PPPoE для гостевого Wi-Fi
-
Друзья помогите, есть 3 входящих интернет канала идущие на 3 сетевые объединенных в мультиван на PFsense 2.3.4, pfsense по dhcp раздает по маку ip адреса 10,10,10,x и собственно lan локальная сеть выход подключен к свитчам, а от свитчей идут на ПК и wi-fi роутеры
Появилась задача создать гостевую сеть wi-fi что бы был интернет но в локальную сеть зайти не могли. Подключать wi-fi роутеры в отдельную сетевую карту проблемно из за топологии сети,
Решил поднять PPPoE сервер на lan интерфейсе
server address 192.168.2.254,
mask 24
remote address range 192.168.2.0,завел пользователя user password 192.168.2.5
в фаерволе на PPPoE прописал Pass PPPoE Users * * * *
wi-fi роутер подключается PPPoE присваивает ip в 192.168.2.5 но в интернет не выходит.
Подскажите в чем может быть проблема бьюсь уже который день.
Пытался без PPPoE сделать гостевой вайфай на Vlan но wi-fi роутер не поддерживает vlan -
Доброе.
Рисуйте схему сети.но wi-fi роутер не поддерживает vlan
Модели wi-fi роутеров в студию.
-
Собственно план. Wi-FI Asus rt-n66u.
-
Wi-FI Asus rt-n66u переведены в режим точек доступа?
Я в похожей ситуации поднял гостевые WiFi прямо на точках доступа (DD-WRT). Вероятно, это можно сделать и на rt-n66u.
-
DD-WRT вроде как поддерживают VLAN. Вы на Vlan точки доступа поднимали? Вот что пишет сам роутер wi-fi по сети собственно Ip ему не выделяется, если назначаем ему ip по маку, то получает адрес в сети 10.10.10.x вместо 169.254.16.65 тогда начинают пинговаться соседние ПК что не должно быть как сеть гостевая но интернета все ровно нет. Не понимаю как PPPoE серверу толкнуть интернет
-
Вы на Vlan точки доступа поднимали?
Нет. В DD-WRT на создается WiFi Virtual Interface, этот интерфейс включается в отдельный бридж br1, на br1 вешается DHCP, в iptables включается NAT и запрещается доступ а LAN.
-
Собственно решил проблему с PPPoE сервером.
Поднял PPPoE север на lan интерфейсе
server address 192.168.2.254,
remote address range 192.168.2.0,
mask 24
завел пользователя user password 192.168.2.5В настройках Firewall/Rules/PPPoE server прописал
Protocol - IPv4 * Source - PPPoE clients Port - * Destination - * Gateway - MultiWAN
по умолчанию стоял Default с ним не работает, либо MultiWAN либо конкретный отдельный Шлюз
И в Firewall/NAT/Outbound прописал 2 правила для каждого провайдера
пример для одного
Source - superinternet Source Port 192.168.2.0/24 Destination * Destination Port * NAT Address - surerinternet address NAT Port - * -
Вы на Vlan точки доступа поднимали?
Нет. В DD-WRT на создается WiFi Virtual Interface, этот интерфейс включается в отдельный бридж br1, на br1 вешается DHCP, в iptables включается NAT и запрещается доступ а LAN.
Можешь по подробнее расписать?
Как я понял прошил роуер на DD-WRT Перевел маршрутизатор в режим точки доступа? в pfsens создал в bridge мост для нескольких wan интерфейсов, в Interface Assignments создал новый интерфейс на этом бридже повесил dhcp на сеть отличную от lan. И dhcp раздал точке доступа айпишник нужной сети. И в ip-tables на точке доступа настроил nat? -
Нет.
pfSense вообще не имеет отношения к WiFi.
Роутеры на DD-WRT переведены в режим точек доступа и включены в свитч с основной LAN.
На DD-WRT подняты 2 сети, основная (ethernet bridge) и гостевая - со своим диапазоном IP и своим DHCP,этот диапазон обслуживающим.
В DD-WRT через iptables гостевая сеть НАТится в интернет и отсекается от основной LAN.
Приблизительно так:
http://www.dd-wrt.com/wiki/index.php/Seperate_Lan_and_WLan -
Понял, но для этого нужно прошивку менять. Тоже как рабочий вариант.
-
2 wezen
Перепрошивайтесь через Recovery Mode вот этим http://tomato.groov.pl/?page_id=69
Возможности - http://tomato.groov.pl/?page_id=31dd-wrt ни в какое сравнение с tomato shibby's не идет. Есть openpvn client\server , multiwan и многое другое.
Создание гостевой сети на томато - https://learntomato.com/setup-guest-network-guest-wifi-tomato-vlan/ , http://somethingk.com/main/?p=323
Правила fw для запрета доступа из Гостевой сети в Основную :
Allow guests routing to WAN only:
iptables -I FORWARD -i br0 -o br1 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j ACCEPTBlock access from guest lan to private subnets
iptables -I FORWARD -i br1 -d 10.0.0.0/8 -j DROP
iptables -I FORWARD -i br1 -d 172.16.0.0/12 -j DROP
iptables -I FORWARD -i br1 -d 192.168.0.0/16 -j DROPAllow dhcp requests only from router to Guests
iptables -I INPUT -i br1 -j DROP
iptables -I INPUT -i br1 -p udp –sport 68 --dport 67 -j ACCEPTПравила читаются снизу-вверх, так -I . Подставлять, ес-но, свои названия интерфейсов.
P.s. Внимание! После перепрошивки обязательно сбросить NVRAM!
-
dd-wrt ни в какое сравнение с tomato shibby's не идет
Согласен, но для АП dd-wrt более чем достаточно. Плюс ни одно мое устройство c tomato shibby несовместимо.
Правила fw для запрета доступа из Гостевой сети в Основную :
Было бы интересно.