a zabespecenie by si ako navrhoval? aby chalanisko si nezmenil branu a sla mu lepisa linka? PPPoE, kontrola MAC a IP alebo DHCP podla MAC adresy? zase moc zdatny ludia tu niesu ale aj tak.
Slo by to resit pres eoip nebo vpnku, proste kazdy z nich by mel unikatni jmeno heslo apod., popr. pripojovani resit pres hotspot = pri pozadavku na internet by mu vyskocila logovaci stranka a dokud nezada jmeno a heslo, nebude na internetu (overene a funkcni)
Mac+ip, kazdy klient ve svem rozsahu = napr. /29, ve firewallu drop jakekoliv vzajemne komunikace, pokud uz neco hrozi tak jedine u klientu na stejnem portu = ze by nahodne trefili (vedeli) branu klienta za ktereho se chteji pripojit
Nejmin napadnutelne, aspon takhle na prvni dojem ten hotspot, udelat jden hotspot server dat do bridge se vsemy interface, uzivatel si muze menit ip mac jak chces, prihlasovani bude dle jmena a hesla, diky kteremu ziska povoleni mit internet a taky dle tohoto loginu se mu prideli urcita rate. Samozrejme by to slo jeste napojit na radius, ale tohle je asi pro par lidi zbytecne. Mikrotik vsechno tohle umi a konfiguracne to ma uz vice lidi, takze to neni jen tak nejaky vystrel do tmy.
Ja nevim, jestli to schema a logiku chapu spravne... asi takhle?
- nekde na nejakem panelaku od ISP koupis 4 linky = ISP ti pritahne 4 kabely
- ty ty linky ale chces pouzit nekde jinde - teoreticky by jsi si mohl udelat 4 WiFi spoje a kazdou linku si prenest zvlast, to by ale stalo moc penez
- na "koncovem" routerboardu bude kazdy chalan pripojeny na svuj port/wifinu (jeden do eth1, druhy do eth2, treti na wlan1, ctvrty na wlan2, wlan3 bude spoj smerem k ISP)
Pokud to chapu dobre tak bych to resil asi takhle:
- na kocnovem RB udelas pro kazdeho chalana zvlastni podsit a tu das na rozhrani smerem k nemu (presne tak jak to pises ve schema) - tim zaridis ze si chalani muzou menit ip adresy jak se jim zachce - v jejich podsiti proste jine nebudou fungovat takze zadny problem
- mezi tim prvnim a druhym mikrotikem udelas nejake spojovaci adresy - libovolne 192.168.x.x
- na "prvnim" RB nastavis NAT + source routing - tak, ze pokud pujde provoz z rozsahu 192.168.10.0/24 tak to posles ven pres "linka1" s odpovidajici IP
chce to jeste par nastaveni routungu (na prvnim RB routy smerem na druhy RB, na druhem defaultroute na prvni RB...) - neni to vycerpavajici popis, jen nastin
__________________
Lide v CZFree se dělí na tři skupiny: 1) deu; netdave 2) ti co znají jejich čísla 3) ti ostatní
08.06.2008 v 15:48
