Как оградить сеть от гостей?

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

Суть такова: хочу всех гостей (и wifi и ethernet - гостей) ограничить друг от друга и от сети дав им только доступ в интернет по ограниченной скорости.

как это грамотнее сделать? если VLAN - но как их туда запихать?
Последний раз редактировалось lexalex83 02 окт 2017, 20:43, всего редактировалось 1 раз.


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

я конечно понимаю, что можно конечно дать им типа другую подсеть, как нибудь там нашаманив в DHCP. типа своим сделать статик адреса а кто не свой тем в другой пул. но вот как их в другой влан засунуть?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

или я что то не то спрашиваю? или во влан можно добавлять токмо физические порты? а не хосты


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

lexalex83 писал(а):Суть такова: хочу всех гостей (и и ethernet - гостей) ограничить друг от друга и от сети дав им только доступ в интернет по ограниченной скорости.

wifi роста - делается виртуальная точка , гостевой бридж, туда добавляется этот виртуальный интерфейс. делается отдельнйы ДХЦП итд.
В фиреволе запрет между сетьями.

А с ЛАН так сразу не подскажу.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

тогда значит дхцп по статике + фаервол и это бест пратис? :) или как лучше


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Эсли много точек - делается тогда на CAPsMAN с отдельним SSID, IP, DHCP для гостей и эта сеть уже отделена от рабочей средствами CAPsMAN. Как будто тунель с Wifi интерфейса точки до бриджа CAPsMAN.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

mafijs писал(а):Эсли много точек - делается тогда на CAPsMAN с отдельним SSID, IP, DHCP для гостей и эта сеть уже отделена от рабочей средствами CAPsMAN. Как будто тунель с Wifi интерфейса точки до бриджа CAPsMAN.

дык а ethernet?
переименовал тему..
а что если я "своим" буду выдавать статические ip в нужных мне подсетях, а всем остальным дхцп будет выдавать дхцп из другого пула. и этот пул фаерволом закрыть от всего чего не надо.


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Vlan на конкретный порт управляемого свитча. Иначе не отделить сети по eth (LAN).

lexalex83 писал(а):а что если я "своим" буду выдавать статические ip в нужных мне подсетях, а всем остальным дхцп будет выдавать дхцп из другого пула. и этот пул фаерволом закрыть от всего чего не надо.

Если только все на прямую в роутер подсоеденить. Иначе толку мало.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

"Все уже украдено до нас" - https://forummikrotik.ru/viewtopic.php?f=15&t=6572


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

mafijs писал(а):Vlan на конкретный порт управляемого свитча. Иначе не отделить сети по eth (LAN).

lexalex83 писал(а):а что если я "своим" буду выдавать статические ip в нужных мне подсетях, а всем остальным дхцп будет выдавать дхцп из другого пула. и этот пул фаерволом закрыть от всего чего не надо.

Если только все на прямую в роутер подсоеденить. Иначе толку мало.

это чего это?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Ответить