[Nov1k]

Добрый день!

Мне была поставлена задача организовать WiFi в офисе практически из подручных средств, по этому о безшовности даже и не упоминаю.

Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2.

В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA.

Так вот есть несколько критериев:

1) Доступ для сотрудников должен быть полным, с доступом в локальную сеть.

2) Доступ для гостей ТОЛЬКО в интернет и либо с ограниченной скоростью, либо с трафиком в 15-20Мб, либо по времени на 15-20 минут.

3) Сеть не должна быть запороленной. Т.е. как я представляю себе, сотрудников можно пропускать по MAC адресу, а все остальные только в инет и локалку видеть не должны.

4) Желательно, но не обязательно, чтобы можно было отслеживать кто подключается и куда лезет.

5) Если ещё и можно будет делать ограничение по доступам к определённым сайтам, будет вообще супер!

 

Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать. Если у кого-нибудь есть опыт или знания решения подобных проблем, буду признателен за совет!

[Trueno]

Всё было бы очень просто и надёжно сделать используя Микротик.

[Nov1k]

,

Всё было бы очень просто и надёжно сделать используя Микротик.

Согласен, но есть только это железо...

Сейчас проверил покрытие по офису, оказалось что 2 точки доступа вполне покрывают весь офис. Решил делать 2 отдельные сети. Одна чисто точки доступа в локалку, для ноутов и т.д. А вторая открытая, чисто для инета. Мне показалось так будет проще.

[Ivan_83]

Всё просто.

Каждый SSID работает в своём влане, в каждом влане по дхцп серверу и своей подсети, роутинг между подсетями запрещён.

Я такое всегда делал на нормальных точках доступа бизнес класса типа 2590 от длинка (там из коробки можно разные SSID по разным вланам), коммутатора с вланами и сервера-роутера на фре.

[nimer]

Пытаюсь настроить что-то подобное на DD-WRT, но пока смутно себе представляю как это сделать.

Одобряю советы сверху и добавлю, что есть ещё OpenWRT. Посмотрите, вдруг она вам больше понравится. Железо вроде как подходит. Уточните только, какая ревизия у DIR-300.

2 точки доступа вполне покрывают весь офис

Учтите, что покрытие — это ещё не гарантия стабильной работы. Обязательно замерьте любым удобным способом пропускную способность канала в самых удалённых точках. Нужно иметь запас.

Изменено 30 января, 2015 пользователем nimer

[stas_k]

Есть 4 роутера: 2x D-link DIR300 и 2x ZyXel keenetik lite 2.

В офис заходит инет от 2-х провайдеров. Есть порядка 10 выделенных ip адресов. В офисе инет раздаётся через ISA.

 

ISA принимает два интернета от провайдера и отдает в один шнурок в LAN офиса?

 

то есть тебе нужно только WIFI сделать.

 

wifi роутеры переключаешь а режим "acces point" точка доступа. провод LAN от ISA включаешь в lan порт "роутеров".

[vnkorol]

Почти на всех мыльницах есть гостевой вайфай - там изоляция от всего как раз и есть. В его сторону посмотрите.

[Nov1k]

В общем, дорогие форумчане, ситуация в корне поменялась...

Я сделал так как описал, всё настроил, но начальство сказало, что им надо по другому...

Попытаюсь донести суть того, что они хотят:

Необходима веб-АВТОРИЗАЦИЯ пользователя в инет по незапороленному вайфаю и чтобы выход только в инет, т.е. локалка недоступна в принципе(это я знаю как сделать).

Но авторизация не простая, а чтобы любой из менеджеров мог через вебморду легко сгенерировать связку логин/пароль для гостя, которая через N минут должна удалиться. При этом должен сохраняться лог того кто эту связку создал и с какого устройства(мак-адрес) производилось подключение.

Если есть у кого мыслишки о том КАК такое можно реализовать(теперь, кстати, выделяют под это машину либо виртуалку), буду премного благодарен за советы.

[nemo]

Нафига такое сложности? Вам инета в офисе жалко?

Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика.

[Nov1k]

Нафига такое сложности? Вам инета в офисе жалко?

Мы просто ограничили скорость в гостевой сети. Настраивается в 2 клика.

Инета не то чтобы жалко, просто если кто-то что-то скачает\отправит и т.д. через наш инет, то разбираться придут к нам! По тому начальство и хочет себя огородить от таких проблем.

Были уже случаи, что кто-то из гостей то ли с вирусом чего по нашему каналу отправил, то ли спам разослал, но в итоге наш ip несколько провайдеров забанили.

Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;)

[Saab95]

Это на самом деле левые отговорки начальства, по большей части просто хотят меня нагрузить, но мне не жалко, самому интересно такую систему зафигачить ;)

 

Нужно поставить отдельный биллинг с радиусом, и уже по нему авторизовывать беспроводных клиентов, либо по логину и паролю, либо по мак адресу устройства.

[Ivan_83]

Купите впн загранкой и пускайте гостей через него, тогда к вам не придут.