GD Star Rating
loading...

Братцы, ай нид хэлп
Достался в наследство censored зоопарк : адсл-модем zyxel Prestige 660RU-T1 воткнут в маршрутизатор d-link DES-2108. В него же воткнуты локальные клиенты (бухи, кассы, терминалы) и два wifi-роутера (по роутеру на этаж) – asus rt-n12 и zyxel p-330w ee.
Что от меня хотят – минимум, чтобы левые посетители этажей имели доступ по wifi к интернету, но не видели локальных клиентов.
Желательно, чтобы правильно подготовленные клиенты со своим wifi гаджетами – имели и инет и доступ к локалке.
Следующий этап, из области мечт – чтобы левые посетители начинали серфинг по инету с мною нарисованной странички (типа, привет, как мы рады что это вы, нажмите ок для вконтакта).
Как то так. Готов ставить всякие впн, прокси-хуёкси, просто хотелось бы сразу рабочий вариант, потому как возможности экскрементирвать на работающей (хоть и через жопу) системе – не имеется.
Спасибо что выслушали.

Tagged with →  

35 Responses to Братцы, ай нид хэлпДостался в наследство censored зоопарк : адсл-модем zyxel Prestige 660RU-T1 воткнут в маршрутизатор d-link DES-2108.

  1. Snprog:

    Keriо Winroute Firewall. Будет и тебе и страница с приветом, и авторизация свой/гость и прочие вкусности.

  2. DaRed:

    вобщем, я недооценил масштаб постигшего меня пиздеца.
    вот моя картинка, схема текущего состояния “сети”. логика и опыт подсказывает, что нужно adsl цеплять к выделенному серверу, на который ставить kerio. но компы, которые прицеплены к неуправляемому хабу мне от беспроводных клиентов wifi1 таким образом все равно не защитить же?

    Hardblog.net - linux nix windows размер 500x448, 23.02 kb

  3. Tsma:

    d–link DES–2108 – это коммутатор.

  4. Tsma:

    Купить еще один канал для инета и раздвать его через один из вай-фаев.

  5. TumorF:

    ох, плюсанул бы, но все 150 плюсиков сегодня расширением спустил

  6. TumorF:

    точнее минусиков, теперь кончились плюсики :

  7. Ekko:

    на сайте длинка написано, что твой свитч поддерживает IEEE 802.1Q.

  8. Hssoft:

    Имхо, самый простой способ – разрулить всё это счастье с помощью правильной выдачи IP-адресов. Всем “своим” выдать (статически или DHCP по маку) один диапазон (например 192.168.0.0/24), левым – другой (тем же DHCP, например 192.168.1.0/24), на раздавалке инета прописать два IP-адреса и не настраивать маршрутизацию между двумя сетками.

  9. DaRed:

    сейчас все так и сделано. локалке выдает адреса dhcp с адсльного зухеля, 192.168.0.0/24. беспроводные клиенты получают адрес со своих dhcp на wifi роутерах, соответственно 192.168.1.0/24. Но они МОГУТ на компы локалки зайти по шаре \\192.168.0.x\shara. ну то есть могли бы, еслиб пароль доступа к ресурсу знали. либо я до конца не уловил мысль. я пытался на самих wifi роутерах заблокировать трафик к 192.168.0.0/24 но успеха не достиг. предполагаю, это как то можно через консоль сделать, там есть нечто похожее на iptables, но я ниасилил

  10. DaRed:

    я честно не знаю, что это значит, я не настоящий сварщик. по описанию звучит очень интересно и, предполагаю, что пожно попробовать это как-то использовать
    Я на уровне des-2108 с помощью разводки портов по разным VLAN сделал, что wifi2 имеет доступ только к adsl модему – это не оно же, случайно? к сожалению, это не решение проблемы, а временная затычка, доставляющая неудобства

  11. Hssoft:

    а ты пусти трассировку с таза из одной сетки на таз в другой и посмотри какой из девайсов роутит сетки друг в друга. Ну или маска там шире 24-х бит.

  12. Ekko:

    ну я вижу так: сервачок с тремя сетевухами. Один интерфейс получает интернеты, второй отдает в локалку, третий отдает гостям. Коммутируешь все через свитч, но не уверен, что твой текущий 2108 потянет. Я не уверен, что там на виндах хорошо, но kerio control вроде подходит. Можно и двумя интерфейсами обойтись, но я бы не стал.

  13. DaRed:

    это вариант, но это сопряжено с внесением изменений в существующую конфигурацию – как минимум прокладку новых кабелей, чего я всеми силами и стараюсь избежать… но, походу, придется идти на жертвы, сверлить потолки и стены.

  14. RelliM_Ytprog:

    на zyxel p–330w ee. зарежь доступ из гостевой сети в свою и будет счастье.

  15. RelliM_Ytprog:

    Все-таки непонятно, что в этой сети роутингом занимается.

  16. DaRed:

    как я себе это понимаю (будет много тафталогии) – беспроводных клиентов роутят беспроводные же роутеры. они их роутят в локалку. если клиенты ломятся в инет – попадают сразу на шлюз (адсл модем) это хорошо. но если они захотят попасть на компы локалки – я не знаю, как им помешать это сделать.

  17. TumorF:

    на той точке доступа, которая для публичных клиентов, либо поставить фильтр, либо её сделать мостом и подключить к серверу, который не пустит её клиентов куда не надо и даст им адреса

  18. Esin:

    А если попробовать выкинуть хаб и на его место поставить ваш DES-2108, на место 2108 – любой нормальный свитч, между ними 802.1q. Wifi-роутеры перевести в режим точки доступа и вынести в отдельный VLAN, то есть, стационарные устройства у вас будут, например, в VLAN5, wifi-клиенты в VLAN10. Между adsl-модемом и новым свитчем сервер, который будет выдавать адреса, заниматься маршрутизацией и проксированием? До кучи, можно поднять на сервере vpn и пускать в локалку “wifi-своих” через него.

  19. CiRu:

    DIR-300 + dd-wtr + chillspot + radius, но я сейчас не вспомню, может ли dd-wrt в одном SSID разруливать клиентов по разным вланам.

  20. PiAdmin:

    А почему бы не закрыть шару? Сделать шару парольную, на нужных компах ввести и сохранить пароль, там где не нужна шара – выключить её вообще.

  21. RelliM_Ytprog:

    kernel- ты еще предложи 802.11х сделать.

  22. Ytprog:

    уебан ты тупой. Просто тупой уебан.

  23. Ytprog:

    и ты тоже мудак. Блядь, решения разряда «вместо того, чтобы заткнуть пробоину, будем вечно откачивать воду» настолько затрахали, что всем, кто их предлагает, хочется яйца на голову натягивать.

  24. CiRu:

    Ну расскажи нам как правильно, или завали ебало

  25. Ytprog:

    Автору поста гуглить слово VLAN, читать литературу и не тупить.

  26. TumorF:

    начни с себя

  27. Ytprog:

    Нет, серьезно, весь пост ужасен. Местные завсегдатаи, навроде kernel-panic, TumorF и прочих Ekko, с умнейшим видом дают советы один страшнее другого, аж кровь из глаз вытекать начинает.

    На всякий случай: ответ на вопрос автора — 802.1Q. Все. Говноеды, видящие сервак с тремя сетевушками, говнопродукты Kerio и назначение рабочим машинам статических адресов дружно идут нафиг.

  28. TumorF:

    пришёл дасти и опять пожрал говна. интересно даже, тебе это удовольствие доставляет? куда бы ты не пришёл, хоть даже на макблогу – тебя везде накормят говном и позорно насуют минусов и справедливых обидных комментариев. вот ты прочитай свои комменты – пришёл, сказал тупак, покидался говном и был послан нафиг. и так изо дня в день

  29. Ytprog:

    по делу-то есть что сказать, говно?

  30. TumorF:

    по делу вот что – твой выебон про виланы слабо ревелантен к обсуждаемой проблеме, твой профессиональный уровень близок к нулю, а уж твои метания говнами обусловлены то ли тем, что тебя на работе притесняют, то ли тем что об тебя дома ноги вытирают. в любом случае, с этой фигнёй иди к врачам, а не сюда. усёк, мразь?

  31. Ytprog:

    твой выебон про виланы слабо ревелантен к обсуждаемой проблеме

    Вот потому-то ты и мудак. Вперь свой мутный взгляд в пост и прочитай:

    чтобы левые посетители этажей имели доступ по wifi к интернету, но не видели локальных клиентов.

    Если у тебя есть лучшее решение, чем мое — вперед, поделись знанием. Иначе держи фиг во рту и не пизди.

  32. TumorF:

    это тебя кто к такой гомосексуальной хуете приучил? начальник? выше Hssoft привёл самое простое и верное решение

  33. Ytprog:

    выше Hssoft привёл самое простое и верное решение

    Это не решение, это уебанство. Все клиенты в одном бродкаст домене — заебись! Кто-то выставит себе статику с адресом из внутренней сети — дважды заебись! Зато просто и по-мудацки.

    Я уже предчувствую реакцию вида «запрет любого трафика в/из 192.168.0.0/24» для «решения» второй проблемы. Только тогда следующая вещь:

    Желательно, чтобы правильно подготовленные клиенты со своим wifi гаджетами — имели и инет и доступ к локалке.

    автоматически идет в пизду, вместе с гениями, предлагающими вот такие «простые и верные решения».

  34. TumorF:

    ебать, откуда один бродкаст-домен? ясное дело что у клиентов-гостей будет своя точка доступа – иначе если у них будет общий ключ с внутренними беспроводными клиентами они даже при всех виланах могут фигни наделать.

  35. Ytprog:

    Прекрасно. То есть, в твоей схеме каждая гостевая точка доступа работает как маршрутизатор, поднимая свой NAT и раздавая гостевым клиентам адреса по DHCP. Я ведь правильно понял всю глубину этой мысли?

  36. TumorF:

    нет, неправильно. точка для своих клиентов работает просто как мост в основную сеть, получая инет наравне с офисными компами и работая просто как продолжение проводной сети. гостевая точка доступа садится на отдельный интерфейс общего роутера, который форвардит проводную сеть и гостевой вифи в инет, но не форвардит их между собой – про что и говорил Hssoft

  37. Ytprog:

    гостевая точка доступа садится на отдельный интерфейс общего роутера, который форвардит проводную сеть и гостевой вифи в инет, но не форвардит их между собой — про что и говорил Hssoft

    То есть, ставим везде по две точки, одну для своих, другую для гостей. Невероятно уебищно! Я так и представляю их стоящими парочками. Кровь при этом ручьями льется из глаз.

    А ведь у DaRed в здании два этажа, следовательно, нужны две гостевых точки. «Сажаем» их уже на два отдельных интерфейса роутера, правильно? А если надо расширять покрытие? Придется покупать под гостевые точки отдельный коммутатор. И все AP закупать в двойном количестве, для своих и чужих. Как здорово, как прекрасно, как удобно и дешево!

  38. TumorF:

    а ты предлагаешь использовать одну точку на всех с общим ключом для гостей и клиентов, верно?

  39. Ytprog:

    я предлагаю использовать точку с двумя SSID (основным и гостевым), трафику которых присваиваются разные теги.

  40. DaRed:

    сейчас – именно так и сделано. считаю это идеологически неверным, тем не менее.

  41. PiAdmin:

    У него роутер стоит полторы тыщи рублей. Я почему – то думаю, что он не сможет раздавать 2 SSID одновременно.

  42. PiAdmin:

    Решение из разряда – у меня есть интернет, пользуйтесь кто хочет, но мои компы надёжно защищены и пошли все нафиг.

  43. Ytprog:

    говорят, именно для этого существуют магазины, где иногда можно что-то купить.

  44. Ytprog:

    Только вот нафиг при этом идешь ты.

  45. DaRed:

    охренеть, какой тут IT-срач разгорелся, прям зонтик от говна раскрывай

    докладываю, как я пока решил действовать.
    роутер wifi 1 будет посажен на отдельный порт коммутатора (аналогично wifi2). для этого придется через перекрытия протащить еще один кабель.
    средствами коммутатора клиенты wifi будут отрезаны от локалки (да, у них будет свой vlan). у них будет доступ только к шлюзу, который поставлю между коммутатором des-2108 и adsl модемом.
    на шлюзе поставлю например openvpn (заодно организую доступ к локалке извне, кстати), и wifi клиенты, которые смогут к нему подключиться – попадут в локалку.

    хотелось избежать прокладки проводов и покупки шлюза, да видно не судьба.

  46. PiAdmin:

    Интересно, у тебя все зубы на месте?)

  47. PiAdmin:

    Тут не срач, просто те, кто решает задачу в заданных рамках оборудования не понимают тех, кто хочет что – то купить и поставить. Вон, Ytprog хочет купить что – то, а когда ему предлагают вполне работающие решения на данном в задании оборудовании – очень ругается. Если бы топикстартер сказал, что у него есть определённое бабло на развитие – можно было бы думать…

  48. PiAdmin:

    Бля, ты и есть топикстартер. Ну раз есть бабло – покупай с богом)

  49. DaRed:

    ну теперь, когда выяснилась невозможность реализации требующегося функционала в рамках существующей конфигурации – и бабло на шлюз есть и шнурок между этажей разрешают тянуть…

  50. TumorF:

    твой начальник читает этот пост?

  51. Ytprog:

    в заданных рамках оборудования задача не решается, потому что, фактически, нет маршрутизатора (ADSL-модем не в счет).

    доступ только к шлюзу, который поставлю между коммутатором des–2108 и adsl модемом.
    на шлюзе поставлю например openvpn

    Сервер в качестве шлюза делает зайчика плакать 🙁 Конечно, если бюджет крайне ограничен…

    и wifi клиенты, которые смогут к нему подключиться — попадут в локалку.

    Куда удобней было бы наличие отдельного SSID для «своих».

  52. TumorF:

    Сервер в качестве шлюза делает зайчика плакать :–( Конечно, если бюджет крайне ограничен…
    сервер в качестве шлюза делает плакать только наслушавшихся про циски-хуиски, смолл бизнес серии которых по сути работают с сетью как обычная персоналка с IOS на борту. у ОпСоСов, например, даже USBS и gprs-гейты стоят на обычных серверах и всё работает просто заебись.

  53. TumorF:

    насчёт отдельного SSID – это просто необходимость

  54. Ytprog:

    мне кажется, это уже стало метрикой, позволяющей отличить мудаков в толпе. Если человек ставит сервер в качестве шлюза — значит, мудак!

    Ключевые слова: энергопотребление, интеграция с инструментами мониторинга, надежность, простота настройки, оптимизация под конкретный круг задач.

    работают с сетью как обычная персоналка с IOS на борту.

    Глубокомысленное сравнение, да.

  55. DaRed:

    да боже упаси! к тому же это не то чтобы начальник, а скорее начальница. вобще, даже не начальница, а работодатель, симпатичный и нежадный. просто изначально вопрос ставился так – “Сашуля, давай попробуем сделать, чтоб все было хорошо и бесплатно”. не мог же я ей сразу сказать – “гони бабло, не жмись, старушка”.

  56. DaRed:

    да отдельный ssid я сделал, но профита не получил. отдельный ssid может заблокировать от беспроводных клиентов нисходящую локалку wifi роутера – которой физичесики то и нет. есть локалка, в которую роутер воткнут как клиент – ее отдельным ssid не защищает

    как-то путано объяснил, понимаю. сейчас попробую нарисовать свою мысль

  57. DaRed:

    вот так. отдельный ssid не защитит от доступа к USER PC (192.168.1.2) с любого беспроводного клиента

    Hardblog.net - linux nix windows размер 486x417, 11.17 kb

  58. TumorF:

    отдельный ссид нужен для отдельного общего ключа шифрования

  59. Ekko:

    ну ты и фиг. Посмотрим, чо дешевле будет – менять кучу железа или купить три сраных сетевухи.

  60. Ytprog:

    сервер, занимающийся маршрутизацией — признак админа-мудака.

    Ты — мудак.

  61. Ytprog:

    именно поэтому точка должна тегировать трафик разных SSID, чтобы тот попадал в разные VLAN на коммутаторе.

    Если точка это делать не умеет — очень грустно.

  62. Esin:

    немного не так, вам говорят про такую штуку:
    //блогastuff.ru/data/img/20111003/5…
    это приличнее чем vpn внутри локальной сети, да и asus rt–n12 с dd-wrt на борту вроде как на такое способен.

  63. RANo:

    //market.yandex.ru/model.xml?modeli…

  64. Esin:

    я про dd-wrt даже не подумал сначала, просто посмотрел на характеристики роутеров и предложил vpn

  65. PiAdmin:

    спасибо, я умею пользоваться яндекс-маркетом. Дальше что?

  66. TumorF:

    впаривает тебе его, наверное

  67. RANo:

    это роутер за полторы тыщи, умеющий раздавать два SSID

  68. Ekko:

    я мудак, только с маршрутизацией это не связано. Чувак спросил – я предложил в рамках минимальных затрат. Были бы озвучены бюджеты – другое дело.

  69. TumorF:

    это верное решение, всё ок. дасти не умеет сервы просто настраивать под сеть, поэтому сторонник вливания бабла в ит-инфраструктуру для компенсации уровня инженеров

Добавить комментарий