+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Пользователи точки доступа общаются, когда DefaultForwarding=OFF??

Пользователи точки доступа общаются, когда DefaultForwarding=OFF??, RouterOS

spavkov

Guest

25.05.2005 12:03:00

У меня такая ситуация: одна антенна Omni и одна беспроводная карта Prism с хотспотом, работающим на беспроводном интерфейсе... У хотспота много пользователей ( > 70), поэтому я отключил interface>wireless>DEFAULT FORWARDING, чтобы пользователи не могли общаться между собой. Они могут только "разговаривать" с роутером. Это работает хорошо, но есть 2 пользователя, которые хотят иметь возможность общаться!!! И ещё они хотят, чтобы другие пользователи их не видели!!! Как это сделать? Если включить default forwarding только для этих 2 пользователей, другие пользователи смогут их видеть или нет??? Возможно ли оставить DEFAULT FORWARDING = OFF и добавить какие-то кастомные правила в firewall>forwarding, чтобы только эти 2 пользователя могли напрямую "разговаривать" и чтобы другие не видели их или не могли с ними "разговаривать"??? Помогите, пожалуйста!!!

nhalachev

Guest

25.05.2005 15:41:00

Ну, я думаю, у тебя есть два варианта: используй access-list под `/interface wireless`. Установи `default-forwarding=on` для беспроводного интерфейса и добавляй беспроводные станции с нужным `default-forwarding` (ON или OFF) под `/interface wireless access-list`. Подумай как продавец

. Настрой VPN-сервер и продавай VPN-сервис клиентам, которым нужно общаться друг с другом. С уважением.

djape Guest	#3 0 25.05.2005 17:07:00 Отличный совет! Если нужна работа, дай знать. Всего хорошего…

spavkov Guest	#4 0 26.05.2005 12:11:00 Есть ли способ организовать VPN-сервер/сеть на Mikrotik? Причем на том же Prism Wireless Interface, где уже работает Hotspot?

nhalachev Guest	#5 0 26.05.2005 12:46:00 Да, pptp или l2tp, например.

OrCAD Guest	#6 0 26.05.2005 14:02:00 Я отключил DEFAULT FORWARDING на беспроводном интерфейсе wLan1, но клиенты все равно не могут общаться друг с другом… Почему? Это ошибка в 2.9rc4? Спасибо!

djape Guest	#7 0 26.05.2005 14:45:00 Потому что, скорее всего, ты не отменил это для конкретного пользователя. Это стандартная настройка, теперь тебе нужно отменять для каждого пользователя, с которым ты не хочешь общаться!

OrCAD

Guest

26.05.2005 15:26:00

У меня по умолчанию пересылка включена в беспроводном интерфейсе. У каждого пользователя из списка подключенных – по умолчанию пересылка выключена (не отмечено). Пользователи могут делиться! Я не понимаю, как это работает?

spavkov

Guest

26.05.2005 16:04:00

У меня та же проблема… каждого пользователя добавляют в ACCESS LIST, у них default-forwarding установлен в NO, но я все равно могу получить доступ к их компьютерам через обычное файловое совместное использование Microsoft… Захожу в "Сетевые папки", выбираю "Поиск по сети" и нахожу другие компьютеры, а потом захожу в их общие папки… Есть какие-нибудь идеи, как это остановить?

spavkov

Guest

#10

26.05.2005 16:38:00

Вот решение: нужно добавить правило в IP>FIREWALL>FORWARD, которое запрещает все пакеты, идущие от интерфейса WLAN к интерфейсу WLAN, исключая IP-адрес роутера. Например, если ваша сеть Wi-Fi hotspot — 10.5.50.*, тогда правило будет выглядеть так (если ваш MT роутер на 10.5.50.1): src-address=!10.5.50.1/32 in-interface=wlan1 dst-address=!10.5.50.1/32 out-interface=wlan1 action=drop. Это решает проблему, и никто не сможет ‘видеть’ друг друга, кроме роутера!!! Логично, но зачем вообще существует DEFAULT FORWARDING, если он не работает???

OrCAD Guest	#11 0 26.05.2005 16:59:00 Окей, это решение работает отлично, огромное спасибо… но автоматическая пересылка по-прежнему работает некорректно… решена ли эта проблема в 2.9rc5? OrCAD

mykrosoftz

Guest

#12

06.06.2005 00:25:00

Есть какой-нибудь простой способ сделать это… типа простой переадресации по умолчанию, но для интерфейса Ethernet? Переадресация по умолчанию отлично работает только на беспроводной карте, но иногда я использую внешний AP.

infomate

Guest

#13

06.06.2005 01:15:00

Привет, ребята! Я пытался решить ту же проблему, что и вы. У меня есть ethernet hotspot gateway, подключенный к внешней точке доступа. Я пытался сделать IP-изоляцию роутера, как предлагалось выше (!10.5.50.1/32), но клиенты по-прежнему получают доступ друг к другу. Я попробовал следующее решение, но его все еще нужно дополнительно тестировать и мониторить пакеты. Я добавил дополнительные правила в /ip firewall rule forward, чтобы отбрасывать весь трафик с UDP-портов 137-138 и TCP-порта 139. Те же самые правила в /ip firewall hotspot-temp. Если у кого-то из вас есть лучший способ сделать это, пожалуйста, поделитесь своим решением. Спасибо.

nhalachev Guest	#14 0 06.06.2005 06:03:00 Используйте свичи с VLAN на основе портов. Подключайте клиентов/сегменты к изолированным портам. Разместите Mikrotik bridges с множеством ethernet-портов в точках пересечения вашей сети и управляйте ими.

mykrosoftz Guest	#15 0 09.06.2005 21:52:00 Еще один вред от того, что клиенты видят клиентов, — это вирусная атака. У меня есть AP с более чем 100 клиентами, которое несколько раз в день зависало. Потребовалось почти 3 недели, чтобы понять, что несколько клиентов заражены вирусом типа Sasser (пытаются реплицироваться, сканируя порты). Этот тип сканирования может уничтожить полосу пропускания и создать большую нагрузку на Mikrotik box. Я пока не нашел простого решения этой проблемы. Думаю, Mikrotik должен предложить решение в один клик для этого (клиент видит клиента).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры