Автор Тема: Kerio Winroute + UniFi AP - DHCP сервер  (Прочитано 2401 раз)

0 Пользователей и 1 Гость просматривают эту тему.

AlexD

  • ***
  • Сообщений: 1452
    • Просмотр профиля
#0: 17 Марта 2017, 09:01:17
Товарищи форумчане кто сталкивался с такой схемой?


Есть в наличии неуправляемый свич. К нему подключены точки UniFi AP, а так же тачки юзеров по витой паре.
Есть машина с Керио. Одна сетка которой смотрит в сторону локалки (её ip 192.168.1.250 ставлю шлюзом для проводных, ну и соответственно беспроводных будет тоже)  и вторая в сторону  ADSL модема.
Что сделано на текущий момент и в чем вопрос.
В Керио заведены профили для "проводных" юзеров. С ними проблем нет - они исправно выходят в инет через Керио.
Заведён профиль для беспроводных юзеров (указан диапазон адресов)
Так же в Керио  включен сервер DHCP. Вот скрин настроек (незнаю верны ли они).



Самый главный вопрос - какие настройки необходимо выставить в закладки Networks программы Unifi Controller для того чтобы "беспроводные" юзеры ходили в инет через Керио.



alko

  • ***
  • Сообщений: 2159
    • Просмотр профиля
#1: 17 Марта 2017, 09:10:37
А зачем ты на контроллере включаешь DHCP сервер, если он у тебя в Керио?

Посторонний

  • ***
  • Сообщений: 2309
    • Просмотр профиля
#2: 17 Марта 2017, 09:15:12
ак же в Керио  включен сервер DHCP. Вот скрин настроек (незнаю верны ли они).

Не определён срок аренды в DHCP сервере на Kerio.

Самый главный вопрос - какие настройки необходимо выставить в закладки Networks программы Unifi Controller для того чтобы "беспроводные" юзеры ходили в инет через Керио.

У вас одна сеть (домен коллизий)  на беспроводных и проводных клиентов. Это плохо. Лучше заменить сществующий свитч на свитч  L3 с поддержкой VLAN. Если денег на это хозяйство нет, то лучше разделить вашу сеть 192.168.0./24 на сегменты по маске /26 или /27 , чтоб изолировать бродкасты  wi-fi сегмента  от проводного. Правда, на Kerio для этого нужно будет поднимать secondary IP адрес шлюза на каждый сегмент.

Существующая схема работать будет. Но хреново.

AlexD

  • ***
  • Сообщений: 1452
    • Просмотр профиля
#3: 17 Марта 2017, 09:33:49
Существующая схема работать будет. Но хреново

Это временный вариант. Надо помониторить нагрузку от "беспроводных" клинетов на ADSL.
Для "боевой"  схемы лежит MikroTik RB951G-2HnD

Не определён срок аренды в DHCP сервере на Kerio.
Насколько критичен этот параметр и какое значение необходимо указать?

AlexD

  • ***
  • Сообщений: 1452
    • Просмотр профиля
#4: 17 Марта 2017, 09:35:28
А зачем ты на контроллере включаешь DHCP сервер, если он у тебя в Керио?

Т.е. в UniFi его можно отключить, а все настройки будут тянуться с Керио?

e-ray

  • ***
  • Сообщений: 5407
    • Просмотр профиля
#5: 17 Марта 2017, 09:57:47
Т.е. в UniFi его можно отключить, а все настройки будут тянуться с Керио?
да

Посторонний

  • ***
  • Сообщений: 2309
    • Просмотр профиля
#6: 17 Марта 2017, 09:59:59
Насколько критичен этот параметр и какое значение необходимо указать?

По дефолту DHCP сервер на windows устанавливает срок аренды 14 дней. Всё зависит от того, насколько часто компы "скачут" между сегментами сети.

Для "боевой"  схемы лежит MikroTik RB951G-2HnD

В таком случае Kerio не нужен. И нужно сразу делать правильный дизайн схемы сети.


AlexD

  • ***
  • Сообщений: 1452
    • Просмотр профиля
#7: 17 Марта 2017, 10:05:42
По дефолту DHCP сервер на windows устанавливает срок аренды 14 дней

У меня получается по дефолту 4 для :)



В таком случае Kerio не нужен. И нужно сразу делать правильный дизайн схемы сети.

Не спорю,  но если в Керио для меня вопрос контроля содержания посещаемых сайтов трудностей не вызывает, то с МиктоТик придется повозиться (практики маловато)...

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#8: 17 Марта 2017, 10:11:58
Можете взять готовый конфиг микротика в личном кабинете нашего сервиса. Там схема именно такая, разделено на 2 сети - рабочая и гостевая. Могу потом рассказать подробнее, как через неуправляемый коммутатор и unifi точки разрулить трафик между сетями.

Посторонний

  • ***
  • Сообщений: 2309
    • Просмотр профиля
#9: 17 Марта 2017, 10:12:12
если в Керио для меня вопрос контроля содержания посещаемых сайтов трудностей не вызывает, то с МиктоТик придется повозиться (практики маловато)...

Для контроля содержания посещаемых сайтов вам не нужен (подозреваю)  ломанный kerio. :-)

Вам нужен прокси сервер (тот же squid)  , который может работать как в прозрачном, так и не в прозрачном режиме + система отчетов к нему.
Мануалов по настройке squid - вагон.
Удачи с микротиком :-)

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#10: 17 Марта 2017, 10:20:11
В микротике есть механизмы фильтрации L7 (сайтов), городить ещё squid смысла нет.

Посторонний

  • ***
  • Сообщений: 2309
    • Просмотр профиля
#11: 17 Марта 2017, 10:45:16
В микротике есть механизмы фильтрации L7 (сайтов), городить ещё squid смысла нет.

А как фильтрация трафика связана с его учетом  ? Я сильно сомневаюсь , что микротик любой модели хранит в себе долгосрочный log -  ip <->  запрашиваемый url  и выдает его по первому требованию.
Можно снимать трафик с микротика по netflow - но это требует внешнего ПК.

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#12: 17 Марта 2017, 11:50:00
Писали про "контроль", не про "учет" )

Посторонний

  • ***
  • Сообщений: 2309
    • Просмотр профиля
#13: 17 Марта 2017, 12:28:12
Imho  смысловое содержание  "вопрос контроля содержания посещаемых сайтов" для меня  равносильно  учёту трафика. И это не равносильно фильтрации уровня L7.
Микротик и многие другие роутеры умеют фильтрацию. Но учет, мониторинг, архивирование  log-ов посещений сайтов - это отдельная прикладная задача / ПО. Которая большей частью крутится на отдельном PC.

Вообще это уже флейм по деталям , и у каждого тут своё видение на контроль / архивирование / анализ из log - ов  посещений из трафика пользователей.

cara

  • *
  • Сообщений: 1
    • Просмотр профиля
#14: 30 Марта 2017, 02:02:22
Могу потом рассказать подробнее, как через неуправляемый коммутатор и unifi точки разрулить трафик между сетями.

Расскажи мне пожалуйста :)

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#15: 30 Марта 2017, 10:34:48
1. В микротике создаются 2 ip-pool , 2 dhcp сервера для рабочей и гостевой.
2. В микротике создается vlan для гостевой сети, и ему назначается ip адрес
3. В микротике второй dhcp сервер (рабочей сети) привязывается непосредственно к интерфейсу куда подключен коммутатор с точками, это может быть конкретный порт или группа объединенная в бридж. И так же ему назначаем ip адрес. Эта же сеть будет и managment - для  управления unifi ap.
4. В микротике к интерфейсу созданому на шаге 3 прицепляется vlan из шага 2.
5. На unifi сервер для гостевого ssid назначается vlan из шага 2. Рабочий ssid без указания vlan.

Готовые конфиги вышлю на емейл, который вы мне пришлете в личку. Пришлю ещё более сложный вариант, но на мой взгляд более правильный: 2 vlan (рабочая, гостевая) и managment через native vlan.

e-ray

  • ***
  • Сообщений: 5407
    • Просмотр профиля
#16: 30 Марта 2017, 10:40:34
Могу потом рассказать подробнее, как через неуправляемый коммутатор и unifi точки разрулить трафик между сетями.
где здесь микротик?

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#17: 30 Марта 2017, 10:51:46
Коммутатор?..
Коммутатор между микротиком и юнифай.
Схема рабочая, у многих клиентов так.
Но есть неуправляемые коммутаторы, которые меняют пакеты, вырезая теги.

AlexD

  • ***
  • Сообщений: 1452
    • Просмотр профиля
#18: 18 Октября 2017, 09:53:18
Подниму тему.
Дошли руки до настройки MikroTik RB951G-2HnD и привязки к нему точек UniFi AP
Ранее с ними тесно дело не имел.
На просторах инета нашел инструкции:
- Настройка RB951G-2HnD https://hd.zp.ua/nachalnaya-nastrojka-routerov-mikrotik-routerboard-rb751u-2hnd-rb751g-2hnd-rb750-rb750gl-rb951g-rb450g-rb433-rb-493-rb800/

- Подключение точек UniFi AP https://habrahabr.ru/post/217657/

Кто в теме, пробежитесь глазами. Насколько годная инфа? Понимаю, что возможности RB951G-2HnD более гибкии, но пока хотя бы поднять сеть. Учреждение без инета сидит.

DimonS

  • *****
  • Сообщений: 17003
    • Просмотр профиля
#19: 18 Октября 2017, 09:59:00
AlexD
Просто сеть поднять ничего сложного. Точно такой же роутер юзаю на работе. Настроил и забыл.
Да, типа по такой инструкции и настраивал. Начальные настройки сделал, а потом и тонкие можно делать.

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#20: 19 Октября 2017, 20:16:24
Новый роутер из коробки в настройке не нуждается.
Статья на Хабре не про Unifi, не подходит.

DimonS

  • *****
  • Сообщений: 17003
    • Просмотр профиля
#21: 19 Октября 2017, 20:24:21
Новый роутер из коробки в настройке не нуждается.
А если адрес внешний статический (выделенный IP)? Как он из коробки заработает?
Ну и если сеть нравится 192.168.0.х - то можно и не настраивать :)

alko

  • ***
  • Сообщений: 2159
    • Просмотр профиля
#22: 19 Октября 2017, 20:28:49
AlexD,
Роутер с коробки не всегда работает как нужно, да и лучше снести дефолтную конфигурацию и настроить с нуля. Я настраивал по этой статье https://www.lanmart.ru/blogs/review-mikrotik-rb951g-2hnd
А вот UniFi точки лучше таки настроить по этой статье с их сайта http://www.ubnt.su/reviewUniFiController.htm
Статья староватенькая, сейчас интерфейс контроллера несколько другой но принцип тот же.


ЗЫ. Общий смысл в том что у тебя на портах роутера должна быть локальная сеть с доступом в интернет к ним подключаешь точки доступа, а программным контроллером UniFI конфигурируешь и настраиваешь точки как тебе нужно.

wifisystem.ru

  • *
  • Сообщений: 47
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#23: 19 Октября 2017, 20:34:57
Роутер с коробки не всегда работает как нужно, да и лучше снести дефолтную конфигурацию и настроить с нуля. 
Точно не лучше ))
А если адрес внешний статический (выделенный IP)? Как он из коробки заработает?
Также как со всеми остальными роутерами, вбитием адреса в мастер быстрой настройки.
Ну и если сеть нравится 192.168.0.х - то можно и не настраивать :)
Внутренняя подсеть на заводском конфиге МикроТика 192.168.88.0/24
А вот UniFi точки лучше таки настроить по этой статье с их сайта http://www.ubnt.su/reviewUniFiController.htm
Сайт производителя Unifi - https://www.ubnt.com/

alko

  • ***
  • Сообщений: 2159
    • Просмотр профиля
#24: 19 Октября 2017, 20:42:29
Точно не лучше ))
Также как со всеми остальными роутерами, вбитием адреса в мастер быстрой настройки.
И получаем кучу нафиг не нужных настроек
Сайт производителя Unifi - https://www.ubnt.com/
Да

Wolf_Hunter

  • ***
  • Сообщений: 1065
    • Просмотр профиля
#25: 19 Октября 2017, 20:57:22
И получаем кучу нафиг не нужных настроекДа

Вот тут я полностью согласен, в дефолтной конфиге mikrotika очень много ненужного. Всегда делаю с нуля.

akar

  • ***
  • Сообщений: 730
    • Просмотр профиля
#26: 19 Октября 2017, 21:02:00
Ну и если сеть нравится 192.168.0.х - то можно и не настраивать
Такая адресация в сети может оказаться болью при настройке VPN-подключений извне или связывании нескольких сетей.