- А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же br,
 Licha Morada (ok), 02:01 , 08-Сен-20 (1)> Подключаться могут как по ВиФи, так и по шнурку А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же broadcast domain? Если все вместе, то никакого разделения у вас не получится. > здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них... Да, без VLAN можно, если физических портов хватает непосредственно на Микротике.
Их скорее всего не хватает, но всё равно можно, потребуется организовать отдельные физические свичи для своих и для чужих.
С VLAN-ами удобнее, собственно, их для того и придумали. Вкратце:
Определитесь, как какие физические порты будете использовать для чего: для Интернета, для офисных, для гостей (если вам так в VLAN-ы не хочется).
Нарисуйте наглядную картинку, смотрите примры на микротиковской вики.
На разных портах назначте адреса из 192.168.X.0/24 и 192.168.Y.0/24. 192.168.Z.0/24 не нужен.
Создайте DHCP сервер для каждой локальной подсети.
Создайте SSID для каждой локальной подсети. Нагугленному особо не верьте, Mikrotik очень гибок и там можно много работоспособной дичи наворотить. Верьте ихней вики https://wiki.mikrotik.com/wiki/Manual:TOC
Обратите внимение на Bridging and switching: Switch Router
- 802 1x - вам поможет, mikrotik поддерживает И для wifi и для ethernet, и никакой, shadow_alone (ok), 11:03 , 09-Сен-20 (2)
802.1x - вам поможет, mikrotik поддерживает.
И для wifi и для ethernet, и никакой пароль не утечет, ибо каждый ответственный за свой пароль, и если его пароль утечёт что и иметь будут его.
И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
- Ты поделил на Микротике порты Своих в один Bridge Чужих в другой Нет Это над, Андрей (??), 19:33 , 09-Сен-20 (5)
Ты поделил на Микротике порты? Своих в один Bridge. Чужих в другой? Нет? Это надо сделать в первую голову.
Если у тебя в офисе куча свичей, свои и чужие люди вперемежку, провода втыкай куда хочешь, то "миссия становится почти невыполнима". Спасет только некое кучкование чужих в пределах определенных розеток. На них отдельный свитч, от свича в отдельный порт микротика и читай ниже. Ну а если есть свичи с поддержкой VLAN-ов, то поднимай VLAN-ы, микротик тоже их умеет. Доводи до Микротика, создавай на нем VLAN-интерфейсы.На интерфейс bridge-1 (или как ты его там назовешь) вешаешь IP для своих.
На bridge-2 вешаешь IP для чужих. Как привязать DHCP-пул к интерфейсу надеюсь разберешься. Надо создать пул. Потом в настройках DHCP-сервера указать какой пул на какой интерфейс будет относиться. Для WiFi сделай два разных SSID, со своим пулом IP-адресов. Ну и дальше FireWall-ом руби кому чего можно, а чего нельзя. Вроде задача простая.
- Толку близко к 0, безопасность 0, изоляция 0 и нафига это делать gt овер, fantom (??), 14:35 , 11-Сен-20 (9)
.> на локальном интерфейсе
> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), Толку близко к 0, безопасность 0, изоляция 0... и нафига это делать???
>[оверквотинг удален]
> статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене
> сетей летит к чёрту, интернет работает в зависимости от уровня воды
> в океане. :( На фрюниксах с isc-dhcpd в статиках я могу
> прописать всё, что мне нужно для работы именно этого клиента, а
> в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24
> даёт ошибку.
> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
> можно, мне кажется, и без них... Опыта с микротиками у меня
> мало, подскажите, плз, что я делаю не так? Спасибо!
Вы не пытаетесь понять КАК это работает... Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 гостевые.... и собственно все.
> ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё
> эту мысль не переварил и не созрел. Давайте пока попробуем с
> dhcp разобраться.
- В одноранговой сети вся безопасность близка к 0 Перекладывать провода по офис, Адексанкр (?), 18:26 , 11-Сен-20 (10)
- gt оверквотинг удален если нет управляемых коммутаторов, если нет возможности , pavel_simple. (?), 08:22 , 13-Сен-20 (11)
- Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя,, Licha Morada (ok), 09:08 , 13-Сен-20 (12)
- gt оверквотинг удален Без понятия, могет оно или не могет Уровень изоляции и б, fantom (??), 15:25 , 17-Сен-20 (16)
|
Свернуть нити
Пометить прочитанным
Создать тему
