Страница 1 из 2
Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 10:36
Sergafan10
Бодрого времени суток! Внутри основной сети 10.10.0.0 захотелось поставить точку доступа в роли которой послужил hap lite. Создал:
Virtual-интерфейс (office) у которой мастер wlan1,
гостевой bridge, в который включил office
адрес для office 10.10.30.1
сервер dhcp с адрес пулом, который нацепил на гостевой bridge
Итог: устройства получают адресаip и dns нормально, но интернета в упор не видят. Если подцепиться к wlan1, то всё нормально, но это основная сеть и пускать по ней никого не буду. ЧЯДНТ ??
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 13:48
gmx
Если отвлечься от возможно неправильно настроенного фаерволла, нужно проверить маскарадинг.
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 14:39
Sergafan10
В рулесах пусто, ради чистоты эксперимента. В нате вот это
0 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""
В WAN-листе только ether1 (в него провод воткнут из основной сети). Тоже сперва на маскарад подумал, только как его так замаскарадить??
P.S.: Пакеты не бегают, кстати по этому правилу.
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 14:50
xvo
Во-первых, при таком подходе клиенты второй точки доступа будут иметь доступ во внутреннюю сеть, что совсем не вяжется с вашей идеей о гостевой сети.
Во-вторых, зачем виртуальный интерфейс, если точка доступа только дня гостевой сети? Или нет?
Удалите порт ведущий к гостевой точки из бриджа на основном роутере, повесьте на него гостевой адрес и гостевой dhcp. А на точке просто сделайте бридж из ether1 и wlan1.
Дальше firewall'ом на основном роутере легко можно управлять кому куда можно, а куда - нельзя.
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 15:37
Sergafan10
1) вы имеет ввиду такой маскарад?
2) на точке хотелось бы ещё, чтобы wlan1 работал, к которому подцепить пару принтеров
3) на основном кстати, гостевая сеть тоже есть, только там она ни в каких бриджах не состоит, а при попытке сделать отдельный бридж и включить гостевой интерфейс туда, интернет н агостевой тоже тухнет и появляется при удалении из нового бриджа
4) до этого момента бы дойти
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 15:40
Sergafan10
Удалите порт ведущий к гостевой точки из бриджа на основном роутере
на основном удалить ether2 (на нём локалка висит) из бриджа? вся ж сеть обвалится!
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 16:05
xvo
Sergafan10 писал(а): ↑29 окт 2020, 15:37
1) вы имеет ввиду такой маскарад?
Не только, вообще схему, когда точка торчит внутри клиентской сети.
Маскарад только усугубляет ситуацию: гостевой трафик не только ходит через основную сеть, но и ещё и не прячется за адресом самой точки.
Sergafan10 писал(а): ↑29 окт 2020, 15:37
2) на точке хотелось бы ещё, чтобы wlan1 работал, к которому подцепить пару принтеров
3) на основном кстати, гостевая сеть тоже есть, только там она ни в каких бриджах не состоит, а при попытке сделать отдельный бридж и включить гостевой интерфейс туда, интернет н агостевой тоже тухнет и появляется при удалении из нового бриджа
4) до этого момента бы дойти
По-хорошему, надо настраивать на основном на бридже пару vlan'ов (один для основной сети, один для гостевой, плюс ещё, в идеале, управляющий, но при одной точке можно и без него обойтись), и дальше оба эти vlan'а протянуть до точки и там пихать в один трафик от основной SSID, в другой - от гостевой.
Но чувствуется, что это вам сложновато будет.
Ещё вариант, отдать гостевую сеть на точке под управление капсмана с выключенным local-forwarding. Но это тоже не два клика.
Если же пытаться идти тем путем, которым вы пошли изначально, то тогда можно сделать следующее:
1) Вообще убрать маскарад на точке.
2) На основном прописать маршрут до гостевой сети через адрес точки в основного сети.
3) И настраивать firewall на точке тоже, так чтобы он из гостевой разрешал ходить только на шлюз.
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 16:06
xvo
Sergafan10 писал(а): ↑29 окт 2020, 15:40
Удалите порт ведущий к гостевой точки из бриджа на основном роутере
на основном удалить ether2 (на нём локалка висит) из бриджа? вся ж сеть обвалится!
То есть точка не напрямую? Через свитчи?
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 16:57
Sergafan10
xvo писал(а): ↑29 окт 2020, 16:06
То есть точка не напрямую? Через свитчи?
Давайте с терминологией разберёмся. Есть тик №1, работает как роутер стоит в аппаратной. И есть тик №2, хочу воткнуть в офисе как точку доступа, далеко от первого тика. В первом есть только один бридж, в котором ether2 (смотрит в локалку) и wlan1. На нём есть гостевая вафля, которая работает исправно, несмотря на то, что в бриджах не состоит. И там есть маскарад, где out = ether1 (смотрит на провайдера). Со switch никаких настроек нет.
На основном прописать маршрут до гостевой сети через адрес точки в основного сети
На роутере №1 прописал dst.adress 10.10.10.0/24 через ether2, что-то всё равно тухляк.
Я понял, что задача не тривиальна. Может на самом деле глянуть в сторону capsman ? С vlan'ами не разберусь, думаю.
Re: Гостевой wi-fi внутри сети
Добавлено: 29 окт 2020, 17:52
xvo
Sergafan10 писал(а): ↑29 окт 2020, 16:57
В первом есть только один бридж, в котором ether2 (смотрит в локалку) и wlan1
Так я и спрашиваю, что там за "локалка" на этом ether2?
Коммутатор отдельный?
А то, ведь, как я понимаю, там в этом бридже кроме ether2 и wlan1 у вас ничего нет?
Sergafan10 писал(а): ↑29 окт 2020, 16:57
На роутере №1 прописал dst.adress 10.10.10.0/24 через ether2, что-то всё равно тухляк.
Надо прописывать не через ether2, а через ip-адрес который второй микротик получает в вашей "локалке".