Redirecionar todas as APs para porta específica.

[Rakim]

Bom dia galera.

Estou com um problema e gostaria de se possível da ajuda de vocês.
Estamos para disponibilizar um "kiosk" para internet gratuita em algumas praças da cidade. A ideia é colocar dois painéis para cobrir a região e um radio que fará enlace para nossa torre principal.
Posso fazer isso facilmente com um switch, mas minha duvida aqui é,
tenho algumas RBs 750 e gostaria de configurar para que, cada um dos APs disponibilizados nesse local entrasse em uma porta da RB e todo trafego delas fosse redirecionado para a porta onde estaria plugado o radio pra enlace evitando assim que usassem os rádios que estariam abertos como "bridge" entre eles mesmo. Sei que a opção "client isolation" funciona, mas só para os clientes conectados na mesma AP. Para clientes conectadas a outra AP e ligadas no mesmo switch acabam falando entre si.
Ficaria mais ou menos assim:
eth1=ap1 => eth5=enlace
eth2=ap2 => eth5=enlace

Alguém sabe de alguma maneira de fazer isso com RBs ou só mesmo com switch gerenciável?

Grato pela atenção de vocês!

[vaizard]

Acredito que eles não vão se enxergar. Como vai ser a autenticaçao? DHCP, Hotspot, PPPoE?

[Rakim]

Acredito que eles não vão se enxergar. Como vai ser a autenticaçao? DHCP, Hotspot, PPPoE?

Pretendo deixar hotspot cuidar da autenticação. E sim, eles se enchergam nativamente, já que só consegui fazer passar trafego dos clientes colocanto todas as portas em uma bridge.
Cliente da AP 1 não se falam, mas cliente da AP 2 fala com cliente da AP 1. Quero tentar isolar eles e fazer com que só falem com a porta provedor.

[vaizard]

Hotspot a unica solução que conheço é fechar Vlan em cada AP/Portas. Pq vc vai ter uma RB em cada ponta certo?

Pretendo deixar hotspot cuidar da autenticação. E sim, eles se enchergam nativamente, já que só consegui fazer passar trafego dos clientes colocanto todas as portas em uma bridge.
Cliente da AP 1 não se falam, mas cliente da AP 2 fala com cliente da AP 1. Quero tentar isolar eles e fazer com que só falem com a porta provedor.

[Rakim]

Tenho RB na torre em bridge e uma concentradora junto doblink. A opção de VLAN é valida. Tem alguma forma de aplicar ela nessa topologia?

[vaizard]

No caso, se o enlace for apenas para levar o link e o controle do Hotspot seja na RB-Link.

1- Cria a Vlan na ether do enlace na RB-Link -> Configura o hotspot na Vlan
2- Na RB dos APs, cria Vlan na ether do enlace tambem, cria uma bridge e dentro da bridge você coloca as 2 ether dos APs e a Vlan.

3- Você tambem pode configurar uma vlan para cada AP (Na RB-Link as Vlans vão ser criadas na ether enlace, vc pode ter mais de 1 Vlan na mesma ether) e um hotspot para cada Vlan se assim achar melhor. (Essa opção eu adotaria se fosse opções distintas para cada AP, porém, se os 2 APs forem para o mesmo proposito não á necessidade.) Ex: Você pode ter 2 Hotspot com paginas diferentes uma em cada AP, ou faixa de IPs diferentes etc...

Tenho RB na torre em bridge e uma concentradora junto doblink. A opção de VLAN é valida. Tem alguma forma de aplicar ela nessa topologia?

[Rakim]

No caso, se o enlace for apenas para levar o link e o controle do Hotspot seja na RB-Link.

1- Cria a Vlan na ether do enlace na RB-Link -> Configura o hotspot na Vlan
2- Na RB dos APs, cria Vlan na ether do enlace tambem, cria uma bridge e dentro da bridge você coloca as 2 ether dos APs e a Vlan.

3- Você tambem pode configurar uma vlan para cada AP (Na RB-Link as Vlans vão ser criadas na ether enlace, vc pode ter mais de 1 Vlan na mesma ether) e um hotspot para cada Vlan se assim achar melhor. (Essa opção eu adotaria se fosse opções distintas para cada AP, porém, se os 2 APs forem para o mesmo proposito não á necessidade.) Ex: Você pode ter 2 Hotspot com paginas diferentes uma em cada AP, ou faixa de IPs diferentes etc...

Olá vaizard! Obrigado pela resposta!
Seguinte, quando crio bridge e coloco todas as eth juntas, funciona de boa (como se fosse um switch), mas se crio a vlan na eth que sai o link e add ela na bridge ela só tem trafego em tx e se eu removo a inteface do link para tudo.
Não tem de adicionar alguma regra de nat ou algo assim pra fazer com que todo trafego rode somente para a eth que esta com o link?
E outra duvida seria, se as eth 1 e eth 2 que pertencem as APs estão na mesma bridge, elas ainda vão se falar normalmente...

[inquiery]

@Rakim, acho que a maneira mais facil, é criar filtros na sua bridge para dropar trafego da ether1 para ether2, e da ether2 para ether1.


Olha as screens que vc vai entender (considere que nas minhas screens a interface ether11 é a sua ether1, a ether12 é a sua ether2, e a ether10 é a sua ether5).






Dessa forma, como você ja tem "AP Isolation" configurado nos seus radios, o trafego de clientes ligados em uma ether tentando ir para clientes da outra ether vai ser dropado. Inclusive não vai passar nenhum broadcast, vai ficar totalmente isoladas. A bridge vai existir entre a ether1, a ether2 e a ether5 porém a ether1 e a ether2 não vão poder se comunicar.

[Rakim]

inquiery
Cara! Essa solução é perfeita!
Vou testar aqui e te retorno com os resultados!
Obrigado pela ajuda!

[vaizard]

@Rakim

Mesmo estando na mesma bridge não vai ser a mesma coisa de switch, cada ID de Vlan só se comunica com ela mesmo. Não precisa colocar a ether que tem a Vlan na bridge não.

Olá vaizard! Obrigado pela resposta!
Seguinte, quando crio bridge e coloco todas as eth juntas, funciona de boa (como se fosse um switch), mas se crio a vlan na eth que sai o link e add ela na bridge ela só tem trafego em tx e se eu removo a inteface do link para tudo.
Não tem de adicionar alguma regra de nat ou algo assim pra fazer com que todo trafego rode somente para a eth que esta com o link?
E outra duvida seria, se as eth 1 e eth 2 que pertencem as APs estão na mesma bridge, elas ainda vão se falar normalmente...

[wld.net1]

Interessante utilizando esse drop ele vai bloquear todo o tráfego entre as ether

[Rakim]

@Rakim, acho que a maneira mais facil, é criar filtros na sua bridge para dropar trafego da ether1 para ether2, e da ether2 para ether1.


Olha as screens que vc vai entender (considere que nas minhas screens a interface ether11 é a sua ether1, a ether12 é a sua ether2, e a ether10 é a sua ether5).






Dessa forma, como você ja tem "AP Isolation" configurado nos seus radios, o trafego de clientes ligados em uma ether tentando ir para clientes da outra ether vai ser dropado. Inclusive não vai passar nenhum broadcast, vai ficar totalmente isoladas. A bridge vai existir entre a ether1, a ether2 e a ether5 porém a ether1 e a ether2 não vão poder se comunicar.

Cara! Funcionou em termos.
Realmente agora as APs não se enxergam mais. Os clientes estão funcionando de boa redirecionados pra ether5 e o trafego está passando normalmente.
Mas... Como disse, pra esses clientes estou usando Hotspot e o que acontece, cada um pega um ip do server e talz...
Então um cliente ainda consegue acessar o outro por esses ips que estão sendo atribuídos pelo server.
Vou continuar monitorando pra ver como resolver isso.
Mas já é meio caminho andado.

[vaizard]

Pessoal, acabei de criar esse topico. Assuntos não relacionados.

https://under-linux.org/showthread.p...326#post752326

Quem se interessar tem meus dados abaixo do tópico.

[inquiery]

@Rakim, se os clientes continuam se enxergando pelo IP, então é porque eles estão se enxergando roteadamente pelo routerboard. Isso você resolve com filtros no firewall.

Faz o seguinte, abre um prompt e digita lá:

Código :

tracert -d IP_DE_OUTRO_CLIENTE

Se no trace aparecer o IP do hotspot (que no seu caso deve estar ligado na ether5, não é?) antes de chegar no destino, você vai ter que configurar no hotspot para dropar trafego entre os IPs das redes conhecidas, algo do tipo:

Código :

/ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address=X.X.X.X/X action=drop

Onde X.X.X.X/X é a rede de seus clientes. Se você tem mais de uma rede de clientes (mais de 1 pool), você pode adicionar todos os pools numa address list e mudar a regra para usar essa address list como destino e dropar o trafego interno para ela.

Código :

/ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address-list=Addr_Clientes action=drop

Dessa forma, o forward só vai funcionar se a interface de entrada for a do seu link, qualquer trafego de qualquer outra interface que o endereço de IP destino seja um endereço de qualquer cliente seu (que vai estar na address list "Addr_Clientes") vai ser dropado, e nenhum cliente tera forward para qualquer outro cliente. Nem mesmo você vai poder, a principio, acessar qualquer endereço da sua rede, a não ser que crie regras para liberar algum trafego em específico antes do drop.

[Rakim]

@Rakim, se os clientes continuam se enxergando pelo IP, então é porque eles estão se enxergando roteadamente pelo routerboard. Isso você resolve com filtros no firewall.

Faz o seguinte, abre um prompt e digita lá:

Código :

tracert -d IP_DE_OUTRO_CLIENTE

Se no trace aparecer o IP do hotspot (que no seu caso deve estar ligado na ether5, não é?) antes de chegar no destino, você vai ter que configurar no hotspot para dropar trafego entre os IPs das redes conhecidas, algo do tipo:

Código :

/ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address=X.X.X.X/X action=drop

Onde X.X.X.X/X é a rede de seus clientes. Se você tem mais de uma rede de clientes (mais de 1 pool), você pode adicionar todos os pools numa address list e mudar a regra para usar essa address list como destino e dropar o trafego interno para ela.

Código :

/ip firewall filter add chain=forward in-interface=!ether_do_seu_link dst-address-list=Addr_Clientes action=drop

Dessa forma, o forward só vai funcionar se a interface de entrada for a do seu link, qualquer trafego de qualquer outra interface que o endereço de IP destino seja um endereço de qualquer cliente seu (que vai estar na address list "Addr_Clientes") vai ser dropado, e nenhum cliente tera forward para qualquer outro cliente. Nem mesmo você vai poder, a principio, acessar qualquer endereço da sua rede, a não ser que crie regras para liberar algum trafego em específico antes do drop.

Foi exatamente como você disse camarada!
realmente é o server quem redireciona para os clientes!
Por agora não posso testar por estar longe da base e se fizer alguma besteira paro a rede toda, mas analisando a regra que tu postou deve funcionar perfeitamente!
Amanhã de manhã testo e te mando os resultados!
Obrigado pela ajuda!