Перейти до

Mikrotik CAPSMAN + 2-ва SIDa разделение доступа


sattva

Рекомендованные сообщения

Mikrotik CAPSMAN + 2-ва SIDa (WiFi Access Point mikrotik cAP-2n) + разделение доступа:
 
прошу подсказки - есть два SIDa: SID1, SID2Office (Wireless подымается c помощью CAPSMAN).
Задача разделить доступ между этими двумя SID-ами, а именно что бы пользователи подключенные к SID1 не могли получить доступ к ресурсам локальной сети + они должны быть ограниченными по скорости доступа в интернет. Пользователи SID2Office - это офисные сотрудники, поэтому они должны иметь доступ в локальную сеть без каких либо ограничений по скорости!

Ссылка на сообщение
Поделиться на других сайтах

для того, что бы обеспечить офисным сотрудникам доступ к локальной сети я объеденил интерфейсы ether1 и wlan2 (SID2Office) в бридж. А вы предлагаете поднять vlan-ы между wlan2 (SID2Office) и пограничным роутером (mikrotik) c его LAN-интерфейсом? (но у меня все LAN-интерфейсы на пограничном роутере объеденены в bridge)

Ссылка на сообщение
Поделиться на других сайтах

создать интерфейс vlan через бридж засунуть vlan ,wlan1? а вообще в капс мене в конфиге можно указать для какого сида какой влан нужен , чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

для SID2Office - так и сделал. и там все отлично работает. Но теперь другая задача как ограничить доступ клиентов подключенных к SID1 - к локальной сети (в которую входят те клиенты, которые подключены по SID2Office). Я в принципе знаю как это решается: IP-> Routers -> Rules:

 

 /ip route rule> print

Flags: X - disabled, I - inactive

 0   src-address=10.194.128.0/24 dst-address=192.168.128.0/24 action=unreachable

т.е. ограничить доступ с одной подсети в другую. А значит для этого мне на wlan1 (SID1) - надо, чтобы клиентам выдавался IP-адрес из другой подсети. Как это сделать понятно: настроил Pool, поднял DHCP-сервер на интерфейсе wlan1... Как теперь этим клиентам дать доступ в интернет? Подымать VLAN? Как?

Відредаговано sattva
Ссылка на сообщение
Поделиться на других сайтах

 

 

чтоб это все работало достаточно объединить мостом eth  и wlan интерфейс

для SID2Office - так и сделал. и там все отлично работает. Но теперь другая задача как ограничить доступ клиентов подключенных к SID1 - к локальной сети (в которую входят те клиенты, которые подключены по SID2Office). Я в принципе знаю как это решается: IP-> Routers -> Rules:

 

 /ip route rule> print

Flags: X - disabled, I - inactive

 0   src-address=10.194.128.0/24 dst-address=192.168.128.0/24 action=unreachable

т.е. ограничить доступ с одной подсети в другую. А значит для этого мне на wlan1 (SID1) - надо, чтобы клиентам выдавался IP-адрес из другой подсети. Как это сделать понятно: настроил Pool, поднял DHCP-сервер на интерфейсе wlan1... Как теперь этим клиентам дать доступ в интернет? Подымать VLAN? Как?

 

Если вешаете dhcp на интерфейс, нужно еще добавить правило NAT для src адресов 10.194.128.0/24. Тогда для SID1 точка будет работать в режиме роутера, SID2 будет бриджем.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

 

Если вешаете dhcp на интерфейс, нужно еще добавить правило NAT для src адресов 10.194.128.0/24. Тогда для SID1 точка будет работать в режиме роутера, SID2 будет бриджем.

 

 

само собой

Відредаговано sattva
Ссылка на сообщение
Поделиться на других сайтах

нашел мануал под мою тему: http://wiki.netair.by/wiki/settings/howto_capsman_vlan_2ssid

единственный вопрос: а если у меня сам mikrotik cAP - подлючается  ethernet-портом в обычный свитч, тогда как настраивать VLAN?

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...
Опубліковано: (відредаговано)

Удалось настроить, делал таким образом:

 

Мы использовали следующее оборудование:

  1. Маршрутизатор MikroTik RB750GL - в качестве шлюза в Интернет и DHCP-сервера
  2. Беспроводные маршрутизаторы MikroTik CAP 2n

Настройка шлюза в сеть Интернет, DHCP-сервера и VLAN на MikroTik RB750GL

  • Для начала настроим интерфейс, в который у нас будет приходить линк от коммутатора MikroTik CAP 2n
  • Выводим интерфейс из свитч-группы:
750gl_1.jpg
 
Добавляем на этот интерфейс vlan47:
 
Добавляем адреса на созданные интерфейсы vlan47 и создаем, для них же, пулы адресов:
 
Настраиваем DHCP-сервера для vlan47 :
 
Все проделанные настройки в виде кода:

 

/interface ethernet
set [ find name=ether5-slave-local ] master-port=none
/interface vlan
add interface=ether5-slave-local name=vlan47 vlan-id=47
/ip pool
add name=pool_vlan47 ranges=192.168.47.10-192.168.47.200
/ip dhcp-server
add add-arp=yes address-pool=pool_vlan47 authoritative=yes disabled=no \
interface=vlan47 name=server_vlan47
/ip address
add address=192.168.47.254/24 interface=vlan47 network=192.168.47.0
/ip dhcp-server network
add address=192.168.47.0/24 dns-server=192.168.47.254 gateway=192.168.47.254
 

 

Настройка CAPsMAN

 

Создадим профили безопасности беспроводной сети для VLAN 47

 

crs210_4.jpg?w=600&tok=3afb33

 

  • Создадим Datapath для VLAN 47
  • Создадим конфигурации для VLAN 101 и VLAN 47, указываем название конфигурации, имя сети (SSiD) и режим AP

На закладке Channel указываем частоту, ширину канала, протоколы и направление расширения частоты

 

crs210_8.jpg?w=600&tok=68b97b

 

На закладке Datapath - выбираем свой ранее созданный datapath для каждого из VLAN

 

На закладке Provision создаем профиль и затем включаем менеджер CAPsMAN

 

Все проделанные настройки в виде кода:

 

/caps-man datapath
add local-forwarding=yes name=datapath_Office
add local-forwarding=yes name=datapath_vlan47 vlan-id=47 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security_Office \
passphrase=1234567890
add name="open" authentication-types="" encryption=""
/caps-man configuration
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
channel.width=20 datapath=datapath_Ofice mode=ap name=cfg_Office \
security=security_Office ssid=Office
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
channel.width=20 datapath=datapath_vlan47 mode=ap name=cfg_Guest \
security=security_vlan47 ssid=Guest
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_Office \
slave-configurations=cfg_vlan47
/caps-man manager
set enabled=yes

 

 

Настройка маршрутизатора CAP-2n под управление менеджером CAPsMAN

 

Изменим IP-адрес маршрутизатора и удалим из bridge-local интерфейс wlan1

cap2n_1.jpg?w=400&tok=0465b2cap2n_2.jpg?w=400&tok=15b475

 

Теперь настроим маршрутизатор под управление менеджером CAPsMAN - укажем интерфейс, явный IP-адрес менеджера CAPsMAN и бридж, в который у нас будут добавляться наши беспроводные интерфейсы

 

cap2n_3.jpg?w=600&tok=95b5e4

 

/ip address
set [ find name=bridge-local ] address=192.168.88.3/24 network=192.168.88.0
/interface bridge port
remove [ find interface=wlan1 ]
/interface wireless cap
set bridge=bridge-local caps-man-addresses=172.16.1.1 discovery-interfaces=\
bridge-local enabled=yes interfaces=wlan1

 

 

 

Відредаговано sattva
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • Від viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?
×
×
  • Створити нове...