Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Host 24. 08. 2012, 08:27:58
-
Nedovedu si poradit s následujícím problémem.
Mám v síti jeden mikrotik kde běží DHCP a hotspot pro autorizaci uživatelů podle uživatelského jména, hesla, IP a MAC.
Pak mám další tři MK a u těch bych potřeboval, aby tahali DHCP a autorizovali uživatele na hlavním MK.
Celý den jsem zkoušel různé konfigurace, ale stále se mi to nedařilo rozjet.
MK1 - eth1 - 192.168.0.30 ( WAN - masquerade )
eth2 - 192.168.1.1 ( spojení pro ostatní MK )
bridge - (eth3,eth4,eth5) - 10.0.0.1 ( DHCP, Hotspot )
MK2 - 4 - eth1 - 192.168.1.1
bridge ( eth3,eth4,eth5 ) - 10.0.1.1 ( DHCP )
výchozí brána je 192.168.1.1
src-nat - out. interface - eth1 , action src-nat 10.0.1.0/24
nepoužívá masquerade
Včera jsem byl už zoufalý, tak jsem nastavil tuto konfiguraci. Hotspot autorizoval pouze pomocí uživ. jména a hesla.
Klienti na druhém MK dostávali IP z DHCP druhého MK a jeho rozsah byl natován na rozsah toho prvního.
Výsledkem bylo to že klienti na druhém MK se dostali až na autorizaci hotspotu prvního MK a po přihlášení jednoho klienta mohli
všichni na net.
Nemohl by někdo poradit jak nastavit ten druhý, aby i klienti druhého - čtvrtého mk používali DHCP server toho prvního a utorizovali
se na prvním MK pomocí MAC, IP a uživ. jména ?
Nebo aspoň podle uživ. jména a hesla.
-
Stačí mít na hlavním DHCP a ostatní připojeny do bridge. Řídící mikrotik pro celou síť bude mk1 a nic víc ani nemusíš řešit.
-
No to právě, že nemůžu.
Pokud si trošku schopný člověk nastaví do počítače IP 192.168.0.XX tak obejde celý MK ( v případě nastavení "full - bridge" )a dostane se na net bez jakéhokoliv omezení.
-
MK1:
- možná zbytečné mít dvě sítě - stačí bohatě jedna a tím zamezíš jakémukoliv průniku, jelikož to pohlídá hotspot
- čistě záleží kolik budeš mít připojených klientů, podle toho definovat rozsah.
- jinak lze hotspot zavěsit na interface
Použil bych
1.MK
- řídící
- 1.interface WAN, 2. interface hotspot
Další zařízení ( MK )
- v bridge módu
-
nebo to zkusit pomoci dhcp relay
-
No pokud dám na tom druhém MK všechny porty do bridge módu, tak pokud si klient nastaví adresu wanu ( tak aby nekolidoval ),
dostane se na net. Důvodem je to že MK jsou spojovány pomocí switchu, kde není možné vytvořit VLAN a tak jsou současně všichni součástí WANU :O/ ale používají svůj DHCP rozsah. To by šlapalo ... do té doby, než někdo chytrej najde tady tu díru ....
-
Nedostane, když bude hotspot zavěšen na interface - pak hotspot kontroluje komunikaci a přihlášené uživatele.
-
no to bych ho musel zavěsit na slave MK..
Ale to je pak celkem problém, pač bych musel uživatele registrovat na všechny MK a to pak ztrácí smysl
-
Nemusíš nikde 2x registrovat - řídící bude stále první MK - vše se bude autorizovat vůči němu.
-
Takže jestli chápu správně, tak mám na ostatních MK nastavit jenom bridge pro všechny interfaces ?
-
Ano přesně. O provoz se postará MK1 - dhcp server + hotspot.
-
No v pondělí to vyzkouším...
Ale nevím nevím...
Podle mě pokud mám všechny NIC v Bridge a i pokud ten bridge má ip adresu pro 10.0.10.x tak jelikož je Slave MK připojován pomocí switche kde je síť 192.168.0.x tak pokud si klient co se přpojí na Slave MK nastaví 192.168.0.x tak se dostane na net. Důvodem by mělo být přece to že se klient díiky tomu bridge dostane přímo na switch, kde běží tato síť.
-
Tak přesně jak jsem psal.
Pokud na Slave MK udělám ze všech NIC bridge tak sice klienti dostávají IP adresy z DHCP serveru, který běží na Master MK ale jelikož je vše spojováno pomocí Switche kde běží zároveň i Wan tak pokud si host nastaví adresu přímo sám ( bez DHCP ) z rozsahu Wanu tak obejde celý Mikrotik.
Nápady ?
-
a proc to mas propojeno pomoci switche?
Udelal bych to takto:
WAN1 -> masquerade, srcnat -> VIF1
- na VIF1 nahodit hotspot
vif1 probridgovat s wifi a ethX, ktere vedou do ostatnich mikrotiku, bezicich v modu bridge.
-
pokud to tedy dobře chápu nyní je problém ziskat IP pro usery na koncových MK z hlavního MK na kterem bezi DHCP
jak už tady někdo zmiňoval
pouzil bych na koncovych MK DHCP Relay, ktere zaridi aby se pozadavek dostal na dalsi uzel v ceste az tam kde bude vyrizen
pouzivat Bridge mod? fuj....... to pak ty Mikrotiky nemusite vubec mit...jak rika sam mikrotik - Routing the World!
-
pouzivat Bridge mod? fuj....... to pak ty Mikrotiky nemusite vubec mit...jak rika sam mikrotik - Routing the World!
A v čem je řešení s routováním lepší?
-
Mám totiž 4 patra a Switche bez VLan.
Takže ve 4 sedí master je připojen na switch který je dále spojen s ostatníma.
Všichni slave jsou tedy na "stejném switchi " jako je master MK.
Wifi přístup dělat nemůžu. Musí to být vedeno drátově a použít stávající síť.
-
Já pořád nemůžu přijít na to proč chceš vůbec používat další Mikrotiky kromě jednoho, když aby to fungovalo tak jak chceš tak stačí jeden a pak hloupé switche (nebo AP) a hlavně MK nepropojovat přes switch kde je i WAN.
-
Ha, měl jsem se před odesláním příspěvku podívat jestli si něco nepřipsal :)
Řešením pro tvojí situaci je použití chytrého switche a nastavit vlany.
Nebo pokud je to možné použít jiný kabel vedoucí přímo do master MK.
-
Nevím jak to lépe popsat.
MK1 - Eth 1 WAN ( switch 1 )
Eth2 Bridge 1 (switch 1)
Eth3 Bridge 1
Eth4 bridge 1
nastavení pro bridge 1- DHCP, Hotspot
Ip adresa bridge 10.0.10.1
Ip adresa Wan - 10.0.0.40
MK2 - MKx
Ip adresa Wan - 10.0.10.2
Ip adresa bridge - 10.0.10.3
Eth 1 WAN ( switch 1 )
Eth 2 bridge 1
Eth 3 bridge 1
Eth 4 bridge 1
Z toho plyne, že na switch 1 jsou provozovány dva subnety 10.0.10.0/24 a 10.0.0.0/24
Takže pokud by byl celý druhý MK v bridge a klient by si nastavil 10.0.0.90 tak je na netu.
A já potřebuji aby to tak nešlo :o/ a aby dostal ip adresu z 10.0.10.1.
Prostě na switch ( třeba switch 1) kde je master mikrotik připojen do WANU ( switch 1 ) jsou připojeni i ostatní mk do switche 1 .
Takže pokud bych na slave mk strčil všechno do bridge tak to by sice šlo, ale pokud si nějaká uklízečka nastaví IP toho Wanu tak je na netu a nemusí se vůbec omezovat omezením nastaveným na MK.
Já potřebuji aby všichni slave MK
-
Kdybych měl kabel nebo switch za 15 000 tak to udělám přece a nepíšu tady jak jsem zoufalej :sD
-
Mám totiž 4 patra a Switche bez VLan.
Takže ve 4 sedí master je připojen na switch který je dále spojen s ostatníma.
Všichni slave jsou tedy na "stejném switchi " jako je master MK.
Wifi přístup dělat nemůžu. Musí to být vedeno drátově a použít stávající síť.
Aha.. :D
No tak to máš blbý.. ale už je mi to jasnější. Pokud fakt nebude jednodušší koupit 10dkg switchů za par stovek,
tak by mohlo pomoci nejaky to tunelovani.
- Na hlavnim mikrotiku (MK1) si vytvor rozhrani a EoIP (ethernet over IP) tunely do vsech slave MK.
- konce tunelu v MK1 probridguj s hotspotovym rozhranim na mk1 (asi wlan1)
- v MKx jen bridgni konec tunelu a wireless rozhrani.
hm?
-
- Na hlavnim mikrotiku (MK1) si vytvor rozhrani a EoIP (ethernet over IP) tunely do vsech slave MK.
- konce tunelu v MK1 probridguj s hotspotovym rozhranim na mk1 (asi wlan1)
- v MKx jen bridgni konec tunelu a wireless rozhrani.
hm?
Jen doplnim ze na hlavnim mikrotiku se musi probridgovat pochopitelne to rozhrani co uz je za hotspotem.
Ale jinak celkove by to mohlo fungovat.. Dosahnes tim uplneho oddeleni obsluzne LAN site a WLAN.
-
Supeeeer ! Přesně to co sem potřeboval !
Děkuju !!! už to jede jak sem chtěl !
-
Jenom mam takovej problem jeste sice dostanu IP z Masteru, ale na net se nedostanu.
Všechny ip z DHCP odpovídají tomu co rozdává master mk
-
Hmm a na MK1 ti to funguje? Jestli ne, videl bych problem v konfiguraci hotspotu.. To ostatni uz jede na L2, takze by to nemelo mit s IP nic spolecneho.
Btw. a neprideloval jsi tem bridgum na MK2-N nejake IP adresy, nebo nedejboze nenastavoval jsi je jako DHCP klienty? :D
-
Na slave MK jsou všechny DHCP, hotspot atd. vypnuty.
Slave MK maji jenom adresu na eth1 pro vytvoreni IP tunelu smerem k Masteru.
Bridge na Slave MK nema ani ip adresu a je do nej vlozen akorat adapter ip tunelu
-
z tech slave si neposlu na master mk ping ( presne na master bridge )
-
Už jede....
Smazal sem to všechno a vytvořil znovu