+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Изолировать Wi-Fi

Изолировать Wi-Fi, RouterOS

mikis Guest	#1 0 18.04.2015 12:25:00 Как изолировать Wi-Fi от локальной сети, чтобы у Wi-Fi не было доступа к LAN. LAN — это 192.168.22.0, а Wi-Fi — 172.40.34.0.

cmanciu Guest	#2 0 16.05.2015 12:35:00 У меня такая же проблема... Кто-нибудь, покажите, как создать это правило... Очень нужно.

vortex Guest	#3 0 16.05.2015 16:17:00 Я тоже захочу такого же, когда выйдет обновление RB2011 с двухдиапазонной поддержкой, но чтобы при этом mDNS мог проходить.

pukkita

Guest

16.05.2015 16:53:00

Похоже, что ваши беспроводной и Ethernet-интерфейсы находятся в мосту. Зайдите в Bridge > Ports и отредактируйте порты, которые не должны видеть друг друга, установив для параметра Horizon одно и то же значение, например 50. Больше ничего менять не нужно. Если нет — пожалуйста, дайте более подробную информацию о вашей текущей конфигурации.

cmanciu Guest	#5 0 16.05.2015 23:50:00 mr. pukkita… У меня есть hardline, который настроен как мост, но точки доступа не настроены как мосты… WLAN имеют свою собственную подсеть /24… Как настроить свойства Horizon на мосте?

BartoszP

Guest

17.05.2015 00:25:00

A. Подключитесь к роутеру через кабель
B. Если у вас есть BRIDGE, где активны порты WIFI и LAN, удалите WIFI из этих мостов
C. Отключите WiFi просто для удобства
D. Настройте LAN для DNS, DHCP, Firewall и т.д.
E. Убедитесь, что LAN работает как надо
F. Включите WiFi
G. Повторите шаги D и E для WiFi
H. Примените этот код к своей конфигурации в нужных местах… проверять нужно самостоятельно:

/ip firewall filter
add chain=forward comment="UNBLOCK: WIFI -> WAN" in-interface=WIFI out-interface=WAN-ISP
add action=drop chain=forward comment="BLOCK: WIFI -> ANY INTERFACE" in-interface=WIFI

I. Если хотите, например, разрешить RDP с WIFI на LAN в шаге H, замените правило на:

add action=drop chain=forward comment="BLOCK: WIFI -> ANY INTERFACE EXCEPT RDP TO....." dst-address=172.40.34.0/24 dst-port=!3389 protocol=tcp src-address=192.168.22.0/24

pukkita Guest	#7 0 17.05.2015 08:53:00 Значение horizon (одинаковое) нужно установить на тех мостовых портах, которые не должны иметь возможность общаться друг с другом.

BartoszP Guest	#8 0 17.05.2015 10:34:00 Таким образом вы полностью изолируете интерфейсы, и не будет возможности разрешить какой-то конкретный трафик, но признаю, что это быстрый и простой способ.

cmanciu Guest	#9 0 17.05.2015 11:47:00 Значит, на каждый AP нужно ставить мост... на одном можно поставить 50 для горизонта... на втором — 40... а на третьем — 30... Ты это имеешь в виду?

BartoszP Guest	#10 0 17.05.2015 12:08:00 http://wiki.mikrotik.com/wiki/Manual:MPLSVPLS#Split_horizon_bridging Основная идея split horizon bridging — сделать так, чтобы трафик, пришедший через один порт, никогда не отправлялся через определённый набор других портов. Функция Bridge horizon позволяет настроить порты моста с параметром horizon, так что пакет, принятый через порт с значением horizon X, не будет пересылаться или рассылаться на порты с таким же значением horizon X. Заметьте, что значение horizon имеет смысл только локально — оно не передаётся по сети, поэтому неважно, одинаковое ли оно настроено на всех роутерах, участвующих в объединённой сети. Я сам это не тестировал. Ещё стоит отметить, что можно использовать firewall на уровне моста: http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall чтобы сделать трафик более локальным.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры