+ Responder ao Tópico



  1. #1

    Padrão Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Pessoal, Estou quebrando a cabeça em separar os acesso dos Smarphones da rede com os demais dispositivos wireless.
    Por exemplo quero que o smartphone só tenha acesso a internet e os notebooks tenha acesso completo a rede.

    Nesta rede tem Mikrokit com 1 RB750GL e 1 RB450G onde a RB450 recebe os links de internet e faz o Loadbalance, já a RB 750 esta paralelo a RB450 e liberar os clientes e tem o DHCP Server liberando os IP para restante da rede.

    Existem 5 Roteadores Wireless DuaL band AC onde os smatphone e os notebooks conectam.

    Agora vem a dúvida, como faço para que os Smarphone só acesse a Internet e fique isolado da rede para não ter acesso a servidores (Windows Server e Linux)

    Nesta rede também tem Switchs Gerenciaveis.

    Já tentei pelo proprios Roteadores habilitando o Guest mas não consigo evitar que os Smartphone tenha acesso as servidores basta entrar com usuarios e senha já era, eu queria que nem isso conseguise.

    Alguém tem alguma dica o que fazer?

    Abraço

  2. #2

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Criar a VLANS no switch sem problema, mas como separar os smartphone do Notebooks já que iram fazer partes da mesma VLAN?

    Ex. Roteador 2 ---> porta 11 Switch --> VLAN100
    Nesta VLAN 100 tanto os notebooks e smatphones iram acessar como isolar os smatphone?

    Abraço

  3. #3

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Os notebook que vão acessar a sua rede mudam muito? Ou são sempre basicamente sempre os mesmos?

  4. #4

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Não muda muito as vezes aparece algum de cliente.

    Sobre o Roteador Mikrokit até seria uma solução, mas estou evitando despesas pois serão necessários 5 roteadores Mikrokit um por andar.

  5. #5

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Então, cria leases estáticos no DHCP para os MACS dos notebooks que tem acesso a rede, e adiciona nesses leases, no campo "Address List" algo do tipo "addr-liberado", e dai cria uma regra no filtros do firewall, no chain forward, para os endereços que não forem dessa address list, ter o trafego dropado, tipo assim:

    Código :
    /ip firewall filter add chain=forward src-address-list=!addr-liberado action=drop

    Agora, se os servidores ficam na mesma subrede que os dispositivos, dai não tem como. Por exemplo, se você tem um servidor com IP 192.168.1.2/24 e o DHCP libera IPs no range 192.168.1.3-192.168.1.254 com a mesma mascara /24, todos os dispositivos dessa rede vão ter acesso entre si SEM passar pelo roteador, não tem como você evitar o trafego nesses casos.

  6. #6

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    É o que o corre aqui só tem uma única rede 192.168.0.0/24

  7. #7

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Então a sua alternativa é adicionar leases estáticos para os MACs dos notebooks, e colocar IPs fixo para cada MAC, na faixa 192.168.0.0/24. Depois disso tu define uma nova subrede, tipo 192.168.1.0/24, e adiciona essa rede lá no Network do DHCP, e o seu pool você muda para um range na subrede 192.168.1.0/24, tipo 192.168.1.2-192.168.1.254. Dai coloca o IP 192.168.1.1 na interface onde ta recebendo a rede na routerboard.

    Dessa maneira, os dispositivos cadastrado nos leases do DHCP vão pegar seus IPs na faixa 192.168.0.0/24 que vai estar especificado em cada item do lease, o IP para cada MAC. Os dispositivos que não estiverem cadastrados, vão pegar IP do pool, que vai estar na subrede 192.168.1.0/24, separada da sua rede "principal", mas vai continuar navegando usando a RB como gateway (é só configurar o masquerade direitinho).

    Depois disso, você tem 2 alternativas, aplicar o conceito anterior, no qual você dropa o trafego do chain forward dos IPs na address list que vc colocou para os MAC/IP fixo nos leases, ou dropa o forward de toda a rede 192.168.1.0/24 quando o destino for 192.168.0.0/24.

    Você vai continuar com um pequeno problema de segurança, pois quem colocar IP manualmente na subrede 192.168.0.0/24 vai ter acesso a sua rede.

    Outra coisa que você poderia ver é que, você disse ter switchs gerenciáveis na sua rede. Caso seus switchs estejam configurados SEM forward possível diretamente dos dispositivos até os servidores, você ainda assim pode bloquear o trafego na RB bloqueando o forward nela. Agora, se os switchs tem forward em portas que deixam o trafego sair em direção diferente da do gateway, o trafego entre esses dispositivos você não tem como evitar.

  8. #8

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Olá Inquiery obrigado pela explanação e dicas, mas my brother acho que não irei fazer tais mudanças, pois acho que vai complicar, como aqui a rede é pequena com 38 pontos de redes mais a rede wireless e como as pessoas(usuários) que tem smartphone liberado para acessar a internet são pessoas responsáveis creio que não irei ter problemas com acesso indevidos.

    Meu receio e se alguém consegui acessar algum smartphone e consegui acessar a rede, apesar que os ativos da rede tem senha fortes mas não é impossível, se a NASA é invadida imagina redes normais kkkkkk.

    Estava pensando em Criar Vlans nos Swtchs, porém eles estão em cascata e eu teria que criar as VLANS nos dois Switchs e no caso seria 5 VLANS pois tem 5 Roteadores nas cinco portas da Switch A e o Switch B já esta praticamente com todas as postas ocupadas.

    Por isso estou achando que vai da muito trabalho para pouca coisa, pelo menos é o que penso.


    Obrigado mais uma vez pelo help.

    Abraço

  9. #9

    Padrão Re: Como Separar acesso de smartphone na rede com os demais Dispositivos wireless?

    Faz como o inquery falou use address list informando apenas quem pode fazer rede e.se comunicar, depois use o filter rules para bloquear, mas nada adiantara se os aps puder se enchergar ou seja no caso for ubiquit como ap ative isolaçao de cliente.