Отделение точек доступа от пользователей WiFi

Привет, fewi, я пытался следовать твоим инструкциям по разделению пользователей Wi-Fi и точек доступа, но никак не могу это настроить. Также пробовал по этим инструкциям, но у меня RB450G, а там нет Wi-Fi карты. Допустим, ether1 — это порт, куда будет подключаться точка доступа. Создаём два VLAN-интерфейса с ID 10 и 20, привязываем их к ether1. Настраиваем Hotspot на VLAN 10 — для пользователей. На VLAN 20 создаём какую-нибудь IP-сеть — для управления. Добавляем те же VLAN-интерфейсы на 433. Присваиваем VLAN 20 IP из той же подсети. Бриджим VLAN 10 с WLAN terrace. На 750 ставим правила фаервола, чтобы IP-адреса из двух VLAN-ов не могли общаться друг с другом. Так пользователи Hotspot вообще не увидят точку доступа с точки зрения управления. Хотя это и опционально, но это лучшая практика.

У меня WAN на Eth1, Wi-Fi LAN на Eth2. Я настроил 2 VLAN-а, назначил им IP из двух разных подсетей, потом поднял DHCP-сервер на VLAN 10 (мой Wi-Fi VLAN) и на нём же HotSpot. После этого создал Bridge1 и добавил туда vlan10 и vlan20 (в порты). Если подключить ноутбук к Eth2, IP не даёт. Единственный способ заставить его выдавать IP — это поднять DHCP на Bridge1 вместо vlan10. Помогите, пожалуйста. Думаю, я неправильно бриджу (нужно ли добавлять туда Eth2 или только два VLAN-а?), или пропускаю какой-то шаг. Спасибо!

лол, ну да, понятно... не стоило мне объединять вайфай и менеджерские VLANы. Моя цель — отделить пользователей Wi-Fi от самих точек доступа. У меня есть RB450G. Кабельный модем подключён к Eth1, коммутатор с точками доступа — к Eth2. Подсеть Wi-Fi — 10.10.15.0/24, точки доступа настроены с статическими IP из 10.10.16.0/24. Ещё у меня есть ПК с Dude для мониторинга AP, он подключен к LAN «Internet Cafe» на Eth3, значит Eth3 должен иметь доступ к точкам доступа, которые находятся в vlan20.

Что сделал на данный момент: создал vlan10 и vlan20 на Eth2, настроил IP-адреса для «Wi-Fi» vlan10 (10.10.15.1/24) и «MGR/AP» vlan20 (10.10.16.1/24), настроил DHCP-сервер на vlan10, чтобы раздавать IP из 10.10.15.0/24 Wi-Fi пользователям, настроил Hotspot на vlan10.

Вот и всё пока. Что ещё нужно сделать, чтобы это работало? И что с чем нужно бриджить? Раньше я не работал с «bridge», так что пара шагов или советов очень помогли бы.

Спасибо!

Точек доступа и коммутатор поддерживают VLAN? Это обязательно — если нет, то ничего не получится, и трафик через VLAN разделить не удастся. Затем подключаете коммутатор к ether2 и на самом коммутаторе создаёте VLAN 10 и 20. То же самое делаете на портах коммутатора, к которым подключаются точки доступа. На точке доступа назначаете IP-адрес на интерфейсе управляющего VLAN, чтобы иметь к ней доступ через этот VLAN. Радиоинтерфейс точки доступа связываете с пользовательским VLAN — именно здесь происходит бриджинг, чтобы расширить проводную пользовательскую сеть на радио точки доступа. На роутере настраиваете правила фаервола, которые блокируют доступ пользовательского VLAN к управляющему VLAN. Это можно сделать по IP-диапазону или по входящему и исходящему интерфейсам в цепочке forward. Там же делаете так, чтобы сеть, в которой находится сервер Dude, имела доступ к управляющему VLAN. Поскольку два VLAN — это разные сети, и уровень 3 (маршрутизатор) отвечает за переход между ними, трафик между этими двумя VLANам должен идти через роутер. Блокирование такого трафика на роутере изолирует сети друг от друга. Надеюсь, теперь эта задумка стала чуть понятнее.

К тому же он настроил Eth3, где у меня компьютер Dude, чтобы иметь возможность общаться с подсетью AP 10.10.16.0/24 (Eth2). Как это делается? Это просто маршрутизация. Сеть A к сети B через роутер. Без физического или логического разделения, в принципе, у тебя уровень безопасности такой, какой он может быть.

Нет. Может, почитай что-нибудь вроде http://www.ipprimer.com/overview.cfm, чтобы лучше понять, как работают TCP/IP и маршрутизация. Это две сети, напрямую подключённые к маршрутизатору, так что он будет пропускать трафик между ними, если не настроен иначе. Проверь фильтры файрвола, убедись, что устройства в соответствующих сетях имеют маршруты (скорее всего, это шлюзы по умолчанию), и всё в таком духе.

Если вы новичок во всём этом, лучше держать всё как можно проще. Да, можно настроить две сети на ether2 — проблем нет, но, думаю, вы просто хотите, чтобы клиенты WiFi не мешали точкам доступа. Просто поменяйте пароли на самих AP.  
Назначьте ether2 адрес 10.16.0.1/24.  
Настройте у всех точек доступа в качестве шлюза 10.16.0.1/24.  
Создайте HotSpot на ether2. При настройке DHCP убедитесь, что пул адресов — 10.16.0.100-10.16.0.254, чтобы клиенты WiFi не получали адреса ниже 10.16.0.100.  
Добавьте MAC-адреса точек доступа в HotSpot-Bindings как «bypassed». Это позволит вам получить доступ к точкам доступа через HotSpot. Клиенты WiFi будут попадать на страницу авторизации HotSpot. (Предполагается, что AP работают в режиме моста и корректно передают MAC-адреса WiFi-клиентов.)  
Настройте порт ether3 (Cafe) как вам удобно.  
Добавьте правило IP-Firewall-NAT с цепочкой src-nat и действием masquerade.  
Перед началом обязательно удалите все стандартные настройки фаервола.  

Если у вашего RB450 есть интернет — всё должно заработать как по волшебству и без особых заморочек. Разумеется, возможно, вам понадобится что-то совсем другое.