Перейти к содержимому
Калькуляторы

как изолировать WDS rb433ah L5

имеется 433ан мтик. - вынос в поселок. в него воткнуты 2 радиокарты. на одну приходит канал от общей сети, к эзернетам подключены пара компов, на втором wlan-е висят пара десятков клиентов через WDS-static (наносы). все 5 интерфейсов - в bridge1, wds default bridge - тоже bridge1. задача - запретить безпроводным клиентам трефик между друг другом и разрешить доступ только у паре серверов из общей сети. компам с эзернетов нужно видеть все.

мне предложили решение писать бридж фильтерс допустим для 5 клиентов так - wds1-wds2 1-3 1-4 1-5 2-3 2-4 2-5 3-4 3-5 4-5 action drop/

выглядит криврвато да и для 20-30 клиентов борсч. так-же непонял как запретить трафик и разрешить только к нескольким ипам.

кого не затруднит - постучите в асю 498-два-20-269 или тут.

в голову лезет решение вытащить виланами через эзернет два бриджа - приходящий и доступ и разрулить на свиче с помощью ACL

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

и это будет само правильно - всех в вланы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так уберите дефаулт форвард на влане и безпроводние клиенти траф между собой прекратят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сделайте правило Bridge Filter Rule :

bridgefilter.jpg

Action: drop

 

Vlan'ов не надо.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2Dimich99: И у тебя это работает? Или пост от балды?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2Dimich99: И у тебя это работает? Или пост от балды?
да именно так и работает.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?
бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Изменено пользователем Dimich99

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?
бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что-то в этой записи криво. Получается, что траф через бридж запрещается. Соответственно ели в этом бридже живет wlan и eth всё разом накрывается медным тазом. Может ты используешь для них отдельный бридж?
бридж один.

Согласен выглядит оно не совсем понятно :) но работает только так.

В бридже wlan и ether

wlan состоит с wds1,2,3,4

а правило надо понимать как : все что пришло на интерфейс бриджа (на тот же wlan ) и возвращается назад с интерфеса (с wlana допустим)- кидать в drop!тоесть все пакеты которые адресуются не wifi роутеру обрабатывает forward, и если пакет приходит с интерфейса wlan и его надо отправить назад в этот же интерфейс для доставки реальному получателю -в дроп!

Абсолютно тоже самое получите если сделаете: interface wireless set 0 default-forwarding=no

абсолютно не работает. :) пробовал и в настройках wlan интерфейса и в registration table снимать эту галочку - полюбому роутит между wifi юзерами!

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сорри провтыкал что вдс ... сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...

Изменено пользователем wireless_man

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пока не появились клиенты .... у всех чтото точки выключены. вечером увидим. но я сомневаюсь в работоспособности вашего варианта.. вечером применю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сам wlan с бриджа можно выкинуть он там не нужен .. правило правильное в случае с вдс ...
малость провтыкал

у меня бридж это wds1,2,3,4 и wlan

Говорите что wlan можно выкинуть с бриджа?

а между ether и беспроводкой идет роутинг а не бриджинг.

и мое правило фильтрации работает хорошо.Клиент клиента не видить ни на IP ни на ARP уровне.

Изменено пользователем Dimich99

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот ключевая фраза: "а между ether и беспроводкой идет роутинг а не бриджинг."

У меня-то бриджинг. Поэтому приходится дропать траф между вдс-ами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если клиенты в вдс, а отправлять их надо на Ether1 - который тоже в бридж включен как быть?

 

Ether1, Wlan1, Wds1...Wds10 в бридже. Надо запретить траф между клиентами, однако разрешить им доступ на Ether1.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Никаких причин не вижу в этом случае использовать режим WDS, раз все вдс динамически добавляются в один бридж. Переключить всех клиентов в режим station и включить на базе interface wireless set 0 default-forwarding=no.

+1, ВДС на клиентах это очень редкий случай, и то в варианте какогото п2п линка, обычного стейшн хватает и самое головное что так правильно)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кстати вопрос то остается открытым =) досихпор не решен. спасаюсь только зарезанием скорости на клиентских наносах до 4х мегабит, радио на 36. пик прокачки вечером 20мегабит 20 клиентов на всенаправленной антенке.

ниплохо вы розкачали МТ+всенапрямленку!!!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если клиенты на PPPoE сидят (что кстати удобно на наносах) без WDS не получиться.

что-то не то вы говорите. классика: ар бридж на МТ - стейшн на УБНТ - пппое пролетает гуд. вот если ваша ар бридж получате инет от клиента то тогда нужен п2п, что есть вдс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если за наносом еще сеть и там 10 компов? Тут без вдс не обойтись.

ну подменит точка всех 10 юзеров на свой мак, немного нагрузки больше, но работать будет...клиент-база) хотя п2п конечно лучше)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не будет это работать - клиенты отваливаються через пару минут отсидки.

Да и тем более на сервере очень удобно знать мак адрес клиента.

 

Задал вопрос этот в техподдержку так и не ответили.

Сам потыкал фильтры разные - что-то нифига не получаеться выборочно зарезать.

Ведь трафик через бридж как я понял не ходит, а идет напрямую с wds1..wds10 на ether1 - потому что в бридже никакой трафик не показываеться.

Конечно можно попробовать создать 2 фильтра. В одном дропать все что не идет на ether1, в другом дропать все что пришло не с ether1 - только вот пробовать на рабочих точках как-то не охота, попробую завтра тестовый стенд собрать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.