Дано:
Mikrotik Routerboard 450G
Точка доступа Ubiquiti UniFi (умеет MultiSSID и понимает VLAN)
Интернет от провайдера по витой паре
Задача:
Организовать локальную сеть и доступ в интернет для сотрудников (с портов роутера и через WiFi) и гостей (через WiFi) так, чтобы гости, конечно, не имели локального доступа к основной сети.
Мысли:
Полагаю, нужно реализовать две VLAN 192.168.88... (основная) и, скажем, 10.0.0.... (гостевая), поднять 2 DHCP сервера, выпустить обе подсети в интернет, по-возможности порезать скорость гостям и ограничить по времени их сессии (но это, вроде, красиво реализуется именно на точке доступа)...
Решение:
...нужна помощь.
на 1-м порту роутера интернет от провайдера (работает)
для портов 3, 4, и 5 мастером указан порт 2
точка доступа включена в порт 5
так всё работает.
создаю две VLAN
создаю второй пул (10.0.0...)
поднимаю второй DHCP
не работает Адреса выдаются на 169...
Настройка VLAN. Казалось бы всё просто, но нужна помощь.
- innarecords
- Сообщения: 15
- Зарегистрирован: 29 май 2011, 10:29
[RouterBOARD RB493G + R2n]
-
- Модератор
- Сообщения: 3305
- Зарегистрирован: 01 окт 2012, 14:48
Ну без конфига - это все разговоры в пустую.
Совет - добейтесь сначала работы двух подсетей без всяких VLAN.
Если честно, то в вашей ситауции VLAN не сильно-то и нужен.
Заблокировать доступ одной сети в другую очень просто при помощи двух правил в фаерволле. И никаких заморочек с VLAN.
У ROS с VLAN все не так очевидно, как у обычного свича.
Интефейсы VLAN и физические интерфейсы нужно объединять в бриджы.
Если действительно хочется с VALN сделать начните читать здесь http://wiki.mikrotik.com/wiki/Руководства:Интерфейс/VLAN
и здесь
http://www.lanmart.ru/blogs/how-to-become-isp-3
Совет - добейтесь сначала работы двух подсетей без всяких VLAN.
Если честно, то в вашей ситауции VLAN не сильно-то и нужен.
Заблокировать доступ одной сети в другую очень просто при помощи двух правил в фаерволле. И никаких заморочек с VLAN.
У ROS с VLAN все не так очевидно, как у обычного свича.
Интефейсы VLAN и физические интерфейсы нужно объединять в бриджы.
Если действительно хочется с VALN сделать начните читать здесь http://wiki.mikrotik.com/wiki/Руководства:Интерфейс/VLAN
и здесь
http://www.lanmart.ru/blogs/how-to-become-isp-3
- innarecords
- Сообщения: 15
- Зарегистрирован: 29 май 2011, 10:29
Большое спасибо за советы, я пока читаю. Но у меня вопрос - обойтись вообще без VLAN я "за", но разделить пользователей на подсети - Вы имеете ввиду как-то с помощью масок? То есть, например, 192.168.88.1 - 129.168.88.100 это сотрудники, а 192.168.88.101 - 192.168.88.255 - это гости, так? И потом прописать правила в фаервол?
[RouterBOARD RB493G + R2n]
-
- Модератор
- Сообщения: 3305
- Зарегистрирован: 01 окт 2012, 14:48
Именно так!
И это самый простой и проверенный способ.
И это самый простой и проверенный способ.