Nov1k Posted January 30, 2015 Добрый день! Мне была поставлена задача организовать WiFi в офисе практически из подручных средств, по этому о безшовности даже и не упоминаю. Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. Так вот есть несколько критериев: 1) Доступ для сотрудников должен быть полным, с доступом в локальную сеть. 2) Доступ для гостей ТОЛЬКО в интернет и либо с ограниченной скоростью, либо с трафиком в 15-20Мб, либо по времени на 15-20 минут. 3) Сеть не должна быть запороленной. Т.е. как я представляю себе, сотрудников можно пропускать по MAC адресу, а все остальные только в инет и локалку видеть не должны. 4) Желательно, но не обязательно, чтобы можно было отслеживать кто подключается и куда лезет. 5) Если ещё и можно будет делать ограничение по доступам к определённым сайтам, будет вообще супер! Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Если у кого-нибудь есть опыт или знания решения подобных проблем, буду признателен за совет! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted January 30, 2015 Всё было бы очень просто и надёжно сделать используя Микротик. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nov1k Posted January 30, 2015 , Всё было бы очень просто и надёжно сделать используя Микротик. Согласен, но есть только это железо... Сейчас проверил покрытие по офису, оказалось что 2 точки доступа вполне покрывают весь офис. Решил делать 2 отдельные сети. Одна чисто точки доступа в локалку, для ноутов и т.д. А вторая открытая, чисто для инета. Мне показалось так будет проще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted January 30, 2015 Всё просто. Каждый SSID работает в своём влане, в каждом влане по дхцп серверу и своей подсети, роутинг между подсетями запрещён. Я такое всегда делал на нормальных точках доступа бизнес класса типа 2590 от длинка (там из коробки можно разные SSID по разным вланам), коммутатора с вланами и сервера-роутера на фре. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nimer Posted January 30, 2015 (edited) Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Одобряю советы сверху и добавлю, что есть ещё OpenWRT. Посмотрите, вдруг она вам больше понравится. Железо вроде как подходит. Уточните только, какая ревизия у DIR-300. 2 точки доступа вполне покрывают весь офис Учтите, что покрытие — это ещё не гарантия стабильной работы. Обязательно замерьте любым удобным способом пропускную способность канала в самых удалённых точках. Нужно иметь запас. Edited January 30, 2015 by nimer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stas_k Posted January 30, 2015 Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. ISA принимает два интернета от провайдера и отдает в один шнурок в LAN офиса? то есть тебе нужно только WIFI сделать. wifi роутеры переключаешь а режим "acces point" точка доступа. провод LAN от ISA включаешь в lan порт "роутеров". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vnkorol Posted January 31, 2015 Почти на всех мыльницах есть гостевой вайфай - там изоляция от всего как раз и есть. В его сторону посмотрите. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nov1k Posted February 2, 2015 В общем, дорогие форумчане, ситуация в корне поменялась... Я сделал так как описал, всё настроил, но начальство сказало, что им надо по другому... Попытаюсь донести суть того, что они хотят: Необходима веб-АВТОРИЗАЦИЯ пользователя в инет по незапороленному вайфаю и чтобы выход только в инет, т.е. локалка недоступна в принципе(это я знаю как сделать). Но авторизация не простая, а чтобы любой из менеджеров мог через вебморду легко сгенерировать связку логин/пароль для гостя, которая через N минут должна удалиться. При этом должен сохраняться лог того кто эту связку создал и с какого устройства(мак-адрес) производилось подключение. Если есть у кого мыслишки о том КАК такое можно реализовать(теперь, кстати, выделяют под это машину либо виртуалку), буду премного благодарен за советы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo Posted February 2, 2015 Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nov1k Posted February 2, 2015 Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Инета не то чтобы жалко, просто если кто-то что-то скачает\отправит и т.д. через наш инет, то разбираться придут к нам! По тому начальство и хочет себя огородить от таких проблем. Были уже случаи, что кто-то из гостей то ли с вирусом чего по нашему каналу отправил, то ли спам разослал, но в итоге наш ip несколько провайдеров забанили. Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 2, 2015 Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Нужно поставить отдельный биллинг с радиусом, и уже по нему авторизовывать беспроводных клиентов, либо по логину и паролю, либо по мак адресу устройства. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted February 3, 2015 Купите впн загранкой и пускайте гостей через него, тогда к вам не придут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...