Síť pro hosty - Guest network MAC adresa

Software [CZ] SW pomoc [CZ]
#1

Je možné nastavit guest network ne podle portu, ale podle mac adres?
Případně udělat výjimku (bridge do normální sítě) pro jednu mac adresu?

Turris mám ve firmě. Do jednoho portu mám připojený AP (ubnt powerbeam, přes který jsem na firmu napojený z domu.
Na stejný AP jsem připojil i pár sousedů, ale nechci, aby měli přístup do firemní sítě. Takže guest network je pro ně ideální volbou. Jaké je ideální řešení?

Teoreticky bych se z domu mohl připojit přes VPN, ale to by asi bylo nepatrně pomalejší a musel bych doma vyměnit router za něco co umí openvpn… Raději bych jen svou mac adresu připojil přímo do firemní sítě a zbytek klientů do guest network.

Případně - mohlo by fungovat kdybych na guest network zakázal dhcp, klientům guestu bych natvrdo nastavil IPčka v rozsahu 10.111.222.0/24 a udělal bych bridge mezi guest network a lan?

#2

Ten Guest chceš po kabelu, guest wifi nepostačuje ? Rozhodně bych to neřešil podle MAC ale samostanou sítí. Chytil bych se https://doc.turris.cz/doc/cs/howto/vlan_settings_omnia

a jen odvozeně https://wiki.turris.cz/doc/cs/howto/advanced_vlan_settings

#3

Zkusím to napsat jinak.
Do určitého síťového portu mám připojený access point (externí ap, v turrisu vůbec nemám wifi).
AP je v režimu bridge.
A potřebuji, aby všichni klienti toho access pointu kromě mě byli v guest network 10.111.222.0/24
Ale jeden klient - já (moje MAC adresa) bych byl v LAN 192.168.1.10

#4

ja by som to skusil tak, ze by som vybranemu stroju nastavil napevno IP adresu v internej sieti…

v kazdom pripade, ak to chapem, tak guest network standardne funguje tak, ze klienti pouziju iny ESSID.

#5

No pouze nastaveni ip by nemelo fungovat, protoze guest network a lan jsou ruzne vlan, jakoby na dvou ruznych switchich. To by musely byt obe vlan povolene na dany port, ale to mi neslo.

Mezi temi vlan by se musel udelat bridge pro jednu konkretni mac adresu.

S ESSID to nema nic spolecneho.
Mimochodem udelat na tom AP ruzne vlan s ruznymi essid bych na ap sice mohl, ale to by nevyresilo muj problem protoze wan od obou vlan by byl stejny.

#6

ok… to by hlave UBNT AP potrebovalo podporu VLAN, nasledne by sa tato informacia nejak dala doruct cez DHCP.

bridge by mohol fungovat, zhruba rovnakym sposobom ako som navrhoval. rovnaka VLAN akurat ine IP. Akurat ja som navrhol IP natvrdo pre teba, nie pre jednotlivych susedov - vhodne ak sa niekto neautorizovane pripoji sam alebo vymeni svoje zariadenie, dostane sa do GUEST nie to LAN.

Ak vsak niekto zo susedov vie zmenit MAC adresu svojho zariadenia, bude sa vediet dostat do firemnej LAN aj tak.

Z toho dovodu by bolo najbezpecnejsie fyzicke oddelenie sieti alebo ta VPN.

Guest network je vsak vecou turrisu, alebo ju podporuje aj UBNT?
pretoze ak dobre chapem medzi UBNT a turrisom je len jeden kabel (netagovana VLAN)

#7

Z vašeho popisu není jasné, kam jsou napojení sousedé.

Doporučil bych vytvořit nové firewall zóny - guest, firma - a do těch následně přiřadit virtuální a fyzické interfacy.

#8

Dnes jsem si s tím chvíli hrál. Zkoušel jsem jednoduše přidat k br0 další IP adresu (bez DHCP serveru). Když jsem neměl aktivní ani jeden DHCP server, tak obě sítě fungovaly na všech portech. Podle toho jakou jsem si nastavil IP, v takové jsem byl síti. To mi na “zabezpečení” stačí, protože sousedi si stejně nezmění IP na jejich routeru. Ale nebyl jsem schopný rozjet DHCP na té hlavní lan síti…

Jo a mimochodem, dnes se mi router seknul (ještě před mými pokusy). Šlo na něho pingnout, ale neroutroval a nejelo webové rozhraní. Nepomohlo ho ani odpojit a připojit zpět k el. Rozjel se až po pár pokusech s restartovacím tlačítkem. To je u turrisů normální že se takhle sekají???

#9

Ne, jsem si celkem jistý že to není běžné. (sám jsem přes ně připojen, neustále po několik let)

#10

sekat by sa nemal, hypoteticky by to mohlo byt sposobene tou extra IP.
hypoteticky by bolo dobre vidiet logy, ale bez logovania na nejaky permanentny storage to nepojde, standardne logy po reboote uz neexistuju.

tak by som to ocakaval, ale neviem do akej miery to zvladne *foris, aby sa to pri kazdej zmene nerozhadzalo.

toto by tiez mohol byt problem tej IP naviac, dhcp serveru sa to nemuselo pacit. to by chcelo vidiet logy.

obavam sa, ze TOS nerata so zapojenim eth portov do viac sieti.