Гостевая точка доступа

Выкладываем здесь готовые конфигурации под определенные типовые задачи
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Имея стабильный интернет канал в 20 мбит, я решил поделиться с соседями, но так, чтобы они не мешали работе моей сети.

Условия такие - ограничение скорости доступа до 1 мбит, не возможность *пролезть* в локальную подсеть, применялось на RB751U

конфигурация

Код: Выделить всё

/interface wireless security-profiles
set [ find default=yes ] authentication-types="" eap-methods=passthrough \
    group-ciphers=aes-ccm group-key-update=5m interim-update=0s \
    management-protection=disabled management-protection-key="" mode=none name=\
    default radius-eap-accounting=no radius-mac-accounting=no \
    radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format=\
    XX:XX:XX:XX:XX:XX radius-mac-mode=as-username static-algo-0=none \
    static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" \
    static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo=\
    none static-sta-private-key="" static-transmit-key=key-0 \
    supplicant-identity=MikroTik tls-certificate=none tls-mode=no-certificates \
    unicast-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key=""

/interface wireless add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=1000000 \
    default-authentication=yes default-client-tx-limit=1000000 \
    default-forwarding=yes disable-running-check=no disabled=no hide-ssid=no \
    l2mtu=2290 mac-address=02:0C:42:E1:B1:D3 master-interface=wlan1 \
    max-station-count=2007 mtu=1500 multicast-helper=disabled name=wlan2 \
    proprietary-extensions=post-2.9.25 security-profile=default ssid=inet-free \
    update-stats-interval=disabled wds-cost-range=0 wds-default-bridge=none \
    wds-default-cost=0 wds-ignore-ssid=no wds-mode=disabled wmm-support=\
    disabled

/ip address add address=192.168.10.1/24 interface=wlan2 network=192.168.10.0
/ip pool add name=pool2 ranges=192.168.10.10-192.168.10.110

/ip dhcp-server add add-arp=yes address-pool=pool2 disabled=no interface=wlan2 name=server2
/ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1



/ip firewall address-list
add address=192.168.1.0/24 list=my_local
add address=192.168.10.0/24 list=inet-free

/ip firewall filter add action=drop chain=forward comment="Drop from inet free to local" dst-address-list=my_local src-address-list=inet-free
/ip firewall nat add action=masquerade chain=srcnat comment=Iner-Free out-interface=pppoe-out1  src-address-list=inet-free




Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Спасибо за конфиг. Используя его разобрался что к чему и настроил вафлю.
Тока вопрос такой, который впринципе уже был открыт мною, но там был VPN....

Как-же всё-же сделать так, что-бы можно было:
а) Пролезть в проводную сетку.
б) Увидеть это проклятую виндовую шару c Wi-Fi клиента, и наоборот...
При условии, что оба интерфейса засовывать в бридж нельзя (разные сети - разные DHCP сервера, + ещё некоторые заморочки по разграничиванию доступа...)

LAN: 192.168.10.1/24
WLAN: 192.168.11.1/24

Помогите разобраться, а то уже вариантов нету. :cry:


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

/ip firewall filter add action=drop chain=forward comment="Drop from inet free to local" dst-address-list=my_local src-address-list=inet-free


вот это правило не пускает бесплатников в локальную сеть а пускает только в инет


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

iSupport, это-то понятно, но шары так не будет, потому что между сетями ходят только TCP трафик.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

При условии, что оба интерфейса засовывать в бридж нельзя (разные сети - разные DHCP сервера, + ещё некоторые заморочки по разграничиванию доступа...)

а если настроить фильтр "Запрещено все, кроме" и в это кроме заводите разрешение на хождение "проклятую виндовую шару"


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

simpl3x, при этом компы по прежнему не будет видно.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Dragon_Knight писал(а):simpl3x, при этом компы по прежнему не будет видно.

да я не настаиваю, всегда резал smb на уровне портов абонентов, поэтому даже не знаю как эта зараза распространяется. вы сами написали, что бридж не вариант, потому то, я вам путь решения предложил =)


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Вообще, как я нагуглил, шара windows не будет показываться, если у удалённого компа другая подсеть.
Поэтому у меня больше нету идей, кроме как чем-то проксировать, или менять маску всей сети на 192.168.10.0/23. Хотя при этом теряется смысл разных сетей..

Я в раздумьях... :?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

поднять wins в обеих подсетях. по ip адресам на шары должен заходить.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

simpl3x, по IP откроет и без WINS.. Нам, админам, это фигня, набрать IP. А ты поди, попробуй посвятить пару десятков сотрудников в это ... пожалеешь что начал ... :D
Вся суть в том, что люди хотят тыкать в картиночки, а не циферки непонятные писать ....


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Ответить