Ну это как бы не проблема - в access list забивать маки и все, остальных сбрасывать.
2 интерфейса на ETH + CapsMan
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
а разве можно на бридж повесить два адреса?...
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
повесил, смаскарадил бридж, тоже работает, но что-то не то получается понять.... нужно чтобы клиенты WIFI2 (10.3.67.0/24) шлюзовались на белый адрес 10.1.181.50, а потом шли в шлюз линукса 10.1.180.3. если в этой схеме нет адреса 10.1.181.50 - то линукс не пустит. получается от микрота должны идти запросы на интернет именно с этого адреса, а у микрота целая подсеть... что-то наподобие WAN получается... никак не разберусь..
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так я ж говорю, не маскарад нужен - он будет выбирать не понятно какой из адресов.Skylear писал(а): ↑22 сен 2020, 23:18 повесил, смаскарадил бридж, тоже работает, но что-то не то получается понять.... нужно чтобы клиенты WIFI2 (10.3.67.0/24) шлюзовались на белый адрес 10.1.181.50, а потом шли в шлюз линукса 10.1.180.3. если в этой схеме нет адреса 10.1.181.50 - то линукс не пустит. получается от микрота должны идти запросы на интернет именно с этого адреса, а у микрота целая подсеть... что-то наподобие WAN получается... никак не разберусь..
А именно action=src-nat to-addresses=10.1.181.50
WANом для подсети capsman'а будет как раз таки первый бридж.
Telegram: @thexvo
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
итак уж взялись на ночь глядя, давайте добьем))
1) есть бридж с dhcp-клиентом, прилетает 10.1.180.10
2) также навешиваем статику - 10.1.181.50
3) одна сетка капсмана напрямую рулится линуксом
4) вторая сеть капсмана - "белая" рулится микротиком
5) в NAT прописываем правило chain=src-nat, action=src-nat to address 10.1.181.50
обе сети имеют доступ в интернет, НО трацерт яндекса с ноутбука, подключенного к "белой" сети пропускает 10.1.181.50 - так и должно быть? просто проверить на оригинальном линуксе сейчас не могу...
1) есть бридж с dhcp-клиентом, прилетает 10.1.180.10
2) также навешиваем статику - 10.1.181.50
3) одна сетка капсмана напрямую рулится линуксом
4) вторая сеть капсмана - "белая" рулится микротиком
5) в NAT прописываем правило chain=src-nat, action=src-nat to address 10.1.181.50
обе сети имеют доступ в интернет, НО трацерт яндекса с ноутбука, подключенного к "белой" сети пропускает 10.1.181.50 - так и должно быть? просто проверить на оригинальном линуксе сейчас не могу...
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да, ведь шлюзом для сети wifi2 является адрес 10.1.67.1 и следующий хоп уже линуксовая машина должна быть.
А вот тут кстати, интересно.
Дальше то должно пойти по дефолтному маршруту, и получается их нужно два, и каждый надо использовать в зависимости от того, с какого адреса идет обращение (либо из "белой сети" - тогда один маршрут, либо с самого микротика с "серого" адреса - тогда другой).
Поэтому я опять возвращаюсь к вопросу - а самому микротику адрес в "серой" сети вообще нужен? Может он сам тоже может ходить наружу по белому адресу?
Это бы несколько упростило ситуацию.
Или шлюз у них один и тот же?
Тогда тоже ничего не надо.
Telegram: @thexvo
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
действительно. на практике именно так: если адрес серый - линукс ограничивает, если белый пропускает. там и маршруты и прокси и туда путь закрыт, но работает так. так что думаю там все будет работать корректно (проверяли, ставили тплинк и через "белый" адрес WAN - поднимали подсеть - все адреса подсети шагают в инет как надо).
если убрать с микротика dhcp-клиент с бриджа, то падает динамический маршрут 0.0.0.0, разве что его можно руками вписать.... завтра поеду пробовать на месте.
еще вопрос по поводу mac-авторизации на капсмане... не нашел где это настроивается, адрес лист есть, а вот авторизации нет... нужно сделать именно так - клиент, зная пароль от wifi2 подключается к сети, но интернета нет. он попадает в таблицу регистрации, откуда админ руками помещает его в адрес-лист, и после этого работает... но кнопки авторизации так и не нашел.
если убрать с микротика dhcp-клиент с бриджа, то падает динамический маршрут 0.0.0.0, разве что его можно руками вписать.... завтра поеду пробовать на месте.
еще вопрос по поводу mac-авторизации на капсмане... не нашел где это настроивается, адрес лист есть, а вот авторизации нет... нужно сделать именно так - клиент, зная пароль от wifi2 подключается к сети, но интернета нет. он попадает в таблицу регистрации, откуда админ руками помещает его в адрес-лист, и после этого работает... но кнопки авторизации так и не нашел.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Можно руками конечно.
Более того, его скорее всего в любом случае нужно будет, даже если оставлять оба адреса.
Иначе из "белой" подсети тоже будут ломиться на дефолтный шлюз "серой".
Ну оно не совсем так.Skylear писал(а): ↑23 сен 2020, 00:32 еще вопрос по поводу mac-авторизации на капсмане... не нашел где это настроивается, адрес лист есть, а вот авторизации нет... нужно сделать именно так - клиент, зная пароль от wifi2 подключается к сети, но интернета нет. он попадает в таблицу регистрации, откуда админ руками помещает его в адрес-лист, и после этого работает... но кнопки авторизации так и не нашел.
Access list wifi - это те, кому разрешено подключаться к wifi.
Потом есть ещё dhcp-сервер, где тоже можно сделать привязку к маку.
Дальше есть firewall - который может разрешать только определенны ip-адресам выход в сеть.
Как реализовать то, что вы хотите?
Например авторизовывать в wifi всех, но выдавать неизвестным по dhcp адреса из временного диапазона, которому доступ наружу закрыт. Потом руками переносить.
Но тут минус, что зная из какого диапазона адреса могут выходить в инет - можно назначить его руками.
Можно пихать неизвестных в какой-нибудь отдельный vlan - откуда выхода в сеть в принципе нет. И например уведомления присылать, что кто-то в том vlan'е появился. Потом добавлять для них запись в акцесс-листе и дальше они попадут уже куда надо.
Ну и ещё вариант как-то задействовать hotspot.
Telegram: @thexvo
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
проверил на месте. работает как надо. но обязательно должно быть 2 адреса на бридже, и один дефолтный маршрут, а второй статический