dr.Livci Posted October 30, 2013 Posted October 30, 2013 (edited) Парни, такой простой вопрос: Есть вайфай хотспоты на микротиках в гостинице. Как можно защититься от ситуации, когда юзер пропишет руками себе IP адрес роутера? Edited October 30, 2013 by dr.Livci Вставить ник Quote
Saab95 Posted October 30, 2013 Posted October 30, 2013 Парни, такой простой вопрос: Есть вайфай хотспоты на микротиках в гостинице. Как можно защититься от ситуации, когда юзер пропишет руками себе IP адрес роутера? Включаете изоляцию абонентов каждой точки между собой, и всех точек между собой, запрещаете прохождение пакетов с адреса вашего роутера, если они приходят извне. Отключаете ARP на интерфейсе, в настройках DHCP сервера включаете добавление ARP записей при выдаче адреса абонентам. Вставить ник Quote
dr.Livci Posted November 1, 2013 Author Posted November 1, 2013 (edited) Все настроил - все работает. В кратце схема юзеры (вафля) ---- AP RB912UAG-2HPnD ----- switch_Zyxel_MES3500-24 --- RB1100AH2 В точках доступа RB912UAG-2HPnD - беспроводный и езернет фейсы в бридже. Далее свич _Zyxel собирает в кучу несколько точек RB912UAG-2HPnD, тэгирует трафик и далее подает на (VLAN56 интерфейс) RB1100AH2 (Типа WiFi controller) (на нем HOTSPOT, DHCP, DNS, RADIUS, BGP, шейпер, фаер и т.д и т.п.) Далее хочу защитить адрес шлюза - в дхцп ставлю галку: add ARP for leases - привязки добавляются нормально. Но как только выключаю арп на соответвующем интерфейсе - трафик перестает ходить. И статически я пробовал для теста прописывать ARP записи. Нифига. При этом arp ping работает, icmp пинг и любой другой трафик уже не проходит ни на роутер ни через роутер. Как только вкл арп на фейсе - лыжи сразу едут. В чем может быть прикол? Может быть из-за особенностей VLAN интерфейса - именно на нем шлюз и там и выкл арп ? Если никто не подскажет - разрулю защиту на коммутаторе... Edited November 1, 2013 by dr.Livci Вставить ник Quote
Saab95 Posted November 1, 2013 Posted November 1, 2013 Отключить ARP это имеется Reply-Only. Далее исключите свич от упаковки во вланы - делайте это на самих точках, они все умеют. На точках в настройке радио снимите галочку Default Forward, на центральном микротике так же добавьте все вланы от каждой точки в общий бридж, и на нем заблокируйте передачу данных между портами. Тогда абоненты ничего не смогут, кроме как на сервер и дальше в интернет попадать. Вставить ник Quote
dr.Livci Posted November 1, 2013 Author Posted November 1, 2013 Reply-Only попробую завтра. Что касается свича - то он особо то никак не влияет на суть процессов - просто делает свою работу - пересылает пакеты на порты согласно вланам и макам. А если завести влан на точке тогда юзерам тоже летит тегированный траф. Юзеры его, конечно - не понимают. Поэтому я просто не заводил влан на точки - а слал со свича нетегированный траф. Вставить ник Quote
Saab95 Posted November 2, 2013 Posted November 2, 2013 На точке допустим ether1 смотрит в сеть, создаете бридж, куда помещаете wlan1, создаете влан с нужным номером и так же помещаете его в бридж. Теперь в беспроводку полетит трафик из влана без каких-либо тегов=). В плюсах все управление плоское и на вланы не завязанное, на коммутаторах не надо ничего настраивать, в центре смотрите по каким вланам сколько трафика бегает, и если вдруг одна точка ведет себя не адекватно - например клиент льет мусорный трафик, сразу влан отключаете и потом уже разбираетесь. Вставить ник Quote
dr.Livci Posted November 2, 2013 Author Posted November 2, 2013 Т.е. вы предполагаете, что ether1 у меня не в бридже? И на точке роутинг работает? Нет - у меня юзеры сквозь точку прозрачно проходят по L2. Т.е. на точке доступа - сбриджованы ether1 и wlan1. Когдя я вешаю влан на этот бридж - к клиенту идет тэгированный траф. Вообщем - все это винигред - вланы мутить на точках доступа. Мне на коммутаторах проще настроить и разрулить вланы -ведь они именно и предназначены для этого. Все равно все точки я собираю в управляемый свич. Все равно свичи нужно настраивать (и это весьма просто и быстро) - ведь мне нужно по городу до аппаратной догнать этот траф в отдельном влане до отдельного типа браса RB1100 - на котором у меня поднят хотспот + радиус. И все работает. Просто я притупил с этим отключением арп полностью. И кстати - мне проще на том оконечном свиче , к которому точки подключаются - тупо снять тэги на юзерском влане, и не заморачиваться с настройкой вланов на точках доступа. Это нормальная практика для access портов. А это и есть по сути access порт - порт доступа - к которому прозрачно (L2) сквозь точку подключаются непосредственно клиенты. А для управления точками можно завести отдельный управляющий влан. В итоге на точках я имею до ужаса простейший конфиг - тупо преобразователь среды - практически только радио настроено. Дале все четко рулится на управляемых свичах и на брасе в центре. Ессно - юзеры и точки изолированы друг от друга. Вывод - можно сделать сто разных способов. Но я выбираю - который мне более по душе (рулить вланы на свичах) Вставить ник Quote
Saab95 Posted November 2, 2013 Posted November 2, 2013 Вы не правы. Обычно делается вот как: На Ether1 создается Vlan_1000 например, в нем идет трафик клиентов. В Bridge1 добавляются Wlan1 и Vlan_1000. Управление точкой идет в чистом эзернете по первому порту. На второй точке то же самое, только Vlan_1001 и так далее. В плюсах то, что никакой клиент не завалит сеть, если трафик идет вместе и его запаковывает коммутатор - то какой-то хулиган сможет сделать заворот трафика и приехали. Еще есть другая схема на L3 - делаете как удобно туннель PPP, либо присваиваете IP и т.п., поверх в EoIP или MPLS тянете в центр, где настроен хотспот. В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Короче схема с управлением на коммутаторах самая плохая и сложная, хотя бы по тому, что когда будет точек 100, и захочется подключать не только через свою сеть, но и через чужие, в том числе сети сотовых операторов, придется опять все перенастраивать. А конфиг что так, что сяк, на точке и так будет очень простой, заливать его можно в текстовом виде по mac-telnet, дело 5 секунд. Вставить ник Quote
Adim Posted November 2, 2013 Posted November 2, 2013 (edited) дабы не плодить новую тему спрошу тут ... надеюсь ТС не прибъет)) на чём кроме RB2011UAS-2HnD-IN из этой статьи http://www.lanmart.ru/blogs/mikrotik-hotspot можно сделать подобное для небольшой кафешки? из требований чтоб был дисконнект абонента каждые предположим 30 минут ну и ограничение скорости 1 метр uplink будет с роутера zyxel Edited November 2, 2013 by Adim Вставить ник Quote
dr.Livci Posted November 2, 2013 Author Posted November 2, 2013 (edited) Вы не правы. Обычно делается вот как: Почему я не прав? Я лишь сказал, что одну и туже задачу можно решить разными способами. Нет тут никакого "обычно". Нет единственно правильной схемы. У вас свое "обычно" - у других "свое" обычно. Главное правило - "решай задачу с помощью тех инструментов, которые хорошо знаешь". Заметьте - я не говорю, что Вы не правы, а я прав. Можно делать как вы привыкли, а можно и по другому. Я знаю хорошо определенные модели коммутаторов с десятками полезных фенечек, а не MikroTikOS и RB. И у меня все получилось реализовать. Я вообще могу при необходимости точки доступа заменить на любые другие - потому что не использую никаких специфических вещей - они протсо как радиодоступ и преобразование среды. Управление точкой идет в чистом эзернете по первому порту. А у меня тоже не в грязном эзернете идет управление ) Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Еще есть другая схема на L3 - делаете как удобно туннель PPP, либо присваиваете IP и т.п., поверх в EoIP или MPLS тянете в центр Я вообще ничего не знаю про MPLS - зачем мне эту сущность сюда приплетать? Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн. Зачем мне вообще L3? Я верю, что есть такая схема. И верю - что она рабочая. Но есть и другая схема. Которую я знаю и умею - на L2. Идем далее. В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Что за ужасы. Как? Клиенты не смогут пользоваться нахаляву инетом. Клиент получает при въезде в гостиницу карточку с временным логином и паролем (напоминаю - я юзаю хотспот - веб авторизация - радиус - биллинг - временные учетки генерятся там с логинами/паролями). Только после авторизации - юзеру выдается через радиус-хотспот белый адрес, и добавляется разрешение форвардинга этого ип адреса сквозь RB1100. Все автоматизировано Все логируется. И еще нетфлоу собирается. Никакого общего sNAT адреса (маскарадинга) - только NAT 1:1 (серый адрес полученный до авторизации на хотспот на интерфейс юзера - натиться в белый адрес, полученный после авторизации на биллинге). Никакой анонимности). И полный контроль. Короче схема с управлением на коммутаторах самая плохая и сложная Схема с управлениями на коммутаторах - для меня - самая простая, самая логичная, самая понятная, самая надежная и проверенная мною годами в различных конфигурациях. Я на свичах разрулил вланы, я настроил изоляцию точек, я настроил дхцп снупинг и арп инспекшн (юзеры не смогут руками себе ничего прописать, не смогут левый дхцп сервер включить), Я настроил loop детект и шторм контроль, я настроил арп и дхцп тротлинг (ограничение ппс этих протоколов). Я зарезал мультикаст, игмп, нетбиос, некоторые всем известные "плохие" UDP/TCP порты, типа 135-139, 445. Я делал это тысячу раз ) когда будет точек 100, и захочется подключать не только через свою сеть, но и через чужие, в том числе сети сотовых операторов, придется опять все перенастраивать. Почему придется ВСЁ перенастроить? Мне ничего не придется перенастраивать в уже рабочих сегментах. Всего лишь исходя из конкретных условий добавить новый сегменти пробросить новый линк. Не вижу проблем прокинуть нужный влан. Это тоже легко делается на свичах) - VLAN mapping, QnQ и т.д, а часто просто договариваемся на обычный тэгированный VLAN , который не пересекается у нас и у них. Все равно не правильно? ) дабы не плодить новую тему спрошу тут ... надеюсь ТС не прибъет)) на чём кроме RB2011UAS-2HnD-IN из этой статьи http://www.lanmart.ru/blogs/mikrotik-hotspot можно сделать подобное для небольшой кафешки? из требований чтоб был дисконнект абонента каждые предположим 30 минут ну и ограничение скорости 1 метр uplink будет с роутера zyxel я даже на RB751 делал. и еще на 433 и RB912UAG Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS Edited November 2, 2013 by dr.Livci Вставить ник Quote
NewUse Posted November 2, 2013 Posted November 2, 2013 Все равно не правильно? ) Не обращайте внимания на нищебродские привычки: SAAB не юзает VLAN-ы, т.к. управляемые свитчи -- дорого. Вы делаете абсолюто правильно: каждое оборудование должно выполняь строго отведённую для него роль, но должно выполнять её хорошо. Это мы от бедности задачи разруливания изоляции и фильтрации, а иногда и роутинга переносим на ТД, т.к. уравляемые свитчи и узловые роутеры -- дорого. У меня тоже вошла в привычку схема СААБа, но это именно от бедности, были бы деньги -- делал бы как Вы... Вставить ник Quote
dr.Livci Posted November 2, 2013 Author Posted November 2, 2013 ну, Вы меня просто успокоили ) Вставить ник Quote
Adim Posted November 2, 2013 Posted November 2, 2013 я даже на RB751 делал. и еще на 433 и RB912UAG Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS спасибо за ответ ... что всё таки лучше взять?? клиентов в кафе не более 20 (это пик) канал не более 15 метров поднятый с дшцп zyxel-я присмотрел пока Mikrotik RB751U-2HnD или Mikrotik RB951G-2HnD (этот как я понял отличается гигабитными портами и более мощьным процессором) что посоветуите из этих двух? на что еще обратить внимание??? в выборе данного девайса Вставить ник Quote
dr.Livci Posted November 2, 2013 Author Posted November 2, 2013 просто возьмите самый дешевый RB и попробуйте. Он копейки стоит. В зависимости от топологии помещения может понадобится несколько таких дешевых точек поставить. Обратить внимание только на радиомодуль и антенны и тюнинг всего этого добра. Статей на эту тему много. Вставить ник Quote
SSD Posted November 2, 2013 Posted November 2, 2013 я даже на RB751 делал. и еще на 433 и RB912UAG Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS спасибо за ответ ... что всё таки лучше взять?? клиентов в кафе не более 20 (это пик) канал не более 15 метров поднятый с дшцп zyxel-я присмотрел пока Mikrotik RB751U-2HnD или Mikrotik RB951G-2HnD (этот как я понял отличается гигабитными портами и более мощьным процессором) что посоветуите из этих двух? на что еще обратить внимание??? в выборе данного девайса Если площадь не большая то можно взять 751U поизводительности хватит, если помещение большое и несколько комнат то берите несколько АР и сводите все в микротик. Как АР 751 работает не важно, антенны слабенькие. Вставить ник Quote
Saab95 Posted November 2, 2013 Posted November 2, 2013 Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн. Зачем мне вообще L3? В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Тут имеется в виду, что можно продавать свой интернет через хотспот на сети чужого оператора. Например сейчас у вас одна гостиница, а в другом городе вдруг появилась другая, в которой уже есть интернет от стороннего оператора. Вы поверх его сети просто устанавливаете свои точки, они получают от него адрес, через PPP туннель подключаются к вашему оборудованию, а подключенные по Wi-Fi клиенты получают доступ в сеть. Так же в схеме с вланами нужно понимать, что трафик между всеми точками доступа должен быть заблокирован. Т.к. при большом количестве абонентов они будут генерировать много мусорного трафика, к примеру те, кто делал сети на юнифае, а они только вланы и умеют, при 10-15 точках и 100-200 клиентах получали такой флуд внутри, что временами сеть полностью переставала работать. Помогало только присвоение уникальных вланов или блокировка трафика на коммутаторах. Вставить ник Quote
SSD Posted November 2, 2013 Posted November 2, 2013 Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн. Зачем мне вообще L3? В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Тут имеется в виду, что можно продавать свой интернет через хотспот на сети чужого оператора. Например сейчас у вас одна гостиница, а в другом городе вдруг появилась другая, в которой уже есть интернет от стороннего оператора. Вы поверх его сети просто устанавливаете свои точки, они получают от него адрес, через PPP туннель подключаются к вашему оборудованию, а подключенные по Wi-Fi клиенты получают доступ в сеть. Так же в схеме с вланами нужно понимать, что трафик между всеми точками доступа должен быть заблокирован. Т.к. при большом количестве абонентов они будут генерировать много мусорного трафика, к примеру те, кто делал сети на юнифае, а они только вланы и умеют, при 10-15 точках и 100-200 клиентах получали такой флуд внутри, что временами сеть полностью переставала работать. Помогало только присвоение уникальных вланов или блокировка трафика на коммутаторах. Слушай новомодный, хватит писать бред в каждом топе. Толкай на ланмарте свои теоретические изыскания. Вставить ник Quote
Adim Posted November 2, 2013 Posted November 2, 2013 Если площадь не большая то можно взять 751U поизводительности хватит так и есть площадь небольшая ...спасибо тоже склонялся к RB751U-2HnD Вставить ник Quote
SSD Posted November 2, 2013 Posted November 2, 2013 Если площадь не большая то можно взять 751U поизводительности хватит так и есть площадь небольшая ...спасибо тоже склонялся к RB751U-2HnD Если не хватит покрытия, меняйте на АР. Докупать антенну к роутеру и мастырить ее бесполезная затея. Вставить ник Quote
pppoetest Posted November 3, 2013 Posted November 3, 2013 Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. Вставить ник Quote
Nick_name Posted November 3, 2013 Posted November 3, 2013 Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. ttp://www.youtube.com/watch?v=x4HE15EXhN4 Уважайте присутствующих, с такими постами в другую конференцию пожалуйста. Модераторы прошу удалить пост. Вставить ник Quote
SSD Posted November 3, 2013 Posted November 3, 2013 Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. ttp://www.youtube.com/watch?v=x4HE15EXhN4 Уважайте присутствующих, с такими постами в другую конференцию пожалуйста. Модераторы прошу удалить пост. О как! Вот вашему пиарботы так и следует сделать, его вранье и фантазии всем уже порядком поднадоели. Вставить ник Quote
Vovaartpro Posted May 16, 2016 Posted May 16, 2016 Здравствуйте! Такой вопросик) Возможно ли сделать следующим образом: Настроить хотспот на одном из портов микротик, к которому будет подключено несколько устройств WIFI, Выдавать подключившимся клиентам доступ в сеть через хотспот, но с исключениями для некоторых устройств (допустим это будут статические адреса)...??? Вставить ник Quote
SSD Posted May 17, 2016 Posted May 17, 2016 Здравствуйте! Такой вопросик) Возможно ли сделать следующим образом: Настроить хотспот на одном из портов микротик, к которому будет подключено несколько устройств WIFI, Выдавать подключившимся клиентам доступ в сеть через хотспот, но с исключениями для некоторых устройств (допустим это будут статические адреса)...??? Возможно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.