CapsMan + 2 WiFi

Обсуждение ПО и его настройки
Xiloid
Сообщения: 17
Зарегистрирован: 12 май 2017, 14:54

Привет ребята, запутался. Помогите распутаться :)
Изначальная задача - сделать Wi-Fi сеть с контроллером (capsman) - решено.
Доп задача - сделать дополнительную (виртуальную) сеть гостевого Wi-Fi - решено частично.

В качестве контроллера - CRS125-24G-1S-2HnD-IN (6.41), пустой совершенно, только 8 портов объединены в бридж куда втыкаются точки и входящий инет предприятия. Добавил гостевую сеть, назначит ей новый бридж в нем свой DHCP с другой адресацией, запретил видеть сети друг друга. Cisco предприятия раздает сеть 172.20.*.*, гостевой пул раздает 192.168.*.*. Не могу сообразить как пустить гостевую сеть просто в инет? Спасибо.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Почему точки в один бридж с входящим инетом включаются? По хорошему точки должны включаться в тот бридж где локалка.

И кто роутер то? Свитч или циска таки?

По идее - нужно просто выдать гейтвей в гостевой сети


Xiloid
Сообщения: 17
Зарегистрирован: 12 май 2017, 14:54

enzain писал(а):Почему точки в один бридж с входящим инетом включаются? По хорошему точки должны включаться в тот бридж где локалка.

И кто роутер то? Свитч или циска таки?

По идее - нужно просто выдать гейтвей в гостевой сети

Спасибо за отклик! Это не входящий инет, это локальная сеть с уже работающим DHCP на циске, которая раздает всем юзерам адреса 172. Моя задача элементарно добавить в эту сеть Вай-Фай, которая бы тоже раздавала "172" с чем я, по моему, справился. Далее захотелось усложнить задачу и добавить "гостевку", пользователи которой бы не видели "172" сеть, а просто бы имели инет. Я думаю я тут более точно смог объяснить, ибо в первом посте как-то сумбурно :)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Никак не понял.
1. Сеть предприятия 172.20.*.*
2. Гостевой пул раздает 192.168.*.*
3. Для гостевой сети - от какой сети получается интернет? От 172.20.*.* ? Тогда запретить видеть сетям друг друга - интересное решение. А маскарадить гостевую сеть от сети предприятия не правильнее?
Вы лучше схемку нарисуйте и конфиг дайте. Да обозначьте, на каких портах у вас что...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Xiloid писал(а):
enzain писал(а):Почему точки в один бридж с входящим инетом включаются? По хорошему точки должны включаться в тот бридж где локалка.

И кто роутер то? Свитч или циска таки?

По идее - нужно просто выдать гейтвей в гостевой сети

Спасибо за отклик! Это не входящий инет, это локальная сеть с уже работающим DHCP на циске, которая раздает всем юзерам адреса 172. Моя задача элементарно добавить в эту сеть Вай-Фай, которая бы тоже раздавала "172" с чем я, по моему, справился. Далее захотелось усложнить задачу и добавить "гостевку", пользователи которой бы не видели "172" сеть, а просто бы имели инет. Я думаю я тут более точно смог объяснить, ибо в первом посте как-то сумбурно :)


Да, в первом не понятно

Если я правильно понял - то нужно обернуть просто гостевую сеть в VLAN и отдать ее на циску, с которой уже раздать интернет (запретив роутинг в рабочую сеть предприятия)

Это можно сделать просто свитч чипом, как я понимаю - изолировав гостевую сеть от микротика вообще, в принципе (от процессора)

Конфиг текущий микротика выложите?


Xiloid
Сообщения: 17
Зарегистрирован: 12 май 2017, 14:54

podarok66 писал(а):Никак не понял.
1. Сеть предприятия 172.20.*.*
2. Гостевой пул раздает 192.168.*.*
3. Для гостевой сети - от какой сети получается интернет? От 172.20.*.* ? Тогда запретить видеть сетям друг друга - интересное решение. А маскарадить гостевую сеть от сети предприятия не правильнее?
Вы лучше схемку нарисуйте и конфиг дайте. Да обозначьте, на каких портах у вас что...

Спасибо за отклик! Все очень просто, я сложно объясняю просто :)
 Вот схемка
Изображение

Вы все правильно поняли! "192" нужна только лишь для того, что бы в нее пускать гостей, нельзя гостям в 172-ую. Вот как замаскарадить её правильно от 172 сети? В IP - Route - Rule запретил обеим сетям видеть друг друга, осталось просто дать 192-ой сети только интернет из 172-ой.

enzain, Добавил схемку, посмотрите. Точки доступа по одному SSID раздают 172, по другому 192, это все работает, осталось маскарад как то для 192 сделать, инета в ней нету..
Последний раз редактировалось Xiloid 01 фев 2018, 20:47, всего редактировалось 2 раза.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Xiloid писал(а):
podarok66 писал(а):Никак не понял.
1. Сеть предприятия 172.20.*.*
2. Гостевой пул раздает 192.168.*.*
3. Для гостевой сети - от какой сети получается интернет? От 172.20.*.* ? Тогда запретить видеть сетям друг друга - интересное решение. А маскарадить гостевую сеть от сети предприятия не правильнее?
Вы лучше схемку нарисуйте и конфиг дайте. Да обозначьте, на каких портах у вас что...

Спасибо за отклик! Все очень просто, я сложно объясняю просто :)
Накидал схемку, Вы все правильно поняли! "192" нужна только лишь для того, что бы в нее пускать гостей, нельзя гостям в 172-ую. Вот как замаскарадить её правильно от 172 сети? В IP - Route - Rule запретил обеим сетям видеть друг друга, осталось просто дать 192-ой сети только интернет из 172-ой.


Стоп, интернет раздавать будет не циска а сам свитч? ...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну не знаю, как-то вы всё усложнили. Смотрите. У вас на Тике все порты в бридже. На этот бридж вешаем dhcp-client ( или назначаем адрес, тут я не знаю, каким образом устройства в корпоративной сети получают адреса). Создаем второй бридж и суём в него виртуальную ТД. Дальше второму бриджу присваиваем адрес из 192.168.*.* (например 192.168.*.1/24) . Назначаем пул 192.168.*.*/24 Вешаем на второй бридж dhcp-server ( с дефолтными роутами, и не надо ничего руками прописывать пока) с этим пулом и прописываем сеть Network. В фаерволе в нат маскарадим гостевую сеть, учитывая, что первый бридж - это out interface для этого правила. Должен появиться интернет в сети 192.168.*.* Вот теперь в фильтрах фаервола запрещайте гостевой сети лезть в корпоративную, исключив адрес шлюза. Как-то так приблизительно.
Практически это настройка обычного соединения, только в качестве входящего интерфейса выступает первый бридж


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Xiloid
Сообщения: 17
Зарегистрирован: 12 май 2017, 14:54

Спасибо за ответ podarok66!

На картинке я указал, что раздает адреса Роутер Циска, в которую включен провайдер. Что бы облегчить понимание моей топологии, представьте что у вас дома стоит задача покрыть квартиру ВайФаем, вы втыкаете в LAN порты своего микротика точки доступа CAP, а сами LAN-ы у вас наверняка в бридже. Т.е. все пользователи подключающиеся к вам по ВиФи будут получать ваши 192.168, а мои в офисе получают по такому же принципу 172.20.
А зачем dhcp-client? Вы имеете ввиду что бы через dhcp-client ждать интернет на определенном порту? Просто в той настройке что сейчас, на микротике ВООБЩЕ нет никаких настроек, кроме bridge-local, т.е. он работает как тупой свитч и воткнув в любой порт 172-ю сеть, я имею на любом другом порту тоже 172-ю сеть. Во всех статьях по настройке CapsMan этого вполне достаточно, т.к. точки доступа общаются с контроллером по MAC-адресам и у них адреса 0.0.0.0.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

podarok66 писал(а):Ну не знаю, как-то вы всё усложнили.


Вы как раз таки все упрощаете ... заставлять свитч - роутить, ну не знаю ... Все таки это свитч .. а у человека есть роутер, циска .. вот как бы пусть вложенные деньги и отрабатывает ....
А ваше предложение - больше "для галочки" ....


Ответить