office \
security=security_Office ssid=Office
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
channel.width=20 datapath=datapath_vlan47 mode=ap name=cfg_Guest \
security=security_vlan47 ssid=Guest
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_Office \
slave-configurations=cfg_vlan47
/caps-man manager
set enabled=yes

 

 

Настройка маршрутизатора CAP-2n под управление менеджером CAPsMAN

 

Изменим IP-адрес маршрутизатора и удалим из bridge-local интерфейс wlan1

 

Теперь настроим маршрутизатор под управление менеджером CAPsMAN - укажем интерфейс, явный IP-адрес менеджера CAPsMAN и бридж, в который у нас будут добавляться наши беспроводные интерфейсы

 

 

/ip address
set [ find name=bridge-local ] address=192.168.88.3/24 network=192.168.88.0
/interface bridge port
remove [ find interface=wlan1 ]
/interface wireless cap
set bridge=bridge-local caps-man-addresses=172.16.1.1 discovery-interfaces=\
bridge-local enabled=yes interfaces=wlan1

 

 

 

Изменено 2016-03-10 20:06:22 пользователем sattva

[John_Doe 301]

2 @sattva Вот нахрена делать перепост howto а ссылку на первоисточник не даете ?