Интернет в VLAN

[pin]

Есть микротик1(М1) и микротик2(М2).
М1 - выходит в интернет, М2 - свич + точка доступа.
М2 получает ip адреса от DHCP на М1.
У М2 мост (VLAN5+WLAN2), где WLAN2 виртуальная точка доступа зацепленная за WLAN1.
Как "пустить интернет" в VLAN5?

[Vlad-2]

не хватает:
а) где/кто/на каком устройстве - создаётся (раздает) адресацию на VLAN5 ?
б) DHCP есть в этой IP-сети? (в сети VLAN5)

Отвечу забегаю вперёд:
1) либо делать правильно и делать отдельную сетку, на роутере, пропускать это виланом до
всех нужных устройств, и уже М1 будет IP-сеть вести (+DHCP), а клиенты будучи подключённые
к точке, будут обслуживаться роутером на IP-уровне.
И на роутере этот VLAN5 (но правильнее уже тут говорить об адресе/об IP) натить на роутере и в Интернет.

2) костыльно, скрыть IP сеть (которая у VLAN5) за адресом (который имеет) М2.
То есть клиенты получив адресацию из сети VLAN5 будут на М2 им же НАТиться,
и все запросы в Интернет будут уходить от адреса М2, а роутер М1 спокойно
их обслужит и пропустит.

[pin]

M2 по DHCP раздает в VLAN5 адреса с подсетью отличной от подсети M1.

[Vlad-2]

M2 по DHCP раздает в VLAN5 адреса с подсетью отличной от подсети M1.

Ну это и понятно, что отличной, тогда и WLAN2 и VLAN5 были бы не нужны.

Ну делайте по "костыльному", сеть вторую прячьте (НАТ делайте) за адресом
из первой сети М2. И для этого адреса основного М2 на роутере(М1) разрешите
доступ в Интернет. И как бы всё.
(естественно у М2 кроме основного адреса, должно быть и шлюз и ДНС указан,
но коли он получает адрес от М1, по идеи это всё автоматом должно быть уже).

[pin]

Сделал. Но пакет не вернулся. Файрвол, или тег?
M2

M1

[Vlad-2]

Сделал. Но пакет не вернулся. Файрвол, или тег?

По картинкам трудно понять.
Да и при чём тут тег?

Вторая сеть у Вас чисто на втором (М2) устройстве, Ваша задача сделать правила
НАТ(Маскарайдинг), что всю сеть вторую "прятать" за адресом основным М2.

Пример:
вторая сеть, скажем 192.168.20.0/24, соответственно клиенты получают адресацию
192.168.20.ххх, основной адрес у М2 (полученный по DHCP от М1) для примера пусть будет
192.168.10.2, соответственно, Вы должны создать правило Маскарада (на М2 только),
что если пришёл пакет с адреса 192.168.20.ххх на адрес (скажем ya.ru), то прежде его
отправить на роутер (на М1), надо его "скрыть" (сделать НАТ) и перед отправкой
подменить адрес на 192.168.10.2.
Роутер М1 получит от М2 с его основного адреса запрос на ya.ru, тоже его (этот запрос)
сделает НАТ и отправит в сторону провайдера.

Ещё проверьте, чтобы Ваша сеть вторая (в моём примере 192.168.20.0/24) была на М2
полностью настроена, то есть клиенты должны не только получать адрес, но и шлюз
и ДНС (и для них всё это должен быть М2, скажем 192.168.20.1).

P.S.
Берите ноутбук или со смартфона, подключайтесь к этой сети и делайте трассировку,
скажем до 8.8.8.8 и смотрите идёт или нет, если идёт, проверяйте уже трассировку
по имени, скажем google.com, может у Вас проблемы с ДНСом.

[pin]

Так у меня так и есть.
Вторая сеть 10.10.10.0/24 маскарадится в адрес М2(192.168.94.100).
Пинг как раз таки на скринах с телефона из VLAN5 на адрес 8.8.8.8.
М1 слышит запрос как от 192.168.94.100 к 8.8.8.8, обрабатывает и отправляет обратно на М2(192.168.94.100).
М2 его получает и отправляет в bridge-vlan5, на этом все.
НО ведь дальше, по идее он, должен был быть на vlan5, и после чего в wan2, но этого почему-то не происходит.

[Vlad-2]

М2 его получает и отправляет в bridge-vlan5, на этом все.
НО ведь дальше, по идее он, должен был быть на vlan5, и после чего в wan2, но этого почему-то не происходит.

Значит логика вилана на М2 не до конца настроена. Или ещё что-то.
И НАТ должен быть более "узкий", точный, Вы должны правила НАТ чтобы оно
работало только для второй сети, а не для всех пакетов М2, поэтому
также проверьте и этот нюанс.

[pin]

Маскарадится именно 10.10.10.0/24.
По пробую разобраться что не так с VLAN5 на M2

[Vlad-2]

Маскарадится именно 10.10.10.0/24.
По пробую разобраться что не так с VLAN5 на M2

Утро-вечера мудренее...

1) давай уже конфиг М2 железки

2) я так подумал с утра, если у Вас вторая сеть только на М2 железке, нафиг
вилан вообще? Вилан нужен, когда данный вид трафика (та сеть) могла/должна
быть ещё и на другой(других) устройствах в сети.

А так как у Вас всё крутиться на одном устройстве, без вилана можно так сделать:
1) создаёте на М2 второй бридж, даёте ему адрес 10.10.10.1/24, в этот бридж
включаете виртуальную точку (WLAN2 с настроенной авторизацией, виланы параметры НЕ трогаем)
2) и на этом бридже запускаете и настраиваете DHCP сервер для сети 10.10.10.0/24.
3) Создаёте правило НАТ, что если сеть 10.10.10.0/24 ссылается на 0.0.0.0/0
то Маскарадинг (и явно в правиле указать исходящий интерфейс, это бридж основной,
на котором основной адрес М2).

ВСЁ.
Виланы тут не нужны, указывать их негде не надо.