PPPoE для гостевого Wi-Fi

wezen

Друзья помогите, есть 3 входящих интернет канала идущие на 3 сетевые объединенных в мультиван на PFsense 2.3.4, pfsense по dhcp раздает по маку ip адреса 10,10,10,x и собственно lan локальная сеть выход подключен к свитчам, а от свитчей идут на ПК и wi-fi роутеры
Появилась задача создать гостевую сеть wi-fi что бы был интернет но в локальную сеть зайти не могли. Подключать wi-fi роутеры в отдельную сетевую карту проблемно из за топологии сети,
Решил поднять PPPoE сервер на lan интерфейсе
server address 192.168.2.254,
mask 24
remote address range 192.168.2.0,

завел пользователя user password 192.168.2.5

в фаерволе на PPPoE прописал Pass PPPoE Users * * * *

wi-fi роутер подключается PPPoE присваивает ip в 192.168.2.5 но в интернет не выходит.

Подскажите в чем может быть проблема бьюсь уже который день.
Пытался без PPPoE сделать гостевой вайфай на Vlan но wi-fi роутер не поддерживает vlan

werter

Доброе.
Рисуйте схему сети.

но wi-fi роутер не поддерживает vlan

Модели wi-fi роутеров в студию.

wezen

Собственно план. Wi-FI Asus rt-n66u.

????.png
????.png_thumb

pigbrother

Wi-FI Asus rt-n66u переведены в режим точек доступа?

Я в похожей ситуации поднял гостевые WiFi прямо на точках доступа (DD-WRT). Вероятно, это можно сделать и на rt-n66u.

wezen

DD-WRT вроде как поддерживают VLAN. Вы на Vlan точки доступа поднимали? Вот что пишет сам роутер wi-fi по сети собственно Ip ему не выделяется, если назначаем ему ip по маку, то получает адрес в сети 10.10.10.x вместо 169.254.16.65 тогда начинают пинговаться соседние ПК что не должно быть как сеть гостевая но интернета все ровно нет. Не понимаю как PPPoE серверу толкнуть интернет

IMG_20170725_122714.jpg_thumb

pigbrother

Вы на Vlan точки доступа поднимали?

Нет. В DD-WRT на создается WiFi Virtual Interface, этот интерфейс включается в отдельный бридж br1, на br1 вешается DHCP, в iptables включается NAT и запрещается доступ а LAN.

wezen

Собственно решил проблему с PPPoE сервером.
Поднял PPPoE север на lan интерфейсе
server address 192.168.2.254,
remote address range 192.168.2.0,
mask 24
завел пользователя user password 192.168.2.5

В настройках Firewall/Rules/PPPoE server прописал
Protocol - IPv4 * Source - PPPoE clients Port - * Destination - * Gateway - MultiWAN
по умолчанию стоял Default с ним не работает, либо MultiWAN либо конкретный отдельный Шлюз
И в Firewall/NAT/Outbound прописал 2 правила для каждого провайдера
пример для одного
Source - superinternet Source Port 192.168.2.0/24 Destination * Destination Port * NAT Address - surerinternet address NAT Port - *

wezen

@pigbrother:

Вы на Vlan точки доступа поднимали?

Нет. В DD-WRT на создается WiFi Virtual Interface, этот интерфейс включается в отдельный бридж br1, на br1 вешается DHCP, в iptables включается NAT и запрещается доступ а LAN.

Можешь по подробнее расписать?
Как я понял прошил роуер на DD-WRT Перевел маршрутизатор в режим точки доступа? в pfsens создал в bridge мост для нескольких wan интерфейсов, в Interface Assignments создал новый интерфейс на этом бридже повесил dhcp на сеть отличную от lan. И dhcp раздал точке доступа айпишник нужной сети. И в ip-tables на точке доступа настроил nat?

pigbrother

Нет.
pfSense вообще не имеет отношения к WiFi.
Роутеры на DD-WRT переведены в режим точек доступа и включены в свитч с основной LAN.
На DD-WRT подняты 2 сети, основная (ethernet bridge) и гостевая - со своим диапазоном IP и своим DHCP,этот диапазон обслуживающим.
В DD-WRT через iptables гостевая сеть НАТится в интернет и отсекается от основной LAN.
Приблизительно так:
http://www.dd-wrt.com/wiki/index.php/Seperate_Lan_and_WLan

wezen

Понял, но для этого нужно прошивку менять. Тоже как рабочий вариант.

werter

2 wezen

Перепрошивайтесь через Recovery Mode вот этим http://tomato.groov.pl/?page_id=69
Возможности - http://tomato.groov.pl/?page_id=31

dd-wrt ни в какое сравнение с tomato shibby's не идет. Есть openpvn client\server , multiwan и многое другое.

Создание гостевой сети на томато - https://learntomato.com/setup-guest-network-guest-wifi-tomato-vlan/ , http://somethingk.com/main/?p=323

Правила fw для запрета доступа из Гостевой сети в Основную :

Allow guests routing to WAN only:

iptables -I FORWARD -i br0 -o br1 -j ACCEPT
iptables -I FORWARD -i br1 -o br0 -j ACCEPT

Block access from guest lan to private subnets

iptables -I FORWARD -i br1 -d 10.0.0.0/8 -j DROP
iptables -I FORWARD -i br1 -d 172.16.0.0/12 -j DROP
iptables -I FORWARD -i br1 -d 192.168.0.0/16 -j DROP

Allow dhcp requests only from router to Guests

iptables -I INPUT -i br1 -j DROP
iptables -I INPUT -i br1 -p udp –sport 68 --dport 67 -j ACCEPT

Правила читаются снизу-вверх, так -I . Подставлять, ес-но, свои названия интерфейсов.

P.s. Внимание! После перепрошивки обязательно сбросить NVRAM!

pigbrother

dd-wrt ни в какое сравнение с tomato shibby's не идет

Согласен, но для АП dd-wrt более чем достаточно. Плюс ни одно мое устройство c tomato shibby несовместимо.

Правила fw для запрета доступа из Гостевой сети в Основную :

Было бы интересно.