Страница 1 из 2

Гостевая точка доступа

Добавлено: 21 май 2012, 11:57
iSupport
Имея стабильный интернет канал в 20 мбит, я решил поделиться с соседями, но так, чтобы они не мешали работе моей сети.

Условия такие - ограничение скорости доступа до 1 мбит, не возможность *пролезть* в локальную подсеть, применялось на RB751U

конфигурация

Код: Выделить всё

/interface wireless security-profiles
set [ find default=yes ] authentication-types="" eap-methods=passthrough \
    group-ciphers=aes-ccm group-key-update=5m interim-update=0s \
    management-protection=disabled management-protection-key="" mode=none name=\
    default radius-eap-accounting=no radius-mac-accounting=no \
    radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format=\
    XX:XX:XX:XX:XX:XX radius-mac-mode=as-username static-algo-0=none \
    static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" \
    static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo=\
    none static-sta-private-key="" static-transmit-key=key-0 \
    supplicant-identity=MikroTik tls-certificate=none tls-mode=no-certificates \
    unicast-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key=""

/interface wireless add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=1000000 \
    default-authentication=yes default-client-tx-limit=1000000 \
    default-forwarding=yes disable-running-check=no disabled=no hide-ssid=no \
    l2mtu=2290 mac-address=02:0C:42:E1:B1:D3 master-interface=wlan1 \
    max-station-count=2007 mtu=1500 multicast-helper=disabled name=wlan2 \
    proprietary-extensions=post-2.9.25 security-profile=default ssid=inet-free \
    update-stats-interval=disabled wds-cost-range=0 wds-default-bridge=none \
    wds-default-cost=0 wds-ignore-ssid=no wds-mode=disabled wmm-support=\
    disabled

/ip address add address=192.168.10.1/24 interface=wlan2 network=192.168.10.0
/ip pool add name=pool2 ranges=192.168.10.10-192.168.10.110

/ip dhcp-server add add-arp=yes address-pool=pool2 disabled=no interface=wlan2 name=server2
/ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1



/ip firewall address-list
add address=192.168.1.0/24 list=my_local
add address=192.168.10.0/24 list=inet-free

/ip firewall filter add action=drop chain=forward comment="Drop from inet free to local" dst-address-list=my_local src-address-list=inet-free
/ip firewall nat add action=masquerade chain=srcnat comment=Iner-Free out-interface=pppoe-out1  src-address-list=inet-free



Re: Гостевая точка доступа

Добавлено: 26 окт 2012, 14:35
Dragon_Knight
Спасибо за конфиг. Используя его разобрался что к чему и настроил вафлю.
Тока вопрос такой, который впринципе уже был открыт мною, но там был VPN....

Как-же всё-же сделать так, что-бы можно было:
а) Пролезть в проводную сетку.
б) Увидеть это проклятую виндовую шару c Wi-Fi клиента, и наоборот...
При условии, что оба интерфейса засовывать в бридж нельзя (разные сети - разные DHCP сервера, + ещё некоторые заморочки по разграничиванию доступа...)

LAN: 192.168.10.1/24
WLAN: 192.168.11.1/24

Помогите разобраться, а то уже вариантов нету. :cry:

Re: Гостевая точка доступа

Добавлено: 27 окт 2012, 01:18
iSupport
/ip firewall filter add action=drop chain=forward comment="Drop from inet free to local" dst-address-list=my_local src-address-list=inet-free


вот это правило не пускает бесплатников в локальную сеть а пускает только в инет

Re: Гостевая точка доступа

Добавлено: 27 окт 2012, 14:05
Dragon_Knight
iSupport, это-то понятно, но шары так не будет, потому что между сетями ходят только TCP трафик.

Re: Гостевая точка доступа

Добавлено: 27 окт 2012, 14:28
simpl3x
При условии, что оба интерфейса засовывать в бридж нельзя (разные сети - разные DHCP сервера, + ещё некоторые заморочки по разграничиванию доступа...)

а если настроить фильтр "Запрещено все, кроме" и в это кроме заводите разрешение на хождение "проклятую виндовую шару"

Re: Гостевая точка доступа

Добавлено: 27 окт 2012, 16:12
Dragon_Knight
simpl3x, при этом компы по прежнему не будет видно.

Re: Гостевая точка доступа

Добавлено: 27 окт 2012, 20:29
simpl3x
Dragon_Knight писал(а):simpl3x, при этом компы по прежнему не будет видно.

да я не настаиваю, всегда резал smb на уровне портов абонентов, поэтому даже не знаю как эта зараза распространяется. вы сами написали, что бридж не вариант, потому то, я вам путь решения предложил =)

Re: Гостевая точка доступа

Добавлено: 29 окт 2012, 11:12
Dragon_Knight
Вообще, как я нагуглил, шара windows не будет показываться, если у удалённого компа другая подсеть.
Поэтому у меня больше нету идей, кроме как чем-то проксировать, или менять маску всей сети на 192.168.10.0/23. Хотя при этом теряется смысл разных сетей..

Я в раздумьях... :?

Re: Гостевая точка доступа

Добавлено: 29 окт 2012, 12:25
simpl3x
поднять wins в обеих подсетях. по ip адресам на шары должен заходить.

Re: Гостевая точка доступа

Добавлено: 29 окт 2012, 17:57
Dragon_Knight
simpl3x, по IP откроет и без WINS.. Нам, админам, это фигня, набрать IP. А ты поди, попробуй посвятить пару десятков сотрудников в это ... пожалеешь что начал ... :D
Вся суть в том, что люди хотят тыкать в картиночки, а не циферки непонятные писать ....