Nov1k Опубликовано 30 января, 2015 · Жалоба Добрый день! Мне была поставлена задача организовать WiFi в офисе практически из подручных средств, по этому о безшовности даже и не упоминаю. Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. Так вот есть несколько критериев: 1) Доступ для сотрудников должен быть полным, с доступом в локальную сеть. 2) Доступ для гостей ТОЛЬКО в интернет и либо с ограниченной скоростью, либо с трафиком в 15-20Мб, либо по времени на 15-20 минут. 3) Сеть не должна быть запороленной. Т.е. как я представляю себе, сотрудников можно пропускать по MAC адресу, а все остальные только в инет и локалку видеть не должны. 4) Желательно, но не обязательно, чтобы можно было отслеживать кто подключается и куда лезет. 5) Если ещё и можно будет делать ограничение по доступам к определённым сайтам, будет вообще супер! Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Если у кого-нибудь есть опыт или знания решения подобных проблем, буду признателен за совет! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 30 января, 2015 · Жалоба Всё было бы очень просто и надёжно сделать используя Микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nov1k Опубликовано 30 января, 2015 · Жалоба , Всё было бы очень просто и надёжно сделать используя Микротик. Согласен, но есть только это железо... Сейчас проверил покрытие по офису, оказалось что 2 точки доступа вполне покрывают весь офис. Решил делать 2 отдельные сети. Одна чисто точки доступа в локалку, для ноутов и т.д. А вторая открытая, чисто для инета. Мне показалось так будет проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 января, 2015 · Жалоба Всё просто. Каждый SSID работает в своём влане, в каждом влане по дхцп серверу и своей подсети, роутинг между подсетями запрещён. Я такое всегда делал на нормальных точках доступа бизнес класса типа 2590 от длинка (там из коробки можно разные SSID по разным вланам), коммутатора с вланами и сервера-роутера на фре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nimer Опубликовано 30 января, 2015 (изменено) · Жалоба Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Одобряю советы сверху и добавлю, что есть ещё OpenWRT. Посмотрите, вдруг она вам больше понравится. Железо вроде как подходит. Уточните только, какая ревизия у DIR-300. 2 точки доступа вполне покрывают весь офис Учтите, что покрытие — это ещё не гарантия стабильной работы. Обязательно замерьте любым удобным способом пропускную способность канала в самых удалённых точках. Нужно иметь запас. Изменено 30 января, 2015 пользователем nimer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 30 января, 2015 · Жалоба Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2. В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA. ISA принимает два интернета от провайдера и отдает в один шнурок в LAN офиса? то есть тебе нужно только WIFI сделать. wifi роутеры переключаешь а режим "acces point" точка доступа. провод LAN от ISA включаешь в lan порт "роутеров". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 31 января, 2015 · Жалоба Почти на всех мыльницах есть гостевой вайфай - там изоляция от всего как раз и есть. В его сторону посмотрите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nov1k Опубликовано 2 февраля, 2015 · Жалоба В общем, дорогие форумчане, ситуация в корне поменялась... Я сделал так как описал, всё настроил, но начальство сказало, что им надо по другому... Попытаюсь донести суть того, что они хотят: Необходима веб-АВТОРИЗАЦИЯ пользователя в инет по незапороленному вайфаю и чтобы выход только в инет, т.е. локалка недоступна в принципе(это я знаю как сделать). Но авторизация не простая, а чтобы любой из менеджеров мог через вебморду легко сгенерировать связку логин/пароль для гостя, которая через N минут должна удалиться. При этом должен сохраняться лог того кто эту связку создал и с какого устройства(мак-адрес) производилось подключение. Если есть у кого мыслишки о том КАК такое можно реализовать(теперь, кстати, выделяют под это машину либо виртуалку), буду премного благодарен за советы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nemo Опубликовано 2 февраля, 2015 · Жалоба Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nov1k Опубликовано 2 февраля, 2015 · Жалоба Нафига такое сложности? Вам инета в офисе жалко? Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика. Инета не то чтобы жалко, просто если кто-то что-то скачает\отправит и т.д. через наш инет, то разбираться придут к нам! По тому начальство и хочет себя огородить от таких проблем. Были уже случаи, что кто-то из гостей то ли с вирусом чего по нашему каналу отправил, то ли спам разослал, но в итоге наш ip несколько провайдеров забанили. Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 февраля, 2015 · Жалоба Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;) Нужно поставить отдельный биллинг с радиусом, и уже по нему авторизовывать беспроводных клиентов, либо по логину и паролю, либо по мак адресу устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 3 февраля, 2015 · Жалоба Купите впн загранкой и пускайте гостей через него, тогда к вам не придут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...