Гостевая сеть WiFi.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

Всем добрый.
Имеется сеть с капами и cAPs маном.
Две сети Wi-Fi. Гостевая, настроена на доступ только в интернет и рабочая.
Фильтрацию по MAC не делали, VLAN нет. Access List'aми не пользуемся (но видимо скоро придется освоить ).
Задача такая, настроить Wi-Fi так, что бы всех посторонних, которые стучаться на рабочий Wi-Fi пускать только после того, например, как они будут одобрены администратором (даже если знают пароль от сети).
Если это личное устройство, то разрешить подключение ТОЛЬКО к гостевой сети.
ps. Radius не используем тоже, так как нет смысла (не сильно большая сеть).

На данный момент пробовал ACL то есть копировал клиента в AL и выбирал в Action - Reject.
Но проблема в том, что при такой "настройке" у нас пользователь (понятно) и к гостевой не подцепиться.
Подскажите, подтолкните.. как можно реализовать такой момент?

ps (еще раз) Сменить пароль от рабочей сети... Вобщем-то проблемно, потому, что они берут свой корпоративный телефон (которому разрешено в рабочую сеть) и через qr-коды шарят на свои личные!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Делаете в ACL правила, которые при подключении известных маков будут пихать их один (основной) vlan, для всех остальных маков правило, которое будет пихать их в гостевой.

Соответственно SSID одна, но в зависимости от того, кто подключается, доступ будет либо полный, либо гостевой.


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 21 июл 2021, 17:31 Делаете в ACL правила, которые при подключении известных маков будут пихать их один (основной) vlan, для всех остальных маков правило, которое будет пихать их в гостевой.
1) То есть без VLAN не обойтись? (мы сейчас не используем VLAN)
И еще, на счет маков, как быть с устройствами, аля - IPhone? У которых генерится рандомный мак при подключении?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

1nc0gn1t0man писал(а): 21 июл 2021, 17:36 1) То есть без VLAN не обойтись? (мы сейчас не используем VLAN)
Можно и обойтись - оставить две SSID, к одной разрешить подключаться всем, к другой только известным макам.
1nc0gn1t0man писал(а): 21 июл 2021, 17:36 И еще, на счет маков, как быть с устройствами, аля - IPhone? У которых генерится рандомный мак при подключении?
Пусть либо отключают рандомизацию для данной конкретной сети, либо торчат в гостевой.


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 21 июл 2021, 17:39 1) То есть без VLAN не обойтись? (мы сейчас не используем VLAN)
Можно и обойтись - оставить две SSID, к одной разрешить подключаться всем, к другой только известным макам.
Вот тут поподробнее. Начал читать.
Мысль такая. С теми, кому разрешено - тех в аксесслист с параметром Action=Accept
Им разрешено "все" :-):

А вот с остальными наверно так!
Создаем правило в ACL где

MAC=пусто
SSID Regexp=пусто
Action=Reject

Правило НИЖЕ ВСЕХ! Самое последнее.
Чуть выше разрешаем подключаться к гостевой сети "GuestNet"
Создаем правило в ACL где
MAC=
SSID Regexp =GuestNet
Action=Accept.

И правило второе снизу. То есть как в файрволе, что выше - то и проверяем первым!
Верно?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Да, все так.

Только вместо нижних двух правил можно просто поснимать галку default authenticate для всех не-гостевых интерфейсов, а на гостевых - оставить.
Она определяет поведения для тех клиентов, которые не попали в access list.


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 21 июл 2021, 21:45 Да, все так.

Только вместо нижних двух правил можно просто поснимать галку default authenticate для всех не-гостевых интерфейсов, а на гостевых - оставить.
Она определяет поведения для тех клиентов, которые не попали в access list.
уточню - то есть заходим например через тот же Winbox в Interfaces и там где красным capsman подписал "managed by CAPsMAN" открываем свойства и снимаем галку с пункта внизу "Default Authentificate" во вкладке "Wireless" ТОЛЬКО НА интерфейсах wifi - которые "отвечают" за НЕгостевую зону. А оба нижних правила отключаем.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А, я упустил момент, что у вас все через CAPsMAN - тогда да, как вы выше описали.
Два нижних правила - разрешающее для всех в гостевую и сбрасывающее без условий.


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 21 июл 2021, 22:33 А, я упустил момент, что у вас все через CAPsMAN - тогда да, как вы выше описали.
Два нижних правила - разрешающее для всех в гостевую и сбрасывающее без условий.
Верно...


1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

Теперь усложним задачу..
Дают разнарядку "РАБОЧИЕ УСТРОЙСТВА ТОЛЬКО В РАБОЧУЮ СЕТЬ!"

Теоретически... я должен добавить "рабочее устройство" так:

MAC:xx-yy-zz-00-11-22
SSID Regexp:имярабочейсети
Action: Accept

Но, не работает.. Он цепляется за гостевые сети..

У меня 2 диапазона для рабочей и гостевой сетей..
В правило пишу для начала

MAC:xx-yy-zz-00-11-22
SSID Regexp:имярабочейсети2ггц
Action: Accept


Итог в сеть
имярабочейсети2ггц ->попадаем (под него и написано правило)
имярабочейсети5ггц -> отказ (сработало :-): )
имягостевойсети2ггц ->попадаем (а не должны :-( )
имягостевойсети5ггц ->попадаем (а не должны :-( )

Где ошибка? SSID Regexp? Порядок правил?


Ответить