Проблема ограничения доступа из гостевой сети

Обсуждение ПО и его настройки
Ответить
Maximper
Сообщения: 4
Зарегистрирован: 27 фев 2020, 11:34

Доброго всем времени суток!
Прошу помощи! Не сплю уже пару ночей.
Есть hAP ac2 прошивка 6.46.3, в качестве роутера. К нему через шнурок подключен свитч и точка доступа cAP ac. С помощью Caps MAN с hap ac2 были созданы 3 сети 2.4Ггц, 5Ггц и гостевая 2.4 Ггц настройки зацепились на cAP ac. Основная сеть 192.168.2.0. Гостевая сеть находится в отдельном бридже, с отдельным диапазоном dhcp в сети 192.168.4.0. Все прекрасно работает интернет, выдача адресов, в гостевой сети стоит запрет на ввод руками ip на устройствах. Но вот с ограничением доступа из одного бриджа (гостевой сети) в другой (основную сеть) беда!!! Ограничение делал разное 1. через ip - routes 2. через Firewall, результат один. При установке запрета на доступ с 192.168.4.0/24 в сеть 192.168.2.0/24 пропадает связь не только гостевой с основной, но и наоборот. При этом если указать в адресе источнике конкретный ип например 192.168.4.135 , то с него доступ пропадает на сеть 192.168.2.0, но наоборот на 4.135 доступ остается. Делал сброс, настраивал все с нуля по мануалам, убирал caps man, делал virtual ap, менял прошивку... Все то же самое... Знающие люди подскажите куда копать? Если уже обсуждали, то тыкните пжл носом. Заранее спасибо за помощь!


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Maximper писал(а): 27 фев 2020, 11:53 Не сплю уже пару ночей.
При установке запрета на доступ с 192.168.4.0/24 в сеть 192.168.2.0/24 пропадает связь не только гостевой с основной, но и наоборот.
Ну как бы изоляция сетей именно так и работает.
Вы просветили глобальный смысл Ваших манипуляций.
Вы гостевую сеть хотите изолировать или нет?


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Maximper
Сообщения: 4
Зарегистрирован: 27 фев 2020, 11:34

Как она работает? Мне нужно убрать из гостевой сети доступ в основную, но с основной оставить доступ в гостевую для работы с радмином и доступа к сетевым устройствам. Например правилом forward в firewall я блокирую доступ с сети гостевой в основную
add action=drop chain=forward disabled=yes dst-address=192.168.2.0/24 \
src-address=192.168.4.0/24
Почему доступ с основной сети пропадает в гостевую?


Maximper
Сообщения: 4
Зарегистрирован: 27 фев 2020, 11:34

При этом правило с указанием конкретного адреса из гостевой
add action=drop chain=forward disabled=yes dst-address=192.168.2.0/24 \
src-address=192.168.4.135/24
работает корректно, я не могу с 4.135 попасть в сеть 2.0, но с сети 2.0 могу опасть на 135


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Как в известном фильме. "Ты что, зеленый от оранжевого отличить не можешь?"
dst-address - зеленый. src-address - оранжевый.
Сделай наоборот, будет наоборот.

Фастрртак включен?
Если нет - выше запрещающего включите разрешающее на доступ из основной в гостевую.
И должно быть разрешающее правило выше на форвард, если Connection State established и related
чтобы ответы на разрешенное правило не запрещались запрещающим.

Как всегда. Вопрос "что не так?" есть, а конфига, в котором нужно смотреть - нет.


Maximper
Сообщения: 4
Зарегистрирован: 27 фев 2020, 11:34

И должно быть разрешающее правило выше на форвард, если Connection State established и related
За ответ огромное спасибо, все работает!


Ответить