makkaley писал(а): ↑07 янв 2019, 19:28
Необходимо клиентам Wifi предоставлять доступ ко внутренней сети предприятия так, чтобы были доступны некоторые локальные адреса, но без выхода в интернет. Доступ к интернет - только через провайдера сотовой связи.
Так разве это проблема. Вы просто подойдите к решению задачи иначе.
Сделайте так: заведите 2 сети (два SSID'а), один для "глобала"+локалка, второй - для локальной сети ТОЛЬКО и нет проблем.
makkaley писал(а): ↑07 янв 2019, 19:28
Проблема заключается в том, что при одновременном использовании wifi и мобильного интернета с любого смартфона маршрут по умолчанию, назначаемый автоматически провайдером, перекрывает маршрут назначаемый DHCP Mikrotik и, соответственно, доступ к локальным ресурсам становится невозможным. При отключении мобильного интернета - все работает.
Пусть меня поправят коллеги, я ни разу не видел чтобы смартфон/планшет работал одновременно и по ВиФи,
и через оператора (по 3G/LTE) связи. (Естественно мы сейчас не рассматриваем режим "точки" когда смартфон
превращается в роутер).
В обычной жизни смартфон либо по ВиФи работает, либо только через оператора связи.
Поэтому такое извращение сделать сразу и туда и сюда на базе телефона/смартфона думаю в общем моменте
не выйдет. У того же Хуавея/Хонора при тестировании точки доступа (когда у неё нет Интернета) сразу после
подключения к такой точке = пишет, нет доступа к Интернет, отключиться от точки!?
Поэтому логика проста, как я написал выше, есть две сети, одна более полная, вторая закрытая(ограниченная).
makkaley писал(а): ↑07 янв 2019, 19:28
Есть возможность добавлять маршрут через DHCP используя option 121, используя следующий синтаксис:
0x[маска подсети адреса назначения][адрес назначения][адрес шлюза]
С этой опцией, тоже, не работает.
Эта опция работает, она не простая, но у меня с ней получилось разобраться, всё хочу по ней маленький
FAQ написать, надо найти время. Я конечно не на смартфонах применил эту фичу, но нужно было
некоторым серверам у которых уже есть шлюз по-умолчанию прописать ряд маршрутов локальных,
заходить на каждый сервер мне было уже лениво и я решил их по DHCP передавать. Всё заработало,
главное:
а) при настройке такова DHCP - явно не передавать параметр "Gateway", ибо (особенно в моей схеме,
как я и писал, у серверов уже был шлюз по-умолчанию свой) и моя задача была передать маршруты только.
б) все данные(настройки) опции 121 надо переводить в HEX, и там с адресом назначения есть нюансы.
А так, этот функционал работает и позволяет мне один раз добавив маршрут в HEX формате в настройках
DHCP, получить этот маршрут на серверах нужных (маршрут "приедет" когда заново придёт запрос
о продлении аренды адреса, поэтому я всегда и говорю и советую, не ставить бесконечно долгие
сроки аренды = 2-4-6 часов самое то).
P.S.
У меня стоит отдельный микротик (был РБ2011, сейчас уже года полтора-два заменил на РБ3011) - в "ядре" управлением
маршрутизацией всех ВиФи сетей ТОЛЬКО, плюс на нём также сделано несколько (3 три) каналов (провайдеров).
Точки - Юбикью, разные (и внешние и внутренние, 14 шт.), 3 SSID-сети (полная, локально-ограниченная,гостевая),
+ одна сеть которая нужна для управления точками Юбикью (обычная IP-сеть, в рамках L2-трафика между точками).
Каждая сеть - имеет свою адресацию, свой шлюз, DHCP и т.д, даже ограниченным сетям в рамках локальной адресации
они могут зайти на нужный локальный сервис, независимо где этот сервис находиться(хоть тут, хоть в облаке),
для них он рядом и доступен (настроена локальная маршрутизация). Проблем за 5 лет в такой логике не было.