Приветствую!
Имеется небольшой 2х этажный офис с 2011UiAS.
До определенного момента сеть не росла, все пользователи были на виду и все легко отслеживалась.
Сейчас поставили точку доступа Wi-Fi, ну и как оно бывает, пароль начал передаваться по сарафанному радио. WiFi не микротик, а сторонний. Работает как мост и просто раздает сеть. Переводить его в режим роутера нехотят. WiFi используют так же рабочие ПК и устройства, которые в DHCP микротика сделаны статичными по MAC адресу. А вот остальные устройства надо отправить в гостевую сеть, которую я хочу сделать на микротике.
Стоит следующая задача:
На микротике запущен DHCP, рабочая сетка с адресом 192.168.86.1.
Все устройства работающие в 86.1 были ранее известны, известны их MAC и сделана привязка IP->MAC (DHCP->Leases "Make static") из диапазона в 86 сети.
Новые устройства через вайфай получают так же IP из диапазона 86.2-86.100, т.е. из рабочего диапазона.
Что я хочу реализовать: что бы все устройства с неизвестными MAC попадали в совершенно другую сеть, например, 192.168.10.0/24 не имели доступа в 192.168.86.0/24 , имели доступ только к интернету с зарезанной скоростью.
1. Есть список устройств с заранее известными MAC/IP в 86.1 (Leases -> Make static)
2. В разделе DHCP -> Networks добавил сеть Guest 192.168.10.0/24
3. В разделе Pools добавлен диапазон 10.2-10.100
4. А вот дальше не получается сделать следующее. Добавить еще один новый DHCP сервер Guest с выше указанными диапазонами (Guest) поскольку основной сервер уже работает на Bridge-Work, а Bridge-Work объединяет в себе порты микротика со 2го по 10й. Собственно в этом и загвоздка. Создавать новый BridgeGuest бессмысленно, поскольку на те же порты его не удастся присвоить.
5. Следующим этапом не знаю (только предполагаю) как сделать жесткую привязку рабочего DHCP 86.0/24 к известным mac адресам в разделе Leases, а все неизвестные MAC оправлять в гостевую сеть 10.0/24
6. С ограничением скорости гостевого диапазона, думаю проблем не должно возникнуть в разделе Queues.
7. Запрет на хождение между 86.0/24 и 10.0/24 потребует отдельного правила в Firewall.
Возможно ли реализовать данную затею?
2 DHCP и фильтр по MAC
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Даю наводку.
ДХЦП выдает адреса либо по статическим записам, либо из пула, но из пула он выдает адреса в случае если нет статической записи.
Ну а параметры сетей можно сенсколько прописать...
Тобиш в вашем случае получается если нет статической записи (одна сеть) то выдать из пула (другая сеть)
ДХЦП выдает адреса либо по статическим записам, либо из пула, но из пула он выдает адреса в случае если нет статической записи.
Ну а параметры сетей можно сенсколько прописать...
Тобиш в вашем случае получается если нет статической записи (одна сеть) то выдать из пула (другая сеть)
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 10
- Зарегистрирован: 07 мар 2018, 09:22
Вы меня поняли верно. Как на практике реализовать и каким способом. Вот в чем вопрос. Firewall или же все таки 2й ДХЦП? Судя по вашей наводке Вы клоните в сторону Firewall?
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
- Сообщения: 10
- Зарегистрирован: 07 мар 2018, 09:22
-
- Сообщения: 10
- Зарегистрирован: 07 мар 2018, 09:22
Опять же сейчас читаю читаю про скрипты. Нечто похожее реализуется скриптами, хотя там стоят другие задачи, на подобии автоинформирования о подключении.
Так все же реализовать
Так все же реализовать
Каким способом реализовывать ? Скриптами, правилами FireWall или же средствами dchp. Опыт работы с RouterOS не большой, так что прошу помощи.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
/ip address
add address=192.169.0.1/24 interface=bridge1
add address=192.200.0.1/24 interface=bridge1
/ip pool
add name=Home_lan ranges=192.169.0.10-192.169.0.254
/ip dhcp-server network
add address=192.169.0.0/24 dns-server=192.169.0.1 gateway=192.169.0.1
add address=192.200.0.0/24 dns-server=192.169.0.1 gateway=192.200.0.1
/ip dhcp-server
add address-pool=Home_lan authoritative=after-2sec-delay bootp-support=dynamic \
disabled=no interface=bridge1 lease-time=3d name=User_Home
/ip dhcp-server lease
add address=192.200.0.16 mac-address=2C:D0:5A:68:C2:05
add address=192.169.0.1/24 interface=bridge1
add address=192.200.0.1/24 interface=bridge1
/ip pool
add name=Home_lan ranges=192.169.0.10-192.169.0.254
/ip dhcp-server network
add address=192.169.0.0/24 dns-server=192.169.0.1 gateway=192.169.0.1
add address=192.200.0.0/24 dns-server=192.169.0.1 gateway=192.200.0.1
/ip dhcp-server
add address-pool=Home_lan authoritative=after-2sec-delay bootp-support=dynamic \
disabled=no interface=bridge1 lease-time=3d name=User_Home
/ip dhcp-server lease
add address=192.200.0.16 mac-address=2C:D0:5A:68:C2:05
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 10
- Зарегистрирован: 07 мар 2018, 09:22
Благодарю за ответ. Все эти настройки были сделаны кроме последней записи. Поскольку заранее MAC устройства (неизвестного) не в списке MAC+IP заранее неизвестен. Есть список известных устройств dhcp-server lease. Здесь вопросов нет, а вот при подключении неизвестных устройств, как их отправлять в ту самую сеть 192.200.0.0/24. Вот с этим я и не могу решить вопрос.
-
- Сообщения: 10
- Зарегистрирован: 07 мар 2018, 09:22
Просится запись
/ip dhcp-server lease
add address=192.200.0.0/24 mac-address=00:00:00:00:00:00
Но такую запись создать нельзя. Т.е. для любого неизвестного MAC (00:00:00:00:00:00) присвоить диапазон 192.200.0.0/24
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
До чего же народ ленивый то пошел.
Я вам дал готовый конфиг по которому неизвестные устройства получают адрес из сети 192.169.0.0/24, а известные получают заранее определенные из 192.200.0.0
Я вам дал готовый конфиг по которому неизвестные устройства получают адрес из сети 192.169.0.0/24, а известные получают заранее определенные из 192.200.0.0
Есть интересная задача и бюджет? http://mikrotik.site