Jump to content

как изолировать WDS

dIMbI4
 Share

Recommended Posts

dIMbI4

dIMbI4

Posted
Posted

имеется 433ан мтик. - вынос в поселок. в него воткнуты 2 радиокарты. на одну приходит канал от общей сети, к эзернетам подключены пара компов, на втором wlan-е висят пара десятков клиентов через WDS-static (наносы). все 5 интерфейсов - в bridge1, wds default bridge - тоже bridge1. задача - запретить безпроводным клиентам трефик между друг другом и разрешить доступ только у паре серверов из общей сети. компам с эзернетов нужно видеть все.

мне предложили решение писать бридж фильтерс допустим для 5 клиентов так - wds1-wds2 1-3 1-4 1-5 2-3 2-4 2-5 3-4 3-5 4-5 action drop/

выглядит криврвато да и для 20-30 клиентов борсч. так-же непонял как запретить трафик и разрешить только к нескольким ипам.

кого не затруднит - постучите в асю 498-два-20-269 или тут.

в голову лезет решение вытащить виланами через эзернет два бриджа - приходящий и доступ и разрулить на свиче с помощью ACL

yrida

yrida

Posted
Posted

Так уберите дефаулт форвард на влане и безпроводние клиенти траф между собой прекратят.

SoUgly

SoUgly

Posted
Posted

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?

Dimich99

Dimich99

Posted
Posted (edited)
Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?
бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Edited by Dimich99
wireless_man

wireless_man

Posted
Posted
Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?
бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no

Dimich99

Dimich99

Posted
Posted
Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?
бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no

абсолютно не работает. :) пробовал и в настройках wlan интерфейса и в registration table снимать эту галочку - полюбому роутит между wifi юзерами!

 

dIMbI4

dIMbI4

Posted
  • Author
Posted

пока не появились клиенты .... у всех чтото точки выключены. вечером увидим. но я сомневаюсь в работоспособности вашего варианта.. вечером применю.

Dimich99

Dimich99

Posted
Posted (edited)
сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...
малость провтыкал

у меня бридж это wds1,2,3,4 и wlan

Говорите что wlan можно выкинуть с бриджа?

а между ether и беспроводкой идет роутинг а не бриджинг.

и мое правило фильтрации работает хорошо.Клиент клиента не видить ни на IP ни на ARP уровне.

Edited by Dimich99
SoUgly

SoUgly

Posted
Posted

Вот ключевая фраза: "а между ether и беспроводкой идет роутинг а не бриджинг."

У меня-то бриджинг. Поэтому приходится дропать траф между вдс-ами.

X0t@bych

X0t@bych

Posted
Posted

Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no.

  • 4 months later...
Saab95

Saab95

Posted
Posted

А если клиенты в вдс, а отправлять их надо на Ether1 - который тоже в бридж включен как быть?

 

Ether1, Wlan1, Wds1...Wds10 в бридже. Надо запретить траф между клиентами, однако разрешить им доступ на Ether1.

fastvd

fastvd

Posted
Posted

Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no.

+1, ВДС на клиентах это очень редкий случай, и то в варианте какогото п2п линка, обычного стейшн хватает и самое головное что так правильно)

dIMbI4

dIMbI4

Posted
  • Author
Posted

кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке.

fastvd

fastvd

Posted
Posted

кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке.

ниплохо вы розкачали МТ+всенапрямленку!!!

fastvd

fastvd

Posted
Posted

Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться.

что-то не то вы говорите. классика: ар бридж на МТ - стейшн на УБНТ - пппое пролетает гуд. вот если ваша ар бридж получате инет от клиента то тогда нужен п2п, что есть вдс.

fastvd

fastvd

Posted
Posted

А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись.

ну подменит точка всех 10 юзеров на свой мак, немного нагрузки больше, но работать будет...клиент-база) хотя п2п конечно лучше)

Saab95

Saab95

Posted
Posted

Не будет это работать - клиенты отваливаються через пару минут отсидки.

Да и тем более на сервере очень удобно знать мак адрес клиента.

 

Задал вопрос этот в техподдержку так и не ответили.

Сам потыкал фильтры разные - что-то нифига не получаеться выборочно зарезать.

Ведь трафик через бридж как я понял не ходит, а идет напрямую с wds1..wds10 на ether1 - потому что в бридже никакой трафик не показываеться.

Конечно можно попробовать создать 2 фильтра. В одном дропать все что не идет на ether1, в другом дропать все что пришло не с ether1 - только вот пробовать на рабочих точках как-то не охота, попробую завтра тестовый стенд собрать.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.