Mikrotik + AP

pavel1tu

Jak by jste ideálně řešili připojení AP k Mikrotiku. Respektivě je má vize správná a půjde to takto rozchodit - než koupím AP.

AP:

- 1 SSID pro rodinu - přístup do celé sítě + internet

- 2 SSID pro návštěvy - jen na internet

Mám dobrou vizi - vytvořit 2 WLANy a ty pak správně nastavit ?

Předem díky

mirek_k

Dotaz je hodně zmatený. Jaké AP se má připojit k jakému Mikrotiku a Ethernetem, nebo WLAN?

dacesilian

Bud si koupíte mikrotik s WiFi, pak můžete udělat více wlan (SSID). Nebo budete mít apcko zvlášť a pak budete pro oddělení chtít použít vlan. Spíše formulujte dotaz lépe.

ladik

Ja to pochopil urcite dobre a to:

- chce AP MikroTik

- chce 2x SSID

- chce aby se z SSID1 dostal kazdy do cele site vcetne netu

- u SSID2 chce aby se lidi dostali pouze do netu a nevideli okolni zarizeni na siti

Odpoved: ano jde to

pavel1tu

Omlouvám se,

jedná se přímo o Mikrotik RB760iGS hEX S - bez Wifi - router bude v místě připojení od poskytovatele a kabelem spojený, a bude ho i napájet , s MIKROTIK cAP 2nD AP - umístěn zhruba uprostřed bytu.

Jsem zvyklý mít doma WiFi pro návštěvy, ale jen internet, nevidí celou moji síť (NASy, PC atd.) - měl jsem 2 různé SSID, ty bych ponechal.

Popřípadě pokud bych pak zvládl nastavit VLAN na dané SSID (a ne WLAN - sorry dost blbej překlep) aby se dostali jen na internet, popřípadě TV, když se promítají fotky z mobilu.

Druhé SSID bez omezení.

Nejde mi o to jak, ale zda to jde, než to koupím.

Moc děkuji

norg

ano pujde to

ale v soucasne dobe bych cAP 2nD AP uz nekupoval a vzal cAP ac

pavel1tu

ano pujde to

ale v soucasne dobe bych cAP 2nD AP uz nekupoval a vzal cAP ac

Původně jsem chtěl, ale těch 5GHz je do paneláku tak trochu na prd - blbě to prolejzá zdmi.

Možná jen, že by to mohlo být někdy potřeba, a zatím těch 5GHz vypnout pokud to půjde ....

dacesilian

Původně jsem chtěl, ale těch 5GHz je do paneláku tak trochu na prd - blbě to prolejzá zdmi.

Nezapomeňte omezit výkon podle norem. Na 2,4 GHz to pak přes jednu-dvě zdi pojede třeba jen 5 Mbit/s. Chce to asi spíš více APček, než dát výkon na plný kotel.

Takhle jsem zjistil, že jsem si koupil Mikrotiky bez 5 GHz a docela to zamrzí, když pak jede WiFi tak pomalu.

myghael

Do bytu bych spíše než jeden na max ohulený hAP nebo co doporučil rozstrkat po bytě několik (dva, tři, čtyři, podle dispozic) hAP mini nebo lite. Nebo dát hEX PoE a z něj napájet několik cAP ac.

pavel1tu

Měl jsem Netgear, a výkon jsem měl na nějakých 10% - vyhovovalo to.

vše co potřebuje hodně dat, NASy, TV, BR atd. je na kabelu , každá místnost chytrý Switch.

Taď řeším jen router a wifi pro mobily.

Potřebuji hlavně bezpečí, několik VPN na 1 NAS, nic víc.

děkuji všem, objednáno - ta kombinace 2/5GHz, otravovat budu až se to nepovede nastavit, ale koukal jsem na to - asi to zvládnu.

pavel1tu

Prosím o nakopnutí správným směrem ...

Z APčka kde mám SSID "Home" a "Guest" dělám VLAN po kabelu do routeru.

1) "Guest" mám virtuální WLAN, s nastavenou VLAN10 (není to zbytečné ?) a pod tím ještě VLAN10_24 (nebo tohle už je zbytečné ---)

2) vůbec jsem nerozchodil, aby si to našlo DHCP na routeru, tak mám DHCP zatím na ACčku a asi ho tam nechám (DHCP i internet mi z routeru pro "Home" chodí .... možná to hodím do ACčka a rozdělím adresy mezi router a ACčko)

3) takže "Guest" najde DHCP (adresově jinak než moje domácí síť), ale už nevidí asi router - internet nejde.

VLAN10 mám tedy:

Na APčku

- VLAN10_24 pod virtuálním WLAN24_Guest

-VLAN10_1 na portu 1 odkud je kabel k routeru

- Bridge_VLAN10 kam jsou ty VLANY připojené (tady nemám zapnutou VLAN10)

Na routeru:

-VLAN10_5 na portu 5 kam je připojené ACčko

- bridge_VLAN10 kam je připojené VLAN10_5

-bridge kam jsou připojeny všechny porty routeru mimo WAN

- routuji bridge a bridge_VLAN10

IP adresy jsem přiřadil všem fyzickým portům a VLANům pod nimi (bridge už ne)

Co jsem opoměl ? Nebo je to celé asi blbě ....

Děkuji

noxus28

Mno ak som správne pochopil čo chceš tak potrebuješ na AP 2 SSID a poslať ich oddelene do routera ktorý im pridelí 2 rozsahy IP z 2 dhcp a následne "guestom" povolí len prístup na internet nie do siete.

na AP:

na eth interface ktorým je spojený s routerom vytvor napr. vlan1_home a vlan2_guest

vytvor dve wlan napr. wlan1_home a wlan2_guest (zabezpečenie podľa seba)

vytvor 2 bridge napr. br1_home br2_guest, do br1_home pridaj porty vlan1_home a wlan1_home; do br2_guest pridaj vlan2_guest a wlan2_guest

na br1_home si prideľ ip adresu aby si mal prístup na router z domácej siete

na router:

na eth interface ktorým je spojený s routerom vytvor napr. vlan1_home a vlan2_guest - a vyber ho z bridge ak v nejakom už je

vlan1_home pridaj do bridge ktorý ti rieši ostatné domáce porty a beží na ňom dhcp pre home sieť

vytvor nové dhcp pre vlan2_guest + src masquerade smerom von

vytvor si pravidlo vo firewall filter chain=forward src interface=vlan2_guest dst interface=!"tvoj WAN int" action=drop

ps: ip, dhcp a podobné funkcie vždy treba riešiť na bridge pokiaľ je daný interface v bridge zaradený, v opačnom prípade to nebude fungovať korektne

pavel1tu

....

Všechno mám až na to "src masquerade smerom von" a ten FW jsem opoměl nastavit

Nevadí že mám DHCP pro Guest síť na APčku, ne ?

Ale stejně se mi zdá že ten VLAN GUEST neprojde z toho APčka vůbec na router

Hodím sem pak konfigurace ....

noxus28

nevadí, to je na tebe ako to chceš mať.

Ak budeš mať guesta len na AP tak sú ti vlan úplne na nič, sprav si na ňom aj masquerade a firewall a máš pokoj.

pavel1tu

Tak jsem to doslova zlomil.

Vy si tu napíšete dej tam "maškarádu", ale .... už se povedlo.

Chodí to, ale je to tak správně ?

jun/02/2018 13:56:04 system,info,critical cpu not running at default frequency[pavel@RouterMT] > ip[pavel@RouterMT] /ip> firewall[pavel@RouterMT] /ip firewall> nat[pavel@RouterMT] /ip firewall nat> printFlags: X - disabled, I - invalid, D - dynamic 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none

1 ;;; VLAN10 chain=srcnat action=masquerade src-address=192.168.10.0/24 log=no log-prefix="" [pavel@RouterMT] /ip firewall nat> [pavel@RouterMT] /ip firewall nat>

0 - to je defaultní co se vytvořila scriptem

1- jsem vytvořil já, 192.168.10.0/24 je síť VLAN10

FW jsem nic nemusel nastavovat, tak snad ho mám správně, mohl bych se s někým domluvit, že by mi koukl na výpis z konfigurace FW ?

Chci to co nejpřísnější, zatím žádný přístup z venčí.

PS: Teď ještě lámu přes switche administraci všech Mikrotiku jen po jedna VLAN, pouze z jedné virtuálky, zatím to vždy končilo tím, že jsem se odstřihl ....

noxus28

jj môžem sa ti na to pozrieť len hlavne napíš čo presne chceš aby to robilo, budem to po 21 a zajtra ráno tak to hoď do SZ

the_max

2 SSID pro návštěvy - jen na internet

Tohle stále nechápu, asi jsem zabržděný, ale když jdu někam na návštěvu, tak jdu za tím člověkem / lidmi si pokecat a ne že tam u nich budu sedět v obýváku rozvalenej na gauči a čumět do mobilu a studovat xictoknihu. Od toho mám snad Internet doma, ne?

hlavva

2 SSID pro návštěvy - jen na internet

Občas mají příchozí třeba nějaké video ze sportu na facebooku nebo na YouTube co chtějí ukázat. A prostě osobně to beru jako samozřejmost.

pavel1tu

Mám to pro kamarády dětí (hlavně), příbuzné a někdy prostě když celý den hrajeme deskovky, tak ne každý má data v mobilu - a chci je mimo moji síť.

To samé i jedna přípojka po kabelu pro NTB - minule jsem od NTB který jsem zálohoval a reinstaloval chytil trojana.

Další VLAN bude jen na administraci sítě, možná to časem zlomím tak že i po VPN z internetu, zatím jsem vyčlenil jen VLAN z 1 volného portu na routeru po celé podsíti.

Berte to tak - časem vyzkoumám co je potřeba (teď to chci celé oddělené a odstřižené od netu), na NAS mám zálohy účetnictví od lidí co se jim starám o PC a účetnictví za 15 let.

Po posledním incidentu, kdy mi trojan napadl i chytré switche od Netgear (netušil jsem že jsou chytré a léta neupgradoval FW), NAS má naštěstí vlastní FW tak to chytil - bylo to právě od návštěvy s NTB.

pavel1tu

jj môžem sa ti na to pozrieť len hlavne napíš čo presne chceš aby to robilo, budem to po 21 a zajtra ráno tak to hoď do SZ

časem hodím, předem děkuji

hodím ti náčrtek sítě + FW nastavení, já manuál čtu, pomalu, ale nejsem ze školy kovanej na tento obor ....

Další stránka »