Nov1k Posted January 30, 2015 · Report post Добрый день! Мне была поставлена задача организовать WiFi в офисе практически из подручных средств, по этому о безшовности даже и не упоминаю. Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. Так вот есть несколько критериев: 1) Доступ для сотрудников должен быть полным, с доступом в локальную сеть. 2) Доступ для гостей ТОЛЬКО в интернет и либо с ограниченной скоростью, либо с трафиком в 15-20Мб, либо по времени на 15-20 минут. 3) Сеть не должна быть запороленной. Т.е. как я представляю себе, сотрудников можно пропускать по MAC адресу, а все остальные только в инет и локалку видеть не должны. 4) Желательно, но не обязательно, чтобы можно было отслеживать кто подключается и куда лезет. 5) Если ещё и можно будет делать ограничение по доступам к определённым сайтам, будет вообще супер! Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Если у кого-нибудь есть опыт или знания решения подобных проблем, буду признателен за совет! Share this post Link to post Share on other sites
Trueno Posted January 30, 2015 · Report post Всё было бы очень просто и надёжно сделать используя Микротик. Share this post Link to post Share on other sites
Nov1k Posted January 30, 2015 · Report post , Всё было бы очень просто и надёжно сделать используя Микротик. Согласен, но есть только это железо... Сейчас проверил покрытие по офису, оказалось что 2 точки доступа вполне покрывают весь офис. Решил делать 2 отдельные сети. Одна чисто точки доступа в локалку, для ноутов и т.д. А вторая открытая, чисто для инета. Мне показалось так будет проще. Share this post Link to post Share on other sites
Ivan_83 Posted January 30, 2015 · Report post Всё просто. Каждый SSID работает в своём влане, в каждом влане по дхцп серверу и своей подсети, роутинг между подсетями запрещён. Я такое всегда делал на нормальных точках доступа бизнес класса типа 2590 от длинка (там из коробки можно разные SSID по разным вланам), коммутатора с вланами и сервера-роутера на фре. Share this post Link to post Share on other sites
nimer Posted January 30, 2015 (edited) · Report post Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Одобряю советы сверху и добавлю, что есть ещё OpenWRT. Посмотрите, вдруг она вам больше понравится. Железо вроде как подходит. Уточните только, какая ревизия у DIR-300. 2 точки доступа вполне покрывают весь офис Учтите, что покрытие — это ещё не гарантия стабильной работы. Обязательно замерьте любым удобным способом пропускную способность канала в самых удалённых точках. Нужно иметь запас. Edited January 30, 2015 by nimer Share this post Link to post Share on other sites
stas_k Posted January 30, 2015 · Report post Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. ISA принимает два интернета от провайдера и отдает в один шнурок в LAN офиса? то есть тебе нужно только WIFI сделать. wifi роутеры переключаешь а режим "acces point" точка доступа. провод LAN от ISA включаешь в lan порт "роутеров". Share this post Link to post Share on other sites
vnkorol Posted January 31, 2015 · Report post Почти на всех мыльницах есть гостевой вайфай - там изоляция от всего как раз и есть. В его сторону посмотрите. Share this post Link to post Share on other sites
Nov1k Posted February 2, 2015 · Report post В общем, дорогие форумчане, ситуация в корне поменялась... Я сделал так как описал, всё настроил, но начальство сказало, что им надо по другому... Попытаюсь донести суть того, что они хотят: Необходима веб-АВТОРИЗАЦИЯ пользователя в инет по незапороленному вайфаю и чтобы выход только в инет, т.е. локалка недоступна в принципе(это я знаю как сделать). Но авторизация не простая, а чтобы любой из менеджеров мог через вебморду легко сгенерировать связку логин/пароль для гостя, которая через N минут должна удалиться. При этом должен сохраняться лог того кто эту связку создал и с какого устройства(мак-адрес) производилось подключение. Если есть у кого мыслишки о том КАК такое можно реализовать(теперь, кстати, выделяют под это машину либо виртуалку), буду премного благодарен за советы. Share this post Link to post Share on other sites
nemo Posted February 2, 2015 · Report post Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Share this post Link to post Share on other sites
Nov1k Posted February 2, 2015 · Report post Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Инета не то чтобы жалко, просто если кто-то что-то скачает\отправит и т.д. через наш инет, то разбираться придут к нам! По тому начальство и хочет себя огородить от таких проблем. Были уже случаи, что кто-то из гостей то ли с вирусом чего по нашему каналу отправил, то ли спам разослал, но в итоге наш ip несколько провайдеров забанили. Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Share this post Link to post Share on other sites
Saab95 Posted February 2, 2015 · Report post Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Нужно поставить отдельный биллинг с радиусом, и уже по нему авторизовывать беспроводных клиентов, либо по логину и паролю, либо по мак адресу устройства. Share this post Link to post Share on other sites
Ivan_83 Posted February 3, 2015 · Report post Купите впн загранкой и пускайте гостей через него, тогда к вам не придут. Share this post Link to post Share on other sites
