Здравствуйте, вот такая проблема:
как то раз залез из компа одного клиента на комп другого. и даже смог увидеть его файлы.
как сделать так чтоб клиенты не видели никого кроме себя и своей сетки ( в случае если настроена сетка на несколько компов через роуту, а то бывала и на чужой роутер зайду.)
И за одно такая проблема:
У меня основная сеть для клиентов это 192.168.2.ХХ
но я использую свои антены для их подключения и они на IP 192.168.1.ХХ,
так вот. для их настройки мне необходимо ими регулярно пользоваться (проверять, перезагружать) но я никак не могу на них выйти по IP. идёт переброс на адрес микротика и надпись о тайм ауте, если делать через ррое то пишет: Error 404: Not Found.
как сделать чтоб микротик не мешал доступу на антенны. и если возможно то давал доступ только с моего логина?
Закрытие доступа между клиентами RB750
-
Wisee
- Сообщения: 236
- Зарегистрирован: 01 май 2012, 18:22
кстати когда пользовался RB 411 то там таакой параметр был. и его было легко найти
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
есть опция default-forwarding в настройках интерфейса вай-фай
работает она как клиент-клиент изоляция
то есть если default-forwarding=yes - то клиенты обмениваются данными
а если default-forwarding=no - то клиенты друг к другу данные не передают
что касается маршрутизации на точки- то тут надо понять конфигурацию более подробно
нарисуйте схему и распишите роуты
так же, есть ли у Вас Hotspot???
работает она как клиент-клиент изоляция
то есть если default-forwarding=yes - то клиенты обмениваются данными
а если default-forwarding=no - то клиенты друг к другу данные не передают
что касается маршрутизации на точки- то тут надо понять конфигурацию более подробно
нарисуйте схему и распишите роуты
так же, есть ли у Вас Hotspot???
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
Wisee
- Сообщения: 236
- Зарегистрирован: 01 май 2012, 18:22
вот схема моей сети
как видите все антенны на подсетке с ip хх.хх.1.хх
а клиенты (они и по хотспоту и по рррое) вместе с микротиком на хх.хх.2.хх (микрик хх.хх.2.1)
так вот. когда я подключаюсь к сети микрик присваивает мне ip из 2-й подсетки соответственно
и получается что я на некоторые антенны зайти могу, а на какие то нет. но что самое интересное! это то что если я скажем час назад заходил на антену с Ip 1.252, то через некоторое время я на неё зайти не могу! хотспот мне пишет что тайм аут , на рррое сто страница не найдена.
пингануть не могу, так как микротик отвечает что сеть не доступна!
скажите что делать!
на 750м к сожалению нет вайфай интерфейса....
кстати все антенны и репитеры это Tp-Link 5210G
как видите все антенны на подсетке с ip хх.хх.1.хх
а клиенты (они и по хотспоту и по рррое) вместе с микротиком на хх.хх.2.хх (микрик хх.хх.2.1)
так вот. когда я подключаюсь к сети микрик присваивает мне ip из 2-й подсетки соответственно
и получается что я на некоторые антенны зайти могу, а на какие то нет. но что самое интересное! это то что если я скажем час назад заходил на антену с Ip 1.252, то через некоторое время я на неё зайти не могу! хотспот мне пишет что тайм аут , на рррое сто страница не найдена.
пингануть не могу, так как микротик отвечает что сеть не доступна!
скажите что делать!
iSupport писал(а):есть опция default-forwarding в настройках интерфейса вай-фай
на 750м к сожалению нет вайфай интерфейса....
кстати все антенны и репитеры это Tp-Link 5210G
- Вложения
-
- 1.jpg (102.74 КБ) 4056 просмотров
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
Блин, впомнить бы..... я ж такое настраивал с год назад
я делал аналог менеджемент - VLAN через хотспот
то есть пользователям с правами Админ давал доступ на оборудование, даже если они авторизованны через хотспот и оборудование находится за хотспотом и не умеет держать VLAN
делалось это так
Все оборудование запихиваем в одну подсеть отличную от пользователей
например 192.168.44.0/24
затем через ip- hotspot- ip bindings http://wiki.mikrotik.com/wiki/Manual:IP ... P_Bindings
заводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации
Теперь по менеджемент Влан
Создаем профиль под пользователей с правами Админ
в хотспоте добавляем в адресс лист net_admins
и делаем правила блокировки для Юзверей, что то вроде
то есть любой запрос из подсети хотспотеров в сторону оборудования запрешать для всех Ип кроме Ип которые net_admins
и в обратную сторону, не давать оборудованию пересылать пакеты в сторону пользователей, которые не net_admins
обратите внимание на восклицательный знак перед адрес листом, это логическое НЕ
я делал аналог менеджемент - VLAN через хотспот
то есть пользователям с правами Админ давал доступ на оборудование, даже если они авторизованны через хотспот и оборудование находится за хотспотом и не умеет держать VLAN
делалось это так
Все оборудование запихиваем в одну подсеть отличную от пользователей
например 192.168.44.0/24
затем через ip- hotspot- ip bindings http://wiki.mikrotik.com/wiki/Manual:IP ... P_Bindings
заводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации
Теперь по менеджемент Влан
Создаем профиль под пользователей с правами Админ
в хотспоте добавляем в адресс лист net_admins
Код: Выделить всё
/ip hotspot users profile print
name="admins" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
shared-users=1 address-list="net_admins" transparent-proxy=yes
open-status-page=always advertise=no
и делаем правила блокировки для Юзверей, что то вроде
Код: Выделить всё
ip fi fi pr
11 chain=forward action=drop src-address=192.168.0.0/24
dst-address=192.168.144.0/24 src-address-list=!net_admins
12 chain=forward action=drop src-address=192.168.144.0/24
dst-address=192.168.0.0/24 dst-address-list=!net_admins
то есть любой запрос из подсети хотспотеров в сторону оборудования запрешать для всех Ип кроме Ип которые net_admins
и в обратную сторону, не давать оборудованию пересылать пакеты в сторону пользователей, которые не net_admins
обратите внимание на восклицательный знак перед адрес листом, это логическое НЕ
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
Wisee
- Сообщения: 236
- Зарегистрирован: 01 май 2012, 18:22
iSupport писал(а):заводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации
в общем сделал все что вы написали, но все равно не пингует и на антенны не пускает.
+ я подумал не делать блокировку (пока) так как каждая антенна все равно заблочена.
или без блокировки работать не будет?
-
iSupport
- Сообщения: 2360
- Зарегистрирован: 06 фев 2011, 20:44
будет то будет, но я считаю, чтобы пользователи не лезли куда не надо
Потестируйте правила МАК-биндинг на тестовом компе
у меня сейчас нет доступа чтоб точно выложить
Потестируйте правила МАК-биндинг на тестовом компе
у меня сейчас нет доступа чтоб точно выложить
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
-
Wisee
- Сообщения: 236
- Зарегистрирован: 01 май 2012, 18:22
вот как я настроил для примера одну точку
в To Address писал и адрес клиентской подсетки (хх.хх.2.хх)
и вообще ничего не писал. в общем пробовал по всякому. и никакого результата
в To Address писал и адрес клиентской подсетки (хх.хх.2.хх)
и вообще ничего не писал. в общем пробовал по всякому. и никакого результата
- Вложения
-
- 1.jpg (48.81 КБ) 4027 просмотров
-
aliant
- Сообщения: 170
- Зарегистрирован: 23 май 2012, 08:16
- Контактная информация:
-
aliant
- Сообщения: 170
- Зарегистрирован: 23 май 2012, 08:16
- Контактная информация:
iSupport скажи еще я понимаю что я до этого не мог зайти потому что он подменил IP на To adress
для чего он эта делает ??? и как сделать чтоб он не менял ???
для чего он эта делает ??? и как сделать чтоб он не менял ???