Inter Projekt
 
www.InterProjekt.pl  
Teraz jest 18 października 2017, godz. 00:31

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]




Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 7 ] 
Autor Wiadomość
 Tytuł: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 9 lutego 2011, godz. 13:20 
Offline

Dołączył(a): 9 lutego 2011, godz. 12:06
Posty: 3
Witam

Posiadam router Mikrotik 450G i do niego mam podłączone na interfejsie ethernet-3 (z użyciem switcha) 4 punkty dostępowe RB411AH. Wszystkie urządzonka mają wgrany najnowszy soft 4.16

Uruchomiłem na routerze 450G Hotspot-a, który rozsyła do wszystkich AP i klientów, którzy chcą się podłaczyć, adresy IP z jednej puli 10.0.0.0/24. Router jest tu serwerem DHCP, a AP są tylko klientami DHCP.
W tym momencie wszystko działa. Niestety potrzebuję teraz coś takiego, aby z Hotspot-a korzystali różni użytkownicy (nauczyciele, uczniowie i goście) i aby dostawiali adresy IP z różnych pól, a nie z jednej wspólnej. Maja dostawać takie IP:
Kod:
nauczyciele:  10.0.0.2-10.0.0.50
uczniowie:  10.0.0.51-10.0.0.200
goscie:  10.0.0.201-10.0.0.254

Próbowałem samodzielnie to poustawiać i postępowałem tak:

1. Dodałem 2 vlan-y do interfejsu ethernet-3 (vlan1 - uczniowie, vlan2 - goscie, na ethernet-3 są nauczyciele)
http://www.fotosik.pl/pokaz_obrazek/b5a9816c146c3309.html

2. Stworzyłem pule dla nauczycieli, uczniów i gości:
http://www.fotosik.pl/pokaz_obrazek/d477acc2684cd14f.html

3. Dodałem serwery DHCP, aby rozsyłały Ip z danych pol na vlan1 i vlan2:
http://www.fotosik.pl/pokaz_obrazek/f6a2757ddee710c5.html

4. Dodałem serwery Hotspot-a dla vlan1 i vlan2, profile, userów:
http://www.fotosik.pl/pokaz_obrazek/995f07198b654ef3.html


Teraz przy próbie zalogowania do Hotspot-a przez stronę www, na użytkownika "nauczyciel" jest OK, klient dostaje adres z puli 10.0.0.2-10.0.0.50, natomiast logując się na "uczen" lub "gosc" nie można się zalogować, pokazuje ciągle, że jest błedny login lub hasło (dane są poprawne, bo sprawdzałem).

Może wiecie, co zmienić, aby to działało jak trzeba?


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 22 lutego 2011, godz. 11:19 
Offline

Dołączył(a): 22 lutego 2011, godz. 10:57
Posty: 9
Nie pokazałeś zakładki /ip address - to by było ciekawe :).

Tak na serio - to wiesz, jak działają VLANy? I Twoje access-pointy mają też te VLANy ustawione na interfejsach? I czy ustawiałeś to tak, żeby każdy access-point działał dla innej grupy? Czy każdy ma działać dla wszystkich, tylko w innym miejscu budynku? (a jeżeli tak - to czy ustawiałeś virtual access-pointy zmostkowane z tymi vlanami?)

Po pierwsze - trzeba zmienić adresacje, skoro różne interfe62jsy to i różne podsieci... czyli np.
uczniowie: 10.0.0.0/25 (adresy w puli od 2 do 126)
nauczyciele: 10.0.0.128/26 (adresy od 130 do 190)
goscie: 10.0.0.192/26 (adresy od 194 do 254)

Po drugie - pokaż, w jaki sposób ustawiłeś łączenie tych vlan-ów z access-pointami :).


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 23 lutego 2011, godz. 16:08 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Podejrzewam, że problem właśnie w vlanach jak wspomina przedmówca. Jeśli w MT utworzysz vlan to oznacza, że interfejsem fizycznym na który jest zapięty będzie wypadała ramka tagowana jeśli AP ją rozumie (ma skonfigurowane vlany) to powinno być ok. Jeśli nie, to brak komunikacji. To, że hotspot na fizycznym interfejsie odpowiada wydaje się potwierdzać teorię. Tak w ogóle, dlaczego trzy hotspoty? Wystarczyłby jeden a tylko użytkowników przypisywać do jednego z trzech profili użytkowników.

pozdrawiam,
bdr


Góra
 Zobacz profil  
 
 Tytuł: Re: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 23 lutego 2011, godz. 21:17 
Offline

Dołączył(a): 9 lutego 2011, godz. 12:06
Posty: 3
dasiu napisał(a):
Tak w ogóle, dlaczego trzy hotspoty? Wystarczyłby jeden a tylko użytkowników przypisywać do jednego z trzech profili użytkowników.
Też tak pomyślałem. Zrezygnowałem z VLAN-ów i zrobiłem tak:

1. Jest jeden Hotspot przypisujący adresy z puli
Kod:
10.0.0.2-10.0.0.254

Adresy
Kod:
10.0.0.241-10.0.0.254
przewidziałem na statyczne, i cztery z nich stosuje dla 4-ech AP.

2. Dodałem trzy pule adresowe:
Kod:
nauczyciele: 10.0.0.2-10.0.0.50
uczniowie: 10.0.0.51-10.0.0.200
goscie: 10.0.0.201-10.0.0.240
i powiązałem te pule z odpowiednimi profilami użytkowników w Hotspot, tak że: profil "nauczyciele" dostanie adresy z puli "nauczyciele", profil "uczniowie" z puli "uczniów", a profil "goscie" z puli "goście".

Teraz, gdy jakiś klient chce się podłączyć, to dostaje po podpięciu do WiFi - po podaniu odpowiedniego hasła - "tymczasowy adres" z puli
Kod:
10.0.0.2-254
(bez statycznych, które wykorzystuję) i po wpisaniu odpowiednich danych logowania na stronie, np. zaloguje się jako "uczeń", to dostaje docelowo adres z puli "uczniów", czyli
Kod:
10.0.0.51-200
Tak samo działa to dla innych userów (nauczycieli, gości).

Teraz widać, że w zakładce
Kod:
Hostpot -> Active Users (chyba ta, bo teraz nie pamiętam)
kolumna Address zawiera "adres tymczasowy", który dostał klient przed zalogowaniem, np. 10.0.0.237 (ale niestety jest on przydzielany z całej pul Hotspota), a kolumna To address zawiera adres po zalogowaniu, ale już z odpowiedniej puli.

Narazie wszystko ładnie działa, nawet zrobiłem sobie przekierowanie dla uczniów i gości na
Kod:
Dansguardiana
, czyli inny serwer w sieci, pozostawiając nauczycieli bez sprawdzania.


UWAGI!!!

1. Musiałem dodać do pliku
Kod:
/etc/squid/squid.conf (na serwerze z Dansguardianem)
informacje o sieci
Kod:
10.0.0.0/24
na MikroTiku, bo występowały problemy z dostępem do internetu: pingi dochodziły, natomiast w przeglądarce pojawiał się komunikat ze Squida, że połaczenie jest zablokowane
Kod:
Access denied

2. Musiałem dodać trasę na serwerze, do którego jest podpięty Mikrotik
Kod:
route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.10.45 (to jest adres zewnętrzny Mikrotika w mojej sieci)
aby wiedział jak mają dojść pakiety do sieci
Kod:
10.0.0.0/24
na Mikrotiku. Bez tego ciągle miałem w logach
Kod:
/var/log/messages
informacje o
Kod:
martian source


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 24 lutego 2011, godz. 10:24 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam,

Cieszę się, że się udało :) Co do squida (od razu zaznaczę, że z samym DansGuardian nie miałem do czynienia), to można w profilu serwera hotspot skonfigurować serwer proxy i z poziomu proxy mikrotika bezpośrednio delegować zapytania do proxy nadrzędnego. Chyba, że tak właśnie jest to zrobione.

pozdrawiam,
bdr


Góra
 Zobacz profil  
 
 Tytuł: Re: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 24 lutego 2011, godz. 11:25 
Offline

Dołączył(a): 9 lutego 2011, godz. 12:06
Posty: 3
bdr napisał(a):
Co do squida (od razu zaznaczę, że z samym DansGuardian nie miałem do czynienia), to można w profilu serwera hotspot skonfigurować serwer proxy i z poziomu proxy mikrotika bezpośrednio delegować zapytania do proxy nadrzędnego. Chyba, że tak właśnie jest to zrobione.
Nie używałem do tego proxy mikrotika, zrobiłem tylko w
Kod:
/ip firewall nat
przekierowanie na port Dansguardiana (u mnie 8080) wybranych userów z hotspota, których zakres IP podałem w
Kod:
/ip firewall address lists
.

Bdr, a mógłbyś mi powiedzieć, jak można to zrobić Twoim pomysłem, tzn. co gdzie wpisać, aby wykorzytać proxy mikrotika?

U mnie adres serwera z proxy i dansguardianem to 192.168.10.1. Proxy działa na porcie 3128, a dansguardian 8080.


Góra
 Zobacz profil Wyślij e-mail  
 
 Tytuł: Re: Hotspot na Mikrotik 450G z AP 411AH
PostNapisane: 24 lutego 2011, godz. 17:51 
Offline
Inter Projekt
Avatar użytkownika

Dołączył(a): 5 marca 2007, godz. 11:31
Posty: 170
Lokalizacja: Bytom
Witam ponownie,

Proxy włączasz i konfigurujesz w /ip proxy, w /ip proxy direct definiujesz jakie zapytania mają być delegowane do "parrent proxy" (samego parent definiujesz z poziomu /ip proxy). Natomiast w profilu użytkowników serwera hotspot włączasz opcję transparent proxy.
Serwer hotspot sam utworzy odpowiednie reguły NAT przekierowujące ruch http do proxy włączonego na MT natomiast ten oddeleguje je zgodnie z regułami w /ip proxy direct do właściwego serwera. Jeśli chodzi o te reguły, to to czego zabronisz (deny) zostanie przesłane do proxy nadrzędnego, więc jeśli chcesz filtrować wszystko, to wystarczy utworzyć pustą regułkę (wszystko) z akcją deny :).

Nie namieszałem za bardzo? :P

pozdrawiam,
bdr


Góra
 Zobacz profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Utwórz nowy wątek Odpowiedz w wątku  [ Posty: 7 ] 

Wszystkie czasy w strefie UTC + 1 [czas letni (DST)]


Kto przegląda forum

Użytkownicy przeglądający to forum: Brak zalogowanych użytkowników i 0 gości


Nie możesz rozpoczynać nowych wątków
Nie możesz odpowiadać w wątkach
Nie możesz edytować swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Skocz do:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Publikowane wiadomości są prywatnymi opiniami użytkowników forum. Inter Projekt S.A. nie ponosi odpowiedzialności za treść wiadomości.
Informacje o cookies