Nov1k Posted January 30, 2015 · Report post Добрый день! Мне была поставлена задача организовать WiFi в офисе практически из подручных средств, по этому о безшовности даже и не упоминаю. Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. Так вот есть несколько критериев: 1) Доступ для сотрудников должен быть полным, с доступом в локальную сеть. 2) Доступ для гостей ТОЛЬКО в интернет и либо с ограниченной скоростью, либо с трафиком в 15-20Мб, либо по времени на 15-20 минут. 3) Сеть не должна быть запороленной. Т.е. как я представляю себе, сотрудников можно пропускать по MAC адресу, а все остальные только в инет и локалку видеть не должны. 4) Желательно, но не обязательно, чтобы можно было отслеживать кто подключается и куда лезет. 5) Если ещё и можно будет делать ограничение по доступам к определённым сайтам, будет вообще супер! Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Если у кого-нибудь есть опыт или знания решения подобных проблем, буду признателен за совет! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted January 30, 2015 · Report post Всё было бы очень просто и надёжно сделать используя Микротик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nov1k Posted January 30, 2015 · Report post , Всё было бы очень просто и надёжно сделать используя Микротик. Согласен, но есть только это железо... Сейчас проверил покрытие по офису, оказалось что 2 точки доступа вполне покрывают весь офис. Решил делать 2 отдельные сети. Одна чисто точки доступа в локалку, для ноутов и т.д. А вторая открытая, чисто для инета. Мне показалось так будет проще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 30, 2015 · Report post Всё просто. Каждый SSID работает в своём влане, в каждом влане по дхцп серверу и своей подсети, роутинг между подсетями запрещён. Я такое всегда делал на нормальных точках доступа бизнес класса типа 2590 от длинка (там из коробки можно разные SSID по разным вланам), коммутатора с вланами и сервера-роутера на фре. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nimer Posted January 30, 2015 (edited) · Report post Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Одобряю советы сверху и добавлю, что есть ещё OpenWRT. Посмотрите, вдруг она вам больше понравится. Железо вроде как подходит. Уточните только, какая ревизия у DIR-300. 2 точки доступа вполне покрывают весь офис Учтите, что покрытие — это ещё не гарантия стабильной работы. Обязательно замерьте любым удобным способом пропускную способность канала в самых удалённых точках. Нужно иметь запас. Edited January 30, 2015 by nimer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted January 30, 2015 · Report post Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. ISA принимает два интернета от провайдера и отдает в один шнурок в LAN офиса? то есть тебе нужно только WIFI сделать. wifi роутеры переключаешь а режим "acces point" точка доступа. провод LAN от ISA включаешь в lan порт "роутеров". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted January 31, 2015 · Report post Почти на всех мыльницах есть гостевой вайфай - там изоляция от всего как раз и есть. В его сторону посмотрите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nov1k Posted February 2, 2015 · Report post В общем, дорогие форумчане, ситуация в корне поменялась... Я сделал так как описал, всё настроил, но начальство сказало, что им надо по другому... Попытаюсь донести суть того, что они хотят: Необходима веб-АВТОРИЗАЦИЯ пользователя в инет по незапороленному вайфаю и чтобы выход только в инет, т.е. локалка недоступна в принципе(это я знаю как сделать). Но авторизация не простая, а чтобы любой из менеджеров мог через вебморду легко сгенерировать связку логин/пароль для гостя, которая через N минут должна удалиться. При этом должен сохраняться лог того кто эту связку создал и с какого устройства(мак-адрес) производилось подключение. Если есть у кого мыслишки о том КАК такое можно реализовать(теперь, кстати, выделяют под это машину либо виртуалку), буду премного благодарен за советы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo Posted February 2, 2015 · Report post Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nov1k Posted February 2, 2015 · Report post Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Инета не то чтобы жалко, просто если кто-то что-то скачает\отправит и т.д. через наш инет, то разбираться придут к нам! По тому начальство и хочет себя огородить от таких проблем. Были уже случаи, что кто-то из гостей то ли с вирусом чего по нашему каналу отправил, то ли спам разослал, но в итоге наш ip несколько провайдеров забанили. Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 2, 2015 · Report post Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Нужно поставить отдельный биллинг с радиусом, и уже по нему авторизовывать беспроводных клиентов, либо по логину и паролю, либо по мак адресу устройства. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted February 3, 2015 · Report post Купите впн загранкой и пускайте гостей через него, тогда к вам не придут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...