[d2006]

В 14.05.2019 в 12:03, vasily сказал:

правило прописал пакеты пошли а клиенты все равно ходят к друг другу

 в Action открой что указано? На базах прописано это же правило в Action стоит drop все нормально работает клиенты по wlan изолированы

[Xaser]

Апну, вот как такое может быть то, вообще не понимаю. Клиент получает инет по рррое, на скрине бс, все клиенты в вдс, брид включает в себя беспроводной интерфейс и сетевой порт лан  1, трафик как то вообще странно бегает. А у клиента по рррое трафик по 0 а по радио нормально бегает что такое не понимаю

[VGA]

Все кто в wds по идее видят друг-друга напрямую соответственно могут напрямую друг друга пинговать.

Что значит " Клиент получает инет по рррое " ? Каждый клиен поднимает своё соединение и только на него получает IP, а сетевой интерфейс у клиента весит без IP? Выложи трассировку с клиента на то что не должен он видеть, но видит сейчас и тогда будет понятно что и где нужно прикрыть.

[Xaser]

Суть не в том видят они друг друга или нет, суть в том что на интерфейса разный трафик по скорости, значит клиенты обмениваются трафиком, в чем проблема не понимаю, на другой бс тебе настройки и проблем нет

[VGA]

1 час назад, Xaser сказал:

Суть не в том видят они друг друга или нет, суть в том что на интерфейса разный трафик по скорости, значит клиенты обмениваются трафиком, в чем проблема не понимаю, на другой бс тебе настройки и проблем нет

с ваших картинок не понятно о чем вы? т.к. что значит клиенты обмениваются трафиком? если у вас все в одном ethernet сегменте то конечно они обмениваются трафиком всякие там бродкасты и мультикасты никто не отменял. Каким трафиком они обмениваются? и в начале вы говорили совсем о другом.

[nkusnetsov]

Для WDS в режиме dynamic (как на картинке) на RouterOS v6, клиентов в пределах одной БС будет изолировать правило:
/interface bridge filter add action=drop chain=forward in-interface-list=dynamic out-interface-list=dynamic

Изменено 5 июня, 2019 пользователем nkusnetsov

[Xaser]

Суть в том, что бы клиенты в приделах одной бс не обменивались между собой трафиком. 

[VGA]

Каким трафиком они не должны обмениваться? Ты же сделал WDS и их в один бридж поместил значит заходи в этот бридж, дальше фильтр, и добавляй в нем правила форвард где выбирай с какого интерфейса на какой трафик ходить не должен, и дропай его. Интерфейсы только не перепутай, тоесть сначала разберись через какой интерфейс и в какой трафик ходит.

[Xaser]

Скрин с клиентской точки, проводной и беспроводной интерфейс в бридже, клиент авторизуется по рррое, а скорость почему то на рррое не семеричная по отношению к бриджу и влану

[VGA]

я так понимаю это абонентская точка доступа и в лан воткнут комп абонента?

Вкладку бридж порт выложи.

Напиши что это за железка, почему wifi интерфейс имеет в названии АР??  эта железка не умеет быть АР только стейшеном? Очень сбивает АР в названии.

Если это стейшен то запреты целесообразно делать на АР т.к. все стейшены к ар подключены там и надо между ними форвард запрещать.

[Xaser]

 Да это Station WDS, клиентская точка, кабель воткнут в лан порт и потом пк абонента. Это SXTsq Lite. lan и wlan в бридже, рррое клиент поднимается на бридже, далее DHCP сервер раздает IP-адреса клиенту тоже в бридже.

Изменено 7 июня, 2019 пользователем Xaser

[VGA]

ну и выкидывай лан из бриджа, DHCP сервер вешай на лан (как у тебя не понятно в одном ethernet сегменте столько DHCP серверов живет вообще не понятно они же друг другу ip раздают) и собственно твоя проблема решена. Абонентский комп будет жить в своей собственной сети. Дальше или 1) нат делаеш на этой точке доступа аут интерфейсом делая DHCP client (самое верное решение которое используют все провайдеры дающие интернет через ппое, правда есть нюанс со слабой мощностью процессора, но скорее всего его для таких простых задач вполне хватит)

или 2) пишиш маршруты на роутере где ппое сервер под каждую абонентскую сетку и нат делаеш на нём (что у тебя наверное уже сделано).

 

А по идее то что у тебя настроено расчитано на то что ппое сам компьютер или другой роутер поднимать будет, соответственно без всяких ip адресов в твоём бридже.

А так как сделано сейчас понятно откуда у тебя трафик там гуляет, комп с соседней точки доступа хватает ip с DHCP сервера этой точки и начинает качать трафик через неё, в результате каналы грузиш на обоих точках доступа.

[Xaser]

Если выбираю порт для dhcp лан, то в ответ получаю ошибку о том, что на slave порт нельзя повесить dhcp server

[VGA]

22 часа назад, Xaser сказал:

Если выбираю порт для dhcp лан, то в ответ получаю ошибку о том, что на slave порт нельзя повесить dhcp server

ты в начале лан порт из бриджа выкини и этой ошибки больше не появится т.к. порт не будет слэйв.

[Saab95]

В 15.05.2019 в 17:26, bg80211 сказал:

для чего sation wds ? если же station bridge

Я ранее уже много раз писал отличия. Когда режим station WDS то беспроводной адаптер добавляется в бридж и PPPoE-Client создается на бридже. Падение интерфейса wlan (в случае обрыва связи с БС) не приводит к падению бриджа и PPPoE клиента на нем. Если клиент успеет быстро переподключиться то соединения не обрываются и у абонента просто кратковременные паузы в связи. А вот когда ставите station bridge то падение wlan при обрыве обрывает и все соединения, а потом pppoe клиент не может подключиться к серверу, пока на нем предыдущее соединение не отвалится.

 

В 08.06.2019 в 02:14, Xaser сказал:

Если выбираю порт для dhcp лан, то в ответ получаю ошибку о том, что на slave порт нельзя повесить dhcp server

Подумайте лучше о том, что вообще нужно для работы и как трафик должен ходить. Скорее всего сеть можно перенастроить на правильную схему.

[Xaser]

6 часов назад, Saab95 сказал:

Подумайте лучше о том, что вообще нужно для работы и как трафик должен ходить. Скорее всего сеть можно перенастроить на правильну

Каким образом и что вы имеете в виду под правильной схемой

[Saab95]

У вас же есть некий центр сети где идет авторизация, и есть некие мосты наверно, базы, к которым абоненты цепляются. Так же абоненты это только антенна - абонент, или после антенны может еще и коммутатор стоять и к нему несколько клиентов?

 

Поэтому может надо изолировать сеть, если микротик, то сделать EoIP туннель до центрального микротика и в нем гонять PPPoE от абонентов (если эта авторизация используется), или если IP на антенне, то разделить сеть на вланы, особенно если убнт еще есть там по другому нельзя. И уже после думать как все закрыть.

[VGA]

Насколько я понял у него это абонентское устройство, то есть типа абонентский роутер, соответственно он должен просто использовать режим стэйшен, на wlan интерфейсе поднимать ррое на лан вешать абонентскую сеть и дхцп, в фаерволе делать нат с маскардом на ррое интерфейс. В общем простой абонентский роутер где вместо wan порта вайфай соединение.

 

[Fint]

В 15.05.2019 в 17:26, bg80211 сказал:

для чего sation wds ? если же station bridge .  

 

А если за одной из ST несколько клиентов, можно использовать station bridge? Что бы работало снятие чек бокса Default Forward и изолировать этих клиентов от остальных ST.

Сеть vlan на базу, клиентские ST в режиме роутера с НАТом, ipoe.

 

Или, как сейчас, все STшки c натом station bridge, а одна с несколькими клиентами sation wds. По идее суть та же, в wds только одна st и с другими не может обмениваться трафиком? Но если появиться еще одна такая ST с несколькими клиентами, то они уже будут гонять трафик между собой?

[Saab95]

В 18.06.2019 в 19:35, VGA сказал:

на wlan интерфейсе поднимать ррое

Интерфейс IP или PPPoE для приема надо поднимать на бридже, в котором состоит wlan, так обезопасите абонентов от частых обрывов, а свой центр от кучи массовых переподключений.

 

6 часов назад, Fint сказал:

А если за одной из ST несколько клиентов, можно использовать station bridge?

station bridge это для терминаторных точек, то есть оконечных, что бы работать с интерфейсом как с L2. Но не для транслирования его дальше.

 

6 часов назад, Fint сказал:

Что бы работало снятие чек бокса Default Forward и изолировать этих клиентов от остальных ST.

Для изоляции следует использовать фильтры бриджа, как раз для того что бы порезать все лишнее в случае с PPPoE, или все лишнее при использовании IP.

 

6 часов назад, Fint сказал:

Или, как сейчас, все STшки c натом station bridge, а одна с несколькими клиентами sation wds. По идее суть та же, в wds только одна st и с другими не может обмениваться трафиком? Но если появиться еще одна такая ST с несколькими клиентами, то они уже будут гонять трафик между собой?

В это случае при наличии PPPoE эта станция требует адреса управления - выдать его так же можно через PPPoE, и на ней точно так же все фильтруется с сетевого кабеля.

[Fint]

13 часов назад, Saab95 сказал:

В это случае при наличии PPPoE эта станция требует адреса управления - выдать его так же можно через PPPoE, и на ней точно так же все фильтруется с сетевого кабеля.

Пппое нет. Я же писал, используется ипое, влан на базу.

В случае если это конечная ст, она работает с натом, на лан интерфейсе дхцп для сети клиента. Беспроводной интерфейс ван порт, получает ип от ядра сети, по нему же управляется. 

Если за СТ несколько клиентов, то ип получает уже клиентское устройство (чаще всего роутер), для управления СТ используется Vlan управления с IP из другой подсети.

Вчера пробовал такую СТ в обоих режимах station bridge и sation wds никакой разницы не увидел, только WDS интерфейс на базе добавляется если sation wds включен.

Saab95, я ничего не понял из Вашего ответа.

Изменено 14 февраля, 2020 пользователем Fint

[Saab95]

5 часов назад, Fint сказал:

Saab95, я ничего не понял из Вашего ответа.

Вот примерно так:

 

На базе настраиваете OSPF для связью с центром. На базе создаете бридж и добавляете в него wlan адаптер, на бридже создаете DHCP сервер, у него создаете статические записи с привязкой по маку CPE на выдачу IP. В настройках IP вешаете нужные сети на бридж, адреса же выдаются поштучно. Клиенты их получают.

 

Если у вас есть CPE за которой подключены еще клиенты, то ей выделяете так же через DHCP служебный адрес что бы не было путаницы с абонентами, и на ней так же DHCP сервер с нужными привязками по макам для выдачи адресов абонентам. Она так же по OSPF соединяется с БС.

 

Таким образом сеть можно масштабировать как угодно, везде одинаковая схема настройки, каналы до БС могут идти по разным направлениям, с резервированием и прочим. Никаких вланов, вланов управления в данном случае не требуется.

 

Все эти простые схемы с вланами работают на маленьких сетях, когда 5000 и более устройств, замучаетесь вланы пробрасывать, их учитывать, особенно если абоненты то пользуются, то на пол года пропадают, короче схема ужасная.

 

Так же касательно бриджей - всегда нужно привязывать настройки именно к бриджам, а не интерфейсам. Это позволяет иметь однотипные конфигурации, которые заливаются на любые устройства, и в случае не активности интерфейсов не обрываются соединения.

[Fint]

18 часов назад, Saab95 сказал:

Вот примерно так:

*** а где здесь про: для чего sation wds ? если же station bridge.

 

Поменял на стшке за которой несколько клиентов sation wds на station bridge, никакой разницы не заметил. А должна быть?