[Рассуждение] WiFi и несколько подсетей

Обсуждение ПО и его настройки
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Всем привет.
В связи с большим кол-ве не моих устройств на моей WiFi сети я стал думать как оградить неизвестные устройства (а в идеале не только по воздуху но и по кабелю) в отдельную подсеть, что-бы во первых резать скорость в мир, а во вторых не давать доступ к локальным ресурсам ну и вообще в целях безопасности :-):

WiFi по сути это L1 уровень с замашками L2, но к L3 никакого отношения он не имеет, следовательно на одном WLAN интерфейсе может быть неограниченное кол-во подсетей.
В итоге я стал думать, - а как мне заставить DHCP сервер сначала пытаться найти статические записи для устройства, а затем выдавать динамически, но из другой подсети. Логически нужно на интерфейс повесить два DHCP сервера, первый будет выдавать только статические записи, а второй только динамические, и с первым вроде всё понятно, но вот как построить цепочку запросов по DHCP серверам я не понял, и не понял можно-ли такое вообще сделать...
В настройках DHCP Server есть два, не очень понятных для меня параметр: 'authoritative' и 'relay'. Подозреваю, что именно с ними и можно такое реализовать, но описание на вики не прояснили ситуацию.

Хочу услышать Ваши думки по этому вопросу.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Увы, два DHCP это будут проблемы. И в целом стратегия/направление не совсем верно.

Надо "делить" на своих и не на своих до. Да и как Вы сказали, WiFi это уровень 1-2,
поэтому до DHCP (который работает с адресацией) тут нам далеко.

Вариант как мне кажется тот, что давно придуман, и используют провайдеры давно,
и заключается в том, чтобы делать по крайне мере два ВИЛАНа, в один своих пускать, в другой чужих.
И соответственно, с виланами проще будет их "пропускать", то есть где нужно, вилан туда запустили,
и всё, все ваши сети уже там. А вот уже каждый вилан можно посадить/затерминировать
на свой DHCP и мешать они уже не будут. НО два DHCP в одном физическом сегменте - это не правильно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Хмм.. ничего не понял :-):
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Dragon_Knight писал(а):Хмм.. ничего не понял :-):
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?

Может и я не так понял условия задачи.

Я понял так, что есть сеть на базе точек, в них бегает трафик как свой, так и чужой трафик.
Поэтому отталкиваясь от этого, я и предположил/посоветовал что в сети надо гонять трафик
уже не просто в куче, а с разделением, то есть, на одном место два телефона засовываем
в два разных вилана, уже эти виланы засовываем на один интерфейс и в точку(и)
и на другой стороне(на других сторонах) также.
Так делают провайдеры, внутри своей сети гоняют трафики разных организаций, банков и гос-контор.
Дома гостевая SSID тоже сделана отдельным виланом и трафик гостевой сети невидим для основной и наоборот.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Судя по тому, чем озадачился Дракон и по тому волшебному словосочетанию которое еще не назвал Влад, тут не хватает словосочетания - Virtual AP, именно про нее рассказывает Влад, но почему-то не упоминает прямым текстом)))
А уже после поднятия виртуального ссида делим и фасуем все как надо)


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

эмм.. слюшяй дарагой зачэм два DHCP??

пусть один и единственный выдает статику, которую ты забил заранее руками в соответсвии с маками. и создал статические же записи ARP (для паранои)
а кому не хватило статики тем выдавать из пула. а пул будет в другой подсети, в какой хош


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

еще предлагаю вариант. это что пришло в голову:
в аксцесс листе (капсмана ну или просто вайфай если там без каппсмана) можно прописать всех вайфайщиков по маку. и там же распихать их по вланам. а уже в разных вланах разные дхцп. ура? или не?
и виртуальный ссид не нужон.
и что то я не понял, если дхцп на разных вланах сидят - то почему это они в одном сегменте сети? они ж друг друга не увидят
 офтоп
вот с WiFi все вроде понятно - там можно как говорится "до" пихать абонентов в тот или иной влан. а как быть с медью? :


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Vlad-2, нее, в том и суть, что нужно разделить именно конечных клиентов, так сказал по этническому признаку :-):
KARaS'b, да, но банально включение vAP порежет максимально возможную скорость сети раза в 3-4, что не есть хорошо. Так что вариант отпадает.
lexalex83, интересное предложение, - нужно попробовать. Мне бы сначала беспроводных клиентов разбросать :-):


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Dragon_Knight писал(а):Vlad-2, нее, в том и суть, что нужно разделить именно конечных клиентов, так сказал по этническому признаку :-):

Ну тогда я могу сказать, что для понимания - мало информации.
Я отталкивался от Вашего первого сообщения, там было про логику, про разделение и так далее.
Думаю не зря виланы используют наверно лет 15-20 точно. Без них не было возможным, в рамках
одной физики передавать разные трафики/сервисы. Хочу ещё раз сделать акцент - вилан это
Л2-уровень, до всяких IP и тем более DHCP, и это разделение является классически-правильным.
Виланы можно направлять/принимать куда и как удобно, они не мешают, ими удобно именно разделять сети.

Пару примеров:

WiFi точка (одна и единственная). Трафик обычной сети идёт как обычная сеть (нетегированный), трафик
гостевой точки сделан тегированный, и прямо тегом идёт до основного роутера, где уже обрабатывается.
Трафик-гостевой точки изолирован.
Изображение

LTE-роутер, тут тоже самое, трафик обычной сети (локальный) на роутер (пока только для управления) идёт обычным образом,
трафик-интернет полученный с ЛТЕ-роутера тегируется и также в тегированном виде пропускается до роутера основного.
Интернет-трафиг изолирован.
Изображение

KARaS'b писал(а):Судя по тому, чем озадачился Дракон и по тому волшебному словосочетанию которое еще не назвал Влад, тут не хватает словосочетания - Virtual AP, именно про нее рассказывает Влад, но почему-то не упоминает прямым текстом)))
А уже после поднятия виртуального ссида делим и фасуем все как надо)

Я уже с большой осторожностью боюсь что-то явно называть/советовать. Да и всё же Дракон как-то слегка размыто озвучил свою просьбу и начал с основ сетевых технологий,
поэтому я в рамках сетевых технологий и озвучил своё предложение. Что касается ВиртуалАП - это уже как частное решение, может и имеет и надо его использовать..

Ещё идеи!
Ну а если всё же делить на своих/чужих в рамках L3-уровня, и на базе DHCP, то да, как уже частично озвучивали, можно взять сеть, сразу классом /23,
а её условно (в голове) поделить на две по /24, одна своя (привязку делать) и другая - чужая....
А ещё можно взять пул, его уменьшить, чтобы он давал адресацию с какой то части, а остальная адресация - для ручной установки адресов.
Тогда по-умолчанию, узлы будут в определённом сегменте и никуда не вылезут, а то что руками будет добавлено и настроено с нужными адресами - будет тоже
там и где надо.
Вариантов и под-вариантов масса, но в общем - путей решений не так уж много.
:mi_ga_et:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Dragon_Knight,
у микторика DHCP сервер очень странный, но этот как раз под вашу ситуацию прекрасно подходит.
Он динамику раздает из пула, а статику можно прописывать вообще любую, к пулу отношения не имеющую.
Поэтому DHCP сервер вам нужен 1, пул пишите для чужих ресурсов, а статику для своих прописываете их другой подсети (вне пула).
И все работает.

Если это "корробит" опасением возможного исправления в следующих патчах, тогда "свои" адреса в "адрес_лист", а этот "адрес _лист" в исключения в запрещающих правилах Firewall.


Ответить