LINUX.ORG.RU
решено ФорумAdmin

Добавление изолированного сегмента сети в RouterOS

 


0

2

Товарищи, здравствуйте.

Есть Miktotik, на нём есть RouterOS.

Необходимо подключить к сети несколько (недоверенных) беспроводных устройств так, чтобы они видели друг друга, могли ходить в интернет, но не видели всех остальных устройств, уже подключённых к сети.

Короче, налицо задача создания двух независимых изолированных сегментов сети с выходом обоих сегментов в интернет.

Вопрос: как это делается в RouterOS?

Если это может помочь, есть несколько простых D-Link’ов, так что можно создать отдельный SSID, подключить недоверенные устройства по Wi-Fi к D-Link’у, а уже D-Link через Ethernet-порт подключить к вышестоящему Mikrotik’у (если Mikrotik позволяет привязать сегмент сети к конкретному Ethernet-порту).

★★★★★

Последнее исправление: Bass (всего исправлений: 1)
Настройка Wireguard на роутере ( клиенты не видят друг друга )
OpenWRT wireguard

Выдели в отдельную сеть заблокируй прохождение пакетов между основной сетью и изолированной. На микротике отдельный NAT для новой сети. Ну либо не отдельный, если правила для NAT написаны на основе исходящего интерфейса, а не IP адресов локальной сети.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)

Необходимо подключить к сети несколько (недоверенных) беспроводных устройств так, чтобы они видели друг друга, могли ходить в интернет, но не видели всех остальных устройств, уже подключённых к сети.

Создаешь VirtualAP с другим SSID (по ситуации можешь в отдельный br добавить если требуется), делаешь другую подсеть и dhcp сервер для этой сети, ограничиваешь доступ через firewall, если нужен выход в интернет не забудь про nat

Kolins ★★★★★
()
Ответ на: комментарий от Kolins

Да, всё сделал, но в результате в новом («гостевом», vlan-id=20) сегменте DHCP-сервер не выдаёт клиентам IP-адрес:

/ip dhcp-server print detail where name="dhcpd-guest"
Flags: D - dynamic, X - disabled, I - invalid 
 0    name="dhcpd-guest" interface=bridge-guest lease-time=10m address-pool=dhcp-guest authoritative=yes 
      use-radius=no lease-script=""

Пул адресов:

/ip pool print detail where name="dhcp-guest"
 0 name="dhcp-guest" ranges=192.168.20.2-192.168.20.254

Мост:

/interface bridge print detail where name="bridge-guest"
Flags: X - disabled, R - running 
 0 R name="bridge-guest" mtu=auto actual-mtu=1500 l2mtu=1596 arp=enabled arp-timeout=auto 
     mac-address=... protocol-mode=rstp fast-forward=yes igmp-snooping=no auto-mac=yes 
     ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 
     vlan-filtering=no dhcp-snooping=no

/interface bridge port print detail where bridge="bridge-guest"    
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 0     interface=vlan-guest-wlan1 bridge=bridge-guest priority=0x80 path-cost=10 internal-path-cost=10 
       edge=auto point-to-point=auto learn=auto horizon=none auto-isolate=no restricted-role=no 
       restricted-tcn=no pvid=1 frame-types=admit-all ingress-filtering=no unknown-unicast-flood=yes 
       unknown-multicast-flood=yes broadcast-flood=yes tag-stacking=no bpdu-guard=no trusted=no 
       multicast-router=temporary-query fast-leave=no 

 1     interface=vlan-guest-wlan2 bridge=bridge-guest priority=0x80 path-cost=10 internal-path-cost=10 
       edge=auto point-to-point=auto learn=auto horizon=none auto-isolate=no restricted-role=no 
       restricted-tcn=no pvid=1 frame-types=admit-all ingress-filtering=no unknown-unicast-flood=yes 
       unknown-multicast-flood=yes broadcast-flood=yes tag-stacking=no bpdu-guard=no trusted=no 
       multicast-router=temporary-query fast-leave=no

Виртуальные AP:

/interface wireless print detail where vlan-id=20              
Flags: X - disabled, R - running 
 0    name="vap-guest-wlan1" mtu=1500 l2mtu=1600 mac-address=6E:3B:6B:BD:BF:85 arp=enabled 
      interface-type=virtual master-interface=wlan1 mode=ap-bridge ssid="mgts293" vlan-mode=no-tag 
      vlan-id=20 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled 
      default-authentication=no default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 
      hide-ssid=no security-profile=security-profile-guest 

 1  R name="vap-guest-wlan2" mtu=1500 l2mtu=1600 mac-address=6E:3B:6B:BD:BF:84 arp=enabled 
      interface-type=virtual master-interface=wlan2 mode=ap-bridge ssid="mgts293" vlan-mode=no-tag 
      vlan-id=20 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled 
      default-authentication=no default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 
      hide-ssid=no security-profile=security-profile-guest

В логах DHCP-сервера пустота.

ЧЯДНТ?

Bass ★★★★★
() автор топика
Последнее исправление: Bass (всего исправлений: 1)
Ответ на: комментарий от Bass

ip из подсети 192.168.20.0/24 на интерфейс bridge-guest добавил? В /ip dhcp-server networks прописал какие настройки выдавать клиентам?

vlan-id=20

Если изолированная сеть не выходит на пределы mkt, то никаких vlan не надо настраивать, просто wlan интерфейсы в br собрать

Kolins ★★★★★
()
Ответ на: комментарий от Kolins

ip из подсети 192.168.20.0/24 на интерфейс bridge-guest добавил?

> /ip address add address=192.168.20.1/24 interface=bridge-guest
> /ip address print detail where interface=bridge-guest 
Flags: X - disabled, I - invalid, D - dynamic 
 0   address=192.168.20.1/24 network=192.168.20.0 interface=bridge-guest actual-interface=bridge-guest

В /ip dhcp-server networks прописал какие настройки выдавать клиентам?

> /ip pool add name=dhcp-guest ranges=192.168.20.2-192.168.20.254
> /ip dhcp-server add name=dhcpd-guest interface=bridge-guest address-pool=dhcp-guest
> /ip dhcp-server enable dhcpd-guest
> /ip dhcp-server network add address=192.168.20.0/24 gateway=192.168.20.1
> /ip dhcp-server network print detail where address="192.168.20.0/24"
Flags: D - dynamic 
 0   address=192.168.20.0/24 gateway=192.168.20.1 dns-server="" wins-server="" ntp-server="" caps-manager="" 
     dhcp-option=""
Bass ★★★★★
() автор топика
Ответ на: комментарий от Kolins

vlan-id=20

убрал с wlan интерфейсов?

Физическим wlan-интерфейсам (wlan1 и wlan2) я атрибут vlan-id и не навешивал.

Виртуальным AP, насколько я понимаю, этот атрибут таки нужен, потому что иначе непонятно, как будет выполняться привязка клиента к той или иной VLAN.

Что ещё можно было бы сделать – это

  • явно добавить виртуальные AP (vap-guest-wlan1 и vap-guest-wlan2) в мост bridge-guest (но стоит ли? Ведь через них фактически никаких данных проходить не будет);
  • явно «навесить» атрибут vlan-id на записи в access-list, привязывающие MAC-адреса к виртуальным AP.

Попытки присоединиться, выключив firewall между сетями 192.168.0.0/24 (домашней) и 192.168.20.0/24 (гостевой) ни к чему не привели – поведение прежнее (соединение с виртуальным AP успешно, пароль верен, соединения с сетью нет).

Попытки присоединиться со статическим IP-адресом (минуя DHCP) – то же самое. Т.е. проблема точно не в DHCP.

В логе при попытке подключиться вижу следующее:

jan/28 01:11:30 wireless,info A4:C6:9A:29:69:FB@wlan2: disconnected, received deauth: sending station leaving (3) 
jan/28 01:11:30 wireless,info A4:C6:9A:29:69:FB@vap-guest-wlan2: connected, signal strength -52 
jan/28 01:11:48 wireless,info A4:C6:9A:29:69:FB@vap-guest-wlan2: disconnected, received deauth: sending station leaving (3) 
jan/28 01:11:51 wireless,info A4:C6:9A:29:69:FB@wlan2: connected, signal strength -59
Bass ★★★★★
() автор топика
Последнее исправление: Bass (всего исправлений: 1)
Настройка Wireguard на роутере ( клиенты не видят друг друга )
Admin
OpenWRT wireguard