Jump to content
  • 0

Ограничаване достъпа от Wi-Fi до локалната мрежа


neo
 Share

Question

Здравейте,

В локалната мрежа в офиса към един суич вързвам Mikrotik HAP LITE RB941-2ND към WAN порта. Задавам статичен IP адрес.  Целта е да пусна Wi-Fi за клиенти. Настройвам безжичната мрежа и всичко си работи. Като вляза в тази безжична мрежа, по ip мога да достъпя компютри и сървъри от локалната мрежа.

Може ли да се направи така, че клиентите като се закачат за wifi, случайно да не влязат в някой сървър, да нямат достъп локалната мрежа в офиса?

Пробвах с правила в защитната стена, но спира интернета.

Благодаря!

 

 

Link to comment
Share on other sites

15 answers to this question

Recommended Posts

  • 0
Преди 1 час, neo написа:

Здравейте,

В локалната мрежа в офиса към един суич вързвам Mikrotik HAP LITE RB941-2ND към WAN порта. Задавам статичен IP адрес.  Целта е да пусна Wi-Fi за клиенти. Настройвам безжичната мрежа и всичко си работи. Като вляза в тази безжична мрежа, по ip мога да достъпя компютри и сървъри от локалната мрежа.

Може ли да се направи така, че клиентите като се закачат за wifi, случайно да не влязат в някой сървър, да нямат достъп локалната мрежа в офиса?

Пробвах с правила в защитната стена, но спира интернета.

Благодаря!

 

 

Слагаш в преминаваща верига правило заявките към/dst/ към мрежата от която е и WAN на hAPчето с изключение на адреса на основният рутер/гейта на /hAPчето/ да се дропи си изключение на заявките от /src/ позволените адреси от локалната на hAPчето да се дропят. За целта ще си направиш адрес листа на твоите устройства и листа за мрежата , като ще го вдигнеш като първо правило във веригата. Правилото трябва да изглежда така горе долу:

/ip fi address-list 
add address=172.16.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs
add address=192.168.1.7 list=MyIPs
/ip fi fi 
add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNET" src-address-list="MyIPs"

 

Edited by JohnTRIVOLTA
  • Like 1
  • Thanks 1
Link to comment
Share on other sites

  • 0
Преди 9 часа, JohnTRIVOLTA написа:

Слагаш в преминаваща верига правило заявките към/dst/ към мрежата от която е и WAN на hAPчето с изключение на адреса на основният рутер/гейта на /hAPчето/ да се дропи си изключение на заявките от /src/ позволените адреси от локалната на hAPчето да се дропят. За целта ще си направиш адрес листа на твоите устройства и листа за мрежата , като ще го вдигнеш като първо правило във веригата. Правилото трябва да изглежда така горе долу:

/ip fi address-list add address=172.16.0.0/24 list=LocalNet add address=192.168.1.2 list=MyIPs add address=192.168.1.7 list=MyIPs /ip fi fi add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNET" src-address-list="MyIPs"

/ip fi address-list 
add address=172.16.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs
add address=192.168.1.7 list=MyIPs
/ip fi fi 
add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNET" src-address-list="MyIPs"

 

Допуснал съм грешка в правилото за дроп и то трябва да е:

/ip fi fi 
add action=drop chain=forward dst-address=!172.16.0.1 dst-address-list="LocalNет" src-address-list=!"MyIPs"

Трябва да се дропи всичко към локалната мрежа освен адреса на гейта и освен моите адреси !

Link to comment
Share on other sites

  • 0
Преди 11 часа, master написа:

Hap-a в рутер или ап режим е?

 

В рутера няма други мрежи освен Wi-Fi, който е в режим ap bridge.

 

Правилно ли съм разбрал или някъде греша?

1. Правя адрес лист на цялата LAN мрежа с изключение на адреса Главния рутер и Адреса на hAP-чето.

2. Правя адрес лист на диапазона 195.171.99.2-195.171.99.254

3. Добавям правило в защитната стена най-горе:

/ip fi fi 
add action=drop chain=forward dst-address=!192.168.0.50 dst-address-list="LAN net" src-address-list=!"Wi-Fi"

 

LAN Мрежата на която е закачено hAPчето е от 100 компютъра.

hAP WAN адреса примерно е 192.168.0.50

Wi-Fi шлюз примерно 195.171.99.1 (адресите ги раздава dhcp сървър).

 

Link to comment
Share on other sites

  • 0
Преди 2 часа, neo написа:

 

В рутера няма други мрежи освен Wi-Fi, който е в режим ap bridge.

Да беше написъл така, а не вързал съм го във WAN от начало, че се подразбира така, че го ползваш, като рутер със сорснат! Щом устройството ти е в този режим ще трябва да ползваш филтъра в бриджа. Ако не сработят правилата, трябва да пробват като се махне отметката FastForward на бриджа ! Правилта са други, но така и не мога да разбера какво правиш за да ти постна някакви! А пък тази публична мрежа от къде се появи ???

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Рутер 1 - главен рутер на цялата мрежа - 192.168.0.0/24

Рутер 2 - hAP включвам във WAN порта му кабел от един суич в мрежата на рутер 1 и има само безжична мрежа на него(други мрежи няма).

На Рутер 2 съм задал статичен адрес от мрежата на Рутер1, който примерно е 192.168.0.50 с шлюз 192.168.0.250. На Рутер 2 шлюза е 195.171.99.1, а останалите адреси във Wi-Fi мрежата ги раздава DHCP сървъра.

 

Може ли да се направи така, че клиентите като се закачат за wifi, случайно да не влязат в някой сървър, да нямат достъп локалната мрежа на Рутер 1?

Дали го обясних по-добре не знам.

Edited by neo
Link to comment
Share on other sites

  • 0
преди 5 минути, neo написа:

На Wi-Fi мрежата шлюза е 195.171.99.1, а останалите адреси ги раздава DHCP сървъра.

Нима сте сетнали публична мрежа в локален сегмент ? Ако е така я променете на пример 192.168.1.0/24 като с адрес едно да бъде на бриджа на хапчето

После следвайте правилата от първият ми пост. Изглежда все пак е в рутер нод този hAP Lite

Link to comment
Share on other sites

  • 0
Преди 11 часа, JohnTRIVOLTA написа:
/ip fi address-list 
add address=172.16.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs
add address=192.168.1.7 list=MyIPs

Първия ред Wi-Fi мрежата ли е?

Следващите два реда са адресите на Рутер 1?

Правилно ли съм разбрал?

Edited by neo
Link to comment
Share on other sites

  • 0
преди 37 минути, neo написа:

Първия ред Wi-Fi мрежата ли е?

Следващите два реда са адресите на Рутер 1?

Правилно ли съм разбрал?

Първият ред ти е мрежата локалната с 192.168.0.0/24 . вторият и ътретият ред са пример тези по wifi които ще имат право да влизат по сървърите . Ако няма такива няма да ги добвяте правите.

/ip fi address-list
add address=192.168.0.0/24 list=LocalNet
add address=192.168.1.2 list=MyIPs 
add address=192.168.1.7 list=MyIPs
/ip fi fi 
add action=drop chain=forward dst-address=!192.168.0.1 dst-address-list="LocalNет" src-address-list=!"MyIPs" place-before=0

 

Link to comment
Share on other sites

  • 0

Разбрах, благодаря много!

преди 57 минути, JohnTRIVOLTA написа:

Ако няма такива няма да ги добвяте правите.

Няма такива адреси от Wi-fi, които ще достъпват сървъри.
Тогава тук какъв адес лист да въвеждам?
src-address-list=!"MyIPs"   - 
Link to comment
Share on other sites

  • 0
Преди 1 час, neo написа:

Разбрах, благодаря много!

Няма такива адреси от Wi-fi, които ще достъпват сървъри.
Тогава тук какъв адес лист да въвеждам?
src-address-list=!"MyIPs"   - 

Сложи този на хапа 192.168.1.1

/ip fi address-list
add address=192.168.0.0/24 list=LocalNet
add address=192.168.1.1 list=MyIPs 
/ip fi fi 
add action=drop chain=forward dst-address=!192.168.0.1 dst-address-list="LocalNет" src-address-list=!"MyIPs" place-before=0

  

 

Edited by JohnTRIVOLTA
  • Thanks 1
Link to comment
Share on other sites

  • 0

Изясниха ми се нещата. В понеделник ще задам настройките на рутера.

Благодаря много!

Приятен уикенд!

Link to comment
Share on other sites

  • 0
  • Administrator

Дигни едно виртуално безжично АР и му сложи тотално различна мрежа.

Така си опростяваш задачата,

  • Thanks 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.