Hotspot tylko dla wydzielonej grupy adresów

Posiadam w sieci router CCR1009-7G-1C-1S+, który pełni rolę przede wszystkim bramy do internetu. Mamy dwie kategorie użytkowników:

  1. Komputery ze stałymi adresami IP (10.0.0.0/24),
  2. Goście, użytkownicy z zewnątrz logujący się przez sieć bezprzewodową przy użyciu Ubiquiti Unifi LR otrzymujący dynamiczne adresy ip (10.0.10.0/24).

Moim celem jest utworzenie takiego hotspota, który wymagał by od gościa zalogowania się (każdy gość otrzyma indywidualny login i hasło). Jest to założenie, które ma na celu większą kontrolę na gośćmi - kto i kiedy się loguje.
Męczę się z tym tematem już drugi tydzień i nie mogę sobie poradzić z konfiguracją routera, tak aby komputery użytkowników miały dostęp internetu bez logowania się, natomiast goście zmuszeni byli podać login i hasło. Zastanawiam się czy istnieje w ogóle taka możliwość, aby część adresów ip była wyłączona z hotspota, natomiast inna pula adresów musi się zalogować, aby otrzymać dostęp.
Czy według Was istnieje możliwość, aby wykonać w/w założenie?

Łączą się po LAN czy WLAN? Jak WLAN to nie da rady raczej tego zrobić bo potrzebujesz dwa interfejsy sieciowe, każdy inaczej skonfigurowany. Chyba, że da się postawić dwie sieci WLAN o różnych nazwach i konfiguracjach. Taka funkcja jest nawet dostępna już w tanich rotuerach konsumenckich pod nazwą guest wifi.

Jest WAN. Jest LAN i za NAT-em są komputery otrzymujące statyczne/dynamiczne adresy z serwera dhcp.

  1. 79.XX.XX.XX - ether 1, WAN
  2. 10.0.0.4/24 ether2 - adresy statyczne dla użytkowników
  3. 10.0.10.4/24 ether4 - adresy dynamiczne dla gości (tutaj docelowo ma działać hotspot)

Wszystko działa do momentu kiedy skonfiguruję hotspota. Po skonfigurowaniu hotspota Internet zamiera w sieci 10.0.0.0 (ether 2) - nie przechodzi nawet ping z komputera do routera.

Na sieci 10.0.10.0 (ether 4) Hotspot działa tak jak działać powinien.

Moja wypowiedź zawierała rażący błąd, zamiast WLAN napisałem WAN, już to poprawiłem. Teraz moje poprzednie pytanie ma sens.

Po co się tak męczyć? Unifi rozsiewa 4 SSIDy. Dla gości zrób jedną podsiec i taguj ją VLANem. Dla pracowników drugi SSID i osobny VLAN, dla urządzeń typu kolektory itp. osobny SSID i VLAN.

Poza tym można podejść do tego tak, że masz 2 SSIDy w jednym VLAN i na MT w dzierzawach wskazujesz pulę adresów.

Dla gosci masz coś takiego jak Captive Portal.

Podsieci robisz tyle ile potrzebujesz. Co trzeba, wycinasz na firewallu MT.

Łatwiej będzie Ci filtrować ruch na warstwie 3, niż 2.

Jak to robisz? Unifi nie robi Ci jakiejś separacji? Unifi rozdaje adresy czy MT? Masz VLANy? Tagujes dobrze ramki na MT w przypadku VLAN? Co mówią logi w UCK/kontrolerze lub MT?

No chyba muszę wyjść o tego, żeby w całej sieci mieć zarządzalne switche.
Po drodze do Ubiquiti mam trzy switche:
Dwa zarządzalne: Cisco SG200-26 oraz SF300-24.
Jeden nie zarządzalny 3Com, do którego wpięte jest UBNT - tutaj trzeba by było chyba pomyśleć nad wymianą? Pytanie czy bardziej odpowiednie było by pójść nadal w kierunku Cisco czy zastosować MT?

Obecnie wygląda to tak, że Mikrotik przydziela adresy statycznie dla użytkowników. Jest też pula adresów dynamicznych dla gości, przy czym na tej puli gość nie otrzymuje dostępu do internetu. Dopiero po dodaniu mac adresu do puli adresów statycznych gość dostaje pełny dostęp - ogólnie rozwiązanie toporne i mało zautomatyzowane, chcę od tego sposobu odejść.

VLAN-ów nie mam, ale widzę tutaj że chyba bez nich się nie obejdzie.
Mam możliwość przekierowania ruchu na inną bramę (serwer HP z zainstalowanym Debianem) tak, aby użytkownicy nie odczuli problemów podczas konfiguracji.
Do tego celu mogę stworzyć środowisko testowe (zupełnie odseparowane od sieci właściwej) i próbować to wszystko pospinać (MT + Cisco + UBNT). W momencie kiedy będzie gotowe przepnę z powrotem.
Tylko jak odpowiednio się do tego zabrać? Chyba na początek podłączę MT do Cisco SG200-26 i zacznę konfigurację VLANów.

Pozbądź się switchy niezarządzalnych jak najdzybciej, bo jak sam widzisz, w pewnym momencie stają się problemem. Switche zarzadzalne są na tyle tanie, że nie ma sensu pchać się w jakieś 3Comy czy inne TP Linki za 100 lub 200 złotych.

Skoro masz Cisco, trzymaj się jednego producenta. Mieszanie producentów nie jest dobre. Np. TP Link z Netgearem niechetnie się dogaduje, za to między Netgearem a HP nie ma problemów. Cisco ma własne rozwiązania, ktorych nie uswiadczysz u non-Cisco, więc to też może powodować problemy lub nie skorzystasz z tych rzeczy, np. VTP, PVST+ (chociaż dziś i tak MSTP jest standardem).

Najprostszym rozwiązaniem są VLANy. Jak pisałem, jeden dla pracowników, drugi dla gości. Odseparowane firewallu i masz spokój.

Dobrze, więc na MT w chwili obecnej nie ma prawie żadnej konfiguracji. Jest skonfigurowany ether 1 jako WAN.
Ponieważ wcześniej nigdy z VLANów nie korzystałem zastanawiam się jak zacząć prawidłową konfigurację MT.

Po przemyśleniu tego problemu widzę to tak:

  1. ether 1 WAN
  2. ether 2: sieć 10.0.0.0/16 (pracownicy). Maska 16 dlatego, że na 10.0.2.0 mam kategorię urządzeń drukarek.
  3. ether 4: sieć np. 10.5.50.0/24 (goście).

Czy teraz na każdym z tych interfejsów muszę dodatkowo utworzyć VLAny? Z jaką adresacją? Czy może na ether 2 powinny być dodane obydwa VLANy? Nie mogę załapać jak to powinno być prawidłowo skonfigurowane. Czy mogę prosić o podstawowe wskazówki jak się do tego zabrać?

Nie, nie, nie. VLANy tworzysz na trunku. Trunk to jeden interfejs, którym puszczasz VLANy. Skoro masz osobne interfejsy, to na każdy iface osobny kabel - po to właśnie ktoś wymyślił trunki, bo przy 100 VLANach 100 kabli na VLAN, to portów w switchu tylu byś nie miał - tak wszystko masz na jednym kablu.

Skoro nie masz zarządzalnych switchy, to z VLANami na razie nie zaczynaj lub nie zarządzalne musisz mieć w jednym konretnym.

Na chwilę obecną brakuje mi jednego przełącznika, aby wszystkie były zarządzalne. Wymiana ostatniego (nie zarządzalnego) jest bardzo realna.

Utworzyłem zatem środowisko testowe:

  1. MT CCR1009-7G-1C-1S+, 10.0.0.4/16 (ether 2)
  2. Cisco SF300-24, 10.0.0.209/16
  3. Jak poprawnie skonfiguruję VLANy to dopnę do Cisco UBNT Unifi LR, 10.0.0.201/16

Czyli teraz mając ether 2 skonfigurowany tworzę na tym interfejsie vlany tak?

  1. VLAN id 10 - 10.0.0.0/16
  2. VLAN id 50 - 10.5.50.0/24

Tak. VLANy tworzysz na interfejsie fizycznym. Tu latają tagowane ramki (802.1q). Od razu podpowiem, jeśli switche mają, na 99% maja wsparcie dla 802.3ad (LACP), zrób sobie od razu agregację łączy. Wówczas najpierw tworzysz bonding na MT z minimum 2 interfejsów, potem na tym interfejsie logicznym robisz VLANy. Jeśli potrzebujesz mostkowac porty, to najpierw bonding w bridge i na bridge VLANy.

Unifi w VLAN 1 musi być odtagowany, inaczej nie zadziała. Reszta VLANow musi być zatagowana.