2 интерфейса на ETH + CapsMan

[xvo]

разрешение на подключение только определенным мак-адресам, даже если пароль от сети просочится к людям, нужно сделать так, чтобы нельзя было подключится к сети, только с помощью сисадмина, который внесет мак устройства в "белый" список на микроте

Ну это как бы не проблема - в access list забивать маки и все, остальных сбрасывать.

[Skylear]

а разве можно на бридж повесить два адреса?...

[xvo]

а разве можно на бридж повесить два адреса?...

А кто ж запрещает то?

[Skylear]

повесил, смаскарадил бридж, тоже работает, но что-то не то получается понять.... нужно чтобы клиенты WIFI2 (10.3.67.0/24) шлюзовались на белый адрес 10.1.181.50, а потом шли в шлюз линукса 10.1.180.3. если в этой схеме нет адреса 10.1.181.50 - то линукс не пустит. получается от микрота должны идти запросы на интернет именно с этого адреса, а у микрота целая подсеть... что-то наподобие WAN получается... никак не разберусь..

[xvo]

повесил, смаскарадил бридж, тоже работает, но что-то не то получается понять.... нужно чтобы клиенты WIFI2 (10.3.67.0/24) шлюзовались на белый адрес 10.1.181.50, а потом шли в шлюз линукса 10.1.180.3. если в этой схеме нет адреса 10.1.181.50 - то линукс не пустит. получается от микрота должны идти запросы на интернет именно с этого адреса, а у микрота целая подсеть... что-то наподобие WAN получается... никак не разберусь..

Ну так я ж говорю, не маскарад нужен - он будет выбирать не понятно какой из адресов.
А именно action=src-nat to-addresses=10.1.181.50
WANом для подсети capsman'а будет как раз таки первый бридж.

[Skylear]

итак уж взялись на ночь глядя, давайте добьем))
1) есть бридж с dhcp-клиентом, прилетает 10.1.180.10
2) также навешиваем статику - 10.1.181.50
3) одна сетка капсмана напрямую рулится линуксом
4) вторая сеть капсмана - "белая" рулится микротиком
5) в NAT прописываем правило chain=src-nat, action=src-nat to address 10.1.181.50

обе сети имеют доступ в интернет, НО трацерт яндекса с ноутбука, подключенного к "белой" сети пропускает 10.1.181.50 - так и должно быть? просто проверить на оригинальном линуксе сейчас не могу...

[xvo]

обе сети имеют доступ в интернет, НО трацерт яндекса с ноутбука, подключенного к "белой" сети пропускает 10.1.181.50 - так и должно быть? просто проверить на оригинальном линуксе сейчас не могу...

Да, ведь шлюзом для сети wifi2 является адрес 10.1.67.1 и следующий хоп уже линуксовая машина должна быть.

А вот тут кстати, интересно.
Дальше то должно пойти по дефолтному маршруту, и получается их нужно два, и каждый надо использовать в зависимости от того, с какого адреса идет обращение (либо из "белой сети" - тогда один маршрут, либо с самого микротика с "серого" адреса - тогда другой).

Поэтому я опять возвращаюсь к вопросу - а самому микротику адрес в "серой" сети вообще нужен? Может он сам тоже может ходить наружу по белому адресу?
Это бы несколько упростило ситуацию.

Или шлюз у них один и тот же?
Тогда тоже ничего не надо.

[Skylear]

действительно. на практике именно так: если адрес серый - линукс ограничивает, если белый пропускает. там и маршруты и прокси и туда путь закрыт, но работает так. так что думаю там все будет работать корректно (проверяли, ставили тплинк и через "белый" адрес WAN - поднимали подсеть - все адреса подсети шагают в инет как надо).
если убрать с микротика dhcp-клиент с бриджа, то падает динамический маршрут 0.0.0.0, разве что его можно руками вписать.... завтра поеду пробовать на месте.

еще вопрос по поводу mac-авторизации на капсмане... не нашел где это настроивается, адрес лист есть, а вот авторизации нет... нужно сделать именно так - клиент, зная пароль от wifi2 подключается к сети, но интернета нет. он попадает в таблицу регистрации, откуда админ руками помещает его в адрес-лист, и после этого работает... но кнопки авторизации так и не нашел.

[xvo]

если убрать с микротика dhcp-клиент с бриджа, то падает динамический маршрут 0.0.0.0, разве что его можно руками вписать.... завтра поеду пробовать на месте.

Можно руками конечно.
Более того, его скорее всего в любом случае нужно будет, даже если оставлять оба адреса.
Иначе из "белой" подсети тоже будут ломиться на дефолтный шлюз "серой".

еще вопрос по поводу mac-авторизации на капсмане... не нашел где это настроивается, адрес лист есть, а вот авторизации нет... нужно сделать именно так - клиент, зная пароль от wifi2 подключается к сети, но интернета нет. он попадает в таблицу регистрации, откуда админ руками помещает его в адрес-лист, и после этого работает... но кнопки авторизации так и не нашел.

Ну оно не совсем так.
Access list wifi - это те, кому разрешено подключаться к wifi.
Потом есть ещё dhcp-сервер, где тоже можно сделать привязку к маку.
Дальше есть firewall - который может разрешать только определенны ip-адресам выход в сеть.

Как реализовать то, что вы хотите?
Например авторизовывать в wifi всех, но выдавать неизвестным по dhcp адреса из временного диапазона, которому доступ наружу закрыт. Потом руками переносить.
Но тут минус, что зная из какого диапазона адреса могут выходить в инет - можно назначить его руками.
Можно пихать неизвестных в какой-нибудь отдельный vlan - откуда выхода в сеть в принципе нет. И например уведомления присылать, что кто-то в том vlan'е появился. Потом добавлять для них запись в акцесс-листе и дальше они попадут уже куда надо.
Ну и ещё вариант как-то задействовать hotspot.

[Skylear]

проверил на месте. работает как надо. но обязательно должно быть 2 адреса на бридже, и один дефолтный маршрут, а второй статический