cancel
Showing results for 
Search instead for 
Did you mean: 

Изоляция гостей от внутренней сети / e400

Occasional Contributor

Изоляция гостей от внутренней сети / e400

Необходимо настроить изоляцию гостей от внутренней сети на e400.
Может кто-то внятно рассказать как это сделать?


На UniFi проблемы с эти не возникло, а здесь небольшой затык.

 

Исходные данные.
внутренняя сеть:
роутер 192.168.1.1/255.255.255.0 смотрит в мир и раздает устройствам инет.
DHCP включен

 

на e400 создано 2 WLAN:
WLAN1 назовем ее WORK - WiFi для сотрудников, WPA2-PSK
WLAN2 назовем ее OPEN_WIFI - открытый гостевой доступ, авторизация через гостевой портал (Clickthrough)

 

WORK присвоен VLAN1
OPEN_WIFI присвоен VLAN10

 

WORK в настройках VLAN1 имеет Static IP
192.168.1.10 255.255.255.0

NAT = выключен

Default Route = 192.168.1.1

DNS = 192.168.1.1

сотрудники будут получать IP от роутера, e400 в локальной внутренней сети будет видна по адресу 192.168.1.10.

 

OPEN_WIFI в настройках VLAN10 имеет Static IP

NAT = включен (этим запрещаем "видеть" другие подсети)
10.2.0.1 255.255.255.0 = гости будут получать IP с виртуального DHCP e400, для этого
во вкладке DHCP для VLAN10 прописываем
adress range 10.2.0.10-10.2.0.254
defualt router 10.2.0.1
domain name somewhere.com
DNS 192.168.1.1 (берем с роутера)
Network 10.2.0.0 Mask 255.255.255.0
Lease 12 Hour

 

во вкладке Access прописывам правила ACL (номера правил идут по возрастающей: 1 = самое главное)

permit proto 1 udp 10.2.0.0/255.255.255.0 any any 53 in (разрешаем слать UDP запросы с подсети 10.2.0.0 на DNS)
permit proto 2 udp any 53 10.2.0.0/255.255.255.0 any out (разрешаем получать UDP ответы от DNS в подсеть 10.2.0.0)
deny ip 3 any 192.168.1.0/255.255.255.0 in (запрещаем запросы из гостевой подсети 10.2.0.0 во внутренню подсеть 192.168.1.0)
permit ip 10 any any any (разрешаем ходить по остальным IP)

 

А вот дальше, нужна помощь в настройке Ethernet Port...

Разобрался сам, чуть позже выложу мануал. Может комуто пригодится.