Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Isolare Virtual Wlan. Situazione complessa

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Isolare Virtual Wlan. Situazione complessa

Messaggioda kimba » lun 2 mar 2020, 11:18

Buongiorno,

Vorrei isolare una connessione Wifi per gli ospiti dal resto della mia rete LAN.
La configurazione attuale è un po' incasinata per varie esigenze.
Il mio Mikrotik è collegato in client (station) al router di Vodafone con interfaccia wifi Wan1 che fa da WAN.
Sulla stessa ho aggiunto un'interfaccia virtual (wlan3) come AP per la connessione a 2,4Ghz; l'altra interfaccia Wlan2 a 5 Ghz sempre come AP per la mia rete interna.
Tutte le interfacce, tranne la Wlan1 fisica, sono in bridge con un IP assegnato di 192.168.3.1.

Ok,
Adesso vorrei rimuovere l'interfaccia virtual dal bridge, assegnarle una subnet differente, con server DHCP proprio e destianarla per le connessione di eventuali ospiti. Ovviamente la vorrei isolare dal resto della mia LAN per questioni di sicurezza.
Mi rendo conto che sarebbe più immediato assegnare l'interfaccia a 5Ghz agli ospiti e rimanere il resto com'è, ma mi sono accorto che il mio smartphone ha problemi con la 2,4Ghz, ma funziona egregiamente sulla 5Ghz,. Ho quindi deciso di riservarla a me.

Prima di affrontare la questione sicurezza e isolamento della virtual Wlan2 dal resto della rete vorrei capire se questa cosa è fattibile.
Cosa ne pensate?
Grazie
Avatar utente
kimba
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 20
Iscritto il: mer 12 feb 2020, 15:25
Uso routerOS dalla Versione: v6.x

Re: Isolare Virtual Wlan. Situazione complessa

Messaggioda figheras » mer 4 mar 2020, 10:21

Ci sono diverse soluzioni che puoi adottare se inizi a fare export (compact) della configurazione vediamo come è configurata al momento....
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1200
Iscritto il: sab 19 set 2009, 19:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Preferred Training Centre: Grifonline
Altre certificazioni: KalliopePBX

Re: Isolare Virtual Wlan. Situazione complessa

Messaggioda kimba » mer 4 mar 2020, 16:46

figheras ha scritto:Ci sono diverse soluzioni che puoi adottare se inizi a fare export (compact) della configurazione vediamo come è configurata al momento....


Ti serve l'export di tutta la configurazione?
Come compact? Non so cosa significhi?

Grazie per l'interessamento
Avatar utente
kimba
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 20
Iscritto il: mer 12 feb 2020, 15:25
Uso routerOS dalla Versione: v6.x

Re: Isolare Virtual Wlan. Situazione complessa

Messaggioda claudiolalo » ven 6 mar 2020, 18:20

kimba ha scritto:
figheras ha scritto:Ci sono diverse soluzioni che puoi adottare se inizi a fare export (compact) della configurazione vediamo come è configurata al momento....


Ti serve l'export di tutta la configurazione?
Come compact? Non so cosa significhi?

Grazie per l'interessamento



Ti colleghi con winbox:
Apri un terminale
export file=forum compact hide-sensitive
Poi apri file e vedi in lista tra tutti i file un file forum.rsc
Ci fai tasto destro download o lo trascini sul desktop (solo se sei su windows).
Apri il file con notepad e copi e incolli il contenuto nel forum con i tag code.
claudiolalo
Mikrotik Curious User
Mikrotik Curious User
 
Messaggi: 3
Iscritto il: ven 31 gen 2020, 9:36
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA,MTCRE

Re: Isolare Virtual Wlan. Situazione complessa

Messaggioda kimba » sab 7 mar 2020, 19:47

claudiolalo ha scritto:Ti colleghi con winbox:
Apri un terminale
export file=forum compact hide-sensitive
Poi apri file e vedi in lista tra tutti i file un file forum.rsc
Ci fai tasto destro download o lo trascini sul desktop (solo se sei su windows).
Apri il file con notepad e copi e incolli il contenuto nel forum con i tag code.



Ecco:

Codice: Seleziona tutto
/interface bridge
add admin-mac=C4:AD:34:xx:xx:xx auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name="wan wifi" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name="wifi interna" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name="WAN WiFi xxx" supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name="wan wifi 5Ghz" supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=italy disabled=no \
    frequency=2422 security-profile="WAN WiFi xxx" ssid=Vodafone-xxxxxxxx \
    wds-default-bridge=bridge wds-mode=dynamic wireless-protocol=802.11 \
    wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
    mode=ap-bridge security-profile="wan wifi 5Ghz" ssid=homemik5 \
    wireless-protocol=802.11
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:xx:xx:xx \
    master-interface=wlan1 multicast-buffering=disabled name=wlan3 \
    security-profile="wifi interna" ssid=homemik wds-cost-range=0 \
    wds-default-bridge=bridge wds-default-cost=0 wds-mode=dynamic \
    wmm-support=enabled wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.3.2-192.168.3.254
add name=dhcp_pool2 ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=ether3 name=dhcp2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=wlan1 list=WAN
/ip address
add address=192.168.3.1/24 comment=defconf interface=bridge network=\
    192.168.3.0
add address=192.168.1.11/24 interface=wlan1 network=192.168.1.0
add address=192.168.10.1/24 interface=ether3 network=192.168.10.0
/ip dhcp-client
add interface=wlan1
/ip dhcp-server lease
add address=192.168.3.100 client-id=1:0:17:31:xx:xx:xx comment=\
    "My Desktop PC" mac-address=00:17:31:xx:xx:xx server=dhcp1
add address=192.168.3.124 client-id=1:0:a:cd:38:xx:xx disabled=yes \
    mac-address=00:0A:CD:xx:xx:0F server=dhcp1
add address=192.168.10.124 client-id=1:0:a:cd:xx:xx:xx mac-address=\
    00:0A:CD:xx:xx:xx server=dhcp2
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf dns-server=192.168.3.1 gateway=\
    192.168.3.1
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward dst-address-list=WAN src-address-list=LAN
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="pfsense dashboard allowed" \
    dst-address=192.168.10.124 in-interface=bridge src-address=192.168.3.100
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="permetti OpenVPN" dst-port=1194 \
    protocol=tcp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=forward disabled=yes dst-address=192.168.3.0/24 \
    src-address=192.168.10.0/24
add action=drop chain=forward disabled=yes dst-address=192.168.10.0/24 \
    src-address=192.168.3.0/24
add action=drop chain=forward comment="Drop all else" disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
# lte1 not ready
add action=masquerade chain=srcnat out-interface=*A
add action=dst-nat chain=dstnat comment="OpenVPN su pfsense" dst-port=1194 \
    protocol=udp to-addresses=192.168.10.124 to-ports=1194
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=hometik
/system ntp client
set enabled=yes primary-ntp=193.204.114.105 secondary-ntp=193.204.114.233
/tool bandwidth-server
set authenticate=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Non far tanto caso al macello delle regole firewall che sto facendo delle prove.
Grazie
Avatar utente
kimba
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 20
Iscritto il: mer 12 feb 2020, 15:25
Uso routerOS dalla Versione: v6.x



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 23 ospiti