Интернет в VLAN

[pin]

Утро-вечера мудренее...

1) создаёте на М2 второй бридж, даёте ему адрес 10.10.10.1/24, в этот бридж
включаете виртуальную точку (WLAN2 с настроенной авторизацией, виланы параметры НЕ трогаем)
2) и на этом бридже запускаете и настраиваете DHCP сервер для сети 10.10.10.0/24.
3) Создаёте правило НАТ, что если сеть 10.10.10.0/24 ссылается на 0.0.0.0/0
то Маскарадинг (и явно в правиле указать исходящий интерфейс, это бридж основной,
на котором основной адрес М2).

Тоже самое, пакеты в интерфейс заходят, но до телефона не доходят.

 Вот конфиг:

# jan/24/2020 09:01:23 by RouterOS 6.43.2
# software id = ************
#
# model = RouterBOARD 931-2nD
# serial number = **********
/interface bridge
add fast-forward=no name=bridge-local
add arp=reply-only fast-forward=no name=bridge-wlan2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=security \
supplicant-identity="" wpa-pre-shared-key= ************ wpa2-pre-shared-key=\
**********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=guest \
supplicant-identity="" wpa-pre-shared-key= ************ wpa2-pre-shared-key=\
************
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no frequency=auto mode=ap-bridge security-profile=security ssid=\
MikroTik2 wireless-protocol=802.11
add disabled=no keepalive-frames=disabled mac-address=CE:2D:E0:17:54:48 \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=guest ssid=Guest wds-cost-range=0 wds-default-cost=0 \
wps-mode=disabled
/ip pool
add name=dhcp_pool1 ranges=10.10.10.2-10.10.10.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge-wlan2 name=dhcp1
/interface bridge port
add bridge=bridge-local interface=ether1
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=wlan1
add bridge=bridge-wlan2 interface=wlan2
/ip address
add address=10.10.10.1/24 interface=bridge-wlan2 network=10.10.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge-local
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=forward in-interface=bridge-wlan2 out-interface=\
bridge-local
add action=accept chain=forward in-interface=bridge-local out-interface=\
bridge-wlan2
/ip firewall nat
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 out-interface=\
bridge-local src-address=10.10.10.0/24

[pin]

Работает, если не использовать vlan, а с vlan - нет

[Vlad-2]

То есть без ВЛАНов всё работает (по моей последней инструкции) ???
прошу явно подтвердить.
Пару людям я также делал, создавали отдельную сетку, отдельную ВиФи сеть,
и туда подключали детские устройства, а папы им резали или лимитировали
доступы.

Если всё получилось у Вас, и Вы это подтвердите, тогда закроем просто тему.

P.S.
А зачем Вам вилан, если всё это делается на одной железке, я же выше описывал.
виланы делаются как минимум с двух сторон, и трафик в рамках одного вилана
должен приходить и уходить с одного устройства и спокойно доходить и уходить
до другого устройства.

Но для спортивного интереса, Вам надо вилан с одинаковым тегом (номером)
поднимать на обоих устройствах, связывать их логически/физически, и
проверять что трафик внутри вилана с одной железки попадает на другую,
если будет это происходить - значит вилан настроили.

[pin]

То есть без ВЛАНов всё работает (по моей последней инструкции) ???
прошу явно подтвердить.
Пару людям я также делал, создавали отдельную сетку, отдельную ВиФи сеть,
и туда подключали детские устройства, а папы им резали или лимитировали
доступы.

Да, все ок.