Помогите поднять WiFi на RB2011

Обсуждение ПО и его настройки
Ответить
EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

Привет всем,

Недавно купил RB2011UAS-2HnD-IN, до сих пор работал с RB750G у которого нету Wireless interface так что не имел дело настраивать беспроводную сеть.
На данный момент у меня такой конфиг: PCC load balancing (2 провайдера) + LAN 192.168.0.0/24. Беспроводная сеть должна иметь другую сеть, а именно 192.168.3.0/24 и чтобы ИПшники не имели доступ к 192.168.0.0/24 сети.
Что я сделал:

1. В Winbox настроил Wireless и Security Profiles
2. Добавил адрес 192.168.3.0/24
3. Добавил DHCP Server для 192.168.3.0/24
4. Добавил Pool 192.168.3.2-192.168.3.254

Notebook получает ИП, но интернет не работает. Пингую шлюз 192.168.3.1 - нету ответа, пингую любой хост/домен нету ответа, пингую любой внешний ИП - ответ ЕСТЬ. Значит проблема в ДНС, но в настройках всё правельно настроено ДНС сервера 8.8.8.8 и 8.8.4.4, добавил даже в DHCP для 192.168.3.0/24 сети тоже 8.8.4.4

В чём проблема?

Ниже есть экспорт конфигураций Wireless и Firewall
Wireless:

Код: Выделить всё

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=ap-bridge
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys wpa2-pre-shared-key=test@test
[admin@MikroTik] >

Код: Выделить всё

/ip pool
add name=WiFi ranges=192.168.3.2-192.168.3.254
[admin@MikroTik] >

Код: Выделить всё

/ip address
add address=192.168.3.1/24 interface=wlan1 network=192.168.3.0
[admin@MikroTik] >

Код: Выделить всё

/ip dhcp-server
add add-arp=yes address-pool=WiFi disabled=no interface=wlan1 lease-time=1d name=WiFi
/ip dhcp-server network
add address=192.168.3.0/24 gateway=192.168.3.1
[admin@MikroTik] >

Firewall:

Код: Выделить всё

[admin@MikroTik] > ip firewall filter export
# feb/12/2014 08:58:43 by RouterOS 6.9
#
/ip firewall filter
add chain=input comment="Allow Ping" icmp-options=0:0 protocol=icmp
add chain=input comment="Allow Ping" icmp-options=8:0 protocol=icmp
add chain=input comment="Allow Traceroute" icmp-options=11:0 protocol=icmp
add chain=input comment="Allow Traceroute" icmp-options=3:3 protocol=icmp
add chain=input comment="Allow Path MTU Discovery" icmp-options=3:4 protocol=\
    icmp
add action=drop chain=input comment="Drop all other ICMP" protocol=icmp
add action=drop chain=input dst-port=8080 in-interface=Provider_1 protocol=tcp \
    src-address=0.0.0.0/0
add action=drop chain=input dst-port=8080 in-interface=Provider_2 protocol=tcp \
    src-address=0.0.0.0/0
add chain=input comment="Added by webbox" connection-state=established \
    in-interface=Provider_1
add chain=input comment="Added by webbox" connection-state=established \
    in-interface=Provider_2
add chain=input comment="Added by webbox" connection-state=related \
    in-interface=Provider_1
add chain=input comment="Added by webbox" connection-state=related \
    in-interface=Provider_2
add action=drop chain=input comment="Added by webbox" in-interface=Provider_1
add action=drop chain=input comment="Added by webbox" in-interface=Provider_2
add action=jump chain=forward disabled=yes jump-target=icmp protocol=icmp
add action=jump chain=forward comment="Added by webbox" in-interface=Provider_1 \
    jump-target=customer
add action=jump chain=forward comment="Added by webbox" in-interface=Provider_2 \
    jump-target=customer
add chain=customer comment="Added by webbox" connection-state=established
add chain=customer comment="Added by webbox" connection-state=related
[admin@MikroTik] >

Код: Выделить всё

[admin@MikroTik] > ip firewall nat export
# feb/11/2014 19:49:05 by RouterOS 6.9
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Provider_1
add action=masquerade chain=srcnat out-interface=Provider_2
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=\
    192.168.0.1 to-ports=8080
add action=redirect chain=dstnat dst-address-type=!local dst-port=53 \
    protocol=udp to-addresses=0.0.0.0 to-ports=53
[admin@MikroTik] >

Код: Выделить всё

[admin@MikroTik] > ip firewall mangle export
# feb/11/2014 19:45:00 by RouterOS 6.9
#
/ip firewall mangle
add chain=prerouting dst-address=192.168.0.0/24
add chain=prerouting dst-address=188.XX.XX.0/24 in-interface=LAN1
add chain=prerouting dst-address=77.89.XXX.XXX/30 in-interface=LAN1
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=Provider_2 new-connection-mark=Provider_2
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=Provider_1 new-connection-mark=Provider_1
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=LAN1 new-connection-mark=Provider_2 \
    per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=LAN1 new-connection-mark=Provider_1 \
    per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=Provider_2 in-interface=LAN1 new-routing-mark=Provider_2 passthrough=no
add action=mark-routing chain=prerouting connection-mark=Provider_1 in-interface=LAN1 new-routing-mark=Provider_1 passthrough=no
add action=mark-routing chain=output connection-mark=Provider_2 new-routing-mark=Provider_2 passthrough=no
add action=mark-routing chain=output connection-mark=Provider_1 new-routing-mark=Provider_1 passthrough=no
add chain=output dst-address=192.168.0.0/24
add action=mark-connection chain=output connection-mark=no-mark dst-address-type=!local new-connection-mark=Provider_2 per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=output connection-mark=no-mark dst-address-type=!local new-connection-mark=Provider_1 per-connection-classifier=\
    both-addresses:2/1
add action=mark-routing chain=output connection-mark=Provider_2 new-routing-mark=Provider_2 passthrough=no
add action=mark-routing chain=output connection-mark=Provider_1 new-routing-mark=Provider_1 passthrough=no
[admin@MikroTik] >
Последний раз редактировалось EugenX 20 фев 2014, 20:25, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

так вы ДНС не раздаете

/ip dhcp-server network
add address=192.168.3.0/24 gateway=192.168.3.1


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

и вот это чего?
add action=redirect chain=dstnat dst-address-type=!local dst-port=53 protocol=udp to-addresses=0.0.0.0 to-ports=53


Есть интересная задача и бюджет? http://mikrotik.site
EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

vqd писал(а):так вы ДНС не раздаете

/ip dhcp-server network
add address=192.168.3.0/24 gateway=192.168.3.1


Есть уже это правило.
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=8.8.8.8 gateway=192.168.3.1 netmask=24

vqd писал(а):и вот это чего?
add action=redirect chain=dstnat dst-address-type=!local dst-port=53 protocol=udp to-addresses=0.0.0.0 to-ports=53

Честно говоря не помню что это правило делает, давно кто-то сказал сделать. В прочем отключил это правило и уже хосты пингуются и tracert работает, но сайты всёравно не открываются! Шлюз 192.168.3.1 тоже не пингуется, в том числе и 192.168.0.1.

Код: Выделить всё

C:\Users\Administrator>ipconfig -all

Windows IP Configuration

   Host Name . . . . . . . . . . . . : PC
   Primary Dns Suffix  . . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Local Area Connection 2:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Qualcomm Atheros AR8172/8176/8178 PCI-E F
ast Ethernet Controller
   Physical Address. . . . . . . . . : 20-1A-06-2B-43-0F
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes

Wireless LAN adapter Wireless Network Connection 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Broadcom 802.11n Network Adapter #2
   Physical Address. . . . . . . . . : 80-56-F2-19-26-9D
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.3.252(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : 19 februarie 2014 15:32:03
   Lease Expires . . . . . . . . . . : 20 februarie 2014 00:36:43
   Default Gateway . . . . . . . . . : 192.168.3.1
   DHCP Server . . . . . . . . . . . : 192.168.3.1
   DNS Servers . . . . . . . . . . . : 8.8.8.8
   NetBIOS over Tcpip. . . . . . . . : Enabled


EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

После того как отключил: add action=redirect chain=dstnat dst-address-type=!local dst-port=53 protocol=udp to-addresses=0.0.0.0 to-ports=53
не смог зайти на Terminal Server который в домене, включил обратно уже могу подключится, так что нужна это правило.


EugenX
Сообщения: 26
Зарегистрирован: 22 май 2013, 16:51

Вопрос решён. Надо было добавить следующее правило:

/ip firewall mangle add chain=output dst-address=192.168.3.0/24


Ответить