dr.Livci Опубликовано 30 октября, 2013 (изменено) · Жалоба Парни, такой простой вопрос: Есть вайфай хотспоты на микротиках в гостинице. Как можно защититься от ситуации, когда юзер пропишет руками себе IP адрес роутера? Изменено 30 октября, 2013 пользователем dr.Livci Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 октября, 2013 · Жалоба Парни, такой простой вопрос: Есть вайфай хотспоты на микротиках в гостинице. Как можно защититься от ситуации, когда юзер пропишет руками себе IP адрес роутера? Включаете изоляцию абонентов каждой точки между собой, и всех точек между собой, запрещаете прохождение пакетов с адреса вашего роутера, если они приходят извне. Отключаете ARP на интерфейсе, в настройках DHCP сервера включаете добавление ARP записей при выдаче адреса абонентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 30 октября, 2013 · Жалоба все понял, спс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 1 ноября, 2013 (изменено) · Жалоба Все настроил - все работает. В кратце схема юзеры (вафля) ---- AP RB912UAG-2HPnD ----- switch_Zyxel_MES3500-24 --- RB1100AH2 В точках доступа RB912UAG-2HPnD - беспроводный и езернет фейсы в бридже. Далее свич _Zyxel собирает в кучу несколько точек RB912UAG-2HPnD, тэгирует трафик и далее подает на (VLAN56 интерфейс) RB1100AH2 (Типа WiFi controller) (на нем HOTSPOT, DHCP, DNS, RADIUS, BGP, шейпер, фаер и т.д и т.п.) Далее хочу защитить адрес шлюза - в дхцп ставлю галку: add ARP for leases - привязки добавляются нормально. Но как только выключаю арп на соответвующем интерфейсе - трафик перестает ходить. И статически я пробовал для теста прописывать ARP записи. Нифига. При этом arp ping работает, icmp пинг и любой другой трафик уже не проходит ни на роутер ни через роутер. Как только вкл арп на фейсе - лыжи сразу едут. В чем может быть прикол? Может быть из-за особенностей VLAN интерфейса - именно на нем шлюз и там и выкл арп ? Если никто не подскажет - разрулю защиту на коммутаторе... Изменено 1 ноября, 2013 пользователем dr.Livci Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 ноября, 2013 · Жалоба Отключить ARP это имеется Reply-Only. Далее исключите свич от упаковки во вланы - делайте это на самих точках, они все умеют. На точках в настройке радио снимите галочку Default Forward, на центральном микротике так же добавьте все вланы от каждой точки в общий бридж, и на нем заблокируйте передачу данных между портами. Тогда абоненты ничего не смогут, кроме как на сервер и дальше в интернет попадать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 1 ноября, 2013 · Жалоба Reply-Only попробую завтра. Что касается свича - то он особо то никак не влияет на суть процессов - просто делает свою работу - пересылает пакеты на порты согласно вланам и макам. А если завести влан на точке тогда юзерам тоже летит тегированный траф. Юзеры его, конечно - не понимают. Поэтому я просто не заводил влан на точки - а слал со свича нетегированный траф. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 ноября, 2013 · Жалоба На точке допустим ether1 смотрит в сеть, создаете бридж, куда помещаете wlan1, создаете влан с нужным номером и так же помещаете его в бридж. Теперь в беспроводку полетит трафик из влана без каких-либо тегов=). В плюсах все управление плоское и на вланы не завязанное, на коммутаторах не надо ничего настраивать, в центре смотрите по каким вланам сколько трафика бегает, и если вдруг одна точка ведет себя не адекватно - например клиент льет мусорный трафик, сразу влан отключаете и потом уже разбираетесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 2 ноября, 2013 · Жалоба Т.е. вы предполагаете, что ether1 у меня не в бридже? И на точке роутинг работает? Нет - у меня юзеры сквозь точку прозрачно проходят по L2. Т.е. на точке доступа - сбриджованы ether1 и wlan1. Когдя я вешаю влан на этот бридж - к клиенту идет тэгированный траф. Вообщем - все это винигред - вланы мутить на точках доступа. Мне на коммутаторах проще настроить и разрулить вланы -ведь они именно и предназначены для этого. Все равно все точки я собираю в управляемый свич. Все равно свичи нужно настраивать (и это весьма просто и быстро) - ведь мне нужно по городу до аппаратной догнать этот траф в отдельном влане до отдельного типа браса RB1100 - на котором у меня поднят хотспот + радиус. И все работает. Просто я притупил с этим отключением арп полностью. И кстати - мне проще на том оконечном свиче , к которому точки подключаются - тупо снять тэги на юзерском влане, и не заморачиваться с настройкой вланов на точках доступа. Это нормальная практика для access портов. А это и есть по сути access порт - порт доступа - к которому прозрачно (L2) сквозь точку подключаются непосредственно клиенты. А для управления точками можно завести отдельный управляющий влан. В итоге на точках я имею до ужаса простейший конфиг - тупо преобразователь среды - практически только радио настроено. Дале все четко рулится на управляемых свичах и на брасе в центре. Ессно - юзеры и точки изолированы друг от друга. Вывод - можно сделать сто разных способов. Но я выбираю - который мне более по душе (рулить вланы на свичах) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 ноября, 2013 · Жалоба Вы не правы. Обычно делается вот как: На Ether1 создается Vlan_1000 например, в нем идет трафик клиентов. В Bridge1 добавляются Wlan1 и Vlan_1000. Управление точкой идет в чистом эзернете по первому порту. На второй точке то же самое, только Vlan_1001 и так далее. В плюсах то, что никакой клиент не завалит сеть, если трафик идет вместе и его запаковывает коммутатор - то какой-то хулиган сможет сделать заворот трафика и приехали. Еще есть другая схема на L3 - делаете как удобно туннель PPP, либо присваиваете IP и т.п., поверх в EoIP или MPLS тянете в центр, где настроен хотспот. В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Короче схема с управлением на коммутаторах самая плохая и сложная, хотя бы по тому, что когда будет точек 100, и захочется подключать не только через свою сеть, но и через чужие, в том числе сети сотовых операторов, придется опять все перенастраивать. А конфиг что так, что сяк, на точке и так будет очень простой, заливать его можно в текстовом виде по mac-telnet, дело 5 секунд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Adim Опубликовано 2 ноября, 2013 (изменено) · Жалоба дабы не плодить новую тему спрошу тут ... надеюсь ТС не прибъет)) на чём кроме RB2011UAS-2HnD-IN из этой статьи http://www.lanmart.ru/blogs/mikrotik-hotspot можно сделать подобное для небольшой кафешки? из требований чтоб был дисконнект абонента каждые предположим 30 минут ну и ограничение скорости 1 метр uplink будет с роутера zyxel Изменено 2 ноября, 2013 пользователем Adim Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 2 ноября, 2013 (изменено) · Жалоба Вы не правы. Обычно делается вот как: Почему я не прав? Я лишь сказал, что одну и туже задачу можно решить разными способами. Нет тут никакого "обычно". Нет единственно правильной схемы. У вас свое "обычно" - у других "свое" обычно. Главное правило - "решай задачу с помощью тех инструментов, которые хорошо знаешь". Заметьте - я не говорю, что Вы не правы, а я прав. Можно делать как вы привыкли, а можно и по другому. Я знаю хорошо определенные модели коммутаторов с десятками полезных фенечек, а не MikroTikOS и RB. И у меня все получилось реализовать. Я вообще могу при необходимости точки доступа заменить на любые другие - потому что не использую никаких специфических вещей - они протсо как радиодоступ и преобразование среды. Управление точкой идет в чистом эзернете по первому порту. А у меня тоже не в грязном эзернете идет управление ) Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Еще есть другая схема на L3 - делаете как удобно туннель PPP, либо присваиваете IP и т.п., поверх в EoIP или MPLS тянете в центр Я вообще ничего не знаю про MPLS - зачем мне эту сущность сюда приплетать? Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн. Зачем мне вообще L3? Я верю, что есть такая схема. И верю - что она рабочая. Но есть и другая схема. Которую я знаю и умею - на L2. Идем далее. В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Что за ужасы. Как? Клиенты не смогут пользоваться нахаляву инетом. Клиент получает при въезде в гостиницу карточку с временным логином и паролем (напоминаю - я юзаю хотспот - веб авторизация - радиус - биллинг - временные учетки генерятся там с логинами/паролями). Только после авторизации - юзеру выдается через радиус-хотспот белый адрес, и добавляется разрешение форвардинга этого ип адреса сквозь RB1100. Все автоматизировано Все логируется. И еще нетфлоу собирается. Никакого общего sNAT адреса (маскарадинга) - только NAT 1:1 (серый адрес полученный до авторизации на хотспот на интерфейс юзера - натиться в белый адрес, полученный после авторизации на биллинге). Никакой анонимности). И полный контроль. Короче схема с управлением на коммутаторах самая плохая и сложная Схема с управлениями на коммутаторах - для меня - самая простая, самая логичная, самая понятная, самая надежная и проверенная мною годами в различных конфигурациях. Я на свичах разрулил вланы, я настроил изоляцию точек, я настроил дхцп снупинг и арп инспекшн (юзеры не смогут руками себе ничего прописать, не смогут левый дхцп сервер включить), Я настроил loop детект и шторм контроль, я настроил арп и дхцп тротлинг (ограничение ппс этих протоколов). Я зарезал мультикаст, игмп, нетбиос, некоторые всем известные "плохие" UDP/TCP порты, типа 135-139, 445. Я делал это тысячу раз ) когда будет точек 100, и захочется подключать не только через свою сеть, но и через чужие, в том числе сети сотовых операторов, придется опять все перенастраивать. Почему придется ВСЁ перенастроить? Мне ничего не придется перенастраивать в уже рабочих сегментах. Всего лишь исходя из конкретных условий добавить новый сегменти пробросить новый линк. Не вижу проблем прокинуть нужный влан. Это тоже легко делается на свичах) - VLAN mapping, QnQ и т.д, а часто просто договариваемся на обычный тэгированный VLAN , который не пересекается у нас и у них. Все равно не правильно? ) дабы не плодить новую тему спрошу тут ... надеюсь ТС не прибъет)) на чём кроме RB2011UAS-2HnD-IN из этой статьи http://www.lanmart.ru/blogs/mikrotik-hotspot можно сделать подобное для небольшой кафешки? из требований чтоб был дисконнект абонента каждые предположим 30 минут ну и ограничение скорости 1 метр uplink будет с роутера zyxel я даже на RB751 делал. и еще на 433 и RB912UAG Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS Изменено 2 ноября, 2013 пользователем dr.Livci Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 2 ноября, 2013 · Жалоба Все равно не правильно? ) Не обращайте внимания на нищебродские привычки: SAAB не юзает VLAN-ы, т.к. управляемые свитчи -- дорого. Вы делаете абсолюто правильно: каждое оборудование должно выполняь строго отведённую для него роль, но должно выполнять её хорошо. Это мы от бедности задачи разруливания изоляции и фильтрации, а иногда и роутинга переносим на ТД, т.к. уравляемые свитчи и узловые роутеры -- дорого. У меня тоже вошла в привычку схема СААБа, но это именно от бедности, были бы деньги -- делал бы как Вы... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 2 ноября, 2013 · Жалоба ну, Вы меня просто успокоили ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Adim Опубликовано 2 ноября, 2013 · Жалоба я даже на RB751 делал. и еще на 433 и RB912UAG Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS спасибо за ответ ... что всё таки лучше взять?? клиентов в кафе не более 20 (это пик) канал не более 15 метров поднятый с дшцп zyxel-я присмотрел пока Mikrotik RB751U-2HnD или Mikrotik RB951G-2HnD (этот как я понял отличается гигабитными портами и более мощьным процессором) что посоветуите из этих двух? на что еще обратить внимание??? в выборе данного девайса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr.Livci Опубликовано 2 ноября, 2013 · Жалоба просто возьмите самый дешевый RB и попробуйте. Он копейки стоит. В зависимости от топологии помещения может понадобится несколько таких дешевых точек поставить. Обратить внимание только на радиомодуль и антенны и тюнинг всего этого добра. Статей на эту тему много. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 ноября, 2013 · Жалоба я даже на RB751 делал. и еще на 433 и RB912UAG Нарезать скорости, навешать ограничений - все это можно прекрасно намутить на RouterOS спасибо за ответ ... что всё таки лучше взять?? клиентов в кафе не более 20 (это пик) канал не более 15 метров поднятый с дшцп zyxel-я присмотрел пока Mikrotik RB751U-2HnD или Mikrotik RB951G-2HnD (этот как я понял отличается гигабитными портами и более мощьным процессором) что посоветуите из этих двух? на что еще обратить внимание??? в выборе данного девайса Если площадь не большая то можно взять 751U поизводительности хватит, если помещение большое и несколько комнат то берите несколько АР и сводите все в микротик. Как АР 751 работает не важно, антенны слабенькие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 ноября, 2013 · Жалоба Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн. Зачем мне вообще L3? В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Тут имеется в виду, что можно продавать свой интернет через хотспот на сети чужого оператора. Например сейчас у вас одна гостиница, а в другом городе вдруг появилась другая, в которой уже есть интернет от стороннего оператора. Вы поверх его сети просто устанавливаете свои точки, они получают от него адрес, через PPP туннель подключаются к вашему оборудованию, а подключенные по Wi-Fi клиенты получают доступ в сеть. Так же в схеме с вланами нужно понимать, что трафик между всеми точками доступа должен быть заблокирован. Т.к. при большом количестве абонентов они будут генерировать много мусорного трафика, к примеру те, кто делал сети на юнифае, а они только вланы и умеют, при 10-15 точках и 100-200 клиентах получали такой флуд внутри, что временами сеть полностью переставала работать. Помогало только присвоение уникальных вланов или блокировка трафика на коммутаторах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 ноября, 2013 · Жалоба Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. Зачем мне PPP? Юзеры в гостинице не будут на смартфонах настраивать впн. Зачем мне вообще L3? В случае автоматического получения IP от вышестоящего, можно сделать такой конфиг, когда подключив ее в любом месте клиенты смогут пользоваться вашим интернетом. Тут имеется в виду, что можно продавать свой интернет через хотспот на сети чужого оператора. Например сейчас у вас одна гостиница, а в другом городе вдруг появилась другая, в которой уже есть интернет от стороннего оператора. Вы поверх его сети просто устанавливаете свои точки, они получают от него адрес, через PPP туннель подключаются к вашему оборудованию, а подключенные по Wi-Fi клиенты получают доступ в сеть. Так же в схеме с вланами нужно понимать, что трафик между всеми точками доступа должен быть заблокирован. Т.к. при большом количестве абонентов они будут генерировать много мусорного трафика, к примеру те, кто делал сети на юнифае, а они только вланы и умеют, при 10-15 точках и 100-200 клиентах получали такой флуд внутри, что временами сеть полностью переставала работать. Помогало только присвоение уникальных вланов или блокировка трафика на коммутаторах. Слушай новомодный, хватит писать бред в каждом топе. Толкай на ланмарте свои теоретические изыскания. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Adim Опубликовано 2 ноября, 2013 · Жалоба Если площадь не большая то можно взять 751U поизводительности хватит так и есть площадь небольшая ...спасибо тоже склонялся к RB751U-2HnD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 ноября, 2013 · Жалоба Если площадь не большая то можно взять 751U поизводительности хватит так и есть площадь небольшая ...спасибо тоже склонялся к RB751U-2HnD Если не хватит покрытия, меняйте на АР. Докупать антенну к роутеру и мастырить ее бесполезная затея. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 3 ноября, 2013 · Жалоба Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nick_name Опубликовано 3 ноября, 2013 · Жалоба Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. ttp://www.youtube.com/watch?v=x4HE15EXhN4 Уважайте присутствующих, с такими постами в другую конференцию пожалуйста. Модераторы прошу удалить пост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 3 ноября, 2013 · Жалоба Я просто говорю, что хорошей практикой является для управления железками выделть отдельный влан. Это устаревшая и примитивная тема, которая пошла от железок, которые ничего больше не умели. ttp://www.youtube.com/watch?v=x4HE15EXhN4 Уважайте присутствующих, с такими постами в другую конференцию пожалуйста. Модераторы прошу удалить пост. О как! Вот вашему пиарботы так и следует сделать, его вранье и фантазии всем уже порядком поднадоели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vovaartpro Опубликовано 16 мая, 2016 · Жалоба Здравствуйте! Такой вопросик) Возможно ли сделать следующим образом: Настроить хотспот на одном из портов микротик, к которому будет подключено несколько устройств WIFI, Выдавать подключившимся клиентам доступ в сеть через хотспот, но с исключениями для некоторых устройств (допустим это будут статические адреса)...??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 17 мая, 2016 · Жалоба Здравствуйте! Такой вопросик) Возможно ли сделать следующим образом: Настроить хотспот на одном из портов микротик, к которому будет подключено несколько устройств WIFI, Выдавать подключившимся клиентам доступ в сеть через хотспот, но с исключениями для некоторых устройств (допустим это будут статические адреса)...??? Возможно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...