Mikrotik: kako dodam izoliran vlan, ki ima dostop le na wan?

Vse kar se da vtakniti v PC ohišje ali kakorkoli priključiti zraven

Moderator: Kroko

Mikrotik: kako dodam izoliran vlan, ki ima dostop le na wan?

OdgovorNapisal/-a s54mtb » 16 Feb 2017, 11:16

V mreži imam RB, ki deluje kot gateway, gor je tudi DHCP. Ima LAN port in WAN port. LAN se širi tudi preko WiFi na oddaljene lokacije (vse preko mikrotikov).

Sedaj bi dodal še eno WiFi točko, ki se bo povezala na eno od vmesnih WiFi, rad bi pa da so vsi klienti gor na tej novi točki izolirani od trenutne mreže (lahko se vidijo med sabo, promet pa gre lahko samo na WAN port). Zanima me kakšen je najoptimalnejši princiup za tako konfiguracijo?
s54mtb
 
Prispevkov: 6684
Pridružen: 15 Jan 2015, 00:10
Zahvalil se je: 881 krat
Prejel zahvalo: 2127 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 19

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a zanka » 16 Feb 2017, 12:18

Če s "še eno Wifi točko" misliš na dodatni SSID, ki ustavari logični vmesnik, potem dodaj firewall pravilo v forwarding, ki onemogoči ves promet med vmesnikoma: novim in obstoječim za LAN.
Uporabniški avatar
zanka
 
Prispevkov: 1153
Pridružen: 17 Mar 2016, 00:16
Kraj: Krško
Zahvalil se je: 69 krat
Prejel zahvalo: 108 krat
Uporabnika povabil: DusanK
Število neizkoriščenih povabil: 20

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a s54mtb » 16 Feb 2017, 12:36

Ne, to bo fizično dodatni routerboard, ki se bo prek wifi povezal na obstoječ LAN.
s54mtb
 
Prispevkov: 6684
Pridružen: 15 Jan 2015, 00:10
Zahvalil se je: 881 krat
Prejel zahvalo: 2127 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 19

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a webmouse » 16 Feb 2017, 19:44

s54mtb je napisal/-a:Ne, to bo fizično dodatni routerboard, ki se bo prek wifi povezal na obstoječ LAN.


Jaz bi v tem primeru na Mikrotiku ustvaril dodatno AP točko katera bi bila ločena od sedanjega prometa in ta routerboard povezal na ta AP.

Kako to narediti .... poglej video iz predavanja .. kjer je prikazano kako se ustvari dva ločena Ap-ja na istem mikrotiku in med seboj ne komunicirata. Mreža HOME in mreža GUEST....
Inteligenca je edina stvar, ki je pošteno razdeljena. Vsak misli, da je ima dovolj...
Uporabniški avatar
webmouse
 
Prispevkov: 201
Pridružen: 26 Apr 2015, 12:56
Zahvalil se je: 5 krat
Prejel zahvalo: 20 krat
Uporabnika povabil: BraneZ
Število neizkoriščenih povabil: 4

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a s56rga » 16 Feb 2017, 22:31

Najlažje bo verjetno z IP-IP tunelom.
Uporabniški avatar
s56rga
 
Prispevkov: 453
Pridružen: 12 Jan 2015, 16:34
Kraj: Koper JN65UM
Zahvalil se je: 69 krat
Prejel zahvalo: 143 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 159

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a s54mtb » 16 Feb 2017, 22:47

Malo preizkušam in v bistvu je še najlažje takole:
guest je 192.168.88.0/24
"glavni" je 192.168.1.0/24

v FW sem dodal:
ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=192.168.1.0/24 action=drop
ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.88.0/24 action=drop

DHCP dodeljuje naslove v guest področju 192.168.88.0/24

moram pa preizkusit, kaj se zgodi, če ročno nastavim IP znotraj 192.168.1.0/24
s54mtb
 
Prispevkov: 6684
Pridružen: 15 Jan 2015, 00:10
Zahvalil se je: 881 krat
Prejel zahvalo: 2127 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 19

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a s54mtb » 16 Feb 2017, 22:49

Je videti v tej konfiguraciji kaj hudo narobe?

Koda: Izberi vse
/interface bridge
add admin-mac=6C:3B:6B:50:4F:66 auto-mac=no comment=testna name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
    testing123 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=enolepogeslo wpa2-pre-shared-key=\
    enolepogeslo
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=testna
/interface bridge port
add bridge=bridge comment=testna interface=ether2-master
add bridge=bridge comment=testna interface=wlan1
/ip address
add address=192.168.88.1/24 comment=testna interface=ether2-master network=\
    192.168.88.0
/ip dhcp-client
add comment=testna dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=testna gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.254,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="testna: accept ICMP" protocol=icmp
add action=accept chain=input comment="testna: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="testna: drop all from WAN" \
    in-interface=ether1
add action=fasttrack-connection chain=forward comment="testna: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="testna: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="testna: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "testna:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
add action=drop chain=forward dst-address=192.168.1.0/24 src-address=\
    192.168.88.0/24
add action=drop chain=forward dst-address=192.168.88.0/24 src-address=\
    192.168.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="testna: masquerade" \
    out-interface=ether1
/ip route
add disabled=yes distance=1 gateway=192.168.1.254
/system clock
set time-zone-name=Europe/Ljubljana
s54mtb
 
Prispevkov: 6684
Pridružen: 15 Jan 2015, 00:10
Zahvalil se je: 881 krat
Prejel zahvalo: 2127 krat
Uporabnika povabil: Vrtni palček
Število neizkoriščenih povabil: 19

Re: Mikrotik: kako dodam izoliran vlan, ki ima dostop le na

OdgovorNapisal/-a zanka » 16 Feb 2017, 23:04

s54mtb je napisal/-a:jasno, stvar ne more delat :)

NAT ;)


na wlan1 nima DHCP odjemalca, temveč je na ether1
Uporabniški avatar
zanka
 
Prispevkov: 1153
Pridružen: 17 Mar 2016, 00:16
Kraj: Krško
Zahvalil se je: 69 krat
Prejel zahvalo: 108 krat
Uporabnika povabil: DusanK
Število neizkoriščenih povabil: 20


Vrni se na Hardware

Kdo je na strani

Po forumu brska: Alex, Carko in 1 gost