Vyhrazeny port pro hosty?

[darksir]

Dobry den,
chci do firmy nasadit mikrotik RB751G-2HnD. WAN bude pripojeny k internetu, na LAN porty PC ve firme. Na mikrotiku by mel bezet jeste VPN pro pripojeni do firmy z domu. K wifi chci pripojovat firemni mobil atd...

Rad bych ale ziskal moznost pripojeni k internetu pro hosty a navstevy tak, aby nemeli pristup do firemni site, ale byli defakto pripojeni primo k internetove pripojce.
Slo by to udelat tak, ze bych pred mikrotik predradil router s wifi a az do nej zapojil mikrotika a firemni sit. To ale nechci, protoze mam verejnou IP a takhle bych si pripravil problemy s VPNkou, kdybych se kvuli tomu schoval za NAT toho prvniho routeru. Proto se ptam, zda neni mozne primo v mikrotiku vyhradit jeden LAN port jako sdileny internet z WANky, ktery by ale nemel pristup do firemni site?

Do toho portu bych pichnul stare wifi AP a ziskal tak pripojku na internet pro navstevy... Poradite, jak toho dosahnout a zda to vubec s timto RB pujde?

Diky, Petr

[aliney]

udelej si wifi na tom RB pro firmu a pak virtual ap, na kterem ve firewallu zakazes komunikaci jinam nez ven a muzes pouzivat pro vsechno jen jedno zarizeni

[darksir]

Pockej, to jakoze primo mikrotik umi virtual AP na jedne wifi, kde lze zablokovat pristup do firemni site? Ty blaho... mam prvniho mikrotika a teprve jsem ho vybalil z krabice, takze koukam jako puk
Diky za nasmerovani.

[aliney]

Pro inspiraci:

Kód: Vybrat vše

/ip firewall filter
add action=passthrough chain=forward comment="==================== WIFI_HOST ====================" disabled=no
add action=drop chain=forward disabled=no dst-address=192.168.0.0/16 src-address=192.168.4.0/24
add action=drop chain=forward disabled=no dst-address=10.0.0.0/8 src-address=192.168.4.0/24
add action=accept chain=forward disabled=no protocol=icmp src-address=192.168.4.0/24
add action=accept chain=forward disabled=no dst-port=53 protocol=tcp src-address=192.168.4.0/24
add action=accept chain=forward disabled=no dst-port=53 protocol=udp src-address=192.168.4.0/24
add action=accept chain=forward disabled=no dst-port=80 protocol=tcp src-address=192.168.4.0/24
add action=accept chain=forward disabled=no dst-port=443 protocol=tcp src-address=192.168.4.0/24
add action=drop chain=forward disabled=no src-address=192.168.4.0/24


Zablokoval jsem privatni rozsahy a povolil jim jen icmp, dns a www, vic host nepotrebuje... mozna jeste email, ale to si muze vyridit pres webove rozhrani.
Posledni pravidlo vse ostatni zahodi.

[Radek Úlehla]

Nad virtual AP bych doporučil zapnout hotspot, případně zapnout hotspot nad jedním z ethernetů a do toho píchnout dedikované rádio, aby nemohlo dojít k omezení uživatelů na AP mikrotiku.

[darksir]

Diky za rady panove.
K tomu radiu - zni to logicky, ale pokud i wifinu pro hosty zahesluji, tak by problem vzniknout nemel, ze? Nechci mit otevreny hotspot, ale jde mi o to, aby kdyz nekoho necham v kancelari brouzdat po netu, tak aby mi nezkopiroval pulku vnitrni site, pripadne se vubec do te site nedostal.Vim ze to jde omezit na urovni serveru, ale proc, kdyz to jde kompletne odstrihnout uz na mikrotiku... Chci mit klidnou hlavu

[aliney]

Teoreticky bys jeste mohl upravit pravidla tak, ze cokoli co prijde VirtualAP interfacem (bez ohledu na IP) a chce odejit do vnitrni site se dropne (a naopak) a mas uplne klid.

[darksir]

Budu muset zalezt k manualu k mikrotiku, protoze jsem to pred par dny vybalil z krabice a videl poprve... Absolutne netusim, jak se nastavuje firewall, zjistil jsem, ze jsou tam nejake zakonitosti co se tyka umisteni tech pravidel pod sebe, ze kdyz jsem to dal moc dolu, port se blokoval i presto, ze jsem ho chtel odblokovat apod.

Neni nekde nejaky hezky zpracovany navod na mikrotik? Vysvetleno, jak se prirazuji rozhrani, proc se dela bridge z wan do local, apod... Nejake funkce co se tyka logovani ? Vim, ze je to jako chtit kucharku a ze na mikrotik se poradaji skoleni - uz chapu proc Ale presto si myslim, ze nekde bude nejake pekne zpracovane povidani pro zacatecniky, kteri si dosud nastavili router ala asus 500 a ted by radi konecne vsechny tyhle krabice vyhazeli, ale mikrotik je na ne silene jinej

[darksir]

Ono prokousat se tim postupne da... ale bojim se jedny veci... Pri tom mnozstvi nastaveni se jednoduse nekde necha nejaka dira a potom ta sit nebude bezpecna. Ale nechce se mi, davat to delat nekomu jinymu. Zatim jsem se vsechno naucil sam, vc. zprovozneni a routovani OVPN na PC, apod. Tak se chci poprat i s timto... jen chybi dostatek ceske literatury a anglicka je jednak pro mne hure srozumitelna, ale taky nic moc popsana... Nejlepe se mi uci na prikladech

[darksir]

Kód: Vybrat vše

[admin@xxx] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
 #     NAME                               TYPE               MTU L2MTU  MAX-L2MTU
 0  R  ether1-gateway                     ether             1500  1598       4074
 1  R  ether2-master-local                ether             1500  1598       4074
 2  R  ether3-slave-local                 ether             1500  1598       4074
 3  R  ether4-slave-local                 ether             1500  1598       4074
 4     ether5-slave-local                 ether             1500  1598       4074
 5     wlan1                              wlan              1500  2290
 6  R  bridge-local                       bridge            1500  1598
 7  R  wlan2                              wlan              1500  2290
 8  R  bridge-virtualap                   bridge            1500 65535
[admin@xxx] >
 
 
[admin@xxx] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE               BRIDGE               PRIORITY  PATH-COST    HORIZON
 0    ether2-master-local     bridge-local             0x80         10       none
 1 I  wlan1                   bridge-local             0x80         10       none
 2    wlan2                   bridge-local             0x80         10       none
[admin@xxx] >


tohle chodi... ale je to koser, mit v bridgi 3 interfaces?

[zubodravec]

Doufam ze nemam debilni otazku.
Muzu u mikrotiku tento model 751U na wifi casti nastavit Hotspot a zaroven zabezpecene wifi pro zamestnance/majitele ?
Mikrotik davam do hospody, ale asi je to spatna uvaha, Zamestananci by meli byt schovany za vlastni siti nez bezny navstevnik ?

WAN jede po kabelu, radio slouzi jako wifi a asi ma v sobe jen jednu kartu, je to zavrene v krabici.

Chapu funkci hotspotu, ze pro kazed spojeni je vygenerovan vlastni klic ? Takto sem to videl kdyz jsem lezel v nemocnici, sestra mi prinesla klic a kdyz sem seld do nemocnice za mesic znovu tak mi prinesla novy klic.

Diky za rady panove.
K tomu radiu - zni to logicky, ale pokud i wifinu pro hosty zahesluji, tak by problem vzniknout nemel, ze? Nechci mit otevreny hotspot, ale jde mi o to, aby kdyz nekoho necham v kancelari brouzdat po netu, tak aby mi nezkopiroval pulku vnitrni site, pripadne se vubec do te site nedostal.Vim ze to jde omezit na urovni serveru, ale proc, kdyz to jde kompletne odstrihnout uz na mikrotiku... Chci mit klidnou hlavu

[pcwifi]

v podstate 2 wifi kazda s jiny zabezpecenim a nastavenim ? no co vim tak muzes to je krasny na RoS, ze to jde uplne v pohode...taky do 1 škopekhausu dealuju net, free 128kbit., pro vyvolene jine SSID s heslem a vetsi speed...

PW