URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95194
[ Назад ]

Исходное сообщение
"Гостевой доступ WiFi через точку."
Отправлено mrs.blaileen , 13-Ноя-13 20:36

Сетка 192.168.0.0/24 с выходом в инет через шлюз на фряхе. С недавнего времени внедрился wifi ввиде пары точек доступа для внутренних нужд для чего на фре был поднят дхцп с выделением диапазона из 10 адресов (остальные адреса в сети прописываются статикой). Авторизацией WPA2-PSK занимаются сами точки.
Все б ничего, но теперь задача стала сложней - инет по воздуху требуется раздавать случайным гостям, партнерам и прочая. Предоставлять доступ в сетку каждому залетному желания нет.
Соответственно вопрос: можно ли при наличествующем оборудовании (точки доступа тупые - одна из них ТП-Линк ТЛ-901, вторая - Д-Линк того же уровня) и средствами фряхи организовать два типа доступа по wifi: полный в сеть для тех же внутренних нужд и некий гостевой только с выходом в инет.
Может есть варианты переноса авторизации на фрю (шлюз в пределах доступа находится, если прикрутить к нему сетевуху с антенной, то ближайшая точка его явно увидит), а точки сделать усилителями сигнала? Сталкивался кто-нибудь?
Вопрос может показаться нубским, я с wifi в такую глубину никогда не лазил.

Содержание

Гостевой доступ WiFi через точку.,Аноним, 22:49 , 13-Ноя-13
Гостевой доступ WiFi через точку.,kam, 04:01 , 14-Ноя-13
- Гостевой доступ WiFi через точку.,Алексей, 10:58 , 14-Ноя-13
- Гостевой доступ WiFi через точку.,mrs.blaileen, 16:04 , 14-Ноя-13

Сообщения в этом обсуждении

"Гостевой доступ WiFi через точку."
Отправлено Аноним , 13-Ноя-13 22:49

pfsense?

"Гостевой доступ WiFi через точку."
Отправлено kam , 14-Ноя-13 04:01

>[оверквотинг удален]
> Соответственно вопрос: можно ли при наличествующем оборудовании (точки доступа тупые -
> одна из них ТП-Линк ТЛ-901, вторая - Д-Линк того же уровня)
> и средствами фряхи организовать два типа доступа по wifi: полный в
> сеть для тех же внутренних нужд и некий гостевой только с
> выходом в инет.
> Может есть варианты переноса авторизации на фрю (шлюз в пределах доступа находится,
> если прикрутить к нему сетевуху с антенной, то ближайшая точка его
> явно увидит), а точки сделать усилителями сигнала? Сталкивался кто-нибудь?
> Вопрос может показаться нубским, я с wifi в такую глубину никогда не
> лазил.
Вы, в следующий раз, модели оборудования не ленитесь полностью писать, чтобы было легче вам помочь.
Предположим что модель одной из ваших точек TL-WA901ND V3. Так вот она умеет Multi-SSID+VLAN (уточните умеет ли ваша). Если ещё и коммутаторы в вашей сети поддерживают VLAN (802.1q), то вообще всё здорово. Настраиваете на точке один SSID для корпоративной сети, другой для гостевой. Этим SSID будут соответствовать разные VLAN-ы. Гостевой VLAN через шлюз выпускаете в интернет. Авторизация WPA2-PSK. Если же коммутаторы в вашей сети не поддерживают VLAN (802.1q), то нужна отдельная точка доступа для гостей воткнутая прямо в шлюз, если не боитесь "случайных гостей, партнёров и прочая" к себе в локалку пускать.
Это самое простое и дешёвое решение, но у него есть недостатки - один пароль для всех гостей и необходимость лезть в настройки оборудования гостя. Для гостей я бы поднял hot-spot на фре, а авторизацию на гостевом SSID отключил. В этом случае клиенты свободно подключаются к точке доступа, но при попытке открыть любой сайт сначала редиректятся на страницу авторизации, где сами вводят индивидуальный пароль, выданный вами ранее.

"Гостевой доступ WiFi через точку."
Отправлено Алексей , 14-Ноя-13 10:58

>>[оверквотинг удален]
>> Соответственно вопрос: можно ли при наличествующем оборудовании (точки доступа тупые -
>> одна из них ТП-Линк ТЛ-901, вторая - Д-Линк того же уровня)
>> и средствами фряхи организовать два типа доступа по wifi: полный в
>> сеть для тех же внутренних нужд и некий гостевой только с
Была похожая задача: в приемной начальства организовать доступ к вай-файке всем посетителям.
Делал так: перепрошил точку dd-wrt для multussid (одно физ устройство - две как бы точки доступа). Далее каждый SSID в свой VLAN - "свои" в 5, допустим, а клиенты в 10-ый. Все VLAN-ы "затыкались" на маршрутизаторе. Все практически так как kam сказал. Пароль дал секретарю. Единственный недостаток - нужно оборудование: точка совместимая с dd-wrt, коммутатор с VLAN и роутер 802.1q.
Можно "замутить" свой каптив портал. На моноволе например. Но все равно как то нужно будет трафик "залетных" отсекать от локалки.

"Гостевой доступ WiFi через точку."
Отправлено mrs.blaileen , 14-Ноя-13 16:04

>[оверквотинг удален]
> Авторизация WPA2-PSK. Если же коммутаторы в вашей сети не поддерживают VLAN
> (802.1q), то нужна отдельная точка доступа для гостей воткнутая прямо в
> шлюз, если не боитесь "случайных гостей, партнёров и прочая" к себе
> в локалку пускать.
> Это самое простое и дешёвое решение, но у него есть недостатки -
> один пароль для всех гостей и необходимость лезть в настройки оборудования
> гостя. Для гостей я бы поднял hot-spot на фре, а авторизацию
> на гостевом SSID отключил. В этом случае клиенты свободно подключаются
> к точке доступа, но при попытке открыть любой сайт сначала редиректятся
> на страницу авторизации, где сами вводят индивидуальный пароль, выданный вами ранее.
Так и есть. TP-Link TL-WA901ND. Вторая - D-Link DAP-1360. Коммутаторов с VLAN нет.
То есть, вариант такой: Для "своих" оставить точку воткнутую в сеть. Для гостей, отдельный хотспот на фре.