Mikrotik hotspot NAT nélkül

Wireless

Hello!

Mikrotik hotspot kiépítésével kapcsolatban lenne kérdésem.

Az eset viszonylag speciális, ugyanis NAT nélkül szeretném megoldani.

Publikus C osztályú szubnetünk van, a vezetékes kliensek leadott MAC address alapján kapnak IP-t DHCP-n, valamit IP-MAC párokat engedünk ki a routeren. A router gépen fut a DNS és a DHCP is. Fontos, hogy a kliensek is publikus IP-t kapjanak.

A wireless eszköz egy Mikrotik Routerboard, a hotspot beállítva, de valamiért nem akar menni, wireless-en szépen kapok IP-t a MAC address alapján (a DHCP szerver ezesetben a wireless eszköz), de nem tudok pingelni semmit a saját gépemen kívül (szubneten belül sem) . 

# ifconfig wlan0
wlan0     Link encap:Ethernet  HWaddr xx:xx:xx:xx:xx:x
          inet addr:x.y.z.1  Bcast:x.y.z.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:440 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1922 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29886 (29.1 KiB)  TX bytes:163049 (159.2 KiB)
          Interrupt:177 Memory:f4000000-f4004000

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 wlan0
default         router.domain.h 0.0.0.0         UG    0      0        0 wlan0

Ha a wireless-ről átállok a vezetékes kapcsolatra, akkor szépen működik minden, megy a ping mindenhova: 

# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr yy:yy:yy:yy:yy:yy
          inet addr:x.y.z.34  Bcast:x.y.z.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:24258 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7581 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:7210793 (6.8 MiB)  TX bytes:1170694 (1.1 MiB)
          Interrupt:169

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth0
default         router.domain.h 0.0.0.0         UG    0      0        0 eth0

Mi lehet itt a hiba?

(Ugyanez a hotspot rendszer NAT-tal jó működik, kipróbáltam)

Petya

  • 4136 megtekintés

hm.. mennék aludni... esetedben ugyan az a ip cim tartomány található a board mind két oldalán. hová kell route-olni az adott csomagot?
mivel eth0 felé szerepel a route táblában oda fogja. vagy azt csinálod hogy bridge et építesz azaz össze bridgeled a vlan0 -t az eth0 -al ....
pl.
vagy a default routoddal játszol de akkor a gw-t is macerálni kell.

ja default route alatt azt értem hogy a egy /31 vagy /30 as maszkal kapcsolodsz a default gw hez ezt neki is tudnia kell.
és a maradékot meg adod tovább a kliensek felé de ez azért gázos mert /24 tudnad csak lefedni de a akkor meg a wlan0 meg eth0 között megint lesz átfedés...
szoval inkabb az előző...

Hello!

A bemásolt ifconfig-ok a kliensemről valók. A board-nak csak át kell engednie a csomagokat, miután a kliens a hotspot webfelületen azonosította magát. Bridge-et próbáltam, megy is szépen, de úgy meg a hotspot felület nem működik.

szerk: routolni a default gw felé kell (x.y.z.254, router.domain.hu)

Petya

kicsit egyertélmüben is leírhatad volna
szoval

trönk(default gw innen jön a net) > mikrotik > kliens
x.y.z.1 > x.y.z.? > x.y.z.?

Ez már nem jó hacsaknem bridgeben van a mikrotik wlan és eth interface-e.
azaz pl.:
192.168.1.1> 192.168.1.2(mikrotiketh),192.168.1.3(mikrotikwlan) > kliens

( covek v | 2007. 10. 10., sze – 08:24 )

http://lartc.org/howto/ már ha javasolhatok neked valamit. :)
A hálózatba Te be szeretnél integrálni egy routert amelynek minden lába (interfésze) rendelkezik publikus IP-vel. Máshogy nem fogja tudni az az eszköz, hogy mit merre kellene küldenie. A WiFi éa a LAN elvileg lehet egy hídon.
Nem én még nem csináltam ilyet, csak próbálok ötletelni.

covek@covek.hu

( _Petya_ v | 2007. 10. 10., sze – 10:10 )

Hello!

Köszönöm a válaszokat, tehát akkor ha nem szeretnék NAT-ot, akkor a hotspot rendszert elfelejthetem...

Akkor milyen lehetőseim vannak? Publikus IP minden kliensnek, és a MAC address hamisítás megakadályozása a cél. (Mivel MAC-IP párokat engedek a tűzfalon, valaki lehallgatja más MAC címét, beállítja a saját kártyájára, és már tud is netezni...)

Petya

Az eddigi infoid alapján ugyan az a halózat van a mikrotik mind a két oldalán.
Ahoz hogy a vezetékes és vezeték nélküli rész lássa egymást bridgeet kell használni.
Ha ebben az esetben routeot használsz, a fizikai hálózathoz fognak szolni csak az arp kérések ha fizikai hálóról indulsz, ha wlan ról pedig csak wlanra.
Mivel a default átjáród is az fizikai halón van ezért "nem tudja" az átjáród hogy kinek kell küldeni a csomagot.
Azaz tudja, de azt a helyi hálón keresi.
Értelem szerűen ott meg nem találja.
Vagy nem jól értettem valamit?

A hotspot lecserélésre gondoltam elsősorban.
Ekkor nem fog virtuális interface-t felhúzni a kliens,
viszont nyersz vele menedzselhetőséget, usernév/jelszó authot...

Mégegyszer végigolvasva az egészet, lenne egy kérdésem:

A publikus tartományotok hogy van megoldva?
1. Van egy publikus ip címe a gw-nek és arra van rárouteolva a publikus
tartomány (pl /24)
2. van egy publikus ip cím tartományotok a router külső interfészén?

A 2-es esetben nem tudod megvalósítani azt amit akarsz.
Ha az 1-esről van szó délután leírom.

Csak akkor az 1. eset, ha a router külső lábára van rároutolva egy külön publikus ip cím tartomány,
amit az ügyfeleidnek akarsz kiosztani.

pl:
1. router wan: 193.0.221.2/30
2. a szolgáltató a 193.0.225.0/24 -et a 193.0.221.2-re route-olta.
3. a router lan lábára felveszel egy címet a második publik tartományból (x.y.z.1 vagy x.y.z.254)
4. dhcpt beállítod, hogy a fennmaradó tartományból szolgálja ki az ügyfeleidet, a megfelelő beállításokkal (range 193.0.225.2-193.0.225.254, netmask 255.255.255.0, gw 193.0.225.1 ..)

A wlan része a kérdés, hogy az hogy legyen :)

Bridge jó lenne, két feltétellel:

- a DHCP kéréseket meg kell fogni a bridge-en, és kiszolgálni, nem juthatnak el a gateway-ig (amely egyben DHCP a vezetékeseknek). A routerboard-on szeretnék DHCP szervert futtatni. (RADIUS alapút is tud, ha jól tudom...)
(magyarázat: ugyanannak a usernek wirelessen és vezetékesen is ugyanazt az IP-t szeretném kiosztani)

- valamilyen formában felhasználóazonosítás. Erre kérnék ötleteket :)

Petya

Amúgy kézenfekvő lehetne, de nem tudom mennyire merült el a hálózatok lelki világában.
+ 1 db ap szerepelt az eredeti felvetésben szervere nincs hozzá nincs másik ap..stb...
fölösleges az ospf..
mivel nem irta hogy mi a mikrotik default gw je az nem biztos hogy támogatná az ospf-et....(valószinü hogy nem)
amugy nagyon siraj az ospf...