Можно ли в mikrotik разрешать клиентам wlan только интернет, а тем кто есть в access list еще и доступ к локальной сети + DHCP с контроллера домена?

Question

[rt001]

Приветствую!

Собственно, САБЖ)

можно ли с одной WiFi сетью (без дополнительной гостевой) организовать такую схему: клиент, подключившийся к ней, по умолчанию получает адрес от DHCP микротика и доступ только к интернету, но если он есть в акцеслисте, то получает адрес от контроллера домена и доступ к локальной сети?

Answer 1

[Дмитрий]

Если без "защиты от дураков", то:
1) запрещаете dhcp пакеты между lan и wlan;
2) вешаете на wlan отдельный DHCP сервер с отдельно подсеткой
3) правилами фаерола запрещаете общение между разными подсетями
(так же можно использовать vlan а не подсети)
4) кому нужно - добавляете static lease в основную сетку ( ту, которая имеет доступ к основной)

Comments

[rt001]

уже вырисовывается некоторая картинка, будем попробовать
спасибо за ответ

Answer 2

[Андрей Ермаченок]

А в чем смысл?
Есть сеть "Гость" с простым паролем для гостей и смартов сотрудников
И сеть "Фирма" со сложным паролем, которого кроме админа никто не знает - доступ в корпоративную сеть.

Не представляю, как сабж должен работать. Клиент прицепился к WiFi - грубо говоря, езернет провод в розетку воткнули. Сетевуха послала запрос к DHCP, получила адрес. Всё. Этот адрес от доменного DHCP, или от гостевого - кто первым ответил, того и адрес у клиента.

Comments

[rt001]

ну, смысл в том, что объект находится далеко, объяснять каждому пользователю к какой из сетей подключаться и каким из устройств, возможности нет, а вот добавить его удаленно в акцеслист я могу и случаев таких не много, когда нужно пользователя пустить в локалку.
территория большая, народу желающего получить тырнет - много.
но если делать с гостевой сетью, то придется для подключения пользователя к локальной:
во-первых - как-то с ним связаться и сказать, что подключаться надо не к "той", а к "вот этой" сети
во-вторых, ему придется сказать пароль от этой сети, не так ли?
на счет кабелей в розетку - крайне маловероятно, во всяком случае, сделать это так, чтобы никто не увидел не удастся.

[rt001]

скажем, если пользователь подключился и он не в акцеслисте, то создать для него vlan, а если он в акцеслисте, то по обычной схеме... или как-то так...
может чушь спорол, но потому и спрашиваю, что не знаю

[Андрей Ермаченок]

rt001: провод в розетку - это не решение, а аналогия. Для сети пофик - беспроводной пользователь подключился через WiFi, или проводной подключился к розетке. Дальше всё происходит одинаково. Решите для провода - решите и для WiFi.
По поводу 2-х сетей - Да, придется сказать пароль пользователю, пользователь вам - МАК своего устройства. Или что имеется ввиду под акцеслистом? Список МАКов. допущенных к корпоративной сети.

[rt001]

Андрей Ермаченок: да, под акцеслистом подразумевается список МАКов
какой из МАКов нужно добавить в акцеслист я пойму по имени машины в DHCP сервере микротика, т.е. для этого мне не придется контактировать с пользователем

Answer 3

[ldv]

А если убрать с микротика DHCP сервер, создать бридж из WiFi и локальной сети? В фильтре бриджа, для интерфейса WiFi запретить все, кроме DHCP. Добавлять в фильтр правила, разрешающие определенным MAC адресам соединения с внутренней сетью.

Comments

[rt001]

хм... надо попробовать, о таком варианте я не думал
спасибо)

[rt001]

хотя... точек много и и они управляются через CAPsMAN... внутри каждой точки есть бридж, в который входят wlan1 и ether1, где ether1 - уже локалка
надо будет тогда поднять везде вланы на ether1 и поместить эти вланы в бридж, потом на основном маршрутизаторе объединить эти вланы в бридж и уже на этом бридже ставить фильтр по МАКу, так же создать еще один DHCP сервер в котором включить relay что ли... да?

[Андрей Ермаченок]

rt001: получается нужно подключить DHCP один общий доменный для всех. А маршрутизатор по МАКу пускает или не пускает в локалку.

[ldv]

rt001: вынести все CAP в отдельный VLAN (на коммутаторах локальной сети), добавить интерфейс CAPsMAN в этот VLAN. Адреса для этой подсети выдавать каким-то одним сервером (доменным через DHCP-relay или микротика). И фильтровать трафик на CAPsMAN.

[ldv]

rt001: но про CAPsMAN знаю только в теории

[ldv]

rt001: судя по file.accesspoint.hu/pdf/uldis.pdf CAPsMAN может помещать клиентов в определенный VLAN по MAC адресу. Можно попробовать посмотреть в этом направлении.

[rt001]

ldvldv: да, на выходных поковыряю, отпишусь о результатах

[rt001]

Андрей Ермаченок: нет. в том-то и дело, что DHCP с контроллера домена должен выдавать адреса только тем, кто допущен в локалку, а кто не допущен, тот получает адрес с DHCP микротика, тут как раз с вланами надо колдовать

[Андрей Ермаченок]

rt001: Понятно. У друга аналогичная задача. Пришли к выводу, что ему лучше на МикроТире развернуть 3 сети - 1 для смартов сотрудников с простым паролем, 2-я для гостей без пароля с доступом к определенным сайтам и дополнительной простой авторизацией для выхода в Инет, и 3-я для доступа к корпоративной сети со сложным паролем. У меня аналогично - простой пароль для гостей и смартов сотрудников, сложный - корпоративная сеть, работает второй год.
У вас специфика: эта хрень должна работать без личного присутствия админа на предприятии.

[rt001]

Андрей Ермаченок:
>У вас специфика: эта хрень должна работать без личного присутствия админа на предприятии.
да, это основная проблема...
ваш путь наиболее простой и прозрачный, я бы так и сделал в обычной ситуации, но в данном случае ситуация меня вынуждает искать другой вариант :-/