Хочу не просто, как я делал до этого использовал CAPsMAN, но разграничить доступ к сети, как к адресам за точкой доступа, так и от адресов к сетям обслуживающим главный микротик.
В наличии роутер Mikrotik CCR1009-8G-1S-1S+ (tile) v6.40 на котором у меня развернута служба CAPsMAN и Mikrotik RB951Ui-2HnD v6.40 который выступает, как точка доступа Wi-Fi.
Так вот я хочу чтобы выдача IP адресов подключившимся к точке доступа, к примеру идентификатор подключения с именем SSID: OHRANA выдавались IP адреса из диапозона 172.26.26.0/24 и были ограничены VLAN“ом.
Подключаюсь к Mikrotik RB951Ui-2HnD и активирую, что настройки нужно брать с CAPsMAN сервиса.
После переключаюсь на главный Mikrotik и посредством GUI интерфейса утилиты Mikrotik произвожу настройку.
Winbox — IP&DNS — user&pass
Interfaces — вкладка VLAN — Add
Name:vlanWi-Fi_OHRANAMTU:1500ARP:enabledVLAN ID:8Interface:bridgeLAN
Создаю Address:
Winbox — IP&DNS — user&pass
IP — Address List — Add
Address: 172.26.26.1/24Interface:vlanWi-Fi_OHRANA
Настраиваю DHCP сервис для этого интерфейса:
Winbox — IP&DNS — user&pass
IP — DHCP Server — вкладка DHCP и запускаю DHCP Setup где настраиваю сервис автоматической выдачи адресов из указанному (по Вашему выбору диапозону).
После смотрю под каким интерфейсом в CAPsMAN главного роутера подключенный Mikrotik RB951Ui-2HnD обозначился:
Winbox — IP&DNS — user&pass — CAPsMAN — вкладка Radio, здесь
после перехожу во вкладку CAP Interface и нахожу интерфейс добавленного/подсоединенного Mikrotik“а. Далее нужно создать новый интерфейс где Master Interface выставить интерфейс подсоединенного Mikrotik и скопировать MAC адрес главного в поля:
MAC Address:Radio MAC:
а затем поменять один октет, если было 6C:3B:6B:DC:09:10 то сделать к примеру: 6C:3B:6B:DC:09:11
После чего пройтись по вкладкам характеризующим настройки Wi-Fi которые будут применены на этой точке доступа Mikrotik RB951Ui-2HnD с главного роутера.
Также не забываем, когда будем создавать конфигурацию Datapath указать в ней настройки подключения к VLAN в котором будут располагаться выдаваемые адреса для подключающихся:
Name: datapath5-OHRANABridge:bridgeLANVLAN Mode: use tagVLAN ID: 8
Так это часть по настройке CAPsMAN проста и я уже не один раз ее освящал в своих практических заметках своего блога. Двигаюсь дальше.
Теперь нужно ограничить доступ из сети 172.26.26.0/24 в другие сети обслуживаемые главным микротиком, а делается это одним лишь правилом и списком.
Создаю список адресов закрепленных на главном Mikrotik“е:
Winbox — IP&DNS — user&pass — IP — Firewall, вкладка Address Lists — Add
Name: localAddress: 10.9.9.0/24
и так столько раз сколько у Вас сетей, главное чтобы поле name было одинакомым.
Создаю правило для работы ограничения подключения из сети Wi-Fi к другим сетям:
Winbox — IP&DNS — user&pass — IP — Firewall, вкладка Filter Rules, Add
вкладка General
Chain: forwardSrc. Address: 172.26.26.0/24
вкладка Advanced
Dst. Address List: выбираем список local
вкладка Action
Action: drop
На заметку: правило нужно разместить в самом верху где располагаются запрещающие правила.
Теперь те адреса которые попадают в список будут недоступны из сети Wi-Fi, что и требовалось. Итого и на этот раз использование VLAN пошло на пользу, а это значит что ничего из той сети не придет в локальную. Ах да что еще — нужно не забыть зарезать им скорость дабы всю полосу не съели:
Winbox — IP&DNS — user&pass — Queues, вкладка Simple Queues — Add
Name: ohranaTarget: 172.26.26.0/24Max Limit: (Target Upload) 5MMax Limit: (Target Download) 5M
и нажать Apply & OK. Либо еще меньше, либо же разобраться как настраиваются динамичные правила (об этом как нибудь позже).
А пока задача поставленная самому себе выполнена, до новых встреч, с уважением автор блога Олло Александр aka ekzorchik.