Гостевая точка доступа

Выкладываем здесь готовые конфигурации под определенные типовые задачи
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Гостевая точка доступа

Сообщение iSupport » 21 май 2012, 11:57

Имея стабильный интернет канал в 20 мбит, я решил поделиться с соседями, но так, чтобы они не мешали работе моей сети.

Условия такие - ограничение скорости доступа до 1 мбит, не возможность *пролезть* в локальную подсеть, применялось на RB751U

конфигурация

Код: Выделить всё

/interface wireless security-profiles
set [ find default=yes ] authentication-types="" eap-methods=passthrough \
    group-ciphers=aes-ccm group-key-update=5m interim-update=0s \
    management-protection=disabled management-protection-key="" mode=none name=\
    default radius-eap-accounting=no radius-mac-accounting=no \
    radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format=\
    XX:XX:XX:XX:XX:XX radius-mac-mode=as-username static-algo-0=none \
    static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" \
    static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo=\
    none static-sta-private-key="" static-transmit-key=key-0 \
    supplicant-identity=MikroTik tls-certificate=none tls-mode=no-certificates \
    unicast-ciphers=aes-ccm wpa-pre-shared-key="" wpa2-pre-shared-key=""

/interface wireless add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=1000000 \
    default-authentication=yes default-client-tx-limit=1000000 \
    default-forwarding=yes disable-running-check=no disabled=no hide-ssid=no \
    l2mtu=2290 mac-address=02:0C:42:E1:B1:D3 master-interface=wlan1 \
    max-station-count=2007 mtu=1500 multicast-helper=disabled name=wlan2 \
    proprietary-extensions=post-2.9.25 security-profile=default ssid=inet-free \
    update-stats-interval=disabled wds-cost-range=0 wds-default-bridge=none \
    wds-default-cost=0 wds-ignore-ssid=no wds-mode=disabled wmm-support=\
    disabled

/ip address add address=192.168.10.1/24 interface=wlan2 network=192.168.10.0
/ip pool add name=pool2 ranges=192.168.10.10-192.168.10.110

/ip dhcp-server add add-arp=yes address-pool=pool2 disabled=no interface=wlan2 name=server2
/ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1



/ip firewall address-list
add address=192.168.1.0/24 list=my_local
add address=192.168.10.0/24 list=inet-free

/ip firewall filter add action=drop chain=forward comment="Drop from inet free to local" dst-address-list=my_local src-address-list=inet-free
/ip firewall nat add action=masquerade chain=srcnat comment=Iner-Free out-interface=pppoe-out1  src-address-list=inet-free


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Гостевая точка доступа

Сообщение Dragon_Knight » 26 окт 2012, 14:35

Спасибо за конфиг. Используя его разобрался что к чему и настроил вафлю.
Тока вопрос такой, который впринципе уже был открыт мною, но там был VPN....

Как-же всё-же сделать так, что-бы можно было:
а) Пролезть в проводную сетку.
б) Увидеть это проклятую виндовую шару c Wi-Fi клиента, и наоборот...
При условии, что оба интерфейса засовывать в бридж нельзя (разные сети - разные DHCP сервера, + ещё некоторые заморочки по разграничиванию доступа...)

LAN: 192.168.10.1/24
WLAN: 192.168.11.1/24

Помогите разобраться, а то уже вариантов нету. :cry:

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Гостевая точка доступа

Сообщение iSupport » 27 окт 2012, 01:18

/ip firewall filter add action=drop chain=forward comment="Drop from inet free to local" dst-address-list=my_local src-address-list=inet-free


вот это правило не пускает бесплатников в локальную сеть а пускает только в инет
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Гостевая точка доступа

Сообщение Dragon_Knight » 27 окт 2012, 14:05

iSupport, это-то понятно, но шары так не будет, потому что между сетями ходят только TCP трафик.

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
simpl3x
Модератор
Сообщения: 1884
Зарегистрирован: 19 апр 2012, 14:03

Re: Гостевая точка доступа

Сообщение simpl3x » 27 окт 2012, 14:28

При условии, что оба интерфейса засовывать в бридж нельзя (разные сети - разные DHCP сервера, + ещё некоторые заморочки по разграничиванию доступа...)

а если настроить фильтр "Запрещено все, кроме" и в это кроме заводите разрешение на хождение "проклятую виндовую шару"
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Гостевая точка доступа

Сообщение Dragon_Knight » 27 окт 2012, 16:12

simpl3x, при этом компы по прежнему не будет видно.

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
simpl3x
Модератор
Сообщения: 1884
Зарегистрирован: 19 апр 2012, 14:03

Re: Гостевая точка доступа

Сообщение simpl3x » 27 окт 2012, 20:29

Dragon_Knight писал(а):simpl3x, при этом компы по прежнему не будет видно.

да я не настаиваю, всегда резал smb на уровне портов абонентов, поэтому даже не знаю как эта зараза распространяется. вы сами написали, что бридж не вариант, потому то, я вам путь решения предложил =)
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Гостевая точка доступа

Сообщение Dragon_Knight » 29 окт 2012, 11:12

Вообще, как я нагуглил, шара windows не будет показываться, если у удалённого компа другая подсеть.
Поэтому у меня больше нету идей, кроме как чем-то проксировать, или менять маску всей сети на 192.168.10.0/23. Хотя при этом теряется смысл разных сетей..

Я в раздумьях... :?

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
simpl3x
Модератор
Сообщения: 1884
Зарегистрирован: 19 апр 2012, 14:03

Re: Гостевая точка доступа

Сообщение simpl3x » 29 окт 2012, 12:25

поднять wins в обеих подсетях. по ip адресам на шары должен заходить.
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Гостевая точка доступа

Сообщение Dragon_Knight » 29 окт 2012, 17:57

simpl3x, по IP откроет и без WINS.. Нам, админам, это фигня, набрать IP. А ты поди, попробуй посвятить пару десятков сотрудников в это ... пожалеешь что начал ... :D
Вся суть в том, что люди хотят тыкать в картиночки, а не циферки непонятные писать ....

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];

Вернуться в «Готовые конфигурации Mikrotik»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей