Russian Users MikroTik | Форум пользователей MikroTik

Всем привет.
В связи с большим кол-ве не моих устройств на моей WiFi сети я стал думать как оградить неизвестные устройства (а в идеале не только по воздуху но и по кабелю) в отдельную подсеть, что-бы во первых резать скорость в мир, а во вторых не давать доступ к локальным ресурсам ну и вообще в целях безопасности

WiFi по сути это L1 уровень с замашками L2, но к L3 никакого отношения он не имеет, следовательно на одном WLAN интерфейсе может быть неограниченное кол-во подсетей.
В итоге я стал думать, - а как мне заставить DHCP сервер сначала пытаться найти статические записи для устройства, а затем выдавать динамически, но из другой подсети. Логически нужно на интерфейс повесить два DHCP сервера, первый будет выдавать только статические записи, а второй только динамические, и с первым вроде всё понятно, но вот как построить цепочку запросов по DHCP серверам я не понял, и не понял можно-ли такое вообще сделать...
В настройках DHCP Server есть два, не очень понятных для меня параметр: 'authoritative' и 'relay'. Подозреваю, что именно с ними и можно такое реализовать, но описание на вики не прояснили ситуацию.

Хочу услышать Ваши думки по этому вопросу.

Увы, два DHCP это будут проблемы. И в целом стратегия/направление не совсем верно.

Надо "делить" на своих и не на своих до. Да и как Вы сказали, WiFi это уровень 1-2,
поэтому до DHCP (который работает с адресацией) тут нам далеко.

Вариант как мне кажется тот, что давно придуман, и используют провайдеры давно,
и заключается в том, чтобы делать по крайне мере два ВИЛАНа, в один своих пускать, в другой чужих.
И соответственно, с виланами проще будет их "пропускать", то есть где нужно, вилан туда запустили,
и всё, все ваши сети уже там. А вот уже каждый вилан можно посадить/затерминировать
на свой DHCP и мешать они уже не будут. НО два DHCP в одном физическом сегменте - это не правильно.

Хмм.. ничего не понял
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?

Dragon_Knight писал(а):Хмм.. ничего не понял
Как нам в данном случае помогут разделить два телефона, подключённые к одной точке доступа?

Может и я не так понял условия задачи.

Я понял так, что есть сеть на базе точек, в них бегает трафик как свой, так и чужой трафик.
Поэтому отталкиваясь от этого, я и предположил/посоветовал что в сети надо гонять трафик
уже не просто в куче, а с разделением, то есть, на одном место два телефона засовываем
в два разных вилана, уже эти виланы засовываем на один интерфейс и в точку(и)
и на другой стороне(на других сторонах) также.
Так делают провайдеры, внутри своей сети гоняют трафики разных организаций, банков и гос-контор.
Дома гостевая SSID тоже сделана отдельным виланом и трафик гостевой сети невидим для основной и наоборот.

Судя по тому, чем озадачился Дракон и по тому волшебному словосочетанию которое еще не назвал Влад, тут не хватает словосочетания - Virtual AP, именно про нее рассказывает Влад, но почему-то не упоминает прямым текстом)))
А уже после поднятия виртуального ссида делим и фасуем все как надо)

эмм.. слюшяй дарагой зачэм два DHCP??

пусть один и единственный выдает статику, которую ты забил заранее руками в соответсвии с маками. и создал статические же записи ARP (для паранои)
а кому не хватило статики тем выдавать из пула. а пул будет в другой подсети, в какой хош

еще предлагаю вариант. это что пришло в голову:
в аксцесс листе (капсмана ну или просто вайфай если там без каппсмана) можно прописать всех вайфайщиков по маку. и там же распихать их по вланам. а уже в разных вланах разные дхцп. ура? или не?
и виртуальный ссид не нужон.
и что то я не понял, если дхцп на разных вланах сидят - то почему это они в одном сегменте сети? они ж друг друга не увидят

Vlad-2, нее, в том и суть, что нужно разделить именно конечных клиентов, так сказал по этническому признаку
KARaS'b, да, но банально включение vAP порежет максимально возможную скорость сети раза в 3-4, что не есть хорошо. Так что вариант отпадает.
lexalex83, интересное предложение, - нужно попробовать. Мне бы сначала беспроводных клиентов разбросать

Dragon_Knight писал(а):Vlad-2, нее, в том и суть, что нужно разделить именно конечных клиентов, так сказал по этническому признаку

Ну тогда я могу сказать, что для понимания - мало информации.
Я отталкивался от Вашего первого сообщения, там было про логику, про разделение и так далее.
Думаю не зря виланы используют наверно лет 15-20 точно. Без них не было возможным, в рамках
одной физики передавать разные трафики/сервисы. Хочу ещё раз сделать акцент - вилан это
Л2-уровень, до всяких IP и тем более DHCP, и это разделение является классически-правильным.
Виланы можно направлять/принимать куда и как удобно, они не мешают, ими удобно именно разделять сети.

Пару примеров:

WiFi точка (одна и единственная). Трафик обычной сети идёт как обычная сеть (нетегированный), трафик
гостевой точки сделан тегированный, и прямо тегом идёт до основного роутера, где уже обрабатывается.
Трафик-гостевой точки изолирован.


LTE-роутер, тут тоже самое, трафик обычной сети (локальный) на роутер (пока только для управления) идёт обычным образом,
трафик-интернет полученный с ЛТЕ-роутера тегируется и также в тегированном виде пропускается до роутера основного.
Интернет-трафиг изолирован.

KARaS'b писал(а):Судя по тому, чем озадачился Дракон и по тому волшебному словосочетанию которое еще не назвал Влад, тут не хватает словосочетания - Virtual AP, именно про нее рассказывает Влад, но почему-то не упоминает прямым текстом)))
А уже после поднятия виртуального ссида делим и фасуем все как надо)

Я уже с большой осторожностью боюсь что-то явно называть/советовать. Да и всё же Дракон как-то слегка размыто озвучил свою просьбу и начал с основ сетевых технологий,
поэтому я в рамках сетевых технологий и озвучил своё предложение. Что касается ВиртуалАП - это уже как частное решение, может и имеет и надо его использовать..

Ещё идеи!
Ну а если всё же делить на своих/чужих в рамках L3-уровня, и на базе DHCP, то да, как уже частично озвучивали, можно взять сеть, сразу классом /23,
а её условно (в голове) поделить на две по /24, одна своя (привязку делать) и другая - чужая....
А ещё можно взять пул, его уменьшить, чтобы он давал адресацию с какой то части, а остальная адресация - для ручной установки адресов.
Тогда по-умолчанию, узлы будут в определённом сегменте и никуда не вылезут, а то что руками будет добавлено и настроено с нужными адресами - будет тоже
там и где надо.
Вариантов и под-вариантов масса, но в общем - путей решений не так уж много.

Dragon_Knight,
у микторика DHCP сервер очень странный, но этот как раз под вашу ситуацию прекрасно подходит.
Он динамику раздает из пула, а статику можно прописывать вообще любую, к пулу отношения не имеющую.
Поэтому DHCP сервер вам нужен 1, пул пишите для чужих ресурсов, а статику для своих прописываете их другой подсети (вне пула).
И все работает.

Если это "корробит" опасением возможного исправления в следующих патчах, тогда "свои" адреса в "адрес_лист", а этот "адрес _лист" в исключения в запрещающих правилах Firewall.