Настраиваем CAPsMAN через VLAN

Posted by

Хочу не просто, как я делал до этого использовал , но разграничить доступ к сети, как к адресам за точкой доступа, так и от адресов к сетям обслуживающим главный микротик.

В наличии роутер CCR1009-8G-1S-1S+ (tile) v6.40 на котором у меня развернута служба CAPsMAN и Mikrotik RB951Ui-2HnD v6.40 который выступает, как точка доступа Wi-Fi.

Так вот я хочу чтобы выдача IP адресов подключившимся к точке доступа, к примеру идентификатор подключения с именем SSID: OHRANA выдавались IP адреса из диапозона 172.26.26.0/24 и были ограничены “ом.

Подключаюсь к Mikrotik RB951Ui-2HnD и активирую, что настройки нужно брать с CAPsMAN сервиса.

После переключаюсь на главный Mikrotik и посредством GUI интерфейса утилиты Mikrotik произвожу настройку.

Winbox — IP&DNS — user&pass

Interfaces — вкладка VLANAdd

  • Name:vlanWi-Fi_OHRANA
  • MTU:1500
  • ARP:enabled
  • VLAN ID:8
  • Interface:bridgeLAN

Создаю Address:

Winbox — IP&DNS — user&pass

IP — Address List — Add

  • Address: 172.26.26.1/24
  • Interface:vlanWi-Fi_OHRANA

Настраиваю DHCP сервис для этого интерфейса:

Winbox — IP&DNS — user&pass

IP — DHCP Server — вкладка DHCP и запускаю DHCP Setup где настраиваю сервис автоматической выдачи адресов из указанному (по Вашему выбору диапозону).

После смотрю под каким интерфейсом в CAPsMAN главного роутера подключенный Mikrotik RB951Ui-2HnD обозначился:

Winbox — IP&DNS — user&pass — CAPsMAN — вкладка Radio, здесь

Mikrotik подключился к серверу CAPsMAN

после перехожу во вкладку CAP Interface и нахожу интерфейс добавленного/подсоединенного Mikrotik“а. Далее нужно создать новый интерфейс где Master Interface выставить интерфейс подсоединенного Mikrotik и скопировать MAC адрес главного в поля:

  • MAC Address:
  • Radio MAC:

а затем поменять один октет, если было 6C:3B:6B:DC:09:10 то сделать к примеру: 6C:3B:6B:DC:09:11

После чего пройтись по вкладкам характеризующим настройки Wi-Fi которые будут применены на этой точке доступа Mikrotik RB951Ui-2HnD с главного роутера.

Также не забываем, когда будем создавать конфигурацию Datapath указать в ней настройки подключения к VLAN в котором будут располагаться выдаваемые адреса для подключающихся:

  • Name: datapath5-OHRANA
  • Bridge: bridgeLAN
  • VLAN Mode: use tag
  • VLAN ID: 8

Так это часть по настройке CAPsMAN проста и я уже не один раз ее освящал в своих практических заметках своего блога. Двигаюсь дальше.

Теперь нужно ограничить доступ из сети 172.26.26.0/24 в другие сети обслуживаемые главным микротиком, а делается это одним лишь правилом и списком.

Создаю список адресов закрепленных на главном Mikrotik“е:

Winbox — IP&DNS — user&pass — IP — Firewall, вкладка Address Lists — Add

  • Name: local
  • Address: 10.9.9.0/24

и так столько раз сколько у Вас сетей, главное чтобы поле name было одинакомым.

Создаю правило для работы ограничения подключения из сети Wi-Fi к другим сетям:

Winbox — IP&DNS — user&pass — IP — Firewall, вкладка Filter Rules, Add

вкладка General

  • Chain: forward
  • Src. Address: 172.26.26.0/24

вкладка Advanced

  • Dst. Address List: выбираем список local

вкладка Action

  • Action: drop

На заметку: правило нужно разместить в самом верху где располагаются запрещающие правила.

Местонахождение правила запрещающего доступ из сети Wi-Fi в другие сети

Теперь те адреса которые попадают в список будут недоступны из сети Wi-Fi, что и требовалось. Итого и на этот раз использование VLAN пошло на пользу, а это значит что ничего из той сети не придет в локальную. Ах да что еще — нужно не забыть зарезать им скорость дабы всю полосу не съели:

Winbox — IP&DNS — user&pass — Queues, вкладка Simple Queues — Add

  • Name: ohrana
  • Target: 172.26.26.0/24
  • Max Limit: (Target Upload) 5M
  • Max Limit: (Target Download) 5M

и нажать Apply & OK. Либо еще меньше, либо же разобраться как настраиваются динамичные правила (об этом как нибудь позже).

А пока задача поставленная самому себе выполнена, до новых встреч, с уважением автор блога Олло Александр aka ekzorchik.