Redirecionar todas as APs para porta específica.
Bom dia galera.
Estou com um problema e gostaria de se possível da ajuda de vocês.
Estamos para disponibilizar um "kiosk" para internet gratuita em algumas praças da cidade. A ideia é colocar dois painéis para cobrir a região e um radio que fará enlace para nossa torre principal.
Posso fazer isso facilmente com um switch, mas minha duvida aqui é,
tenho algumas RBs 750 e gostaria de configurar para que, cada um dos APs disponibilizados nesse local entrasse em uma porta da RB e todo trafego delas fosse redirecionado para a porta onde estaria plugado o radio pra enlace evitando assim que usassem os rádios que estariam abertos como "bridge" entre eles mesmo. Sei que a opção "client isolation" funciona, mas só para os clientes conectados na mesma AP. Para clientes conectadas a outra AP e ligadas no mesmo switch acabam falando entre si.
Ficaria mais ou menos assim:
eth1=ap1 => eth5=enlace
eth2=ap2 => eth5=enlace
Alguém sabe de alguma maneira de fazer isso com RBs ou só mesmo com switch gerenciável?
Grato pela atenção de vocês!
Re: Redirecionar todas as APs para porta específica.
Acredito que eles não vão se enxergar. Como vai ser a autenticaçao? DHCP, Hotspot, PPPoE?
Re: Redirecionar todas as APs para porta específica.
Hotspot a unica solução que conheço é fechar Vlan em cada AP/Portas. Pq vc vai ter uma RB em cada ponta certo?
Citação:
Postado originalmente por
Rakim
Pretendo deixar hotspot cuidar da autenticação. E sim, eles se enchergam nativamente, já que só consegui fazer passar trafego dos clientes colocanto todas as portas em uma bridge.
Cliente da AP 1 não se falam, mas cliente da AP 2 fala com cliente da AP 1. Quero tentar isolar eles e fazer com que só falem com a porta provedor.
Re: Redirecionar todas as APs para porta específica.
Tenho RB na torre em bridge e uma concentradora junto doblink. A opção de VLAN é valida. Tem alguma forma de aplicar ela nessa topologia?
Re: Redirecionar todas as APs para porta específica.
No caso, se o enlace for apenas para levar o link e o controle do Hotspot seja na RB-Link.
1- Cria a Vlan na ether do enlace na RB-Link -> Configura o hotspot na Vlan
2- Na RB dos APs, cria Vlan na ether do enlace tambem, cria uma bridge e dentro da bridge você coloca as 2 ether dos APs e a Vlan.
3- Você tambem pode configurar uma vlan para cada AP (Na RB-Link as Vlans vão ser criadas na ether enlace, vc pode ter mais de 1 Vlan na mesma ether) e um hotspot para cada Vlan se assim achar melhor. (Essa opção eu adotaria se fosse opções distintas para cada AP, porém, se os 2 APs forem para o mesmo proposito não á necessidade.) Ex: Você pode ter 2 Hotspot com paginas diferentes uma em cada AP, ou faixa de IPs diferentes etc...
Citação:
Postado originalmente por
Rakim
Tenho RB na torre em bridge e uma concentradora junto doblink. A opção de VLAN é valida. Tem alguma forma de aplicar ela nessa topologia?
Re: Redirecionar todas as APs para porta específica.
Citação:
Postado originalmente por
vaizard
No caso, se o enlace for apenas para levar o link e o controle do Hotspot seja na RB-Link.
1- Cria a Vlan na ether do enlace na RB-Link -> Configura o hotspot na Vlan
2- Na RB dos APs, cria Vlan na ether do enlace tambem, cria uma bridge e dentro da bridge você coloca as 2 ether dos APs e a Vlan.
3- Você tambem pode configurar uma vlan para cada AP (Na RB-Link as Vlans vão ser criadas na ether enlace, vc pode ter mais de 1 Vlan na mesma ether) e um hotspot para cada Vlan se assim achar melhor. (Essa opção eu adotaria se fosse opções distintas para cada AP, porém, se os 2 APs forem para o mesmo proposito não á necessidade.) Ex: Você pode ter 2 Hotspot com paginas diferentes uma em cada AP, ou faixa de IPs diferentes etc...
Olá vaizard! Obrigado pela resposta!
Seguinte, quando crio bridge e coloco todas as eth juntas, funciona de boa (como se fosse um switch), mas se crio a vlan na eth que sai o link e add ela na bridge ela só tem trafego em tx e se eu removo a inteface do link para tudo.
Não tem de adicionar alguma regra de nat ou algo assim pra fazer com que todo trafego rode somente para a eth que esta com o link?
E outra duvida seria, se as eth 1 e eth 2 que pertencem as APs estão na mesma bridge, elas ainda vão se falar normalmente...
7 Anexo(s)
Re: Redirecionar todas as APs para porta específica.
@Rakim, acho que a maneira mais facil, é criar filtros na sua bridge para dropar trafego da ether1 para ether2, e da ether2 para ether1.
Olha as screens que vc vai entender (considere que nas minhas screens a interface ether11 é a sua ether1, a ether12 é a sua ether2, e a ether10 é a sua ether5).
Anexo 58996Anexo 58997Anexo 58998Anexo 58999Anexo 59000Anexo 59001Anexo 59002
Dessa forma, como você ja tem "AP Isolation" configurado nos seus radios, o trafego de clientes ligados em uma ether tentando ir para clientes da outra ether vai ser dropado. Inclusive não vai passar nenhum broadcast, vai ficar totalmente isoladas. A bridge vai existir entre a ether1, a ether2 e a ether5 porém a ether1 e a ether2 não vão poder se comunicar.
Re: Redirecionar todas as APs para porta específica.
inquiery
Cara! Essa solução é perfeita!
Vou testar aqui e te retorno com os resultados!
Obrigado pela ajuda!
Re: Redirecionar todas as APs para porta específica.
@Rakim
Mesmo estando na mesma bridge não vai ser a mesma coisa de switch, cada ID de Vlan só se comunica com ela mesmo. Não precisa colocar a ether que tem a Vlan na bridge não.
Citação:
Postado originalmente por
Rakim
Olá vaizard! Obrigado pela resposta!
Seguinte, quando crio bridge e coloco todas as eth juntas, funciona de boa (como se fosse um switch), mas se crio a vlan na eth que sai o link e add ela na bridge ela só tem trafego em tx e se eu removo a inteface do link para tudo.
Não tem de adicionar alguma regra de nat ou algo assim pra fazer com que todo trafego rode somente para a eth que esta com o link?
E outra duvida seria, se as eth 1 e eth 2 que pertencem as APs estão na mesma bridge, elas ainda vão se falar normalmente...
Re: Redirecionar todas as APs para porta específica.
Interessante utilizando esse drop ele vai bloquear todo o tráfego entre as ether
Re: Redirecionar todas as APs para porta específica.
Citação:
Postado originalmente por
inquiery
@
Rakim, acho que a maneira mais facil, é criar filtros na sua bridge para dropar trafego da ether1 para ether2, e da ether2 para ether1.
Olha as screens que vc vai entender (considere que nas minhas screens a interface ether11 é a sua ether1, a ether12 é a sua ether2, e a ether10 é a sua ether5).
Anexo 58996Anexo 58997Anexo 58998Anexo 58999Anexo 59000Anexo 59001Anexo 59002
Dessa forma, como você ja tem "AP Isolation" configurado nos seus radios, o trafego de clientes ligados em uma ether tentando ir para clientes da outra ether vai ser dropado. Inclusive não vai passar nenhum broadcast, vai ficar totalmente isoladas. A bridge vai existir entre a ether1, a ether2 e a ether5 porém a ether1 e a ether2 não vão poder se comunicar.
Cara! Funcionou em termos.
Realmente agora as APs não se enxergam mais. Os clientes estão funcionando de boa redirecionados pra ether5 e o trafego está passando normalmente.
Mas... Como disse, pra esses clientes estou usando Hotspot e o que acontece, cada um pega um ip do server e talz...
Então um cliente ainda consegue acessar o outro por esses ips que estão sendo atribuídos pelo server.
Vou continuar monitorando pra ver como resolver isso.
Mas já é meio caminho andado.
Re: Redirecionar todas as APs para porta específica.
Pessoal, acabei de criar esse topico. Assuntos não relacionados.
https://under-linux.org/showthread.p...326#post752326
Quem se interessar tem meus dados abaixo do tópico.
Re: Redirecionar todas as APs para porta específica.
@Rakim, se os clientes continuam se enxergando pelo IP, então é porque eles estão se enxergando roteadamente pelo routerboard. Isso você resolve com filtros no firewall.
Faz o seguinte, abre um prompt e digita lá:
Código :
tracert -d IP_DE_OUTRO_CLIENTE
Se no trace aparecer o IP do hotspot (que no seu caso deve estar ligado na ether5, não é?) antes de chegar no destino, você vai ter que configurar no hotspot para dropar trafego entre os IPs das redes conhecidas, algo do tipo:
Código :
/ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address=X.X.X.X/X action=drop
Onde X.X.X.X/X é a rede de seus clientes. Se você tem mais de uma rede de clientes (mais de 1 pool), você pode adicionar todos os pools numa address list e mudar a regra para usar essa address list como destino e dropar o trafego interno para ela.
Código :
/ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address-list=Addr_Clientes action=drop
Dessa forma, o forward só vai funcionar se a interface de entrada for a do seu link, qualquer trafego de qualquer outra interface que o endereço de IP destino seja um endereço de qualquer cliente seu (que vai estar na address list "Addr_Clientes") vai ser dropado, e nenhum cliente tera forward para qualquer outro cliente. Nem mesmo você vai poder, a principio, acessar qualquer endereço da sua rede, a não ser que crie regras para liberar algum trafego em específico antes do drop.
