Настройка WFi на MikroTik от pfSense.
-
привет! посоветуйте…
есть pfSense 2.3.2-RELEASE-p1 на Hyper-V, виртуальный WAN с PPPoE подключением настроен на одном физическом интерфейсе, виртуальный LAN с локальным IP адресом настроен на другом физическом интерфейсе, с виртуального LAN (физического интерфейса) уходит на MikroTik (RB2011iL)-(установлен он был с целью деления трафика Интернета и VPN-канала), с MikroTik уходит на коммутатор и в локальную сеть, хочу попробовать настроить WiFI на MikroTik, а для того что бы это попробовать осуществить нужно как то дать интернет с pf на mik, как это сделать маршрутом или правилами? и что бы интернет если это все возможно сделать на mik от wifi был напрямую, т.е без прокси и всего прочего, ну это я как понимаю можно правилами настроить, у mik IP адрес из той же подсети что и pf, сейчас на mik интернета нет, проверял пингом на 8.8.8.8, и если на нем сделать интернет не будет ли он всех пускать в обход прокси pf?
вот скрин маршрутов на mik.
как думаю я: нужно создать еще один виртуальный интерфейс повесив его на виртуальный коммутатор там где сейчас LAN pf, на pf присвоить этому сетевому интерфейсу отличную подсеть от моей например 192.168.58.1 , на mik при настройке wifi присвоить ip адрес из подсети pf например 58.2, и настроить соответсвующее правило на этом интерфейсе в pf, если это вообще так возможно и я правильно мыслю, а mik что бы был в качестве точки доступа. не дописал на pf установлен squid и squidguard, прокси не прозрачный.
-
Доброе.
Если нужно исп. МТ как простую ТД (микроскопом тоже можно гвозди забивать, ага), то задайте стат. адрес МТ из диапазона лан пф, откл. на МТ дхцп, вкл. дхцп на пф, воткните ЛАН-кабель от МТ в обычн. свитч, куда приходит ЛАН от пф. Всё. Ви-фи клиенты будут получать настройки сети от пф, но в случае с МТ возможно надо будет покрутить его настройки fw.P.s. Для того, чтобы засунуть ви-фи трафик во ВЛАН :
1. Свитч, к-ый соединяет лан пф и лан МТ должен уметь L2
2. Нужны танцы для того , чтобы заставить гипер-в работать с ВЛАН. Т.е. просто создать новый интерф. , назначить влан-тэг этому интерфейсу в настр. вирт. маш. ПФ может и не помочь.Возможно , что понадобится магия типа :
Get-VMNetworkAdapterVlan -VMName Pfsense Set-VMNetworkAdapterVlan -VMNAme Pfsense -Trunk -AllowedVlanIdList "1,20" -NativeVlanId 0 ```, где 1,20 (для примера) - vlan id, к-ые вам необходимы. Причем нужно будет еще создать влан-интерфейс в самом ПФ с vlan id, к-ый вы присвоите гостевой ви-фи сети. Или отдельн. физ. интерфейс на гипер-в, к-ый вы отдадите машине с ПФ как ЛАН**2** и кабель от к-ого воткнете в ЛАН МТ. Т.о. вы физ. изолируете ЛАН ПФ от ви-фи сети. При этом кабель от ЛАН ПФ не должен быть воткнут в МТ. И про правила fw на ПФ не забывать, конечно. P.p.s. Ваш ник как-то связан с http://www.in-rap.ru/biographies/328-guf-aka-rolex-x.html ? -
Подключение Wi-FI Mikrotik–pfSense по моему мнению может иметь несколько вариантов настройки:
-
На микротике отключается DHCP и делается мост между WiFi и LAN портом - все клиенты WiFi работают с общей сетью, выдачей адресов занимается pfSense
-
На pfSense вы поднимаете дополнительный vlan и делаете мост WiFi этот vlan на Mikrotik, при этом не обязательны управляемые коммутаторы — у вас две разделенные поностью сети, обоими управляет pfSense
-
Подмимаете отдельную сеть на WiFi на микротике и с pfSense по необходимости на неё маршрутизируете, при этом необходимо помнить про ассиметричную маршрутизацию клиентов.
Почти во всех этих конфигурациях, если не требуется усиленная защита от пользователей WiFi и не используется NAT, Mikrotik можно перевести в режим голого L3 маршрутизатора отключив на нем firewall.
Как еще один из вариантов сделать первичным L3 маршрутизатором сети Mikrotik, правда я не помню как у него firewall относиться к ассиметричной маршрутизации. -
-
Доброе.
Если нужно исп. МТ как простую ТД (микроскопом тоже можно гвозди забивать, ага), то задайте стат. адрес МТ из диапазона лан пф, откл. на МТ дхцп, вкл. дхцп на пф, воткните ЛАН-кабель от МТ в обычн. свитч, куда приходит ЛАН от пф. Всё. Ви-фи клиенты будут получать настройки сети от пф, но в случае с МТ возможно надо будет покрутить его настройки fw.P.s. Для того, чтобы засунуть ви-фи трафик во ВЛАН :
1. Свитч, к-ый соединяет лан пф и лан МТ должен уметь L2
2. Нужны танцы для того , чтобы заставить гипер-в работать с ВЛАН. Т.е. просто создать новый интерф. , назначить влан-тэг этому интерфейсу в настр. вирт. маш. ПФ может и не помочь.Возможно , что понадобится магия типа :
Get-VMNetworkAdapterVlan -VMName Pfsense Set-VMNetworkAdapterVlan -VMNAme Pfsense -Trunk -AllowedVlanIdList "1,20" -NativeVlanId 0 ```, где 1,20 (для примера) - vlan id, к-ые вам необходимы. Причем нужно будет еще создать влан-интерфейс в самом ПФ с vlan id, к-ый вы присвоите гостевой ви-фи сети. Или отдельн. физ. интерфейс на гипер-в, к-ый вы отдадите машине с ПФ как ЛАН**2** и кабель от к-ого воткнете в ЛАН МТ. Т.о. вы физ. изолируете ЛАН ПФ от ви-фи сети. При этом кабель от ЛАН ПФ не должен быть воткнут в МТ. И про правила fw на ПФ не забывать, конечно. P.p.s. Ваш ник как-то связан с http://www.in-rap.ru/biographies/328-guf-aka-rolex-x.html ?МТ используется для деления трафика, я писал выше, а хотелось бы настроить WiFi сеть от него, IP адрес MT статический задан из LAN pf, dhcp на MT и не включен, включать dhcp на pf не вариант, так как dhcp раздается с контролера домена, мне не нужно засовывать трафик ви-фи во влан, мне нужно что бы беспроводная сеть была отличной от моей локальной сети и интернет по wifi был так как будто я напрямую от провайдера подключился, и мой ник не имеет никакого отношения к реп исполнителю, да и вообще какое это имеет отношение к заданному вопросу?
-
Подключение Wi-FI Mikrotik–pfSense по моему мнению может иметь несколько вариантов настройки:
-
На микротике отключается DHCP и делается мост между WiFi и LAN портом - все клиенты WiFi работают с общей сетью, выдачей адресов занимается pfSense
-
На pfSense вы поднимаете дополнительный vlan и делаете мост WiFi этот vlan на Mikrotik, при этом не обязательны управляемые коммутаторы — у вас две разделенные поностью сети, обоими управляет pfSense
-
Подмимаете отдельную сеть на WiFi на микротике и с pfSense по необходимости на неё маршрутизируете, при этом необходимо помнить про ассиметричную маршрутизацию клиентов.
Почти во всех этих конфигурациях, если не требуется усиленная защита от пользователей WiFi и не используется NAT, Mikrotik можно перевести в режим голого L3 маршрутизатора отключив на нем firewall.
Как еще один из вариантов сделать первичным L3 маршрутизатором сети Mikrotik, правда я не помню как у него firewall относиться к ассиметричной маршрутизации.на MT dhcp не включен, выдачей адресов pf не может выступать так как dhcp крутится на контролере и оттуда раздаются адреса, кстати стоят сейчас управляемые коммутаторы snr.
-
-
Не выйдет без dhcp. А он у вас - сторонний. Или на пф он должен быть или на МТ.
Ваш вариант - с отдельн. сет. картой на гипер-в.
-
Не выйдет без dhcp. А он у вас - сторонний. Или на пф он должен быть или на МТ.
Ваш вариант - с отдельн. сет. картой на гипер-в.
вы имеете в виду с отдельной сетевой выйдет или в принципе вообще не получится?
-
Я дважды достаточно понятно выразился.
-
Подключение Wi-FI Mikrotik–pfSense по моему мнению может иметь несколько вариантов настройки:
-
На микротике отключается DHCP и делается мост между WiFi и LAN портом - все клиенты WiFi работают с общей сетью, выдачей адресов занимается pfSense
-
На pfSense вы поднимаете дополнительный vlan и делаете мост WiFi этот vlan на Mikrotik, при этом не обязательны управляемые коммутаторы — у вас две разделенные поностью сети, обоими управляет pfSense
-
Подмимаете отдельную сеть на WiFi на микротике и с pfSense по необходимости на неё маршрутизируете, при этом необходимо помнить про ассиметричную маршрутизацию клиентов.
Почти во всех этих конфигурациях, если не требуется усиленная защита от пользователей WiFi и не используется NAT, Mikrotik можно перевести в режим голого L3 маршрутизатора отключив на нем firewall.
Как еще один из вариантов сделать первичным L3 маршрутизатором сети Mikrotik, правда я не помню как у него firewall относиться к ассиметричной маршрутизации.на MT dhcp не включен, выдачей адресов pf не может выступать так как dhcp крутится на контролере и оттуда раздаются адреса, кстати стоят сейчас управляемые коммутаторы snr.
Если у вас Wi-Fi будет использоваться отдельно от основной сети в чем проблема использовать мой второй вариант?
-
