Jump to content
Калькуляторы

Wifi в офисе Разделение на сотрудников и гостей

Добрый день!

Мне была поставлена задача организовать WiFi в офисе практически из подручных средств, по этому о безшовности даже и не упоминаю.

Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2.

В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA.

Так вот есть несколько критериев:

1) Доступ для сотрудников должен быть полным, с доступом в локальную сеть.

2) Доступ для гостей ТОЛЬКО в интернет и либо с ограниченной скоростью, либо с трафиком в 15-20Мб, либо по времени на 15-20 минут.

3) Сеть не должна быть запороленной. Т.е. как я представляю себе, сотрудников можно пропускать по MAC адресу, а все остальные только в инет и локалку видеть не должны.

4) Желательно, но не обязательно, чтобы можно было отслеживать кто подключается и куда лезет.

5) Если ещё и можно будет делать ограничение по доступам к определённым сайтам, будет вообще супер!

 

Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Если у кого-нибудь есть опыт или знания решения подобных проблем, буду признателен за совет!

Share this post


Link to post
Share on other sites

Всё было бы очень просто и надёжно сделать используя Микротик.

Share this post


Link to post
Share on other sites

,

Всё было бы очень просто и надёжно сделать используя Микротик.

Согласен, но есть только это железо...

Сейчас проверил покрытие по офису, оказалось что 2 точки доступа вполне покрывают весь офис. Решил делать 2 отдельные сети. Одна чисто точки доступа в локалку, для ноутов и т.д. А вторая открытая, чисто для инета. Мне показалось так будет проще.

Share this post


Link to post
Share on other sites

Всё просто.

Каждый SSID работает в своём влане, в каждом влане по дхцп серверу и своей подсети, роутинг между подсетями запрещён.

Я такое всегда делал на нормальных точках доступа бизнес класса типа 2590 от длинка (там из коробки можно разные SSID по разным вланам), коммутатора с вланами и сервера-роутера на фре.

Share this post


Link to post
Share on other sites

Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать.

Одобряю советы сверху и добавлю, что есть ещё OpenWRT. Посмотрите, вдруг она вам больше понравится. Железо вроде как подходит. Уточните только, какая ревизия у DIR-300.

2 точки доступа вполне покрывают весь офис

Учтите, что покрытие — это ещё не гарантия стабильной работы. Обязательно замерьте любым удобным способом пропускную способность канала в самых удалённых точках. Нужно иметь запас.

Edited by nimer

Share this post


Link to post
Share on other sites

Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2.

В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA.

 

ISA принимает два интернета от провайдера и отдает в один шнурок в LAN офиса?

 

то есть тебе нужно только WIFI сделать.

 

wifi роутеры переключаешь а режим "acces point" точка доступа. провод LAN от ISA включаешь в lan порт "роутеров".

Share this post


Link to post
Share on other sites

Почти на всех мыльницах есть гостевой вайфай - там изоляция от всего как раз и есть. В его сторону посмотрите.

Share this post


Link to post
Share on other sites

В общем, дорогие форумчане, ситуация в корне поменялась...

Я сделал так как описал, всё настроил, но начальство сказало, что им надо по другому...

Попытаюсь донести суть того, что они хотят:

Необходима веб-АВТОРИЗАЦИЯ пользователя в инет по незапороленному вайфаю и чтобы выход только в инет, т.е. локалка недоступна в принципе(это я знаю как сделать).

Но авторизация не простая, а чтобы любой из менеджеров мог через вебморду легко сгенерировать связку логин/пароль для гостя, которая через N минут должна удалиться. При этом должен сохраняться лог того кто эту связку создал и с какого устройства(мак-адрес) производилось подключение.

Если есть у кого мыслишки о том КАК такое можно реализовать(теперь, кстати, выделяют под это машину либо виртуалку), буду премного благодарен за советы.

Share this post


Link to post
Share on other sites

Нафига такое сложности? Вам инета в офисе жалко?

Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика.

Share this post


Link to post
Share on other sites

Нафига такое сложности? Вам инета в офисе жалко?

Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика.

Инета не то чтобы жалко, просто если кто-то что-то скачает\отправит и т.д. через наш инет, то разбираться придут к нам! По тому начальство и хочет себя огородить от таких проблем.

Были уже случаи, что кто-то из гостей то ли с вирусом чего по нашему каналу отправил, то ли спам разослал, но в итоге наш ip несколько провайдеров забанили.

Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;)

Share this post


Link to post
Share on other sites

Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;)

 

Нужно поставить отдельный биллинг с радиусом, и уже по нему авторизовывать беспроводных клиентов, либо по логину и паролю, либо по мак адресу устройства.

Share this post


Link to post
Share on other sites

Купите впн загранкой и пускайте гостей через него, тогда к вам не придут.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this