Как настроить Mikrotik шлюзом в инет и локальную сеть

Обсуждение ПО и его настройки
Ответить
Usermen
Сообщения: 2
Зарегистрирован: 25 фев 2013, 12:06

Есть:
- доменная локальная сеть в которой есть интернет через прокси с авторизацией и фильтрацией
- есть еще один внешний интернет IP адрес от провайдера (доп. канал.)
- есть wifi сеть построенная на Ubiquiti UniFi AP с софтовым контроллером в локальной доменной сети
Надо сделать так что бы клиенты, основной Wifi сети получали доступ к интернету через дополнительный интернет канал (без какой либо фильтрации и авторизации) а так же полный доступ к ресурсам локальной доменной сети и самое главное что бы корректно работали ни только сетевые шары но и была возможность подключить принтеры через Wifi сеть. Для гостевой wifi сети был бы доступен только интернет без доступа в локальную сеть. Гостевую wifi сеть можно настроить по средствам софтового контроллера Ubiquiti.
Подскажите основные моменты как настроить Mikrotik routerbord 750UP 5,24
для работы в такой конфигурации.


kainsan
Сообщения: 15
Зарегистрирован: 19 фев 2013, 05:00

А можно уточнить как устроена ваша доменная сеть через проксик) кто является прокси сервером и от куда этот прокси сервер берет интернет? Сам микротик? а кто контролер домена?
все интернеты воткнуты в микротик?
я вообще не очень силен во всем этом, но если точка доступа поддерживает виртальные точки доступа и одновременно может быть подключена в режиме сетевого моста к микротику, тогда в чем проблема.
микротик раздает ip в локальную сеть и в беспроводную, все друг друга видят. микротике создается правило с маскарадингом, я не уверен но там же можно указать с какого интерфейса идут пакеты и на какой их бросать дальше. srcnat входящий например 5 порт на например 2, action: masquerade
а в свою гостевую сеть сами раздавайте со своей виртуальной точки ипы(из другой подсети), шлюзом микротик поставите. ну если вдруг они будут видеть локалку, с помощью фаервола в МК вырубите доступ.
Возможно можно как то на Vlan'ах сделать, но я не сталкивался.
Наверное ими надежнее, вдруг кто себе ип из локальной подсети хапнет. а я не представляю как ваша АП вообще работает(


Usermen
Сообщения: 2
Зарегистрирован: 25 фев 2013, 12:06

Микротик пока вообще не при делах.
Прокси Kerio, основной маршрутизатор Cisco 2800, провайдерский коммутатор от него и подключен интернет Cisco catalyst модель не помню.
Интернет подключен в Cisco 2800, заним доступом рулит kerio. Провайдер выделил еще один IP адрес и порт на своем Cisco catalyst (доп. канал.). Вот этот доп. канал. интернет я и хочу использовать для доступа wifi сети в интернет.
На микротике должно быть
- один WAN это доп. канал интернет с белым IP от провайдера;
- второй WAN это локальная доменная сеть;
- LAN (ip адресация отличная от доменной локальной сети);
Две wifi сети
- первая рабочая имеющая доступ к ресурсам локальной доменной сети
- вторая гостевая в которой нет ничего кроме интернета (это успешно настраивается по средствам софтого контроллера Ubiquiti)
Как это сделать на микротики?


kainsan
Сообщения: 15
Зарегистрирован: 19 фев 2013, 05:00

Usermen писал(а):- LAN (ip адресация отличная от доменной локальной сети);

должны ли эти 2 подсети видеть друг друга? ты просто писал про принтеры по файфаю..
сделать чтобы они пинговались и принтеры работали можно, но в сетевом окружении видеть не будут. я могу ошибаться но надо чтобы в обоих сетях были мастер браузеры и один сервер который бы получал с них инфу..вот только поидее он и должен всех сводить..лучше с этим даже не парится.


kainsan
Сообщения: 15
Зарегистрирован: 19 фев 2013, 05:00

kainsan писал(а):
Usermen писал(а):- LAN (ip адресация отличная от доменной локальной сети);

должны ли эти 2 подсети видеть друг друга? ты просто писал про принтеры по файфаю..
сделать чтобы они пинговались и принтеры работали можно, но в сетевом окружении видеть не будут. я могу ошибаться но надо чтобы в обоих сетях были мастер браузеры и один сервер который бы получал с них инфу..вот только поидее он и должен всех сводить..лучше с этим даже не парится.

я так же думаю что решается все маскарадингом. почему кстати в керио не через нат инет раздаешь, непонятно. одинаково приятно ведется статистика.
Наверное дополнительный маршрут только в керио прописать придется. ну и не красиво будет наверное когда у твоего большого сервера будут спрашивать как попасть из первой во вторую под сеть, а он будет на МТ кивать. и так же с микротиком.
не проще ли все в сервер с керио еще 2 сетевухи воткнуть?
мне потренероваться не с чем чтобы подсказать 100% правильный вариант.


Ответить