Гостевой WiFi — ограничение доступа?

Question

[Никита Мелихов]

Здравствуйте. Тут вопрос немного нубский, но у меня голова уже работать не хочет, решил обратиться за советом.
Есть сеть - интернет - > микротик с адресом 10.0.5.1/28 -> роутер dlink-615 c openwrt с адресом 10.0.5.14/28, настроен просто как точка доступа. Сервер (AD, Samba, XBMC, etc...) с адресом 10.0.5.10/28(к примеру). Также микротик держит несколько туннелей по работе, в общей сложности около 15 маршрутов на разные подсети, настроил на больничном, так и оставил.
Решил по доброте душевной поднять гостевую сеть для соседей друзей, кои приходят в гости очень часто и в больших количествах, адресов на всех не хватает, да и маки добавлять в DHCP задолбался.
Cоздал wifi - интерфейс без пароля "Guest_51", назначил адрес 172.14.1.1/24, DHCP-сервер, занатил интерфейс на lan, интернет работает.
Проблема в том, что из этой сети не должно быть доступа ни на мою сеть, ни на рабочие подсети, только выход в интернет.
Вижу 2 варианта решения:
1) Создать vlan на микротике, vlan на длинке, wifi-интерфейс в бридж с вланом
2) Разрулить файрволом
Посоветуйте, как такое можно сделать?

UPD:прикладываю корявую карту сети

Answer 1

[Станислав Сомов]

В картинках на openwrt за 5 минут wiki.openwrt.org/doc/recipes/guest-wlan-webinterface
через конфиги wiki.openwrt.org/doc/recipes/guest-wlan
в картинках на русском https://docs.google.com/document/d/1HGJqoD4zdtkk-C...

Comments

[Никита Мелихов]

Спасибо, но я это настроил сразу и менее, чем за 5 минут, вопрос в другом стоит

[Станислав Сомов]

А в чем проблема запретить на d-link запрещенные сети.

Answer 2

[Кирилл 1]

Микротик изначально маршрутизирует сети между собой....что то типа такого сделать если ? устроит ?

Comments

[Никита Мелихов]

Увы нет, работать не будет. Гостевая сеть находится на не микротике, а на длинке, и натится в сеть микротика. В итоге на микротик приходит не адрес гостевого клиента, а адрес длинка. Специально вот сейчас попробовал - нет, не подходит(
Пробовал вланы - не работает, видимо длинк не поддерживает.

[Кирилл 1]

Никита Мелихов: т.е у вас адресацию раздает dlink ? а шлюзом стоит микротик у dlink'a ?

[Никита Мелихов]

сейчас нарисую карту

[Кирилл 1]

Никита Мелихов: ну так вот, на микротике запретите сети 172.14.1.0/24 гулять в другие сети, и это правило на самый верх....

[Никита Мелихов]

Кирилл: Карту прикрепил, Вы все правильно поняли. Основной вайфай просто бриджем, адреса раздаются с микротика. Гостевой же наоборот - сеть на длинке, dhcp-сервер на длинке, натится в адрес 10.0.5.14/28

[Кирилл 1]

Никита Мелихов: я Вас немного опередил ) с ответом, см. выше. =)

[Никита Мелихов]

Кирилл: Спасибо за мысль, я сейчас прописал маршрут на микротике на 172.14.1.0/24 via 10.0.5.14, сеть видится. Поковыряю фаервол, посмотрим что выйдет)

[Кирилл 1]

Никита Мелихов: отлично, дайте знать нам что у Вас получилось, что и как.

[Никита Мелихов]

Никита Мелихов: Увы, не получается. Сеть за натом, я не могу ею рулить на микротике. Буду искать точку доступа с поддержкой vlan, или вообще поставлю еще одну отдельную ради такого дела. Спасибо за участие)

[Кирилл 1]

Никита Мелихов: покажите конфиг MK, аж интересно....

[Никита Мелихов]

Кирилл:
[admin@router] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 гейтвей 1
1 ADC 10.0.5.0/28 10.0.5.1 ether2-master-l... 0
2 ADS 10.1.0.0/16 10.113.68.1 1
3 ADS 10.6.0.0/16 10.113.68.1 1
4 ADS 10.8.0.0/13 10.113.68.1 1
5 ADS 10.113.0.0/16 10.113.68.1 1
6 ADC 10.113.68.0/23 10.113.69.244 ether1-gateway 0
7 ADS 10.238.0.0/16 10.113.68.1 1
8 ADS 77.238.132.0/22 10.113.68.1 1
9 ADS 85.113.136.0/21 10.113.68.1 1
10 ADS 85.113.144.0/20 10.113.68.1 1
11 ADC провайдер/32 гейтвей pppoe-inet 0
12 ADC 172.15.1.0/30 172.15.1.2 ipip-rsrv 0
13 ADC 172.16.15.0/30 172.16.15.1 ipip-che 0
14 A S 192.168.0.0/24 ipip-rsrv 1
15 A S 192.168.1.0/24 l2tp-kwn1 1
16 A S 192.168.8.0/22 ipip-che 1
17 A S 192.168.33.0/24 ipip-rsrv 1
18 A S 192.168.37.0/24 ipip-rsrv 1
19 A S 192.168.38.0/24 l2tp-kwn1 1
20 ADC 192.168.38.115/32 192.168.38.254 l2tp-kwn1 0
21 A S 192.168.48.0/24 ipip-rsrv 1
22 A S 192.168.130.0/24 ipip-rsrv 1

[admin@router] /ip route> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=output action=accept log=no log-prefix=""

1 chain=forward action=accept in-interface=ether2-master-local out-interface=pppoe-inet log=no
log-prefix=""

2 ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""

3 ;;; default configuration
chain=input action=accept connection-state=established log=no log-prefix=""

4 chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix=""

5 chain=input action=accept protocol=tcp in-interface=pppoe-inet port=1723 log=no log-prefix=""

6 chain=input action=accept in-interface=l2tp-kwn1 log=no log-prefix=""

7 chain=input action=accept in-interface=ipip-che log=no log-prefix=""

8 chain=input action=accept in-interface=ipip-rsrv log=no log-prefix=""

9 ;;; default configuration
chain=input action=drop in-interface=pppoe-inet log=no log-prefix=""

[admin@router] /ip route> /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1-gateway ether 1500 1520 1520 00:0C:42:A0:AB:E7
1 R ether2-master-local ether 1500 1520 1520 00:0C:42:A0:AB:E8
2 S ether3-guest-local ether 1500 1520 1520 00:0C:42:A0:AB:E9
3 RS ether4-slave-local ether 1500 1520 1520 00:0C:42:A0:AB:EA
4 RS ether5-slave-local ether 1500 1520 1520 00:0C:42:A0:AB:EB
5 R ipip-che ipip-tu... 1460 65535
6 R ipip-rsrv ipip-tu... 1460 65535
7 R l2tp-kwn1 l2tp-out 1410
8 R pppoe-inet pppoe-out 1480

В довольно хаотичном состоянии)

Answer 3

[Клёвый Админ]

Правило нужно создать только на dlink. Выше уровнем у вас уже нет такой адресации, которая в вашей гостевой сети используется и микротик её не увидит.

Увы, плохо знаю возможности wrt'шки, что бы предложить альтернативу.

Answer 4

[xjunkiex]

это называется wifi isolation
wiki.openwrt.org/doc/uci/wireless
Name Type Required Default Description
isolate boolean no 0 Isolate wireless clients from each other, only applicable in ap mode. May not be supported in the original Backfire release for mac80211