Mikrotik и UniFi Controller

Обсуждение оборудования и его настройки
Ответить
kissroute
Сообщения: 2
Зарегистрирован: 24 ноя 2014, 09:26

Всем доброго времени суток,
Уже неделю борюсь с Mikrotik-ом не хватает знаний, прошу о помощи...
Ситуация такая: Есть Mikrotik RB2011 и 3шт. UniFi AP нужно организовать два SSID один гостевой один корпоративный. Гостевой Hotspot на Unifi контроллере
в ether01 подключен ISP для гостевого интернета с внешним IP
в ether02 подключена корпоративная сеть (192.168.20.0/24)
3 UniFi точки подключены в ether03,04,05 - на этих портах vlanid=250 для гостевой сети dhcp server и dhcp pool (192.168.88.0/24)
2,3,4,5 - порты в бридже (switch) не теггированные
На данный момент при подключении к корпоративной сети все ок!
Проблема когда подключаешься к гостевой, IP получает, но при открытии браузера редиректит на контроллер который находится в 192.168.20.0/24 подсети, в Фаерволе настроек у меня нет никаких... Думаю вся проблема в этом создал пост на forum.mikrotik.com (http://forum.mikrotik.com/viewtopic.php ... 93#p457493) там есть дизайн и мой конфиг, подскажите пожалуйста как реализовать запланированное...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

kissroute писал(а):3 UniFi точки подключены в ether03,04,05 - на этих портах vlanid=250 для гостевой сети
...

2,3,4,5 - порты в бридже (switch) не теггированные


????
Эти две фразы взаимоисключение. С одной стороны есть VLAN, а с другой стороны порты не тегированные.

На пальцах принцип прост:

1. Вы создаете два VLAN - один для копоративной сети, другой для гостевой.
2. Разруливаете их бриджами на микротике.
3. На порты, которые смотрят в сторону UniFi отдаете оба Vlan тегированными.
4. В настройках WiFi сети на UniFi указываете соответствующий vlan.
5. Возможно еще потребуется VLAN управления создавать, а можно оставить управление из корпоративной сети, например.


kissroute
Сообщения: 2
Зарегистрирован: 24 ноя 2014, 09:26

gmx писал(а):
kissroute писал(а):3 UniFi точки подключены в ether03,04,05 - на этих портах vlanid=250 для гостевой сети
...

2,3,4,5 - порты в бридже (switch) не теггированные


????
Эти две фразы взаимоисключение. С одной стороны есть VLAN, а с другой стороны порты не тегированные.

На пальцах принцип прост:

1. Вы создаете два VLAN - один для копоративной сети, другой для гостевой.
2. Разруливаете их бриджами на микротике.
3. На порты, которые смотрят в сторону UniFi отдаете оба Vlan тегированными.
4. В настройках WiFi сети на UniFi указываете соответствующий vlan.
5. Возможно еще потребуется VLAN управления создавать, а можно оставить управление из корпоративной сети, например.

Хотите сказать IP->Firewall тут совсем не нужен? вы смотрели мой пост на mikrotik.com?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Давайте отделим мух от котлет.

У вас две задачи: выпустить две подсети в один интернет и вторая - это ограничения доступа.

Сначала решаем первую задачу. Прописываем VLAN, настраиваем UniFi. Поднимаем два DHCP, может на микротике, может у вас еще где есть. Добиваемся, чтобы обе подсети успешно ходили в инет. И делаем это бриджами и другими средствами микротика (возможно route). Все зависит от сложности построения вашей сети.

А вот вторая задача - вот здесь нужен фаерволл, Q&S и так далее.

Не мешайте все в одну кучу. То есть если вы доросли до VLAN и решили все на них сделать, то делайте. Есть и другой вариант: вы тупо, не применяя никаких VLAN, создаете две подсети. И на микротике одним легким движением через фаерволл запрещаете ходить им друг к другу. Но с точки зрения безопасности это хуже, чем разделение трафика на VLAN. То есть при ручном назначении IP на клиенте можно попасть в чужую подсеть. Но с этим тоже можно бороться. Можно запретить микротику роутить пакеты, если клиенту адрес выдал не микротик. Но это меня уже понесло... :-): :-): :-):
Можно вообще разделить UniFi только на коропоратвные и только на гостевые. Все зависит от ваших финансовых возможностей.


Ответить