Как реализовать изоляцию клиента для отдельных пользователей на мосту с точкой доступа?
Я администратор сети SOHO.
Я создал мост с портами Ethernet 2 и Ethernet 3 на моем Mikrotik CRS112-8G-4S (RouterOS 6.44.2; прошивка маршрутизатора 6.44.2).
Ethernet 1 - это мой порт WAN, использующий статический IP.
Ethernet 7 имеет сервер со статическим IP-адресом. Мост называется hotspot_bridge и имеет облачный RADIUS-сервер и DHCP-сервер с пулом IP 192.168.1.2-192.168.1.254. DNS и интерфейс IP-адрес 192.168.1.1.
Нет VLAN или транков. UPNP выключен.
Ethernet 2 подключается к Cisco Catalyst 2960. Коммутаторы Ethernet-порты подключаются по всему зданию с помощью кабелей UTP. Пользователи ходят и садятся со своими ноутбуками и кабелями для подключения к ближайшему порту Ethernet, где они хотят.
Ethernet 3 подключается к UniFi AP AC LR (версия: 4.0.21.9965; версия платы: 17). Он имеет зарезервированный адрес DHCP 192.168.1.2. Он в основном имеет конфигурацию по умолчанию, за исключением того, что точка доступа Wi-Fi открыта. Я просто возился с настройками радио / антенны. Пользователи подключают свои устройства с поддержкой WiFi здесь.
Правила фильтрации межсетевого экрана IP между пользователями точки доступа и сервером в Ethernet 7 работают нормально. Сервер находится на другом порту Ethernet и в подсети.
К мосту через коммутатор Cisco подключены другие устройства с зарезервированными IP-адресами в диапазоне 192.168.1.249-192.168.254 (принтеры и т. Д.)
Я отключил "Использовать IP Firewall" для моста из-за проблем с пропускной способностью и производительностью на маршрутизаторе Mikrotik при доступе к Интернету изнутри горячей точки. Процессор маршрутизатора достигает 100% при нормальном использовании. Я думаю, это потому, что это делает недействительным Bridge Fast P ath.
Как создать полную изоляцию клиента, не теряя Bridge Fast P ath на маршрутизаторе Mikrotik, для IP-адресов в диапазоне 192.168.1.3-192.168.1.248.?
Я знаю MAC-адрес всех устройств с зарезервированными адресами DHCP на мосту. MAC-адреса пользователей постоянно меняются по мере того, как они вводят свои персональные устройства.
Поскольку коммутатор и точка доступа должны находиться под одним сервером DHCP и сервером точек доступа и использовать один и тот же портал авторизации, следует ли мне просто использовать какое-то выделенное аппаратное решение?
Событие, когда я внедряю правило изоляции клиента в фильтр межсетевого экрана IPv4 Mikrotik routera:
add action=reject chain=forward comment="hotspot_bridge client isolation" disabled=yes dst-address-list=hotspotclients log=yes log-prefix="hotspot_bridge client isolation" reject-with=icmp-admin-prohibited src-address-list=hotspotclients
Все, что происходит, это то, что он блокирует первый пакет, затем трафик просто течет. Я предполагаю, что происходит какой-то поиск ARP.
Фактически, я проверил это с помощью средства управления брандмауэром маршрутизатора Mikrotik, и кажется, что пакеты не поступают на рынок (по крайней мере, в зависимости от счетчиков), когда два клиентских устройства точки доступа обмениваются данными через мост точки доступа, даже если я принудительно использую "Использовать брандмауэр IP",
Я знаю, что настройки "Маршрутизации и брандмауэра" на сайте UniFi Network бесполезны для меня, и что сама точка доступа UniFi практически не имеет возможности формирования или фильтрации трафика.