WIFI и VLAN. Первоначальная настройка Eltex ESR-200-FSTEC - типовая конфигурация. Часть 3. - АлтунинВВ.Блог - всё об IT-технологиях!
Четверг, 10 сентября 2020 19:00

WIFI и VLAN. Первоначальная настройка Eltex ESR-200-FSTEC - типовая конфигурация. Часть 3.

Россия

В предыдущей статье – мы рассмотрели настройку ESR-200 для предоставления доступа к сети Интернет и через ЛВС, и через WIFI-роутер. Был рассмотрен идеальный вариант, когда до роутера дотянут прямой кабель и он подключен непосредственно в порт ESR-200.

К сожалению, это не всегда возможно физически. Сегодня мы как раз рассмотрим сценарий, при котором мы вынуждены включать WIFI-роутер в обычный, неуправляемый коммутатор, к которому подключены ПК нашей ЛВС.

Допустим, у нас есть такая схема сети:

esr-wifi-2-before.png

Ремонт был сделан давно, сама сеть тоже, все кабели протянуты, и руководство не хочет давать денег, чтобы что-то переделывать. И тут прибегает начальник и говорит, что нужно быстро, вчера, поставить на первом этаже WIFI-роутер, для посетителей или просто сотрудников, не важно.

Мы не будем тут рассматривать изменения в законодательстве РФ, по которым теперь для бесплатного WIFI обязательно проходить авторизацию через Госуслуги, и соответственно, придется закупать и специальное ПО и точки доступа с его поддержкой.

В этой статье мы рассмотрим ситуацию, когда на первом этаже нужно подключить WIFI-роутер, а подключить его можно, только в имеющийся коммутатор и, как водится, руководство не волнует, что это не безопасно и никто не хочет менять его на на L2 или L3.

esr-wifi-2-after.png

Создадим новый проект GNS3, чтобы отразить текущую схему

Добавим четыре Ethernet switch, три VPCS и один Cloud.

Соединим их и переименуем таким образом:

2020-09-10_16-38-18.png

Настроим PC1

ip 172.16.200.1/24 172.16.200.254
ip dns 8.8.8.8
save

Настроим ESR-200 таким образом: 

hostname esr101

security zone LAN
  description "LAN"
exit
security zone INET
  description "INET"
exit


interface gigabitethernet 1/0/1
  description "LAN"
  security-zone LAN
  ip address 172.16.200.254/24
exit
interface gigabitethernet 1/0/2
  description "INET"
  security-zone INET
  ip address 192.168.1.212/24
exit
interface gigabitethernet 1/0/3
  shutdown
exit
interface gigabitethernet 1/0/4
  shutdown
exit
interface gigabitethernet 1/0/5
  shutdown
exit
interface gigabitethernet 1/0/6
  shutdown
exit
interface gigabitethernet 1/0/7
  shutdown
exit
interface gigabitethernet 1/0/8
  shutdown
exit
ip route 0.0.0.0/0 192.168.1.254

ip ssh server

do com
do con

Проверим доступность с ESR-200

PING 172.16.200.1 (172.16.200.1) 56(84) bytes of data.
!!!!!
--- 172.16.200.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.385/3.067/5.670/1.301 ms

Связь есть

Настроим интернет, мы уже рассматривали весь процесс в статье.

object-group network LAN
  description "LAN"
  ip prefix 172.16.200.0/24
exit
security zone-pair LAN self
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit

nat source
  ruleset INET
    to interface gigabitethernet 1/0/2
    rule 10
      description "Доступ в интернет LAN"
      match source-address LAN
      action source-nat interface
      enable
exit
exit
exit



security zone-pair LAN INET
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit

object-group service TRACEROUTE
  port-range 33434-33529
exit
security zone-pair LAN INET
rule 101
    description "TRACEROUTE"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port TRACEROUTE
    enable
  exit
exit

object-group service HTTP
  description "SSH"
  port-range 80
  port-range 443
exit
object-group service MAIL
  description "SSH"
  port-range 25
  port-range 465
  port-range 110
  port-range 995
  port-range 143
  port-range 993
exit
object-group service DNS
  description "DNS"
  port-range 53
exit

security zone-pair LAN INET
  rule 1
    description "HTTP"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port HTTP
    enable
  exit
  rule 2
    description "MAIL"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port MAIL
    enable
  exit
  rule 2
    description "DNS"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port DNS
    enable
  exit
exit
do com
do con

Проверим связь с PC1

Проверим связь

PC1> ping ya.ru
ya.ru resolved to 87.250.250.242
84 bytes from 87.250.250.242 icmp_seq=1 ttl=51 time=137.044 ms
84 bytes from 87.250.250.242 icmp_seq=2 ttl=51 time=137.633 ms
84 bytes from 87.250.250.242 icmp_seq=3 ttl=51 time=136.617 ms

В качестве WIFI-роутера у нас будет выступать Mikrotik CHR, так как GNS3, пока что, не поддерживает эмуляцию WIFI.

Добавим Mikrotik CHR и VPCS в наш проект и соединим, как показано на рисунке:

2020-09-09_16-56-19.png

Настроим Mikrotik:

/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no
set [ find default-name=ether2 ] disable-running-check=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip address
add address=172.16.200.10/24 interface=ether1 network=172.16.200.0
add address=172.16.10.254/24 interface=ether2 network=172.16.10.0
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add distance=1 gateway=172.16.200.254

Не забудьте отключить DHCP-клиент на порту eth1 у Mikrotik.

Настроим PC5

ip 172.16.10.1/24 172.16.10.254

ip dns 8.8.8.8

Проверим наличие связи:

PC5> ping ya.ru
ya.ru resolved to 87.250.250.242
84 bytes from 87.250.250.242 icmp_seq=1 ttl=50 time=137.421 ms
84 bytes from 87.250.250.242 icmp_seq=2 ttl=50 time=138.946 ms
84 bytes from 87.250.250.242 icmp_seq=3 ttl=50 time=137.161 ms
84 bytes from 87.250.250.242 icmp_seq=4 ttl=50 time=137.094 ms

Связь есть.

Итак, у нас есть макет, который работает в рамках обычной одно ранговой сети.

Настроим VLAN 2 на Mikrotik 

/interface vlan add interface=ether1 name=vlan2 vlan-id=2
/ip address rem 0
/ip address rem 0
/ip address rem 0
/ip address add address=172.16.99.2/24 interface=vlan2 network=172.16.99.0
/ip address add address=172.16.10.254/24 interface=ether2 network=172.16.10.0

Настроим VLAN на ESR-200

vlan 2
exit
interface gigabitethernet 1/0/1
description "TRUNK"
no security-zone
no ip address 172.16.200.254/24
switchport
switchport mode trunk
switchport trunk allowed vlan add 2
exit

Добавим бридж для ЛВС 

bridge 1
  description "LAN"
  vlan 1
  security-zone LAN
  ip address 172.16.200.254/24
  enable
exit
do com
do con

Добавим бридж для WIFI

security zone WIFI
  description "WIFI"
exit

bridge 2
  description "WIFI"
  vlan 2
  security-zone WIFI
  ip address 172.16.99.254/24
  enable
exit

Добавим правила для WIFI

security zone-pair WIFI INET
  rule 1
    description "HTTP"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port HTTP
    enable
  exit
  rule 2
    description "MAIL"
    action permit
    match protocol tcp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port MAIL
    enable
  exit
  rule 2
    description "DNS"
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port any
    match destination-port DNS
    enable
  exit
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit
do com
do con

Для тестирования разрешим пинги из сети WIFI

security zone-pair WIFI self
  rule 100
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit
do com
do con

 Проверим с mikrotik доступность ESR-200 через VLAN 2

[admin@MikroTik] > ping 172.16.99.254
  SEQ HOST                                     SIZE TTL TIME  STATUS
    0 172.16.99.254                              56  64 6ms
    1 172.16.99.254                              56  64 3ms
    2 172.16.99.254                              56  64 2ms
    3 172.16.99.254                              56  64 3ms
    4 172.16.99.254                              56  64 2ms
    sent=5 received=5 packet-loss=0% min-rtt=2ms avg-rtt=3ms max-rtt=6ms

Связь есть.

Изменим маршрут по умолчанию на mikrotik:

/ip route rem 0
/ip route add distance=1 gateway=172.16.99.254

Проверяем интернет на PC5

PC5> ping ya.ru
Cannot resolve ya.ru

Странно, связи нет.

Проверим доступность ESR-200

PC5> ping 172.16.99.254
84 bytes from 172.16.99.254 icmp_seq=1 ttl=63 time=4.051 ms
84 bytes from 172.16.99.254 icmp_seq=2 ttl=63 time=3.192 ms
84 bytes from 172.16.99.254 icmp_seq=3 ttl=63 time=3.172 ms

Связь есть.

Попробуем трассировку:

PC5> trace 8.8.8.8
trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop
 1   172.16.10.254   0.325 ms  0.285 ms  0.269 ms
 2   172.16.99.254   4.158 ms  3.012 ms  2.907 ms
 3     *  *  *
 4     *  *  *
 5     *  *  *
 6     *  *  *
 7     *  *  *

Связь есть, но ESR-200 не пускает нас в интернет. А всё дело в том, у нас есть правило NAT:

nat source
  ruleset INET
    to interface gigabitethernet 1/0/2
    rule 10
      description "Доступ в интернет LAN"
      match source-address LAN
      action source-nat interface
      enable
    exit
  exit
exit

В правиле 10 у нас разрешена только сеть LAN. Добавим еще одно правило, для WIFI:

object-group network WIFI
  description " WIFI "
  ip prefix 172.16.99.0/24
exit
nat source
  ruleset INET
    to interface gigabitethernet 1/0/2
    rule 11
      description "Доступ в интернет WIFI"
      match source-address WIFI
      action source-nat interface
      enable
    exit
  exit
exit
do com
do con

Обратите внимание - NAT поднимается не сразу, если пинга сразу нет, просто подождите.

Проверяем интернет с PC5

PC5> ping ya.ru
ya.ru resolved to 87.250.250.242
84 bytes from 87.250.250.242 icmp_seq=1 ttl=50 time=132.394 ms
84 bytes from 87.250.250.242 icmp_seq=2 ttl=50 time=131.838 ms
84 bytes from 87.250.250.242 icmp_seq=3 ttl=50 time=132.226 ms

Проверим траcсировку:

PC5> trace 8.8.8.8
trace to 8.8.8.8, 8 hops max, press Ctrl+C to stop
 1   172.16.10.254   1.097 ms  0.337 ms  0.466 ms
 2   172.16.99.254   4.291 ms  3.250 ms  3.059 ms
 3   172.16.1.254   5.021 ms  4.150 ms  4.259 ms
 4     *  *  *
 5     *  *  *

Трассировка останавливается на главном маршрутизаторе, но это нормально, в моем случае.

Мы видим, что пакеты идут через бридж VLAN 2.

Есть еще один способ проверить идут пакеты через VLAN2 или нет.

Для этого можно запустить Wireshark напрямую из GNS3.

Выделите линк между Серверная и LAN3 и щелкните правой кнопкой мыши, выберите Start capture.

2020-09-10_13-56-23.png

В открывшемся окне нажмите «ОК»

Откроется Wireshark, я добавил столбец VLAN, для наглядности.

Давайте теперь прошпигуем с PC5 сервер ya.ru

2020-09-10_13-59-18.png

Теперь пропингуем PC5 с ESR-200

2020-09-10_14-01-38.png

Таким образом, видно, что связь идет через VLAN 2.

Попробуем пропинговать PC1 c PC5

PC5> ping 172.16.200.1
172.16.200.1 icmp_seq=1 timeout
172.16.200.1 icmp_seq=2 timeout
172.16.200.1 icmp_seq=3 timeout
172.16.200.1 icmp_seq=4 timeout

Связи нет, что нам и нужно!

Таким образом, в рамках одной сети у нас работают и обычные пользователи, и пользователи сети WIFI, при этом никак не пересекаясь!

Заключение

Сегодня мы рассмотрели настройку VLAN на ESR-200 для организации доступа пользователей ЛВС и WIFI в рамках одной сети, по одному кабелю.

Создали макет сети в GNS3.

Настроили сеть в ESR-200 и в GNS3.

Добавили бриджи для VLAN 2 в ESR-200 и настроили VLAN 2 на mikrotik.

Проверили доступ к интернету через VLAN с помощью Wireshark.

Прочитано 153 раз Последнее изменение Понедельник, 14 сентября 2020 16:21