Jump to content
Калькуляторы

MikroTik HotSpot Как бороться с прописанными вручную IP адресами

Парни, такой простой вопрос:

 

Есть вайфай хотспоты на микротиках в гостинице.

 

Как можно защититься от ситуации, когда юзер пропишет руками себе IP адрес роутера?

Edited by dr.Livci

Share this post


Link to post
Share on other sites

Парни, такой простой вопрос:

 

Есть вайфай хотспоты на микротиках в гостинице.

 

Как можно защититься от ситуации, когда юзер пропишет руками себе IP адрес роутера?

 

Включаете изоляцию абонентов каждой точки между собой, и всех точек между собой, запрещаете прохождение пакетов с адреса вашего роутера, если они приходят извне. Отключаете ARP на интерфейсе, в настройках DHCP сервера включаете добавление ARP записей при выдаче адреса абонентам.

Share this post


Link to post
Share on other sites

Все настроил - все работает.

 

В кратце схема

юзеры (вафля) ---- AP RB912UAG-2HPnD ----- switch_Zyxel_MES3500-24 --- RB1100AH2

 

В точках доступа RB912UAG-2HPnD - беспроводный и езернет фейсы в бридже.

Далее свич _Zyxel собирает в кучу несколько точек RB912UAG-2HPnD,

тэгирует трафик и далее подает на (VLAN56 интерфейс) RB1100AH2 (Типа WiFi controller)

(на нем HOTSPOT, DHCP, DNS, RADIUS, BGP, шейпер, фаер и т.д и т.п.)

 

Далее хочу защитить адрес шлюза - в дхцп ставлю галку: add ARP for leases - привязки добавляются нормально.

Но как только выключаю арп на соответвующем интерфейсе - трафик перестает ходить.

И статически я пробовал для теста прописывать ARP записи. Нифига.

При этом arp ping работает, icmp пинг и любой другой трафик уже не проходит ни на роутер ни через роутер.

 

Как только вкл арп на фейсе - лыжи сразу едут.

В чем может быть прикол?

Может быть из-за особенностей VLAN интерфейса - именно на нем шлюз и там и выкл арп ?

 

Если никто не подскажет - разрулю защиту на коммутаторе...

Edited by dr.Livci

Share this post


Link to post
Share on other sites

Отключить ARP это имеется Reply-Only. Далее исключите свич от упаковки во вланы - делайте это на самих точках, они все умеют. На точках в настройке радио снимите галочку Default Forward, на центральном микротике так же добавьте все вланы от каждой точки в общий бридж, и на нем заблокируйте передачу данных между портами. Тогда абоненты ничего не смогут, кроме как на сервер и дальше в интернет попадать.

Share this post


Link to post
Share on other sites

Reply-Only попробую завтра.

Что касается свича - то он особо то никак не влияет на суть процессов - просто делает свою работу - пересылает пакеты на порты согласно вланам и макам.

А если завести влан на точке тогда юзерам тоже летит тегированный траф. Юзеры его, конечно - не понимают.

Поэтому я просто не заводил влан на точки - а слал со свича нетегированный траф.

Share this post


Link to post
Share on other sites

На точке допустим ether1 смотрит в сеть, создаете бридж, куда помещаете wlan1, создаете влан с нужным номером и так же помещаете его в бридж. Теперь в беспроводку полетит трафик из влана без каких-либо тегов=). В плюсах все управление плоское и на вланы не завязанное, на коммутаторах не надо ничего настраивать, в центре смотрите по каким вланам сколько трафика бегает, и если вдруг одна точка ведет себя не адекватно - например клиент льет мусорный трафик, сразу влан отключаете и потом уже разбираетесь.

Share this post


Link to post
Share on other sites

Т.е. вы предполагаете, что ether1 у меня не в бридже? И на точке роутинг работает? Нет - у меня юзеры сквозь точку прозрачно проходят по L2.

Т.е. на точке доступа - сбриджованы ether1 и wlan1. Когдя я вешаю влан на этот бридж - к клиенту идет тэгированный траф.

Вообщем - все это винигред - вланы мутить на точках доступа. Мне на коммутаторах проще настроить и разрулить вланы -ведь они именно и предназначены для этого.

Все равно все точки я собираю в управляемый свич. Все равно свичи нужно настраивать (и это весьма просто и быстро) - ведь мне нужно по городу до аппаратной догнать этот траф в отдельном влане до отдельного типа браса

RB1100 - на котором у меня поднят хотспот + радиус.

И все работает.

Просто я притупил с этим отключением арп полностью.

И кстати - мне проще на том оконечном свиче , к которому точки подключаются - тупо снять тэги на юзерском влане, и не заморачиваться с настройкой вланов на точках доступа.

Это нормальная практика для access портов. А это и есть по сути access порт - порт доступа - к которому прозрачно (L2) сквозь точку подключаются непосредственно клиенты.

А для управления точками можно завести отдельный управляющий влан.

В итоге на точках я имею до ужаса простейший конфиг - тупо преобразователь среды - практически только радио настроено.

Дале все четко рулится на управляемых свичах и на брасе в центре.

Ессно - юзеры и точки изолированы друг от друга.

 

Вывод - можно сделать сто разных способов. Но я выбираю - который мне более по душе (рулить вланы на свичах)

Share this post


Link to post
Share on other sites

Вы не правы. Обычно делается вот как:

 

На Ether1 создается Vlan_1000 например, в нем идет трафик клиентов.

В Bridge1 добавляются Wlan1 и Vlan_1000.

Управление точкой идет в чистом эзернете по первому порту.

 

На второй точке то же самое, только Vlan_1001 и так далее.

 

В плюсах то, что никакой клиент не завалит сеть, если трафик идет вместе и его запаковывает коммутатор - то какой-то хулиган сможет сделать заворот трафика и приехали.

 

Еще есть другая схема на L3 - делаете как удобно туннель PPP, либо присваиваете IP и т.п., поверх в EoIP или MPLS тянете в центр, где настроен хотспот. В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Короче схема с управлением на коммутаторах самая плохая и сложная, хотя бы по тому, что когда будет точек 100, и захочется подключать не только через свою сеть, но и через чужие, в том числе сети сотовых операторов, придется опять все перенастраивать.

 

А конфиг что так, что сяк, на точке и так будет очень простой, заливать его можно в текстовом виде по mac-telnet, дело 5 секунд.

Share this post


Link to post
Share on other sites

дабы не плодить новую тему спрошу тут ... надеюсь ТС не прибъет))

на чём кроме RB2011UAS-2HnD-IN из этой статьи http://www.lanmart.ru/blogs/mikrotik-hotspot

можно сделать подобное для небольшой кафешки?

из требований чтоб был дисконнект абонента каждые предположим 30 минут ну и ограничение скорости 1 метр

uplink будет с роутера zyxel

Edited by Adim

Share this post


Link to post
Share on other sites
Вы не правы. Обычно делается вот как:

Почему я не прав?

Я лишь сказал, что одну и туже задачу можно решить разными способами.

Нет тут никакого "обычно".

Нет единственно правильной схемы.

У вас свое "обычно" - у других "свое" обычно.

Главное правило - "решай задачу с помощью тех инструментов, которые хорошо знаешь".

Заметьте - я не говорю, что Вы не правы, а я прав. Можно делать как вы привыкли, а можно и по другому.

Я знаю хорошо определенные модели коммутаторов с десятками полезных фенечек, а не MikroTikOS и RB.

И у меня все получилось реализовать.

Я вообще могу при необходимости точки доступа заменить на любые другие - потому что не использую никаких специфических вещей - они протсо как радиодоступ и преобразование среды.

 

Управление точкой идет в чистом эзернете по первому порту.

А у меня тоже не в грязном эзернете идет управление )

Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан.

 

Еще есть другая схема на L3 - делаете как удобно туннель PPP, либо присваиваете IP и т.п., поверх в EoIP или MPLS тянете в центр

Я вообще ничего не знаю про MPLS - зачем мне эту сущность сюда приплетать?

Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн.

Зачем мне вообще L3?

Я верю, что есть такая схема. И верю - что она рабочая.

Но есть и другая схема. Которую я знаю и умею - на L2.

Идем далее.

В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом.

Что за ужасы. Как?

Клиенты не смогут пользоваться нахаляву инетом.

Клиент получает при въезде в гостиницу карточку с временным логином и паролем (напоминаю - я юзаю хотспот - веб авторизация - радиус - биллинг - временные учетки генерятся там с логинами/паролями).

Только после авторизации - юзеру выдается через радиус-хотспот белый адрес, и добавляется разрешение форвардинга этого ип адреса сквозь RB1100. Все автоматизировано

Все логируется. И еще нетфлоу собирается.

Никакого общего sNAT адреса (маскарадинга) - только NAT 1:1 (серый адрес полученный до авторизации на хотспот на интерфейс юзера - натиться в белый адрес, полученный после авторизации на биллинге).

Никакой анонимности). И полный контроль.

 

Короче схема с управлением на коммутаторах самая плохая и сложная

Схема с управлениями на коммутаторах - для меня - самая простая, самая логичная, самая понятная, самая надежная и проверенная мною годами в различных конфигурациях.

Я на свичах разрулил вланы, я настроил изоляцию точек, я настроил дхцп снупинг и арп инспекшн (юзеры не смогут руками себе ничего прописать, не смогут левый дхцп сервер включить),

Я настроил loop детект и шторм контроль, я настроил арп и дхцп тротлинг (ограничение ппс этих протоколов).

Я зарезал мультикаст, игмп, нетбиос, некоторые всем известные "плохие" UDP/TCP порты, типа 135-139, 445.

 

Я делал это тысячу раз )

 

когда будет точек 100, и захочется подключать не только через свою сеть, но и через чужие, в том числе сети сотовых операторов, придется опять все перенастраивать.

Почему придется ВСЁ перенастроить?

Мне ничего не придется перенастраивать в уже рабочих сегментах.

Всего лишь исходя из конкретных условий добавить новый сегменти пробросить новый линк. Не вижу проблем прокинуть нужный влан. Это тоже легко делается на свичах) - VLAN mapping, QnQ и т.д, а часто просто договариваемся на обычный тэгированный VLAN , который не пересекается у нас и у них.

 

Все равно не правильно? )

 

дабы не плодить новую тему спрошу тут ... надеюсь ТС не прибъет))

на чём кроме RB2011UAS-2HnD-IN из этой статьи http://www.lanmart.ru/blogs/mikrotik-hotspot

можно сделать подобное для небольшой кафешки?

из требований чтоб был дисконнект абонента каждые предположим 30 минут ну и ограничение скорости 1 метр

uplink будет с роутера zyxel

я даже на RB751 делал.

и еще на 433 и RB912UAG

Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS

Edited by dr.Livci

Share this post


Link to post
Share on other sites
Все равно не правильно? )

Не обращайте внимания на нищебродские привычки:

SAAB не юзает VLAN-ы, т.к. управляемые свитчи -- дорого.

Вы делаете абсолюто правильно: каждое оборудование должно выполняь строго отведённую для него роль, но должно выполнять её хорошо.

Это мы от бедности задачи разруливания изоляции и фильтрации, а иногда и роутинга переносим на ТД, т.к. уравляемые свитчи и узловые роутеры -- дорого.

У меня тоже вошла в привычку схема СААБа, но это именно от бедности, были бы деньги -- делал бы как Вы...

Share this post


Link to post
Share on other sites

я даже на RB751 делал.

и еще на 433 и RB912UAG

Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS

спасибо за ответ ...

что всё таки лучше взять??

клиентов в кафе не более 20 (это пик)

канал не более 15 метров поднятый с дшцп zyxel-я

присмотрел пока Mikrotik RB751U-2HnD

или Mikrotik RB951G-2HnD (этот как я понял отличается гигабитными портами и более мощьным процессором)

что посоветуите из этих двух?

на что еще обратить внимание??? в выборе данного девайса

Share this post


Link to post
Share on other sites

просто возьмите самый дешевый RB и попробуйте.

Он копейки стоит.

В зависимости от топологии помещения может понадобится несколько таких дешевых точек поставить.

Обратить внимание только на радиомодуль и антенны и тюнинг всего этого добра.

Статей на эту тему много.

Share this post


Link to post
Share on other sites

я даже на RB751 делал.

и еще на 433 и RB912UAG

Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS

спасибо за ответ ...

что всё таки лучше взять??

клиентов в кафе не более 20 (это пик)

канал не более 15 метров поднятый с дшцп zyxel-я

присмотрел пока Mikrotik RB751U-2HnD

или Mikrotik RB951G-2HnD (этот как я понял отличается гигабитными портами и более мощьным процессором)

что посоветуите из этих двух?

на что еще обратить внимание??? в выборе данного девайса

Если площадь не большая то можно взять 751U поизводительности хватит, если помещение большое и несколько комнат то берите несколько АР и сводите все в микротик. Как АР 751 работает не важно, антенны слабенькие.

Share this post


Link to post
Share on other sites

Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан.

 

Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели.

 

Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн.

Зачем мне вообще L3?

В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом.

 

Тут имеется в виду, что можно продавать свой интернет через хотспот на сети чужого оператора. Например сейчас у вас одна гостиница, а в другом городе вдруг появилась другая, в которой уже есть интернет от стороннего оператора. Вы поверх его сети просто устанавливаете свои точки, они получают от него адрес, через PPP туннель подключаются к вашему оборудованию, а подключенные по Wi-Fi клиенты получают доступ в сеть.

 

Так же в схеме с вланами нужно понимать, что трафик между всеми точками доступа должен быть заблокирован. Т.к. при большом количестве абонентов они будут генерировать много мусорного трафика, к примеру те, кто делал сети на юнифае, а они только вланы и умеют, при 10-15 точках и 100-200 клиентах получали такой флуд внутри, что временами сеть полностью переставала работать. Помогало только присвоение уникальных вланов или блокировка трафика на коммутаторах.

Share this post


Link to post
Share on other sites

Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан.

 

Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели.

 

Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн.

Зачем мне вообще L3?

В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом.

 

Тут имеется в виду, что можно продавать свой интернет через хотспот на сети чужого оператора. Например сейчас у вас одна гостиница, а в другом городе вдруг появилась другая, в которой уже есть интернет от стороннего оператора. Вы поверх его сети просто устанавливаете свои точки, они получают от него адрес, через PPP туннель подключаются к вашему оборудованию, а подключенные по Wi-Fi клиенты получают доступ в сеть.

 

Так же в схеме с вланами нужно понимать, что трафик между всеми точками доступа должен быть заблокирован. Т.к. при большом количестве абонентов они будут генерировать много мусорного трафика, к примеру те, кто делал сети на юнифае, а они только вланы и умеют, при 10-15 точках и 100-200 клиентах получали такой флуд внутри, что временами сеть полностью переставала работать. Помогало только присвоение уникальных вланов или блокировка трафика на коммутаторах.

Слушай новомодный, хватит писать бред в каждом топе. Толкай на ланмарте свои теоретические изыскания.

Share this post


Link to post
Share on other sites

Если площадь не большая то можно взять 751U поизводительности хватит

так и есть площадь небольшая ...спасибо

тоже склонялся к RB751U-2HnD

Share this post


Link to post
Share on other sites

Если площадь не большая то можно взять 751U поизводительности хватит

так и есть площадь небольшая ...спасибо

тоже склонялся к RB751U-2HnD

Если не хватит покрытия, меняйте на АР. Докупать антенну к роутеру и мастырить ее бесполезная затея.

Share this post


Link to post
Share on other sites

Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан.

Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели.

Share this post


Link to post
Share on other sites

Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан.

Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели.

ttp://www.youtube.com/watch?v=x4HE15EXhN4

Уважайте присутствующих, с такими постами в другую конференцию пожалуйста. Модераторы прошу удалить пост.

Share this post


Link to post
Share on other sites

Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан.

Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели.

ttp://www.youtube.com/watch?v=x4HE15EXhN4

Уважайте присутствующих, с такими постами в другую конференцию пожалуйста. Модераторы прошу удалить пост.

О как! Вот вашему пиарботы так и следует сделать, его вранье и фантазии всем уже порядком поднадоели.

Share this post


Link to post
Share on other sites

Здравствуйте! Такой вопросик) Возможно ли сделать следующим образом:

Настроить хотспот на одном из портов микротик, к которому будет подключено несколько устройств WIFI,

Выдавать подключившимся клиентам доступ в сеть через хотспот, но с исключениями для некоторых устройств (допустим это будут статические адреса)...???

Share this post


Link to post
Share on other sites

Здравствуйте! Такой вопросик) Возможно ли сделать следующим образом:

Настроить хотспот на одном из портов микротик, к которому будет подключено несколько устройств WIFI,

Выдавать подключившимся клиентам доступ в сеть через хотспот, но с исключениями для некоторых устройств (допустим это будут статические адреса)...???

Возможно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this