mikrotik guest wifi
zdravím,
mám hlavní mikrotik router s wifi
mám AP mikrotik připojený kabelem k hlavnímu mikrotiku
chci nastavit wifi guest síť, přípojení má být jen do internetu
jak udělat aby klient na wifi guest připojený na AP nemohl do lokální sítě?
všechny porty na AP jsou nastaveny jako LAN, takže nemůžu směrovat do WAN, takže jedině filtrovat přes IP adresy?
musím mít konfigurovaný firewal na obou mikroticích, nebo bude fungovat když nastavím CAPSMAN a nastavím firewall jen na mikrotik routeru?
S capsman nemám žádné zkušenosti tak ať zbytečně nevymýšlím kraviny
díky
Změna kategorie, původně: Hardware (host)
řešení se jmenuje VLAN. Nejjednodušší je hostovskou síť otagovat a máš elegantně vyřešeno.
https://pc.poradna.net/articles/2723777-co-jsou-to-vlan-a-jak-funguji-implementace-v-mikrotiku
Este jednoduchsia moznost je zakazat forward na fw medzi sieto pre hosti a zvyskom domacej LAN.
Kedze hostovska siet je z ineho rozsahu uz svoj "tag" defacto ma.
Co máte všichni proti hostům?
Myslíš toto?
Nie celkom, v tvojom pripade len izolujes klienta v ramci ap, cize nevidi a nevie komunikovat s inymi klientami.
Forwarding medzi sietami sa nastavuje na FW.
Vytvoříš pravidlo, které zakáže provoz ze sítě hosta do tvé vnitřní sítě. Mám to (pokud si vzpomínám) popsané v článku síť pro hosty.
Pokud se připojuje na WiFi guest ap, to pravidlo musím vytvořit na ap nebo až na routeru?
Ten wifi guest AP by nemel NATovat, takze na routeru
Akorát že... tohle neřeší broadcasty, ze kterých se dá poměrně dobře zjistit adresace té druhé LAN, což zase vede na to, že potenciální útočník si následně může nastavit IP svou. Dále, na každém AP guest wifi bys musel udržovat DHCP server s nějakou částí IP range. Tvé (a flegovo) řešení bude jakžtakž fungovat s jedním routerem, cokoli složitějšího bude kupící se hromadou problémů a kompromisů.
Laický dotaz k tomuto: "…potenciální útočník si následně může nastavit IP svou"
Pokud je zaheslovaný přístup k ROS (System - Password), tak by se k tomu snad dostal neměl, ne? V případě, že nemá fyzický přístup k routeru.
Touchwood myslel nastavit si vlastní adresu (tvé vnitřní sítě) na zařízení, ze kterého se připojuješ.
Každá síť (vnitřní a pro hosty) má svůj IP rozsah na DHCP.
Pravidlo zaručí, že packety z rozsahu sítě pro hosty směřované do vnitřní sítě se zahodí.
DHCP server je pouze jeden, ostatní AP se chovají jako AP.
Jestli to chceš ošetřit víc, tak pravidlem umožním komunikaci klientů na guest síti pouze z daného rozsahu IP, pokud si nastaví IP z jiného rozsahu, nebude komunikovat.
Nastavenie adresy ti nepomoze, ak mam lan na 192.168 a quest na 172.16 tak Ap takyto packet s podvrhnutou IP podla mna odmietne.
Navyse moze nastavit izolaciu klientv na guest sieti a tym padom ma blokovane broadcasty.