Sada je: 22 stu 2019, 15:37.
Linux, poslužitelj, mreže i sigurnost

Moderator/ica: Moderatori/ce

Napravio sam multiple ssid na AP ddwrt-u po ovim uputama ( http://blog.danjoannis.com/?p=1362 ) i sve radi OK.

Onda sam u mrezu dodao uređaj Mikrotik hotspot i izgasio dhcp od virtualnog ssid-a i upisao IP od Mikrotika za gateway ali ga on nepronalazi u mrezi i onda nema IP adrese klijent koji se spaja.

Isto tako se zna dogoditi da klijent koji se spaja na Physical Interface ath0 ssid WORK ponekad dobije IP adresu od Mikrotika a ne od Debian servera.

Kako napraviti da klijent kad se spaja na ssid WORK dobije IP iskljucivo od Debian servera a kad se spaja na ssid Hotspot od Mikrotik-a :hmm

Na ovom linku sam napravio shemu kako izgleda mreza https://www.dropbox.com/s/uq2t4mqz83aa6k5/ddwrt_multiple_ssid.jpg?dl=0

Unaprijed zahvaljujem na savjetima.
Postovi: 4
Postovi: 4
Pridružen/a: 15 lis 2014, 12:14
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: OS
Da bi napravio to što si zamislio morati ćeš dobro poraditi na konfiguraciji oba DHCP servera jer ovako kako vidim se u suštini u pravom smislu riječi svađaju medjusobno. Obrati pažnju šta želiš na istom subnetu a ne vidim da si igdje spomenuo scope. Na telefonu sam a ovo objasniti bi vjerovatno zauzelo dvije stranice foruma u jednoj pošti. Moj savjet ,zanemari gdje link stoji i dobro pročitaj
ovdje

Sretno
People disagree with me. I just ignore them.
Avatar
Postovi: 364
Postovi: 364
Pridružen/a: 30 kol 2014, 18:34
Podijelio/la zahvalu: 17 puta
Primio/la zahvalu: 38 puta
Spol: M
OS: suse, Arch
Bez telefona i sa malo vise vremena pa da ukratko pojasnim. Tvoja zamisao, ako sam je dobro shvatio, najjednostavnije se moze sprovesti u djelo tako sto ces ip-range sa kojom raspolazes podijeliti na dva dhcp. Na primjer Mikrotik 192.168.100.1-192.168.100.49 , a Debian 192.168.100.50-192.168.100.100. (ovaj ip range je cisto primjer, ti vec znas kako je tacno) .Na taj nacin ces za pocetak sprijeciti sukob dva dhcp-a pri odgovoru na request. Ako sam dobro shvatio sta dalje pitas, mozda je najjednostavnija opcija clientu u odredjenom netverku dati staticnu adresu iz istog sa cime si siguran da ce se prijaviti tamo gdje zelis .
People disagree with me. I just ignore them.
Avatar
Postovi: 364
Postovi: 364
Pridružen/a: 30 kol 2014, 18:34
Podijelio/la zahvalu: 17 puta
Primio/la zahvalu: 38 puta
Spol: M
OS: suse, Arch
Možda je problem u switchu. Za probu priključi ddwrt AP u jedan od portova mikrotika a ne u switch (znači, ne u zvijezdu nego u seriju, tako da ddwrt i mikrotik nisu odvojeni switchom).
U drugi port mikrotika priključi taj switch. Ako dhcp od debian servera u toj probi ne bude radio onda je problem u switchu koji ne podržava bootp relay.
"Hodor bre foobar"
Avatar
Postovi: 1897
Postovi: 1897
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
Orkh je napisao/la:.... mozda je najjednostavnija opcija clientu u odredjenom netverku dati staticnu adresu iz istog sa cime si siguran da ce se prijaviti tamo gdje zelis .


statične IP adrese za klijnete mi nije opcija jer se klijenti često mjenjaju

Hvala za sugestiju
Postovi: 4
Postovi: 4
Pridružen/a: 15 lis 2014, 12:14
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: OS
U tom slučaju uradi onaj prvi dio koji sam napisao , tj. podijeli ip range tako da svaki dhcp zna šta treba da radi a klijente možeš fiksirati i sa mac adresom. Ipak je u pitanju interna mreža (bar tako razumijem iz tvog pitanja i slike na dropboxu) a ako ni to nije po volji onda ne znam. U svakom slučaju prioritet je spriječiti dva dhcp servera da jedan drugom zagorcavaju život. Tek kad to radi kako treba možemo dalje ( port rezervacija,servisi, itd.)
I na kraju,nema na čemu , rado.


sent from tapatalk
People disagree with me. I just ignore them.
Avatar
Postovi: 364
Postovi: 364
Pridružen/a: 30 kol 2014, 18:34
Podijelio/la zahvalu: 17 puta
Primio/la zahvalu: 38 puta
Spol: M
OS: suse, Arch
jurastublic je napisao/la:Možda je problem u switchu. Za probu priključi ddwrt AP u jedan od portova mikrotika a ne u switch (znači, ne u zvijezdu nego u seriju, tako da ddwrt i mikrotik nisu odvojeni switchom).
U drugi port mikrotika priključi taj switch. Ako dhcp od debian servera u toj probi ne bude radio onda je problem u switchu koji ne podržava bootp relay.


ddwrt AP sam prikljucio u Mikrotik i a drugi port Mikrotika sam prikljucio u switch u koji je isto spojen i Debian server i SSID WORK dobije IP adresu od Debian servera a SSID HOTSPOT i dalje nedobija IP od Mikrotika.

Kako sam Virtualni AP radio po uputama ima i dio sa IP tables koje sam upucao u ddwrt firewall :

#Allow guest bridge access to Internet
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Block access between private and guest
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
#NAT to make Internet work
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`


mislim da je ovdje problem bar sta se tice onog sta bi ja zelio jer je br0=atho a za br1=ath0.1 zapisano u ddwrt AP-u pod current Bridging Table

za br0 je stavljen staticki gateway prema Debian serveru 192.168.101.1 pod Basic Setup i onda Network Setup i Router IP

Local IP Address 192.168.101.245
Subnet Mask 255.255.255.0
Gateway 192.168.101.1

Sad bi trebao napraviti u IP tables promjenu ali neznam koju i kakvu ?

Zahvaljujem na sugestiji.
Postovi: 4
Postovi: 4
Pridružen/a: 15 lis 2014, 12:14
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: OS
Nemam vremena isprobavati ali si možeš pogledat na ddwrt stranici, paragraf "Restricting access":
http://www.dd-wrt.com/wiki/index.php/Mu ... WLANs#DHCP
možda ti fali ono:
"Allow br1 to access DHCP on the router" :iptables -I INPUT -i br1 -p udp --dport 67 -j ACCEPT
"Hodor bre foobar"
Avatar
Postovi: 1897
Postovi: 1897
Pridružen/a: 16 tra 2011, 08:34
Lokacija: i grupa Film
Podijelio/la zahvalu: 45 puta
Primio/la zahvalu: 338 puta
Spol: M
OS: Mint 10 LXDE itd...
Kako je virtualni SSID Hotspot kreiran da ima vlastiti DHCP odnosno DNSmasq i kad se klijent spoji na taj ssid dobije IP adresu i ima izlaz na Net preko Debian servera.

Ako stavim nove postavke za taj virtualni SSID 192.168.101.4/255.255.255.0 /192.168.101.2 i IP range 192.168.101.50 - 192.168.101.80 a Debian ostaje na postavkama 192.168.101.1/255.255.255.0 s tim da mu je IP range za DHCP 192.168.101.100 - 192.168.101.200 i onda kad se klijent spoji na SSID WORK dobije IP od Debiana i gateway mu je u ddwrt-u 192.168.101.1 i ima izlaz na Net.

Kad bi izgasio DHCP na Mikrotiku, i promjenio IP za Hotspot na 192.168.101.2. onda bi trebao napraviti u ddwrt-u za virtualni SSID da mu je gateway 192.198.101.2. i isto tako bi u ddwrt-u trebao napraviti promjene u firewall-u koje sam napravio po uputama.

Da li bi na ovaj nacin dobio da imam dva gatewaya s tim da klijenti spojeni na virtualni SSID idu na Net preko Mikrotik Hotspota a korisnici preko Physical Interface ath0 ssid WORK idu na Net preko Debiana ?

Ako u Mikrotiku izgasim DHCP oce li to imati utjecaja na rad Hotspota ili ce klijent koji je dobio IP npr. 192.168.101.50 a zadani mu je gateway 192.168.101.2 dobiti najprije captive portal od Hotspota i nakon upisa usera i passworda biti prousten na Net ?
Postovi: 4
Postovi: 4
Pridružen/a: 15 lis 2014, 12:14
Podijelio/la zahvalu: 0 puta
Primio/la zahvalu: 0 puta
Spol: M
OS: OS

Na mreži
Trenutno korisnika/ca: / i 1 gost.