Mikrotik od Zera #15- Capsman w firmie cz.1

Capsman w małej firmie

W poprzedniej części skonfigurowaliśmy nasz router do pracy jako Capsman w domu. W tym materiale rozbudujemy konfigurację Capsmana do pracy w małej firmie, która nie ma vlanów, ale ma osobne podsieci oraz serwery dhcp dla pracowników i gości.
Założenia:

  • Osobna nazwa sieci wifi
  • Osobna adresacja IP dla gości
  • Limit prędkości dla gościnnej sieci
  • Limit czasu działania sieci, tylko w godzinach pracy biura, np. 6:00-23:00
  • Ograniczenie komunikacji między sieciami
  • Ograniczenie komunikacji między urządzeniami w sieci gościnnej
  • Biuro: 192.168.77.0/24
  • Gość: 10.10.10.0/24

Schemat

Sposób podłączenia routerów jest zbliżony do wcześniejszej konfiguracji capsmana w domu.

Mikrotik schemat połączeń do Capsmana

Konfiguracja Capsmana

Zaczynamy od przygotowania konfiguracji Capsmana. Przerobimy nieznacznie obecną konfigurację, jeżeli nie wiesz jak skonfigurować podstawowe ustawienia routera, zapraszam do zapoznania się z pierwszymi częściami Mikrotik od Zera. Zaczynamy od zmiany nazwy bridge z LAN na Biuro. W następnym kroku dodajemy nowy Bridge o nazwie Gosc. Przechodzimy na IP->Addresses i dodajemy nową adresacje dla gości.

Mikrotik IP Addressess List

Kolejnym krokiem jest konfiguracja serwera DHCP dla sieci gościnnej. Z bocznego menu wybieramy IP->DHCP Server, następnie klikamy w Setup i przechodzimy konfigurator, jako interface wskazujemy bridge Gosc. W przypadku problemów z konfiguracją serwera dhcp zapraszam do materiału numer 2. Wstępna konfiguracja sieciowa zakończona. Możemy przejść do konfigurowania Capsmana. Ustawieniami konfiguracja domowa nie odbiega za bardzo od ustawień dla firmy, dlatego część ustawień pozostawimy bez zmian.

Security Cfg.

Zaczynamy od zabezpieczenia sieci wifi odpowiednimi hasłami. Przechodzimy na Security cfg. i znakiem plusa dodajemy nowy wpis. Musimy przygotować dwa osobne wpisy. Jeden dla sieci biurowej, drugi dla sieci gościnnej. Paramtery zabezpieczeń pozostają identyczne dla obu konfiguracjach. Zmieniemy tylko hasło dostępowe.

Mikrotik Capsman Security Cfg.

Datapaths

W ramach zwiększenia bezpieczeństwa sieci użytkowników biurowych należy odseparować od gości. Można tego dokonać na kilka sposób, najprostszym z nich jest osobna podsieć, z osobnym serwerem dhcp. Podobnie jak w przypadku haseł dostępowych, należy przygotować dwa osobne wpisy. Znakiem plusa dodajemy nowe wpisy.

Mikrotik Capsman Datapaths

Parametry omówiłem we wcześniejszym wpisie. Należy pamiętać, aby wskazać odpowiedni Bridge dla gości i dla biura.

Access List

Dzięki zastosowaniu Access List możemy definiować jakie urządzenia mają prawo podłączyć się do naszych Access Pointów. Stosując odpowiednią maskę przy MAC Addressie możemy ograniczyć połączenia np. do konkretnego producenta. Każdy producent ma zarezerwowany początek Mac Addresu, jeżeli chcemy, aby do konkretnego Capa mogły się podłączyć tylko urządzenia Apple, to wpis musiałby zawierać:

Mikrotik Capsman Access List

Cyfry FF:FF:FF w masce oznaczają, iż wartość Mac Addressu musi być identyczna jak wpisaliśmy piętro wyżej. Natomiast 00:00:00 oznaczają dowolne wartości, oczywiście spełniające wymogi standardu Mac Addressu.

Nasz przykład nie wykorzystuje filtra Mac Addresów, wprowadzimy ograniczenia co do możliwości podłączenia się do sieci. Załóżmy, iż nasza firma pracuje w godzinach 6:00-23:00, i tylko w takim przedziale czasowym użytkownicy mogą podłączyć się do sieci. Przechodzimy na zakładkę Access List i znakiem plusa podajemy nowy wpis.

Mikrotik Capsman Access List
  • Mac Address: restrykcje mają dotyczy wszystkich urządzeń, dlatego zostawiamy same zera
  • Interface: zmieniamy na any
  • Time: zmieniamy zakres godzinowy, dodatkowo możemy wskazać w jakich dniach ograniczenia mają funkcjonować
  • Action: accept

Configuration

Przechodzimy na zakładkę Configrations i znakiem plusa dodajemy nowy wpis. Ponieważ chcemy stworzyć dwie sieci, musimy przygotować dwie konfigurację. Konfiguracja cfg_biuro będzie odpowiedzialna za sieć biurową, natomiast cfg_gosc za sieć gościnna.

Mikrotik Capsman Configurations
Mikrotik Capsman Datapath
Mikrotik Capsman Configuration Security
Mikrotik Capsman Configurations
Mikrotik Capsman Configuration Datapath
Mikrotik Capsman Configuration Security

Oprócz zmiany różnych nazw SSID dla sieci biurowej i gościnnej, ważne jest, aby wskazać odpowiedni datapath oraz hasło dostępowe.

Mikrotik Capsman Configurations List

Provisioning

W następnym kroku definiujemy jakie urządzenia/Access Pointy mogą podłączyć się do naszego Capsmana. Podobnie jak w przypadku konfiguracji sieci z dwoma różnym nazwami SSID, musimy wskazać master i slave configuration. Jako master configuration wskazujemy Biuro, a jako slave wybieramy Gosc.

Mikrotik Capsman Provisioning

Przy takim ustawieniu Mikrotik stworzy wirtualną kartę sieciową skonfigurowaną jako sieć dla gości. Niestety, ale obie sieci będą pracowały na tym samym kanale, ponieważ wirtualny adapter zawsze będzie miał tą samą częstotliwość co jego master.

Mikrotik Capsman Interfaces List

Ograniczenie pasma

W kolejnym kroku przygotujemy ograniczenie prędkości dla sieci gościnnej. Organicznym prędkość pobierania i wysyłania do 5 Mbit/s. Skorzystamy z najprostszej metody jaką jest Simple Queues. Szczegółowy opis Simple Queues znajdziesz we wcześniejszych materiałach.

Mikrotik Simple Queues
Mikrotik Simple Queues

Blokada ruchu między podsieciami

Ostatnią czynnością jaką musimy zrobić po stronie Capsmana, to zablokowanie ruchu pomiędzy podsieciami. Nie chcemy, aby użytkownicy z sieci gościnnej mogli przeglądać zasoby w sieci biurowej. W tym celu przechodzimy na IP->Firewall. Mam nadzieje, że zapoznałeś się, ze wcześniejszym materiałem na temat Firewalla w Mikrotiku i wiesz, dlaczego jako chain wybieramy Forward.

Mikrotik Firewall

Jako Src, Address podajemy podsieć dla gości, Dst. Address podsieć biurowa, action ustawiamy na drop.

Konfiguracja Capów

Capsman w pełni przygotowany do działania, pozostaje dodanie CAP. Podobnie jak wcześniej zaczniemy od dodania modułów bezprzewodowych samego capsmana. Nie ma żadnej różnicy pomiędzy dodaniem capa w domu a firmie. Wystarczy wskazać discovery interafces oraz moduły bezprzewodowe jakie mają pracować pod kontrolą Capsmana.

Mikrotik Capsmana add cap

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6

Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+

17 komentarzy

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *