Asus RT-AC68U: настройка точки доступа

Post new topic   Reply to topic    DD-WRT Forum Index -> Оборудование на основе Broadcom
Author Message
Alex_cadet aka GM
DD-WRT Novice


Joined: 10 Oct 2014
Posts: 4

PostPosted: Fri Oct 17, 2014 11:26    Post subject: Asus RT-AC68U: настройка точки доступа Reply with quote
Всем доброго времени суток!

Имеется 5 роутеров Asus RT-AC68U. Требуется их разместить в одном здании так, чтобы по всему зданию был уверенный приём Wi-Fi рабочей запароленной сети и гостевой сети(только для интернета). С местом установок разорбались.

Одна беда:
в штатной заводской прошивке гостевой доступ можно ограничить(запретить доступ к интрасети) только в режиме маршутизатора. А это нам не подходит, так как интернет берётся с сервера и раздаётся в локальную сеть для распределения нагрузки на интернет-канал, со всеми вытекающими последствиями, то есть получаются разные сети.
В режиме точки доступа - с гостевого видна вся локальная сеть. И ограничить её никак((

По сему было принято решение поэксперементировать с прошивкой DD-WRT, ибо от Merlin'a прошивка почти такая же как и заводская с небольшими изменениями...

Так вот вопрос, кто нибудь такое проделывал с вышеуказанными роутерами?

Теперь о ТЗ:

Имеется одна общая локальная сеть в подсети 11 с интернет-серверов(192.168.11.3) на Kerio(с DNS, DHCP). сервер по другому сетевому интерфейсу подключён к мультиплексору(надо же ему откуда то брать интернет). Так же на другом сетевом интерфейсе подключенной к локальной имеется дополнительный изолированный интернет шлюз(без DHCP) с IP 10.11.12.13.

Любая рабочая станция получает IP динамически в подсети 11. Хотелось бы подключить к интрасети роутеры со стат. IP(например 192.168.11.201) в режиме точки доступа + гостевой доступ без доступа к интрасети(то есть через дополнительный шлюз).

Бьюсь не первую неделю, никак не могу реализовать. Может кто подскажет, как отключив DHCP сервер на роутере в защищённом режиме WiFi, открыть гостевой доступ. То есть все запросы с гостевой сети маршутизровать до шлюза 10.11.12.13, но при этом в гость получал настройки с роутера(IP адрес, настройки DNS)?

Перепробывал разные варианты, никак не могу "победить". DNSmasq работает только с включенным DHCP серверов(а это влияет на работу всей сети, так как роутер пытается сделать себя шлюзом). Если включить DHCP-сервер, гостевой клиент айпи адрес получает 10.11.12.xxx(так как в гостевом айпи роутера 10.11.12.1\24, ну и шлюз тот же ), но интернет не работает...

Пробывал прописывать маршут "route add -net 10.11.12.0 netmask 255.255.255.0 gw 10.11.12.13" тоже самое...

Прописывать правила для брендмаура...

iptables -I INPUT -i br1 -j ACCEPT
iptables -I INPUT -i br1 -m state --state NEW -j ACCEPT
iptables -I OUTPUT -o br1 -j ACCEPT
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -i br1 -o br1 -j ACCEPT

Всё равно не помогает.. Подозреваю что в режиме AP отключается NAT, но не уверен...

Помогите плиз... Может что то не так делаю? или что то надо донастроить?

А вообще это реально сделать так?

ЗЫ. Заранее благодарен, буду рад любой помощи...
ЗЗЫ С линуксом особо не дружу, так как сталкивался крайне редко..
Sponsor
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Sat Oct 18, 2014 17:09    Post subject: Re: Asus RT-AC68U: настройка точки досту Reply with quote
Проблематично с пониманием, без схемы, но все же:
-для гостевой сети (Wi-fi) можно поднять MultiWLAN, т.е. на точке доступа будет два SSID и два сетевых интерфейса Wi-fi, а следовательно на каждом из них могут работать DHCP выдавая свои IP из своих диапазонов (один для клиентов, другой для гостевой). IP диапазон разбить на под сети для 5 роутеров.
-для гостевой сети прописать правила iptable куда им надо
-для DNSmasq и DHCP для гостевой можно прописывать например шлюз с другим IP например другого роутера в данной локальной сети.
-роутеры лучше соединить по проводу LAN между собой

Опишу на привычных для себя имен сетевых интерфейсов для роутера с настроенным MultiWLAN:
-br0=vlan1(LAN1-LAN4)+ra0(wi-fi) для основных клиентов
-ra1(wi-fi) для гостевых клиентов
-две под сети например по 16 (клиентов) + 16 (гостей)
-DHCP на br0 будет выдавать своим клиентам IP, а DHCP на ra1 будет выдавать своим гостевым свои IP и свой шлюз.
-на роутере будет создан dnsmasq.cof в котором будут переменные (описание можно найти в интернете переменных)
Code:
...
dhcp-option=lan,3,192.168.1.1
dhcp-range=lan,192.168.1.10,192.168.1.16,255.255.255.х,60m
dhcp-option=lan, 3, 192.168.1.200
dhcp-option=6, 8.8.8.8
...

http://192.168.1.1/Networking.asp раздел "DHCPD-Multiple DHCP Server"
Alex_cadet aka GM
DD-WRT Novice


Joined: 10 Oct 2014
Posts: 4

PostPosted: Mon Oct 27, 2014 6:36    Post subject: Re: Asus RT-AC68U: настройка точки досту Reply with quote
vasek00 wrote:
Проблематично с пониманием, без схемы, но все же:


Схема проста до ужаса))

Роутеры будут цепляться в общую сеть одним кабелем(ибо технически не возможно подцепить второй) и иметь настойки для внутренней корпоративной сети в виде точек доступа. Иными словами для них будут выделены стат.IP, типа 192.168.11.201. У них будет задача в защищённой WiFi сети перенапралять все запросы во внутреннюю корпоративную(в том числе DHCP-запрос, либо выдавать настройки такие же, как и выдаваемые настройки интернет сервером). То есть будет "тупая" точка доступа(WAN порт будет иметь функцию LAN).

А для гостей:
1. На DHCP запросы выдавай IP в диапазоне 10.11.12.хх\24 со шлюзом 10.11.12.201, и DNS 10.11.12.13, 8.8.8.8
2. Перенапралять все запросы с своего шлюза 10.11.12.201 на шлюз 10.11.12.13.
3. Сбрасывать(блокировать) все пакеты направленные на подсеть 192.168.11.хх(туда и обратно)

Собственно как то вот такая примитивная защита...
Alex_cadet aka GM
DD-WRT Novice


Joined: 10 Oct 2014
Posts: 4

PostPosted: Fri Oct 31, 2014 8:32    Post subject: Re: Asus RT-AC68U: настройка точки досту Reply with quote
Ура! ПОБЕДА! Cool

Оказывается, это можно сделать! Немного по другому, но главное работает и стоит немного попотеть...

В кратце:

Теперь в общей сети 192.168.11.0/24 есть 5 роутеров с DD-WRT прошивкой со стат. LAN-адресами 192.168.11.201-205. Кабель Ethernet от основного свича подключен к WAN-порту. В роутерах указан шлюз, DNS интернет сервера (192.168.11.3). "DHCP server" в роутерах отключён за ненадобностью. Так же отключено WAN-соединение, но без использования настройки "Assign WAN Port to Switch"(с включенной настройкой не проверял).

DNSmasq отлично справляется без включенного DHCP-сервера в роутерах, но как выяснилось опытным путём нельзя назначать в нём настройки другой внутренней сети(10.11.12.0/24), почему то не работает. Решил использовать 2-ю подсеть, как указано в одной из статье в Вики.

Настройки "Services -> DNSmasq"

interface=br1
dhcp-option=br1,3,192.168.2.1
dhcp-range=br1,192.168.2.100,192.168.2.150,255.255.255.0,3h
dhcp-option=br1,6,8.8.8.8,8.8.4.4

Естественно предварительно надо "разделить" WiFi сеть на SID'ы шифрованной интрасети и сети гостевого доступа. Вот инструкция из той же статьи в Вики

Далее нужно прописать правила брандмауэра.

Настройки Administration -> Firewall

iptables -t nat -I POSTROUTING -o `get_wanface` -j SNAT --to `nvram get wan_ipaddr`
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`

Коментарии по строкам:
1. Включает NAT в WAN.
2. Ограничивает доступ к интрасети(внутренней локальной сети), но передает интернет-трафик через неё.
3. Разрешает NAT для трафика передаваемого с интрасети для соединений гостевых клиентов. Иными словами, позволяет интернет-трафику "дойти" до адресата в гостевой сети.

Вот как то так... Теперь гостевая сеть изолирована. По крайней мере с гостевой ничего не пингуется, и не видна интрасеть.

Да, забыл упомянуть от настойки интерфейса WL 0.1(гостевая сеть). Там не нужно включать изоляцию сети("AP Isolation" - disable).

ЗЫ. Кто то может сказать, что "это легко и просто". Но тем не менее никто не подсказал, кроме vasek00, который натолкнул на мысль, за что ему огромное человеческое спасибо! Wink
ЗЗЫ. Если есть какие то соображения - для оптимизаций и возможных "дыр" пишите сюда. (Стало крайне интересно, ибо это мой первый опыт по подобной настройке.)
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Fri Oct 31, 2014 11:32    Post subject: Re: Asus RT-AC68U: настройка точки досту Reply with quote
Alex_cadet aka GM
Вариант настройки dnsmasq
Code:
interface=br0,vlan3
resolv-file=/tmp/resolv.dnsmasq
all-servers
dhcp-leasefile=/tmp/dnsmasq.leases
dhcp-lease-max=7
dhcp-option=lan,3,192.168.130.99
dhcp-option=vlan3,3,192.168.230.1
dhcp-authoritative
dhcp-range=lan,192.168.130.171,192.168.130.172,255.255.255.0,60m
dhcp-range=vlan3,192.168.230.10,192.168.230.15,255.255.255.255,3600m
dhcp-host=00:x:x:x:x:x,SSS,192.168.130.17,600m
....
stop-dns-rebind
dhcp-option=lan, 3, 192.168.130.100
dhcp-option=6, x.x.x.x, x.x.x.x

На роутере вырезан LAN порт из switch и присвоен адрес 192.168.230.1, назначен ему vlan3, на нем весит DHCP на vlan3 тогда dmsmasq конф имеет вид выше.

В место vlan3 возможно применение другого интерфейса и так же на нем поднять отдельный DHCP для гостевой раздачи. Сам роутер имеет адрес по br0 192.168.130.99. Шлюз интернета 192.168.130.100. Естественно получив новый сетевой интерфейс для него настроить правила iptables.
Alex_cadet aka GM
DD-WRT Novice


Joined: 10 Oct 2014
Posts: 4

PostPosted: Fri Nov 14, 2014 6:55    Post subject: Reply with quote
vasek00

Хмм.. Интересно, но как то сложно для того, кто не особо дружит с Linux'ом...Rolling Eyes

Вопрос: как думаете, в моей схеме могут быть дыры?
vasek00
DD-WRT Guru


Joined: 06 Nov 2010
Posts: 3312

PostPosted: Fri Nov 14, 2014 7:55    Post subject: Reply with quote
Alex_cadet aka GM wrote:
vasek00

Хмм.. Интересно, но как то сложно для того, кто не особо дружит с Linux'ом...Rolling Eyes

Вопрос: как думаете, в моей схеме могут быть дыры?

О каких дырах идет речь о локльных или с интернета? С интернета у вас по умолчанию идут настройки и доступа не должно быть, для локальной сети все ограничения на уровни iptables.

Вам нужно было
Quote:
Естественно предварительно надо "разделить" WiFi сеть на SID'ы шифрованной интрасети и сети гостевого доступа.

так как вся работа основана на сетевых интерфейсах и прохождения пакетов между ними, то не вижу надобности использования одного сетевого интерфейса wi-fi из статьи http://www.dd-wrt.com/wiki/index.php/Seperate_Lan_and_WLan#Step_1:_Remove_the_Wireless_Interface_from_the_LAN_bridge в мосте br1, так как на http://192.168.1.1/Wireless_Basic.asp при добавлении в Virtual Interfaces нового интерфейса в поле Network Configuration -> Unbridged/Bridged и при установки "Unbridged" получаете сетевой интерфейс без всякого моста c установленным на нем IP, отличным от основного dd-wrt.
В разделе http://192.168.1.1/Networking.asp в разделе DHCPD
-> Multiple DHCP Server выбираем добавить и тот сетевой интерфейс, который получили выше, так же назначив стартовый адрес и конечный.
При вводе этих данных вы получите конфиг для dnsmasq про который речь шла выше.
Так как по умолчанию в dd-wrt нового полученного интерфейса нет, то естественно не будет и его настройки для прохождения с него и на него пакетов с других интерфейсов => настроить iptables как раз на то что надо:
- доступ к интерфейсу Интернета dd-wrt
- доступ к интерфейсу для локальной сети dd-wrt
за основу можно взять правила из того же примера.
Display posts from previous:    Page 1 of 1
Post new topic   Reply to topic    DD-WRT Forum Index -> Оборудование на основе Broadcom All times are GMT

Navigation

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You cannot download files in this forum