Мрежа в офис, как?

[naskonux]

Здравейте, нов съм във форума, но научих доста от него. Наложи ми се да постегна мрежата на работа (че досега беше пълна боза) и

исках да се консултирам с лица, които са на ТИ в тая област. Та въпроса ми е: имам 5 офиса с по 5 ПЦ-та и по 1~2 принтера. Освен тия офиси има и още

7 ПЦ-та, които също са в същата мрежа, но те не трябва да имат нет.  Досега карахме с обикновен рутер TL-WR841N, съответно с включен DHCP, и на ПЦ-тата

които не трябва да имат нет им набивах ръчно други ИП-та, но те хората не са толкова тъпи и съответно си пускат нет. Обаче един тръгне ли да точи нещо, кляка целия нет и така  намерих едно ПЦ, което не се ползва, съответно с параметри отговарящи и достатъчни за да му се сложи Микротик. Настроих го като пппое сървър, сложих лимит на данлоуд и ъплоуд за всеки абонат.

Обаче има и лаптопи (служебни), на които също трябва да им пусна нет и съответно да са на същата мрежа. Имам два TL-WA701ND (само на 2 от офисите се изисква да има уаерлес) мисля да ги настроя в режим Ap-Bridge към микротика.

Лаптопите ще ги включа също като пппое клиенти и мисля да не заключвам мрежата  на ап-тата. Обаче от време на време идат гости (пак с лаптопи) и всеки път ще трябва да ме викат за да им пускам нет и т.н. За тази цел мисля да пусна хотспот към същата мрежа и гостите да си влизат през него. Но поради това че мрежите са отключени някои външни лица ще могат да се логват спокойно. Нет няма да могат да отскубят, но поради пуснатото DHCP от микротика ще виждат всичко шарнато в мрежата. Проблема може да се оправи ако го спра, но неможах да подкарам хотспота без него. Та питам дали някой е разбрал какво точно ми е на главата и ако има някаква идея, съвет, препоръка, нека го сподели че ми побеля главата.  :-\ Освен да вкарам други ИП адреси на всички служебни ПЦ-та (за да може да си обменят файлове по лан) пък DHCP да си работи за заблуда на противника, и дори и да се конектне ще вижда ПЦ-тата на DHCP. Ако ме питате защо не искам да заключвам мрежите на АП-тата - заради гостите (важни клечки - чужденци) че да не им давам по 2 пароли - една за мрежата и една за хотспот. А защо хотспот, за мое улеснение... като си отвори браузъра ще види че му иска парола и ще вкара тая дет са му я дали секретарите. Целта е служебните компютри да се виждат един друг, и дори и да се конектне чуждо лице да няма достъп до шарнатото. Извинявам се за обърканото обяснение... Ако някой има някаква друга идея, ще съм му благодарен ако я сподели. Мерси предварително!

[¤ DJ69 ¤ (ツ) ¤]

Не си описал тия офиси къде са? В един град или единия е на луната и т.н. ... на един доставчик ли трябва да останат 5 те или на различни. На кратко е желателно за всеки офис да си имаш рутер според изискванията за скорости и др. Дай по - подробно описание ( нарисувай една примерна схема с офисите и разстоянията м/у тях . )

[naskonux]

Всичко това е в една фирма. Доставчика е един. Мрежата си я има и работи със стария рутер, но искам да огранича юзърите по скорост, което не е възможно с него. Просто в двата офиса трябва да има и уаерлес, като условието е да има мрежа между служебните ПЦ-та. Ето принципно как изглеждат нещата:

[¤ DJ69 ¤ (ツ) ¤]

Каква е преносната среда м/у офисите. Има ли изискване да не се виждат компютрите в мрежата ? Защо НЕ можеш да ги ограничиш по скорост като си с микротик ?

След тоя микротик сложи един умен суич и си нацепи всеки офис в отделен VLAN.....

[naskonux]

Връзката между офисите е по кабел. Изискването е компютрите да СЕ виждат (всичко описано е служебни ПЦ-та). С микротика съм ограничил скоростта за всяко ПЦ през пппое (говорим за ограничение САМО на интернет), но за въпросните "непостоянни" клиенти (гостите) мисля да пусна хотспот. Съответно в двата офиса да сложа по едно АП в бридж мод, като от тия АП-та нет ще ползват и служебни лаптопи. Проблема е това че ако заключа уаерлес си узложнявам работата, а ако не го заключа, има вероятност някой да ловне сигнала, да получи IP от DHCP на микротика и да си ровичка в шарнатите файлове. Пък при спряно DHCP хотспота не бачка (или аз немога да го подкарам). Ще го мъча и утре... В краен случай ръчно въвеждан ИП адреси на служебните ПЦ-та, за да се виждат. Така дори и да се включи някой към мрежата ще получи IP  от DHCP и няма да вижда шарнатото от служебните, пък и не мисля да разполага с IP сканер 

[¤ DJ69 ¤ (ツ) ¤]

Ами ако са ръчно зададени и няма DHCP за тях, а има DHCP за хотспота но то  да е отделна мрежа?

п.п. махни го тоя шеринг изцяло и си пусни едно локално FTP което да се вижда само от служебните PC та и да е с парола.

[naskonux]

Само да допълня, DHCP-то раздава САМО адреси, без нет. По този начин ограничавам и ПЦ-тата, на които не трябва да има нет, т.е. и да си настроят ИП на автоматичен режим няма да имат нет, а само лан. Нет ще имат само юзърите с пппое и хотоспот конекции.

[naskonux]

Май това ще е най-доброто решение...     "Ако двамата имаме по една ябълка и ги разменим, пак ще имаме по една ябълка. Ако двамата имаме по една идея и ги разменим, всеки ще има по две!"

Много правилно казано 

[111111]

един рутерборд 750 ще свърши цялата работа

ти какъв админ си ако си им дал да си менкат адресите както те си искат

само и единствено dhcp ще ти свърши работата и с шеипинга и с всичко

въпроса е да си направиш разделянето на мрежата с AP-тата

разкарвай го това рррое то не е за офис

[naskonux]

Проблема е че не съм админ, и нямам много знания в тая област (то трябва и да си личи). Както казах мрежата беше боза и трябваше да се вкара в някакав ред.

"Разделяне на мрежата с AP-тата" искаш да кажеш да не са в бридж мод, за да не лъчат dhcp-то, или пък да са на отделен порт на рутерборда?

[danielskiii]

simple quenes и hotspot за лаптопите

[MiPSus]

Бре човек, пусни си DHCP си въведи биндинг IP/MAC за всичките служебни, след това ги опиши в шейпъра, другото DROP.

Пусни хотспот на единия порт и включи лана на единия 701 като ап - ще покрие достатъчно (ако не, вържи другия 701 към него в другия край като рипитър)

[111111]

В хотспота на профилите има начин да се зададе скорост без да се дават simple queues

в dhcp при биндване има подобна опция

хотспота на отделен порт в отделна мрежа

[danielskiii]

симпле имах предвид за машините

а пък хотспот-а за лаптопите който ще са на вифи

[111111]

именно когато бинднеш някой в dhcp може да му зададеш и скорости