PPPoE для гостевого Wi-Fi



  • Друзья помогите, есть 3 входящих интернет канала идущие на 3 сетевые объединенных в  мультиван на PFsense 2.3.4,  pfsense по dhcp раздает по маку ip адреса 10,10,10,x и собственно lan локальная сеть выход подключен к свитчам, а от свитчей идут на ПК и wi-fi роутеры
    Появилась задача создать гостевую сеть wi-fi что бы был интернет но в локальную сеть зайти не могли. Подключать wi-fi роутеры в отдельную сетевую карту проблемно из за топологии сети,
    Решил поднять PPPoE сервер на lan интерфейсе
      server address 192.168.2.254,
      mask 24
      remote address range 192.168.2.0,

    завел пользователя user password 192.168.2.5

    в фаерволе на PPPoE прописал Pass PPPoE Users * * * *

    wi-fi роутер подключается PPPoE присваивает ip в 192.168.2.5 но в интернет не выходит.

    Подскажите в чем может быть проблема бьюсь уже который день.
    Пытался без PPPoE сделать гостевой вайфай на Vlan но wi-fi роутер не поддерживает vlan



  • Доброе.
    Рисуйте схему сети.

    но wi-fi роутер не поддерживает vlan

    Модели wi-fi роутеров в студию.



  • Собственно план. Wi-FI Asus rt-n66u.




  • Wi-FI Asus rt-n66u переведены в режим точек доступа?

    Я в похожей ситуации поднял гостевые WiFi прямо на точках доступа (DD-WRT).  Вероятно, это можно сделать и на rt-n66u.



  • DD-WRT вроде как поддерживают VLAN. Вы на Vlan точки доступа поднимали? Вот что пишет сам роутер wi-fi по сети собственно Ip ему не выделяется, если назначаем ему ip по маку, то получает адрес в сети 10.10.10.x вместо 169.254.16.65 тогда начинают пинговаться соседние ПК что не должно быть как сеть гостевая но интернета все ровно нет. Не понимаю как PPPoE серверу толкнуть интернет




  • Вы на Vlan точки доступа поднимали?

    Нет. В DD-WRT на создается WiFi Virtual Interface, этот интерфейс включается в отдельный бридж br1, на br1 вешается DHCP, в iptables включается NAT и запрещается доступ а LAN.



  • @wezen:

    wi-fi роутер подключается PPPoE присваивает ip в 192.168.2.5 но в интернет не выходит.

    В настройках РРРоЕ сервера необходимо указать DNS сервера (типа 8.8.8.8 или что нибуть подобное)
    Ну и в Firewall для    PPPoE Server дать разрешающее правило типа

    IPv4 TCP/UDP РРРоЕ client  * * * MultiWAN none



  • Собственно решил проблему с PPPoE сервером.
    Поднял PPPoE север на lan интерфейсе
    server address 192.168.2.254,
    remote address range 192.168.2.0,
    mask 24
    завел пользователя user password 192.168.2.5

    В настройках Firewall/Rules/PPPoE server прописал
    Protocol - IPv4 * Source - PPPoE clients Port - * Destination - * Gateway - MultiWAN
    по умолчанию стоял Default с ним не работает, либо MultiWAN либо конкретный отдельный Шлюз
    И в  Firewall/NAT/Outbound прописал 2 правила для каждого провайдера
    пример для одного
    Source - superinternet Source Port 192.168.2.0/24 Destination * Destination  Port * NAT Address - surerinternet address NAT Port - *



  • @pigbrother:

    Вы на Vlan точки доступа поднимали?

    Нет. В DD-WRT на создается WiFi Virtual Interface, этот интерфейс включается в отдельный бридж br1, на br1 вешается DHCP, в iptables включается NAT и запрещается доступ а LAN.

    Можешь по подробнее расписать?
    Как я понял прошил роуер на DD-WRT Перевел маршрутизатор в режим точки доступа? в pfsens создал в bridge мост для нескольких wan интерфейсов, в Interface Assignments создал новый интерфейс на этом бридже повесил dhcp на сеть отличную от lan. И dhcp раздал точке доступа айпишник нужной сети. И  в ip-tables на точке доступа настроил nat?



  • Нет.
    pfSense вообще не имеет отношения к WiFi.
    Роутеры на DD-WRT переведены в режим точек доступа и включены в свитч с основной LAN.
    На  DD-WRT подняты 2 сети, основная (ethernet bridge) и гостевая - со своим диапазоном IP и своим DHCP,этот диапазон обслуживающим.
    В  DD-WRT через iptables гостевая сеть НАТится в интернет и отсекается от основной LAN.
    Приблизительно так:
    http://www.dd-wrt.com/wiki/index.php/Seperate_Lan_and_WLan



  • Понял, но для этого нужно прошивку менять. Тоже как рабочий вариант.



  • 2 wezen

    Перепрошивайтесь через Recovery Mode вот этим http://tomato.groov.pl/?page_id=69
    Возможности - http://tomato.groov.pl/?page_id=31

    dd-wrt ни в какое сравнение с tomato shibby's не идет. Есть openpvn client\server , multiwan и многое другое.

    Создание гостевой сети на томато - https://learntomato.com/setup-guest-network-guest-wifi-tomato-vlan/ , http://somethingk.com/main/?p=323

    Правила fw для запрета доступа из Гостевой сети в Основную :

    Allow guests routing to WAN only:

    iptables -I FORWARD -i br0 -o br1 -j ACCEPT
    iptables -I FORWARD -i br1 -o br0 -j ACCEPT

    Block access from guest lan to private subnets

    iptables -I FORWARD -i br1 -d 10.0.0.0/8 -j DROP
    iptables -I FORWARD -i br1 -d 172.16.0.0/12 -j DROP
    iptables -I FORWARD -i br1 -d 192.168.0.0/16 -j DROP

    Allow dhcp requests only from router to Guests

    iptables -I INPUT -i br1 -j DROP
    iptables -I INPUT -i br1 -p udp –sport 68 --dport 67 -j ACCEPT

    Правила читаются снизу-вверх, так -I . Подставлять, ес-но, свои названия интерфейсов.

    P.s. Внимание! После перепрошивки обязательно сбросить NVRAM!



  • dd-wrt ни в какое сравнение с tomato shibby's не идет

    Согласен, но для АП dd-wrt более чем достаточно. Плюс ни одно мое устройство c  tomato shibby несовместимо.

    Правила fw для запрета доступа из Гостевой сети в Основную :

    Было бы интересно.