Всем привет.
В связи с большим кол-ве не моих устройств на моей WiFi сети я стал думать как оградить неизвестные устройства (а в идеале не только по воздуху но и по кабелю) в отдельную подсеть, что-бы во первых резать скорость в мир, а во вторых не давать доступ к локальным ресурсам ну и вообще в целях безопасности
WiFi по сути это L1 уровень с замашками L2, но к L3 никакого отношения он не имеет, следовательно на одном WLAN интерфейсе может быть неограниченное кол-во подсетей.
В итоге я стал думать, - а как мне заставить DHCP сервер сначала пытаться найти статические записи для устройства, а затем выдавать динамически, но из другой подсети. Логически нужно на интерфейс повесить два DHCP сервера, первый будет выдавать только статические записи, а второй только динамические, и с первым вроде всё понятно, но вот как построить цепочку запросов по DHCP серверам я не понял, и не понял можно-ли такое вообще сделать...
В настройках DHCP Server есть два, не очень понятных для меня параметр: 'authoritative' и 'relay'. Подозреваю, что именно с ними и можно такое реализовать, но описание на вики не прояснили ситуацию.
Хочу услышать Ваши думки по этому вопросу.
[Рассуждение] WiFi и несколько подсетей
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Увы, два DHCP это будут проблемы. И в целом стратегия/направление не совсем верно.
Надо "делить" на своих и не на своих до. Да и как Вы сказали, WiFi это уровень 1-2,
поэтому до DHCP (который работает с адресацией) тут нам далеко.
Вариант как мне кажется тот, что давно придуман, и используют провайдеры давно,
и заключается в том, чтобы делать по крайне мере два ВИЛАНа, в один своих пускать, в другой чужих.
И соответственно, с виланами проще будет их "пропускать", то есть где нужно, вилан туда запустили,
и всё, все ваши сети уже там. А вот уже каждый вилан можно посадить/затерминировать
на свой DHCP и мешать они уже не будут. НО два DHCP в одном физическом сегменте - это не правильно.
Надо "делить" на своих и не на своих до. Да и как Вы сказали, WiFi это уровень 1-2,
поэтому до DHCP (который работает с адресацией) тут нам далеко.
Вариант как мне кажется тот, что давно придуман, и используют провайдеры давно,
и заключается в том, чтобы делать по крайне мере два ВИЛАНа, в один своих пускать, в другой чужих.
И соответственно, с виланами проще будет их "пропускать", то есть где нужно, вилан туда запустили,
и всё, все ваши сети уже там. А вот уже каждый вилан можно посадить/затерминировать
на свой DHCP и мешать они уже не будут. НО два DHCP в одном физическом сегменте - это не правильно.
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Хмм.. ничего не понял
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Dragon_Knight писал(а):Хмм.. ничего не понял
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?
Может и я не так понял условия задачи.
Я понял так, что есть сеть на базе точек, в них бегает трафик как свой, так и чужой трафик.
Поэтому отталкиваясь от этого, я и предположил/посоветовал что в сети надо гонять трафик
уже не просто в куче, а с разделением, то есть, на одном место два телефона засовываем
в два разных вилана, уже эти виланы засовываем на один интерфейс и в точку(и)
и на другой стороне(на других сторонах) также.
Так делают провайдеры, внутри своей сети гоняют трафики разных организаций, банков и гос-контор.
Дома гостевая SSID тоже сделана отдельным виланом и трафик гостевой сети невидим для основной и наоборот.
-
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Судя по тому, чем озадачился Дракон и по тому волшебному словосочетанию которое еще не назвал Влад, тут не хватает словосочетания - Virtual AP, именно про нее рассказывает Влад, но почему-то не упоминает прямым текстом)))
А уже после поднятия виртуального ссида делим и фасуем все как надо)
А уже после поднятия виртуального ссида делим и фасуем все как надо)
- lexalex83
- Сообщения: 65
- Зарегистрирован: 29 апр 2017, 12:18
эмм.. слюшяй дарагой зачэм два DHCP??
пусть один и единственный выдает статику, которую ты забил заранее руками в соответсвии с маками. и создал статические же записи ARP (для паранои)
а кому не хватило статики тем выдавать из пула. а пул будет в другой подсети, в какой хош
пусть один и единственный выдает статику, которую ты забил заранее руками в соответсвии с маками. и создал статические же записи ARP (для паранои)
а кому не хватило статики тем выдавать из пула. а пул будет в другой подсети, в какой хош
на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
- lexalex83
- Сообщения: 65
- Зарегистрирован: 29 апр 2017, 12:18
еще предлагаю вариант. это что пришло в голову:
в аксцесс листе (капсмана ну или просто вайфай если там без каппсмана) можно прописать всех вайфайщиков по маку. и там же распихать их по вланам. а уже в разных вланах разные дхцп. ура? или не?
и виртуальный ссид не нужон.
и что то я не понял, если дхцп на разных вланах сидят - то почему это они в одном сегменте сети? они ж друг друга не увидят
в аксцесс листе (капсмана ну или просто вайфай если там без каппсмана) можно прописать всех вайфайщиков по маку. и там же распихать их по вланам. а уже в разных вланах разные дхцп. ура? или не?
и виртуальный ссид не нужон.
и что то я не понял, если дхцп на разных вланах сидят - то почему это они в одном сегменте сети? они ж друг друга не увидят
на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD
дома: hap-mini :)
MTCNA
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Vlad-2, нее, в том и суть, что нужно разделить именно конечных клиентов, так сказал по этническому признаку
KARaS'b, да, но банально включение vAP порежет максимально возможную скорость сети раза в 3-4, что не есть хорошо. Так что вариант отпадает.
lexalex83, интересное предложение, - нужно попробовать. Мне бы сначала беспроводных клиентов разбросать
KARaS'b, да, но банально включение vAP порежет максимально возможную скорость сети раза в 3-4, что не есть хорошо. Так что вариант отпадает.
lexalex83, интересное предложение, - нужно попробовать. Мне бы сначала беспроводных клиентов разбросать
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Dragon_Knight писал(а):Vlad-2, нее, в том и суть, что нужно разделить именно конечных клиентов, так сказал по этническому признаку
Ну тогда я могу сказать, что для понимания - мало информации.
Я отталкивался от Вашего первого сообщения, там было про логику, про разделение и так далее.
Думаю не зря виланы используют наверно лет 15-20 точно. Без них не было возможным, в рамках
одной физики передавать разные трафики/сервисы. Хочу ещё раз сделать акцент - вилан это
Л2-уровень, до всяких IP и тем более DHCP, и это разделение является классически-правильным.
Виланы можно направлять/принимать куда и как удобно, они не мешают, ими удобно именно разделять сети.
Пару примеров:
WiFi точка (одна и единственная). Трафик обычной сети идёт как обычная сеть (нетегированный), трафик
гостевой точки сделан тегированный, и прямо тегом идёт до основного роутера, где уже обрабатывается.
Трафик-гостевой точки изолирован.
LTE-роутер, тут тоже самое, трафик обычной сети (локальный) на роутер (пока только для управления) идёт обычным образом,
трафик-интернет полученный с ЛТЕ-роутера тегируется и также в тегированном виде пропускается до роутера основного.
Интернет-трафиг изолирован.
KARaS'b писал(а):Судя по тому, чем озадачился Дракон и по тому волшебному словосочетанию которое еще не назвал Влад, тут не хватает словосочетания - Virtual AP, именно про нее рассказывает Влад, но почему-то не упоминает прямым текстом)))
А уже после поднятия виртуального ссида делим и фасуем все как надо)
Я уже с большой осторожностью боюсь что-то явно называть/советовать. Да и всё же Дракон как-то слегка размыто озвучил свою просьбу и начал с основ сетевых технологий,
поэтому я в рамках сетевых технологий и озвучил своё предложение. Что касается ВиртуалАП - это уже как частное решение, может и имеет и надо его использовать..
Ещё идеи!
Ну а если всё же делить на своих/чужих в рамках L3-уровня, и на базе DHCP, то да, как уже частично озвучивали, можно взять сеть, сразу классом /23,
а её условно (в голове) поделить на две по /24, одна своя (привязку делать) и другая - чужая....
А ещё можно взять пул, его уменьшить, чтобы он давал адресацию с какой то части, а остальная адресация - для ручной установки адресов.
Тогда по-умолчанию, узлы будут в определённом сегменте и никуда не вылезут, а то что руками будет добавлено и настроено с нужными адресами - будет тоже
там и где надо.
Вариантов и под-вариантов масса, но в общем - путей решений не так уж много.
-
- Сообщения: 1768
- Зарегистрирован: 09 июл 2014, 12:33
Dragon_Knight,
у микторика DHCP сервер очень странный, но этот как раз под вашу ситуацию прекрасно подходит.
Он динамику раздает из пула, а статику можно прописывать вообще любую, к пулу отношения не имеющую.
Поэтому DHCP сервер вам нужен 1, пул пишите для чужих ресурсов, а статику для своих прописываете их другой подсети (вне пула).
И все работает.
Если это "корробит" опасением возможного исправления в следующих патчах, тогда "свои" адреса в "адрес_лист", а этот "адрес _лист" в исключения в запрещающих правилах Firewall.
у микторика DHCP сервер очень странный, но этот как раз под вашу ситуацию прекрасно подходит.
Он динамику раздает из пула, а статику можно прописывать вообще любую, к пулу отношения не имеющую.
Поэтому DHCP сервер вам нужен 1, пул пишите для чужих ресурсов, а статику для своих прописываете их другой подсети (вне пула).
И все работает.
Если это "корробит" опасением возможного исправления в следующих патчах, тогда "свои" адреса в "адрес_лист", а этот "адрес _лист" в исключения в запрещающих правилах Firewall.