Гостевой доступ с точками UniFi

[archa]

Добрый всем день!
Имеются в наличии точки доступа UniFi AP в кол-ве 3шт в частном доме. Так же имеется сервер с zentyal 3.3 и одним eth адаптером. Так же есть 2 интернета приходящие каждый на свой роутер asus dsl-n10 и zyxel keenetic 4g. Все это добро подключено в пару свитчей. На zentyal настроен dhcp, dns, proxy, mail, балансировка траффика и отказоустойчевая wan. dhcp шлюзом отдает адрес zentyal, а он уже сам разруливает траффик. Вопрос вот в чем... Приходит ко мне в гости много людей, и всем в интернеты хочется попасть... Пароль от основного WiFi у меня длинный и сложный, хранится в зашифрованном файле... Из-за каждого гостя туда лезть не очень удобно... ПО точек (UniFi Controller) позволяет организовать гостевой доступ своими силами через тот же captive portal. Вроде, все хорошо и не сложно. Но проблема в том, что к точке и локальная сеть и интернет подходят по одному интерфейсу, т.е. разделить их средствами точек возможности нет. Для этого на точках реализованно теггирование траффика гостевой сети. Если я настрою на eth0 два VLAN-а в одной подсети и на фаерволе настрою соответствующие правила фильтрации, чтоб с гостевого VLAN-а можно было ходить только в интернет, будет все это хозяйство работать? С учетом того, что eth на zentyal - один?

Сильно не пинайте, я не админ, все настраиваю сугубо для себя...

[ua4wiy]

Вставляешь ещё одну eth делаешь из неё магистраль 802.1q прописываешь vlan и всё...  Нельзя в zentyal прописывать на магистраль 802.1q IP адрес, хотя в Linux с этим проблем нет.

[logdog]

Все это добро подключено в пару свитчей.

Хоть я не совсем понял топологию сети, но если свитчи не поддерживают 802.1q - работать не будет.

[archa]

Технология сети простая... Есть 2 частных дома на расстоянии ~1км друг от друга по прямой. В доме №1 установлен ADSL-роутер (asus dsl-n10), в доме №2 установлен LTE-роутер (keenetic 4g II). Рядом с ADSL-роутером стоит свитч (dlink dgs-1008) и рядом с LTE-роутером стоит свитч (dlink dgs-1008). Роутеры воткнуты в соответствующие свитчи. Так же в свитчи в каждом доме воткнуты Ubiquity NanoBridge M5. В доме №2 в свитч вокнуты файловый сервер и сервер с zentyal. В каждом доме в свитчи воткнуто по паре Ubiquity UniFi AP. На UniFi настроен WiFi. Ну и туда же воткнуто по пачке конечных устройств (компьютеры, ресиверы и прочаю лабуда). На zentyal настроены 2 шлюза (каждый из роутеров) и DHCP-сервер, который отдает локальным устройствам в качестве шлюза адрес zentyal-а. Теперь задача. На UniFi поднять гостевую сеть с доступом в интернет, но БЕЗ доступа к файловому серверу и локальным устройствам. Средствами UniFi эту сеть реализовать не получится, т.к. внутри UniFi никак не разделить траффик на внутрений и внешний, правильно? Правильно... НО! UniFi позволяет теггировать траффик гостевой сети. Немного подумав, решил, что траффик можно разделить на файерволе шлюза: теггированный пускать только в интернет, а не теггированный - везде. Как я вижу эту процедуру. В zentyal воткнуть еще один eth и подключить его в тот же свитч. eth0 настроен статиком в сети 192.168.1.0/24, eth1 настроить как 802.1q и добавить VLAN с тегом 10 в сети 192.168.10.0/24. На этом же интерфейсе настроить DHCP и шлюзом отдавать так же адрес zentyal. Далее разруливать траффик между сетями 192.168.1.0/24 и 192.168.10.0/24 правилами файервола. Получится так без свитчей с поддержкой 802.1q?

[archa]

В общем, настроил все как писал выше. В итоге, клиенты IP-адреса из 192.168.10.0/24 получают, на zentyal (по адресу 192.168.10.1) я с них зайти могу. А на устройста из сети 192.168.1.0/24 не получается и интернета тоже на них нет (может потому что шлюзы также в 192.168.1.0/24?). В файервол еще правила не прописывал. Есть идеи?

Спасибо!