Nastavenie viacerych Wifi routrov v sieti (pod sebou)

[felipe25]

Zdravim. Sice tu mam vlakno, ktoreho sa tyka co, co sa chcem opytat
(http://pretaktovanie.zoznam.sk/viewtopi ... 2&t=103146)
robim novy thread, kedze je to aj samostatne oddelitelna tema.

teraz je siet, kde su wifi routre zapojene zapojena podla schemy - vid. obrazok


Kedze ale potrebujem "opravit" siet sposobom, aby som dokazal vidiet MAC adresy vsetkych PC aj pod routrami 2, 3 a 4
chcem sa opytat:

1. staci vypnut na routroch 2 3 4 DHCP pridelovanie adries, a sposobi to to, ze adresy IP zacne pridelovat router 1?

2. aky router mi odporucate kupit, ktory zvladne /wifi by bolo off, alebo nemusi mat/ to, ze bude musiet pridelit a routovat mozno 100-150PC, ale zaroven s tym, ze budem mat manualne moznost povolit MAC adresy pripojenych PC a aspon potrebujem mat moznost na pridanie 200MAC adries.

3. tu sa rovno opytam, ak vypnem DHCP na routroch 2 3 4, na routri 1 sice pri clients list uvidim vsetky pripojene PC aj pod routrami 2 3 4, ALE, uvidi router1 aj MAC adresy pripojenych PC pod routrami 2 3 4 , alebo uvidi pod routrom 2 vsetky PC s MAC adresou routra2 - teda bude router2 posuvat MAC adresy routru1?

Viem ze aceess point funguje takto ako pisem /ze router hore vidi MAC pod acess pointom/, ale bude to tak fungovat na routri1, ak na vypnem na routroch 2 3 4 DHCP?


4. potrebujem proste sucasnu siet zmenit tak, aby sa kazdy zaujemca o pripojenie najprv nahlasil, vyplnil formular o zodpovednosti, napisal mi tam MAC adresu zariadenia, s ktorym sa chce napojit na internet s tym, ze nasledne ho na hlavnom routri povolim.
(este otazka, kedze ide o wifi pripajanie, a v ziadnom pripade nebudu PC pripojene kablom, potrebujem wifickovsku MAC nie? - da sa zmenit WIFI MAc adresa?? Viem ze Lankova sa zmenit da...)

Sucasny router1 ktory je v sieti umoznuje zadat max. 10 povolenych MAC adries. Co je malo. Takze potrebujem upravit "podsiete" pod routrom1 ale zaroven kupit nove zariadenie ako router1 s tym, aby zvladal routovanie 100-200PC, a vedel povolit cca 200MAC adries...

[jcdenton12]

vskutku zaujimavy design

co takto tam dat namiesto wifi routrov obycajne access pointy
user traffic bude v samostatnej VLAN (x3) + manazmentova VLAN
a dajaky lepsi box na ktorom budes mat DHCP server a robit interVLAN routing?

ci je podmienka ze to musi byt pozliepane zo SOHO mydlovych krabiciek s najnizsou moznou cenovkou?

//edit: rozumiem spravne ze chces dajaky self-enrollment portal pre uzivatelov a nasledne im povolit / zakazat access?
nieco taketo http://www.cisco.com/c/en/us/td/docs/so ... D_ISE.html len za malo penazi?

http://www.cisco.com/c/en/us/td/docs/so ... er_Exp.pdf

[felipe25]

No ono, bohuzial tam tie SOHO zariadenia uz su... a financie na nahradu niesu...
/starsie routre su Airlive 3000R, novsie su TP Link 1043ND, a acess pointy niekde su TP LINK 943ND, ale az za routrami 2, 3, 4...
/teoreticky by sa to dalo poriesit aj tak, ze tym, co sa napajaju na router2 by som povolil MAC adresy az na routri 2, lenze tym padom ak by sa "hybali" im znemoznim napojit sa do siete routra3 a pod./

Ta siet bola budovana postupne, ja to spravujem od stavu, ked to bolo na 60% poriesene, keby som hned vedel, ze tam casom bude tolko routrov, bolo by to uplne inac riesene aj z mojej strany. /a ze bude nutna kontrola MAC a podobne/.

Ono celkovo v tej sieti je tych routrov 2 3 4 viac, to bolo len na ilustraciu...


tie linky na CISCO - nooo, asi nieco take potrebujem, ale podla moznosti nieco jednoduchsie, bohuzial nemam so sietami velke skusenosti, prakticky sa ucim uz dost dlho "za pochodu", ale toto je na mna uz dost zlozite.

[felipe25]

chcem sa pokusit nastavit filtrovanie podla MAC na sucasnych zariadeniach....

co mam zvolit tu, ak chcem iba POVOLIT, aby sa PC s danou MAC adresou vedel pripojit cez wifi k routru?
a zakazat pripojenie, ak MAC v zozname nebude?

[MacTukahan]

Co mas za wifi router1 a switch? Spravne chapem, ze z dizajnoveho hladiska ide o router-on-stick riesenie? Musis mat tie siete poodelovane? Nestacila by napriklad nejaka /22? Lebo kebyze to nemusis mat separatne oddelene podla "wifin", tak ti staci dat tym malim routrom staticke IPky, tie vyhodis z DHCP rozsahu, vypnes na nich dhcp das do bridge modu a mal by ti pridelovat IP router 1. Na ARP zaznamoch by si si vedel cekovat ip vs. mac addresy. (Ak sa mylim opravte ma.)

[mp3turbo]

ak mas routre, ktore su naozaj routre (to znamena ze mas oddelene 192.168.8.x, 192.168.9.x a 192.168.10.x siete tak ako tvoj obrazok naznacuje), tie MAC adresy spodnych komputrov uz neuvidis. Na tychto mydlovych krabickach proste nie.

Aj keby si vypol dhcp na podradenych zariadeniach a mal ho centralne navrchu, aj tak klientske MACy uz neuvidis. Dokial tam nepouzijes nejake specialne sietarske barlicky nad ramec toho co bezne srandy typu TPLink 1043ND vedia.

Chcel som sa opytat ze naco to chces spravit tak aby si videl MACy pocitacov, ale bod cislo 4 to vysvetluje. Totiz ked vypnes DHCP na tych podradenych routroch tak ako to mas nastavene teraz, klienti zrejme nebudu dostavat adresy vobec, pretoze DHCP broadcast nepreroutujes hore a klienti proste nedostanu ziadnu adresu - na 99.9% som presvedceny ze zariadenia ktore mas nebudu a nedokazu "routrovat" teda skor by som mal povedat relayovat respektive zbridgovat dhcp REQ pakety (pozri co je DHCP relay agent). Inak povedane, po vypnuti DHCP naspodu ti prestane proste chodit cela siet aj napriek tomu ze na najvrchnejsom zariadeni budes mat DHCP povolene - klienti sa s ich poziadavkami hore nedostanu.

MAC adresa sa na wifine da zmenit uplne rovnako ako na dratovom zariadeni - nie je podstatne ake je to zariadenie z hladiska fyzickej vrstvy, proste je to nejaky network device. Na dosiahnutie tvojho ciela, teda aby sa kazdy clovek musel nahlasit, aby si nad tym mal nepriestrelnu kontrolu, ti viem povedat jedine : OKAMZITE ZABUDNI NA FILTROVANIE MAC ADRIES a kontrolu postavenu na tomto principe. Sfleku hned.

Cesta by bola napriklad spravit tunel - kazdy klient bude mat svoje sifrovanie, odlisne hesla samozrejme, s tymto sa autorizuje na tvojom centralnom bode, komplet komunikacia bude sifrovana (co ma kvanta dalsich vyhod ale aj drobnych uskali - v zavislosti od pozadovanej priepustnosti a poctu paketov). Cele riesenie ti doporucujem postavit na Mikrotiku - nic lacnejsie, LEPSIE a jednoduchsie zaroven nemas a nenajdes. Dalsia schodna alternativa by bol klasicky Linux PC, avsak to nie je riesenie vhodne pre teba lebo keby si ho vedel postavit a dlhodobo administrovat, nepytal by si sa tu [nic v zlom, len ilustrujem zlozitost].

[felipe25]

" nepytal by si sa tu [nic v zlom, len ilustrujem zlozitost]."

Presne tak Nevyznam sa v tom, proste, je to moc

To s MAC adresami ma napadlo iba preto, pretoze to ma tak ANTIK /iny PC ako moj s inou MAC proste nepojde.. blokuju ho/.
Samozrejme viem, ze oni maju uplne ine zariadenia, co to kontroluju.

Ok, tak s Mikrotikom, a ako? kupit ako hlavny router mikrotik? A zvysok siete bud prehodit routre na switche? /cize sa nebude napajat WAN port, ale iba 1 2 3 4 - otazka je ale ako nakonfirugujem router..../. A ono vlastne hned si odpoviem, ze to nepojde ani tak, kedze bezdrotove pripojenie zariadenia by riesil aj tak router a nie mikrotik.
Cize cesta je iba vsade mat APcka, nie routre.

A ako by to bolo s tou autentifikaciou? Mikrotik zvladne 100-200userov? akym sposobom by sa prihlasili? kazdy ine heslo?

Kolko cca stoji router mikrotik, ktory toto zvladne?

Mena a hesla by som im "vytvaral" ja v konfig stranke mikrotiku?

[mp3turbo]

moznosti je viacero - samozrejme nielen mikrotik. Toto som ti doporucil lebo je to ucelene riesenie so vsetkym co potrebujes a este 2983 funkciami navrch, proste namakany spolahlivy linux s management rozhranim a CLIčkom keby si mal naladu.

MAC adresy a blokovanie : povedali sme si ze kazdy trosicku sikovnejsi student si dokaze zmenit ci uz ethernet alebo wifi MAC a tam ochrana skoncila. Este ti aj porobi kopec bordelu na sieti a naserie mnohych inych. Tadeto cesta nevedie, nema to zmysel.

Hlavny router moze byt Mikrotik, zvysok siete mozes prehodit na switche (kablove) respektive ine mikrotiky - vedia krasne robit aj wirelessku, XY internet providerov beha na Mikrotikoch so stovkami az tisicmi ludi. APcko je vzdy nejaky bazmeg, ktori ti nieco robi - ked uz to ma robit, nech to robi poriadne, ja by som aj APcka daval Mikrotiky. Nemusis vsak hned na zaciatku, pretoze by to bolo drahe a zrejme zbytocne komplikovane : KLUDNE SI NECHAJ INFRASTRUKTURU KTORU MAS TERAZ [!!!!] a proste si z Mikrotiku sprav VPN koncentrator. Siet budes prerabat postupne, na zaciatku ti budu chodit aj normalni uzivatelia (obycajny routing s tym co mas teraz), postupne budes vsetkych prehadzovat na sifrovanie a o mesiac (denne traja-styria) ked budes mat vsetko preklopene zakazes nesifrovanym pristup (napriklad tak ze sifrovani uzivatelia budu z 192.168.12.x ; 192.168.13.x a 192.168.14x sieti a stare 192.168.8.x + 9.x a 10.x co mas teraz potom proste zakazes na routingu). Novi uzivatelia samozrejme budu dostavat len sifrovane spojenia, teda meno a heslo s navodom ako to nastavit (pripadne im to budes nastavovat ty, neviem ako to u teba konkretne vyzera - uvidis ze to nie je ziadna veda a zaberie 40 sekund na uzivatela).

O ziadne MAC adresy by si sa nasledne nemusel starat. Ano, mena a hesla by si samozrejme vytvaral v konfiguracii Mikrotiku. Na jednom mieste celu siet, video nizsie.

Mikrotik s prstom v ri...zadku zvladne 200 userov sifrovat a tahat na internet. Prihlasili by sa kazdy svojim menom a heslom ktore by si centralne spravoval na jedinom bode, spravne na Mikrotiku (preto som pouzil termin VPN koncentrator). Klientov na sifrovanie ma kazdy windows a linux zabudovanych priamo v sebe, vytvaral by si na klientoch virtualny adapter, kukaj :

https://www.youtube.com/watch?v=OBlUaZw9uNU (prve co som nasiel na youtube ked som napisal mikrotik vpn client)

Predpokladam ze pri 120 ludoch budes mat traffic niekde na urovni 300 az 400Mbit max, bezne tak okolo 100Mbit. Konkretny model mikrotiku doporucit neviem a nechcem, mydlove krabicky co sa s tymto robia ma prilis nevzrusuju - ja by som to cele postavil na klasickej X86 platforme s gigabitovymi kartami (jedna von do internetu, jedna donutra siete). Nepises aku mas internet konektivitu ale bezne PC preroutuje a zasifruje vsetko co si len mozes zelat, takze to cislo ani nepotrebujem vediet aj keby si mal gigabit.

Jedna z dalsich slusnych veci Mikrotikov je zabudovana podpora dynamickych routovani co ta asi nebude trapit, urcite nie na zaciatku a napriklad aj VRRP protokolu - redundancia. Dve PCcka zdielaju jednu virtualnu adresu a cez nu chodia klienti von. Ked sa jedno PC pokazi lebo bude lacna sunka z bazaru, druhe za neho preberie robotu. VRRP nie je stavovy protokol = masiny nemaju informacie o otvorenych spojeniach co bezi cez tu hlavnu z nich, zalozna proste len sedi ako kačica a caka kedy pride jej doba. Pri sifrovani VPNky tam teda dojde k rozpadnutiu spojenia ale to sa automaticky znovu nahodi na strane klientov cize netreba nic robit rucne akurat ti co v momente vypadku hrali hry sa budu musiet pripojit znovu, ti co prezerali web stranky si vypadok ani neuvedomia.

Cenovka ? Level4 stoji tusim 30eur, http://wiki.mikrotik.com/wiki/Manual:License_levels
http://www.i4wifi.sk (lavy stlpec mikrotik, licencie, 734,-Kc ale ta firma je aj v Bratislave).

Potrebujes k tomu samozrejme este nejake PC, ale tie sa valaju vsade okolo. Cokolvek core2duo, 1GB RAM, 40GB HDD je okej na polgigabitu sifrovaneho internetu, sietove karty doporucene Intel E1000 (9,-eur na ebayi, pripadne dvojportovka za 30eur na bazosi, vyskusanych 981Mbit/s routovanie medzi dvomi kartami teda z jednej strany voslo dnu 981Mbit a cez druhu sietovku to vyliezlo von). Bacha, licencia mikrotiku sa viaze na harddisk a jeho seriove cislo, ked sa ti disk pokazi tak je to v riti a musis ziadat litovcanov o vydanie nahradneho kluca co je proces nie zrovna na tri minuty. Preto treba starostlivo zvolit disk na ktory to nahodis. Ked budes mat dva pocitace, mas redundanciu voci vypadku ako som povedal (konfiguraciu z jedneho vies lahko a automaticky natlacit na druhy napriklad kazdu noc alebo kazdu polhodinu). Vies to pustat aj vo virtualizovanom prostredi (hyper-v, vmware, kvm...).


Moj nazor : ides robit 200 ludi na zivej sieti, tu by som sa so ziadnymi krabickami proste nehral, potrebujes slusne kladivo. Nic lacnejsie ako Mikrotik nezozenies, a zozenies len pramalo veci ktore by boli lepsie, spolahlivejsie, jednoduchsie a odolnejsie voci zlyhaniu ako Mikrotik na tvoje planovane pouzitie bez akehokolvek ohladu na cenovku.

[felipe25]

dik za siahodlhu odpoved

otazka:

mame uzivatela ABC ktory je napojeny cez wifi na router2.
cize, musi byt router "zmeneny" na switch, aby to fungovalo?

Otazka: On-uzivatel ABC si musi to nastavenie nastavit tak, ako je vidno vo videu? to vidim okamzite kamen urazu, kedze vacsina uzivatelov s tym bude mat obrovsky problem, a nakoniec to skonci tak, ze budem musiet ja riesit kazdeho jedneho uzivatela 10minut, kym ho sprevadzkujem.
(vacsina ma pomale pc, nepreinstalovane winy, a tak to bude katastrofa).


Myslel som na nejake riesenie, ktore by fungovalo ako na hoteloch, ale to je asi komplikovane (ze po napojeni sa na wifi sa zobrazi uvodna stranka atd.).
Stale mi pride aj najschodnejsie riesenie povolenie MAC adries na jednotlivych routroch :/ Aj ked viem, ze sa to da obist....
Ale premne je to jednoduche, kedze si kazdy napise ziadost, dostanem ju aj elektronicky, a proste pridem k routru, a pohadzem tam MAC adresy. Samozrejme sa za to zavedenie nejaky man. poplatok za kazde jedno zariadenie. (ak zmeni PC, tak za to zaplati).
Horsie /ale mozno lepsie/ bude to, ze sa na ine wifi proste nepripoji, iba tam, "kde sa vyskytuje".


Inac ten Mikrotik - myslel si cisto len PC, cize nie kupit router Mikrotik, ale len OS?
Akym sposobom sa potom nastavi Mikrotik v PC, ze jedna sietovka je IN a jedna OUT? To by som mohol urobit aj teraz, nejaky PC sa najde, a nahradim router...

A ked nebude ok riesenie s MAC, postupne to urobim ako si napisal, len to musim mat ja sam odskusane a mat jasno, ako to funguje

[mp3turbo]

>> mame uzivatela ABC ktory je napojeny cez wifi na router2. cize, musi byt router "zmeneny" na switch, aby to fungovalo?

nedokazem odpovedat, otazka zdaleka nie je kompletna. Ako je nastaveny router2, co je nad nim a ako je nastavene ?

Keby si chcel mat sifrovanie do coho ta tlacim, narobis sa ako kon kedze mas neznalych uzivatelov (keby si to robil napriklad na intraku tak by bola ina kava, do kazdej izby hodis jeden papier A4 nastavte si takto VPNku a 99% z nich to spravi). Samozrejme ze cestou sifrovania NEMUSIS ist - aj zablokovanie MAC adries ti rozhodne nieco prinesie, len ja nemam rad veci na 90% hotove a ostatne zobral cert. Preto som aj vravel ze kazdy den spravis troch-styroch a po mesiaci mas celu siet super. Je to vsak robota.

Ano, kazdy uzivatel musi mat sifrovanie nastavene tak ako bolo ukazane vo videu. Kazdy uzivatel by mal potom svoj vlastny account s ktorym by lozil von a nikto by nikomu nic nemohol zobrat.

Riesenia ako su na hoteloch sa volaju hotspoty, ich nastavenie je este daleko zlozitejsie ako to co si tu videl. Mas tam casovu platnost, proxy server aby ti ludia dostali zobrazene "blablabla vitajte" ked sa snazia otvorit akukolvek stranku, no proste komplikovanejsie.

Blokovanie MAC adries na jednotlivych routroch stale mozes spravit, nic ti nebrani. Ked budes mat nejakeho chytraka co ich bude falsovat, budes to musiet nejako riesit - ale to pride az v buducnosti takze teraz sa s tym nezaoberame ze ?


K routru hadam chodit nemusis aby si tam nastavil MAC adresy ktore mozu alebo nemozu ist von, snad mas management na dialku prepana... poplatky neriesim, tie ma nevzrusuju. Vete "ze sa na ine wifi proste nepripoji iba tam kde sa vyskytuje" som nerozumel a tusim ani nechcem rozumiet. Ja by som mojim platiacim uzivatelom dovolil pripojit sa hocikde a neobmedzoval by som ich (pri sifrovanej sieti nemas co robit, uzivatel si sadne kdekolvek a moze ist uplne rovnako bez jedineho zasahu).

Mikrotik som myslel PC a kupit software, nie tie mydlove krabicky co ponukaju. Cele je to komplikovanejsie ako tato jedna veta obsiahne, mne sa vsak stale klasicke huciace PC javi ako najlepsia volba s najlepsim vykonom a rozsiritelnostou. Samozrejme ma svoje uskalia a nevyhody, tak ako vsetko na svete.

Jedna sietovka na mikrotiku nemusi byt in a druha out, vsetko sa da riesit cez jednu jedinu fyzicku sietovku ; samozrejme doporucujem dve a pekne to oddelit od seba lebo to prakticky nic nestoji. Gigabitove sietovky sa dnes valaju hocikde po suflikoch.

[Snake]

Moze autor napisat co konkretne chce spravit? Lebo taky mismas tu je z toho ze konec. Routre pozahadzovat, takisto router neni switch, aj ked sa tak moze javit /nebavime sa o mikrotiku/. To ze nieco uz je zakupene, heh, a co? Ja som ti uz X krat pisal ze bud to urob poriadne, alebo nerob, moja dobra rada. Za par chechtakov mas Unifi APcka, tie vedia VLANy, k tomu daky Cisco POE Switch, a mas vyhrate...

[mp3turbo]

bod cislo 4 jeho originalnej otazky, prvy prispevok navrchu.

Su cisco poe switche a unity whatever lacnejsie dohromady ako 2x 30eur za dva redundantne mikrotiky ? A bude jeden Cisco PoE switch redundantny ? A vie robit tolko ako linux, ma taku flexibilitu a skripting ?

Inak sa mi zda ze radime hodne velke dela na jeho potreby, aj tak to dopadne zafiltrovanim MAC adries a bude vyriesene inak ano, s pristupom "urob to poriadne alebo sa na to vykakaj" uplne suhlasim, a preto od zaciatku hrajeme hru "nefiltruj MAC adresy ale sifruj uzivatelov".

[Snake]

Ano, dik, pozrel som si to. Odpoviem ti exaktne - tie mikrotiky sa mu zosypu jedna radost, ano, ja ked som bol mlady a sprosty (rok dozadu), tiez som ich vychvaloval, a potom dosiel kruty pad na hubu ked to nezvladlo obsluzit 50 ludi s mobilmi, to len tak na zaciatok.

To co on potrebuje, a cele jeho filtrovanie MAC adries, mu oseriem jednym snifferom, a ked budem uplny hajzel, tak mu tam spravim taky ARP poisoning ze si z tej siete za pol hodinu kavickovania urobim honeypot na fejsbuky a vydam fappening vol. 2. Toto co on potrebuje, za izy many, nespravi. Za izy many by som s tym mal problem aj ja. Co by som ale vramci mojich vedomosti spravil, je umiestnil anteny na uplne inu vlanu (mgmt vlan), a spravil medzi nimi routing, na druhej strane by som nasadil RADIUS, ktory by vystup do internet vlany autentifikoval, na internet vlane by som sa mozno vyhral s HRA/NPAS serverom, a na zaklade toho by som filtroval traffic. Ak by som chcel logy, mam ich asi na troch miestach. Keby niekto chcel sniffovat, moze, ale RADIUS mu odkopne connect lebo nema key, ARP poison by bol mimo lebo na netovu VLANu by sa bez connectu nedostal, ak by sa aj connectol, tak klienti su uz davno za barierou a chudak co "jedovatie siet" si tam bude sedet a prdet do sedacky sam. Samozrejme toto vsetko by som mal pod kontrolou na uplne neviditelnej FA management vlane. Z tohto by sa ti mikrotik zgrcal, co by to stalo nechcem ratat, vela, kuwa vela, ale bolo by to wireless porno...

[mp3turbo]

>> potom dosiel kruty pad na hubu ked to nezvladlo obsluzit 50 ludi s mobilmi, to len tak na zaciatok.

mikrotik to urcite zvlada, v tom problem nebol (nie je mikrotik ako mikrotik, nie je radio ako radio, nie je infrastruktura ako infrastruktura, poznam jednu diskoteku v BA kde ehm dlhodobo bezi moja instalacia mikrotiku a je na tom obesenych 60 az 140 ludi uplne bezne, v spickach cez 200, traffic okolo 70Mbit v spickach a az 100.000 paketov za sekundu). Ako vravim, mnohi provideri tahaju na mikrotiku radiami stovky ludi... Inak pred Y rokmi som vo vonkajsom prostredi na X kilometrov v Bratislave tahal 80Mbit/s realneho TCP/IP trafficu, ked vsetci kupovali Trango10 pretoze dokaze uzasnych 10Mbit a stalo to len skoro stvrt miliona korun. Dnes mam v prevadzke spoj na 45km (bez srandy) co robi 50Mbit/s na obycajnych 5GHz. No dost bolo.

Inak s tym filtrovanim MAC adries a pridruzenymi problemami absolutny suhlas, preto som sfleku zacal so sifrovanim prislo mi to najjednoduchsie v statickej sieti. Pre nasadenie typu hotspot, diskoteka, kaviaren, mobily, tablety je to samozrejme ina rozpravka a zbytocne komplikovane/nerealne pre userov. Radius a podobne tematiky pre autora tejto temy budu prilis komplikovane, s tym nemozeme tiez prilis vela vody namutit. Urcite nie na zaciatok, ale ved nech sa mlady uci a mozno z neho za dva roky bude CCIE.

O tom su informacne technologie.

[felipe25]

V prvom rade si je nutne uvedomit, ze keby na to dana organizacia mala peniaze, neriesil by som to ja.
Organizacii je to viacmenej jedno, pretoze moj zaujem reorganizovat celu siet financne nemozu podporit.
Nieze nechcu, ale proste na to nemaju.

Chybu som urobil aj ja, kedze, najprv som dostal poziadavku, aby som urobil wifi na jednom mieste /predtym nebolo wifi nikde/. O polroka to bolo zasa na dalsom, a keby clovek vedel, ze nakoniec chcu pokryt takmer cely areal, riesil by som to odzaciatku inac.

Problemom su financie, kedze, oni funguju tak, ze ma zavolaju, povedia poziadavku, a daju mi rozpocet 100€ na pokrytie dalsieho miesta, spolu s tym ze tam treba priviest kabel, urobit listovanie a pod. Viac proste nemaju. Ak chcem zarobit, tak to vezmem /to co chcu vyriesim aj za tych 100€/. Ine riesenie nieje.

A co chcem docielit???
Nic ine, ako:
1. Dat podpisat vsetkym uzivatelom ktori chcu mat wifi papiere s povinnostami, zakazmi a pod. S tym ze vyplnia MAC adresu.
2. Ale na to aby som mohol bod cislo 1 zrealizovat musim fyzicky zakazat to, aby sa na siet pripojil ktokolvek bez podpisaneho dokumentu a s inym zariadenim ako uvedie.
3. cely problem vznikol na zaklade pravnych upozorneni z firiem z USA, ktore sa stazuju, ze sa stahuju filmy. cize uzivatelov treba nejako obmedzit, nedovolit neznamym aby sa napojili, a hlavne nedovolit, aby sa napojil ti, co nemaju podpisane papiere.

4. takeho user - expert level ako si Ty Snake tam nenajdem, a keby aj, tak neriesim. v ramci moznosti ktore su tu budu radi aj za ten zaklad.

ked je teda mikrotik taky zly, (router airlive 3000r za 30e zvlada to, co podla Snakea nezvladne Mikrotik), tak fakt je to potom neriesitelne, lebo aj ked sa kruto posnazim, viac ako 200€ na komplet reorganizaciu siete nedostanem. PC v tom neratam, ten nejaky najdem a sprevadzkujem.

_____________
ako najschodnejsia cesta mi stale pride PC s OS Mikrotik, ale ako som napisal vyssie, musim si ho odskusat aj sam s tym, ze najprv sa s tym pohram, a az potom REALNE mozem nasadit natvrdo do prevadzky.

a k tej otazke mp3turbo co som ti daval vyssie:

ak nahodim mikrotik OS, tak kazdy, co sa bude chciet napojit bude musiet ist cez VPN? Teda uplne vsetkym PC aj kablovym budem musiet vytvorit ucty?
kedze je pod routrom1 dalsi router2 ktory ma wifi, predpokladam, ze to VPN nebude fungovat /alebo ano?/ pre PC pod routrom2.

Proste, je podmienkou na to, aby to slo, aby zvysne routre boli iba ako switche? To je nutna podmienka toho celeho?


A k tomu co som pisal vyssie, ze ak to skusim zatial filtrovanim MAC adries tak ak nastavim filter na wifi MAC na routri2, tak clovek sa nenapoji na ziadne zariadenie podsiete routra3, alebo routra 2.... Ale v podstate to by ani nebol problem, kedze book by mali pouzivat len tam, kde maju realne poskytnute ubytovanie.