Закрытие доступа между клиентами RB750

Обсуждение ПО и его настройки
Wisee
Сообщения: 236
Зарегистрирован: 01 май 2012, 18:22

12 ноя 2012, 22:03

Здравствуйте, вот такая проблема:
как то раз залез из компа одного клиента на комп другого. и даже смог увидеть его файлы.
как сделать так чтоб клиенты не видели никого кроме себя и своей сетки ( в случае если настроена сетка на несколько компов через роуту, а то бывала и на чужой роутер зайду.)

И за одно такая проблема:
У меня основная сеть для клиентов это 192.168.2.ХХ
но я использую свои антены для их подключения и они на IP 192.168.1.ХХ,
так вот. для их настройки мне необходимо ими регулярно пользоваться (проверять, перезагружать) но я никак не могу на них выйти по IP. идёт переброс на адрес микротика и надпись о тайм ауте, если делать через ррое то пишет: Error 404: Not Found.
как сделать чтоб микротик не мешал доступу на антенны. и если возможно то давал доступ только с моего логина?


Wisee
Сообщения: 236
Зарегистрирован: 01 май 2012, 18:22

12 ноя 2012, 22:03

кстати когда пользовался RB 411 то там таакой параметр был. и его было легко найти


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

13 ноя 2012, 19:54

есть опция default-forwarding в настройках интерфейса вай-фай

работает она как клиент-клиент изоляция

то есть если default-forwarding=yes - то клиенты обмениваются данными

а если default-forwarding=no - то клиенты друг к другу данные не передают

что касается маршрутизации на точки- то тут надо понять конфигурацию более подробно

нарисуйте схему и распишите роуты

так же, есть ли у Вас Hotspot???


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Wisee
Сообщения: 236
Зарегистрирован: 01 май 2012, 18:22

13 ноя 2012, 23:10

вот схема моей сети
как видите все антенны на подсетке с ip хх.хх.1.хх
а клиенты (они и по хотспоту и по рррое) вместе с микротиком на хх.хх.2.хх (микрик хх.хх.2.1)
так вот. когда я подключаюсь к сети микрик присваивает мне ip из 2-й подсетки соответственно
и получается что я на некоторые антенны зайти могу, а на какие то нет. но что самое интересное! это то что если я скажем час назад заходил на антену с Ip 1.252, то через некоторое время я на неё зайти не могу! хотспот мне пишет что тайм аут , на рррое сто страница не найдена.
пингануть не могу, так как микротик отвечает что сеть не доступна!
скажите что делать!

iSupport писал(а):есть опция default-forwarding в настройках интерфейса вай-фай

на 750м к сожалению нет вайфай интерфейса....

кстати все антенны и репитеры это Tp-Link 5210G
Вложения
1.jpg
1.jpg (102.74 КБ) 1840 просмотров


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

15 ноя 2012, 22:09

Блин, впомнить бы..... я ж такое настраивал с год назад

я делал аналог менеджемент - VLAN через хотспот

то есть пользователям с правами Админ давал доступ на оборудование, даже если они авторизованны через хотспот и оборудование находится за хотспотом и не умеет держать VLAN

делалось это так

Все оборудование запихиваем в одну подсеть отличную от пользователей
например 192.168.44.0/24

затем через ip- hotspot- ip bindings http://wiki.mikrotik.com/wiki/Manual:IP ... P_Bindings
заводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации

Теперь по менеджемент Влан

Создаем профиль под пользователей с правами Админ
в хотспоте добавляем в адресс лист net_admins

Код: Выделить всё

/ip hotspot users profile print
  name="admins" idle-timeout=none keepalive-timeout=2m status-autorefresh=1m
     shared-users=1 address-list="net_admins" transparent-proxy=yes
     open-status-page=always advertise=no



и делаем правила блокировки для Юзверей, что то вроде

Код: Выделить всё

ip fi fi pr
11   chain=forward action=drop src-address=192.168.0.0/24
     dst-address=192.168.144.0/24 src-address-list=!net_admins

12   chain=forward action=drop src-address=192.168.144.0/24
     dst-address=192.168.0.0/24 dst-address-list=!net_admins



то есть любой запрос из подсети хотспотеров в сторону оборудования запрешать для всех Ип кроме Ип которые net_admins

и в обратную сторону, не давать оборудованию пересылать пакеты в сторону пользователей, которые не net_admins

обратите внимание на восклицательный знак перед адрес листом, это логическое НЕ


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Wisee
Сообщения: 236
Зарегистрирован: 01 май 2012, 18:22

16 ноя 2012, 11:22

iSupport писал(а):заводим все точки и их мак адреса
после чего с точек начинает пинговаться сеть не смотря на хотспот
то есть хотспот пропускает пакеты с мак-адреса точки и с ип точки без авторизации


в общем сделал все что вы написали, но все равно не пингует и на антенны не пускает.
+ я подумал не делать блокировку (пока) так как каждая антенна все равно заблочена.
или без блокировки работать не будет?


iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

16 ноя 2012, 19:47

будет то будет, но я считаю, чтобы пользователи не лезли куда не надо

Потестируйте правила МАК-биндинг на тестовом компе

у меня сейчас нет доступа чтоб точно выложить


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Wisee
Сообщения: 236
Зарегистрирован: 01 май 2012, 18:22

17 ноя 2012, 10:46

вот как я настроил для примера одну точку
в To Address писал и адрес клиентской подсетки (хх.хх.2.хх)
и вообще ничего не писал. в общем пробовал по всякому. и никакого результата
Вложения
1.jpg
1.jpg (48.81 КБ) 1811 просмотров


aliant
Сообщения: 170
Зарегистрирован: 23 май 2012, 08:16
Контактная информация:

17 ноя 2012, 12:42

iSupport спс тоже ломал голову почему же не заходит

Wisee все пашет смотри скрины точки такие же как и твои
Вложения
spis.png
spis.png (162.14 КБ) 1806 просмотров
03 ping.jpg
03 ping.jpg (84.37 КБ) 1806 просмотров
02 ping.jpg
02 ping.jpg (74.5 КБ) 1806 просмотров
03.jpg
(140.75 КБ) 42 скачивания
02.jpg
(127.41 КБ) 42 скачивания


aliant
Сообщения: 170
Зарегистрирован: 23 май 2012, 08:16
Контактная информация:

17 ноя 2012, 12:49

iSupport скажи еще я понимаю что я до этого не мог зайти потому что он подменил IP на To adress

для чего он эта делает ??? и как сделать чтоб он не менял ???


Ответить