2 DHCP и фильтр по MAC
Добавлено: 07 мар 2018, 10:24
Приветствую!
Имеется небольшой 2х этажный офис с 2011UiAS.
До определенного момента сеть не росла, все пользователи были на виду и все легко отслеживалась.
Сейчас поставили точку доступа Wi-Fi, ну и как оно бывает, пароль начал передаваться по сарафанному радио. WiFi не микротик, а сторонний. Работает как мост и просто раздает сеть. Переводить его в режим роутера нехотят. WiFi используют так же рабочие ПК и устройства, которые в DHCP микротика сделаны статичными по MAC адресу. А вот остальные устройства надо отправить в гостевую сеть, которую я хочу сделать на микротике.
Стоит следующая задача:
На микротике запущен DHCP, рабочая сетка с адресом 192.168.86.1.
Все устройства работающие в 86.1 были ранее известны, известны их MAC и сделана привязка IP->MAC (DHCP->Leases "Make static") из диапазона в 86 сети.
Новые устройства через вайфай получают так же IP из диапазона 86.2-86.100, т.е. из рабочего диапазона.
Что я хочу реализовать: что бы все устройства с неизвестными MAC попадали в совершенно другую сеть, например, 192.168.10.0/24 не имели доступа в 192.168.86.0/24 , имели доступ только к интернету с зарезанной скоростью.
1. Есть список устройств с заранее известными MAC/IP в 86.1 (Leases -> Make static)
2. В разделе DHCP -> Networks добавил сеть Guest 192.168.10.0/24
3. В разделе Pools добавлен диапазон 10.2-10.100
4. А вот дальше не получается сделать следующее. Добавить еще один новый DHCP сервер Guest с выше указанными диапазонами (Guest) поскольку основной сервер уже работает на Bridge-Work, а Bridge-Work объединяет в себе порты микротика со 2го по 10й. Собственно в этом и загвоздка. Создавать новый BridgeGuest бессмысленно, поскольку на те же порты его не удастся присвоить.
5. Следующим этапом не знаю (только предполагаю) как сделать жесткую привязку рабочего DHCP 86.0/24 к известным mac адресам в разделе Leases, а все неизвестные MAC оправлять в гостевую сеть 10.0/24
6. С ограничением скорости гостевого диапазона, думаю проблем не должно возникнуть в разделе Queues.
7. Запрет на хождение между 86.0/24 и 10.0/24 потребует отдельного правила в Firewall.
Возможно ли реализовать данную затею?
Имеется небольшой 2х этажный офис с 2011UiAS.
До определенного момента сеть не росла, все пользователи были на виду и все легко отслеживалась.
Сейчас поставили точку доступа Wi-Fi, ну и как оно бывает, пароль начал передаваться по сарафанному радио. WiFi не микротик, а сторонний. Работает как мост и просто раздает сеть. Переводить его в режим роутера нехотят. WiFi используют так же рабочие ПК и устройства, которые в DHCP микротика сделаны статичными по MAC адресу. А вот остальные устройства надо отправить в гостевую сеть, которую я хочу сделать на микротике.
Стоит следующая задача:
На микротике запущен DHCP, рабочая сетка с адресом 192.168.86.1.
Все устройства работающие в 86.1 были ранее известны, известны их MAC и сделана привязка IP->MAC (DHCP->Leases "Make static") из диапазона в 86 сети.
Новые устройства через вайфай получают так же IP из диапазона 86.2-86.100, т.е. из рабочего диапазона.
Что я хочу реализовать: что бы все устройства с неизвестными MAC попадали в совершенно другую сеть, например, 192.168.10.0/24 не имели доступа в 192.168.86.0/24 , имели доступ только к интернету с зарезанной скоростью.
1. Есть список устройств с заранее известными MAC/IP в 86.1 (Leases -> Make static)
2. В разделе DHCP -> Networks добавил сеть Guest 192.168.10.0/24
3. В разделе Pools добавлен диапазон 10.2-10.100
4. А вот дальше не получается сделать следующее. Добавить еще один новый DHCP сервер Guest с выше указанными диапазонами (Guest) поскольку основной сервер уже работает на Bridge-Work, а Bridge-Work объединяет в себе порты микротика со 2го по 10й. Собственно в этом и загвоздка. Создавать новый BridgeGuest бессмысленно, поскольку на те же порты его не удастся присвоить.
5. Следующим этапом не знаю (только предполагаю) как сделать жесткую привязку рабочего DHCP 86.0/24 к известным mac адресам в разделе Leases, а все неизвестные MAC оправлять в гостевую сеть 10.0/24
6. С ограничением скорости гостевого диапазона, думаю проблем не должно возникнуть в разделе Queues.
7. Запрет на хождение между 86.0/24 и 10.0/24 потребует отдельного правила в Firewall.
Возможно ли реализовать данную затею?