Страница 1 из 2
Закрытие доступа между клиентами RB750
Добавлено: 12 ноя 2012, 22:03
Wisee
Здравствуйте, вот такая проблема:
как то раз залез из компа одного клиента на комп другого. и даже смог увидеть его файлы.
как сделать так чтоб клиенты не видели никого кроме себя и своей сетки ( в случае если настроена сетка на несколько компов через роуту, а то бывала и на чужой роутер зайду.)
И за одно такая проблема:
У меня основная сеть для клиентов это 192.168.2.ХХ
но я использую свои антены для их подключения и они на IP 192.168.1.ХХ,
так вот. для их настройки мне необходимо ими регулярно пользоваться (проверять, перезагружать) но я никак не могу на них выйти по IP. идёт переброс на адрес микротика и надпись о тайм ауте, если делать через ррое то пишет: Error 404: Not Found.
как сделать чтоб микротик не мешал доступу на антенны. и если возможно то давал доступ только с моего логина?
Re: Закрытие доступа между клиентами RB750
Добавлено: 12 ноя 2012, 22:03
Wisee
кстати когда пользовался RB 411 то там таакой параметр был. и его было легко найти
Re: Закрытие доступа между клиентами RB750
Добавлено: 13 ноя 2012, 19:54
iSupport
есть опция default-forwarding в настройках интерфейса вай-фай
работает она как клиент-клиент изоляция
то есть если default-forwarding=yes - то клиенты обмениваются данными
а если default-forwarding=no - то клиенты друг к другу данные не передают
что касается маршрутизации на точки- то тут надо понять конфигурацию более подробно
нарисуйте схему и распишите роуты
так же, есть ли у Вас Hotspot???
Re: Закрытие доступа между клиентами RB750
Добавлено: 13 ноя 2012, 23:10
Wisee
вот схема моей сети
как видите все антенны на подсетке с ip хх.хх.1.хх
а клиенты (они и по хотспоту и по рррое) вместе с микротиком на хх.хх.2.хх (микрик хх.хх.2.1)
так вот. когда я подключаюсь к сети микрик присваивает мне ip из 2-й подсетки соответственно
и получается что я на некоторые антенны зайти могу, а на какие то нет. но что самое интересное! это то что если я скажем час назад заходил на антену с Ip 1.252, то через некоторое время я на неё зайти не могу! хотспот мне пишет что тайм аут , на рррое сто страница не найдена.
пингануть не могу, так как микротик отвечает что сеть не доступна!
скажите что делать!
iSupport писал(а):есть опция default-forwarding в настройках интерфейса вай-фай
на 750м к сожалению нет вайфай интерфейса....
кстати все антенны и репитеры это Tp-Link 5210G
Re: Закрытие доступа между клиентами RB750
Добавлено: 15 ноя 2012, 22:09
iSupport
Блин, впомнить бы..... я ж такое настраивал с год назад
я делал аналог менеджемент - VLAN через хотспот
то есть пользователям с правами Админ давал доступ на оборудование, даже если они авторизованны через хотспот и оборудование находится за хотспотом и не умеет держать VLAN
делалось это так
Все оборудование запихиваем в одну подсеть отличную от пользователей
например 192.168.44.0/24
затем через ip- hotspot- ip bindings
http://wiki.mikrotik.com/wiki/Manual:IP ... P_Bindingsзаводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации
Теперь по менеджемент Влан
Создаем профиль под пользователей с правами Админ
в хотспоте добавляем в адресс лист net_admins
Код: Выделить всё
/ip hotspot users profile print
name="admins" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
shared-users=1 address-list="net_admins" transparent-proxy=yes
open-status-page=always advertise=no
и делаем правила блокировки для Юзверей, что то вроде
Код: Выделить всё
ip fi fi pr
11 chain=forward action=drop src-address=192.168.0.0/24
dst-address=192.168.144.0/24 src-address-list=!net_admins
12 chain=forward action=drop src-address=192.168.144.0/24
dst-address=192.168.0.0/24 dst-address-list=!net_admins
то есть любой запрос из подсети хотспотеров в сторону оборудования запрешать для всех Ип кроме Ип которые net_admins
и в обратную сторону, не давать оборудованию пересылать пакеты в сторону пользователей, которые не net_admins
обратите внимание на восклицательный знак перед адрес листом, это логическое НЕ
Re: Закрытие доступа между клиентами RB750
Добавлено: 16 ноя 2012, 11:22
Wisee
iSupport писал(а):заводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации
в общем сделал все что вы написали, но все равно не пингует и на антенны не пускает.
+ я подумал не делать блокировку (пока) так как каждая антенна все равно заблочена.
или без блокировки работать не будет?
Re: Закрытие доступа между клиентами RB750
Добавлено: 16 ноя 2012, 19:47
iSupport
будет то будет, но я считаю, чтобы пользователи не лезли куда не надо
Потестируйте правила МАК-биндинг на тестовом компе
у меня сейчас нет доступа чтоб точно выложить
Re: Закрытие доступа между клиентами RB750
Добавлено: 17 ноя 2012, 10:46
Wisee
вот как я настроил для примера одну точку
в To Address писал и адрес клиентской подсетки (хх.хх.2.хх)
и вообще ничего не писал. в общем пробовал по всякому. и никакого результата
Re: Закрытие доступа между клиентами RB750
Добавлено: 17 ноя 2012, 12:42
aliant
iSupport спс тоже ломал голову почему же не заходит
Wisee все пашет смотри скрины точки такие же как и твои
Re: Закрытие доступа между клиентами RB750
Добавлено: 17 ноя 2012, 12:49
aliant
iSupport скажи еще я понимаю что я до этого не мог зайти потому что он подменил IP на To adress
для чего он эта делает ??? и как сделать чтоб он не менял ???