VLAN для ip-камер на 2-х микротиках

Обсуждение ПО и его настройки
Ответить
alftair
Сообщения: 5
Зарегистрирован: 26 ноя 2018, 04:37

Всем доброго времени суток!
Дома имеется 2 микротика (RB3011 и hAP ac2) соединенных по LAN. К первому подлючены 2 ip-камеры и видеорегистратор. Ко второму подключена еще 1 ip-камера. Задача: поместить IP-камеры в отдельный VLAN и изолировать их там от основной локальной сети.
С вланами никогда не связывался, как и с микротиками. На RB3011 создал VLAN77, поместил его основной бридж bridge1. Далее создал бридж под влан bridgeVLAN77 и связал его с влан интерфесом VLAN77. Потом назначил для bridgeVLAN77 ip-адрес, пул адресов и DHCP сервер. Далее добавил порты 2-х камер и регистратора в bridgeVLAN77. После этого зашел во второй микротик hAP ac2 и для порта, где висит камера, во вкладке VLAN указал PVID для VLAN77. В общем, ничего в итоге не получилось. Прошу помочь с настройками, спасибо!

Выкладываю схему моей сети (см. белую зону на картинке):

Изображение

Уточняю мой вопрос:

В качестве главного роутера выступает Mikrotik RB3011UiAS-RM (ip 192.168.1.1). Все его порты объединены в бридж bridge1, поднят DHCP сервер. Витой парой подключены 3 камеры (порты ether5, ether6, ether7) и регистратор (порт ether2), а также присоединен MikroTik hAP ac2 (ip 192.168.1.8) на котором висит еще 1 камера (порт ether5). hAP ac2 настроен как точка доступа. Задача следующая: нужно поместить 4 IP-камеры и 1 регистратор в отдельный VLAN.
Последний раз редактировалось alftair 27 ноя 2018, 01:40, всего редактировалось 2 раза.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Сначала нарисуйте схему, какие камеры и куда вы хотитет воткнуть и как соединены ваши микротики, кто из них шлююз и т.д., потому что на словах оно понятно только вам. Чем подробней будет схема, тем проще вам будет помочь.


alftair
Сообщения: 5
Зарегистрирован: 26 ноя 2018, 04:37

KARaS'b писал(а): 26 ноя 2018, 11:44 Сначала нарисуйте схему, какие камеры и куда вы хотитет воткнуть и как соединены ваши микротики, кто из них шлююз и т.д., потому что на словах оно понятно только вам. Чем подробней будет схема, тем проще вам будет помочь.
Спасибо, нарисовал схему и более подробно разъяснил, что требуется сделать. Добавил все в шапку темы.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

На 3011 удаляете порты 2, 5, 6 и 7 из существующих бриджей.
Создаете новый бридж, например bridgeCAM и добавляете туда порты 2, 5, 6 и 7
На bridgeCAM вешаете адрес из новой подсети, dhcp, если он нужен и настраиваете нат, фаервол тоже по необходимости.
На основном бридже создаете влан, например как у вас указано vlan77 и добавляете этот влан в bridgeCAM.

На этом этапе у вас все готово для отделения камер на 3011, далее переходим ко второй железяке ac2

Удаляете 5 порт из тамошнего бриджа, создаете второй бридж можно с таким же названием как на 3011 bridgeCAM и дальше все повторяется, порт ether5 добавляете только в bridgeCAM, на бридж который там есть вешаете влан77 и этот влан тоже добавляете в bridgeCAM и на этом все, камеры у вас в отдельном влане.
Если вам нужно их полностью изолировать, то идете в ip > route > rule и там пишите запрет что-то вроде

Код: Выделить всё

add action=drop dst-address=192.168.20.0/32 src-address=192.168.10.0/32
add action=drop dst-address=192.168.10.0/32 src-address=192.168.20.0/32
Или идет в фаервол и пишите более гибкие правила кому и куда можно, а кому нельзя.


alftair
Сообщения: 5
Зарегистрирован: 26 ноя 2018, 04:37

KARaS'b писал(а): 27 ноя 2018, 11:59 На 3011 удаляете порты 2, 5, 6 и 7 из существующих бриджей.
Создаете новый бридж, например bridgeCAM и добавляете туда порты 2, 5, 6 и 7
На bridgeCAM вешаете адрес из новой подсети, dhcp, если он нужен и настраиваете нат, фаервол тоже по необходимости.
На основном бридже создаете влан, например как у вас указано vlan77 и добавляете этот влан в bridgeCAM.

На этом этапе у вас все готово для отделения камер на 3011, далее переходим ко второй железяке ac2

Удаляете 5 порт из тамошнего бриджа, создаете второй бридж можно с таким же названием как на 3011 bridgeCAM и дальше все повторяется, порт ether5 добавляете только в bridgeCAM, на бридж который там есть вешаете влан77 и этот влан тоже добавляете в bridgeCAM и на этом все, камеры у вас в отдельном влане.
Если вам нужно их полностью изолировать, то идете в ip > route > rule и там пишите запрет что-то вроде

Код: Выделить всё

add action=drop dst-address=192.168.20.0/32 src-address=192.168.10.0/32
add action=drop dst-address=192.168.10.0/32 src-address=192.168.20.0/32
Или идет в фаервол и пишите более гибкие правила кому и куда можно, а кому нельзя.
Все сделал по вашей инструкции, спасибо за помощь! Но, что-то еще не так.

Во vlan77 отображается трафик только с камеры, что висит на микротике hAP ac2. В bridgeCAM, судя по инструменту Torch, трафик идет какой-то непонятный на неизвестные мне ip адреса, а с камеры на ether6 (192.168.150.12 ether6_camera-colonna) его вообще там нет. Также на основном бридже bridge1, как и на порту где висит hAP ac2 (ether5_oleg-mikrotik-camera), все еще отображается трафик с камеры которая на микротике hAP ac2, хотя мы его пустили по vlan77.

Прикладываю 4 скрина: Interfaces, Ports, Torch vlan77, Torch bridgeCAM.

Сделал адрес новой подсети для камер: 192.168.150.0
Для видеорегистратора присвоил ip: 192.168.150.10 (ether2_videorecorder)
Для камер присвоил ip:
192.168.150.11 (что висит на микротике hAP ac2)
192.168.150.12 (ether6_camera-colonna)
192.168.150.14 (ether7_camera-colonna)
192.168.150.13 (ether8_camera-shevchenko)

Изображение

Изображение

Изображение

Изображение


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

скрины не информативны, нужен конфиг с обоих устройств


alftair
Сообщения: 5
Зарегистрирован: 26 ноя 2018, 04:37

KARaS'b писал(а): 28 ноя 2018, 07:42 скрины не информативны, нужен конфиг с обоих устройств
Конфиг rb3011:

Изображение

Конфиг hap ac2:

Изображение


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вроде все в порядке, в чем конкретно проблема? Регистратор не видит камеры, или что? Не опирайтесь на показания торча, ваш трафик при такой конфигурации - l2, микротик может не учитывать его, или учитывать не верно, т.к. не маршрутизирует его. Если действительно не работает, то начните с отключения фаервола, у вас очень много всего, разбираться что и зачем, как вы догадываетесь, я не буду, поэтому выключайте все правила, тестируйте, если заработает, то выясняйте что в вашем конфиге фаервола влияет на работу.
З.Ы, и не делайте больше так, конфиг лучше в текстовом виде, так проще искать нужные позиции, а не масштабировать эту картинку и долго и упорно высматривать нужные вещи.


alftair
Сообщения: 5
Зарегистрирован: 26 ноя 2018, 04:37

Вообщем, созданный VLAN работает, камеры на видеорегистраторе показывают. Но, теперь трафик с камеры 192.168.150.11 (та что висит на микротике hAP ac2), отображается практически на ВСЕХ портах, на которых уже идет какой-нибудь трафик и которые не в bridgeCAM. Если на этих портах нет вообщем какого-либо трафика, то и левый трафик там не будет отображаться, будет по нулям. Прикладываю скрин (там выделены строки с этим левым трафиком). Фаервол отключал, все также. Также выкладываю конфиги.
Изображение

Конфиг от RouterBOARD 3011UiAS:

Код: Выделить всё

# nov/28/2018 19:24:57 by RouterOS 6.42.3
# software id = 63FX-H0TG
#
# model = RouterBOARD 3011UiAS
# serial number = 8EEA08F08FEA
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2412 name=channel_2.4G_1 tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=channel_5G_36 tx-power=20
/interface bridge
add name=bridge1
add arp=reply-only fast-forward=no name=bridge2-guest-wifi
add fast-forward=no name=bridgeCAM
/interface ethernet
set [ find default-name=ether1 ] name=ether1_internet
set [ find default-name=ether2 ] name=ether2_videorecorder
set [ find default-name=ether3 ] name=ether3_vlad-mikrotik
set [ find default-name=ether4 ] disabled=yes name=ether4_natasha
set [ find default-name=ether5 ] name=ether5_oleg-mikrotik-camera
set [ find default-name=ether6 ] name=ether6_camera-colonna
set [ find default-name=ether7 ] name=ether7_camera-samburova
set [ find default-name=ether8 ] name=ether8_camera-shevchenko
set [ find default-name=ether9 ] name=ether9_zyxel
set [ find default-name=ether10 ] disabled=yes name=ether10_mikrotik-floor3
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1_internet name=\
    pppoe-out1 password=123456789 use-peer-dns=yes user=123456789
/interface vlan
add interface=bridge1 name=vlan77 vlan-id=77
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=no name=\
    datapath1
add bridge=bridge2-guest-wifi client-to-client-forwarding=yes \
    local-forwarding=no name=datapath2-guest-wifi
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
    group-encryption=aes-ccm name=security1 passphrase=123456789
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
    group-encryption=aes-ccm name=security2-guest-wifi passphrase=123456789
/caps-man configuration
add channel=channel_2.4G_1 country=russia3 datapath=datapath1 mode=ap name=\
    cfg_2.4G rx-chains=0,1,2 security=security1 ssid=Chernomorskaya \
    tx-chains=0,1,2
add channel=channel_5G_36 country=russia3 datapath=datapath1 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=Chernomorskaya tx-chains=\
    0,1,2
/caps-man interface
add channel=channel_2.4G_1 configuration=cfg_2.4G configuration.ssid=homenet \
    datapath=datapath1 disabled=no l2mtu=1600 mac-address=B8:69:F4:20:BC:48 \
    master-interface=none name=cap_3rd-floor_2.4G_1 radio-mac=\
    B8:69:F4:20:BC:48 security=security1
add channel=channel_2.4G_1 configuration=cfg_2.4G datapath=\
    datapath2-guest-wifi disabled=no mac-address=BA:69:F4:20:BC:48 \
    master-interface=cap_3rd-floor_2.4G_1 name=\
    cap_3rd-floor_2.4G_1-guest-wifi radio-mac=00:00:00:00:00:00 security=\
    security2-guest-wifi
add channel=channel_5G_36 configuration=cfg_5G configuration.ssid=homenet \
    datapath=datapath1 disabled=no l2mtu=1600 mac-address=B8:69:F4:20:BC:49 \
    master-interface=none name=cap_3rd-floor_5G_36 radio-mac=\
    B8:69:F4:20:BC:49 security=security1
add channel=channel_5G_36 configuration=cfg_5G datapath=datapath2-guest-wifi \
    disabled=no mac-address=BA:69:F4:20:BC:4A master-interface=\
    cap_3rd-floor_5G_36 name=cap_3rd-floor_5G_36-guest-wifi radio-mac=\
    00:00:00:00:00:00 security=security2-guest-wifi
add channel=channel_2.4G_1 configuration=cfg_2.4G configuration.ssid=homenet \
    datapath=datapath1 disabled=no l2mtu=1600 mac-address=B8:69:F4:25:E1:4D \
    master-interface=none name=cap_oleg_2.4G_1 radio-mac=B8:69:F4:25:E1:4D \
    security=security1
add channel=channel_2.4G_1 configuration=cfg_2.4G datapath=\
    datapath2-guest-wifi disabled=no l2mtu=1600 mac-address=BA:69:F4:25:E1:4D \
    master-interface=cap_oleg_2.4G_1 name=cap_oleg_2.4G_1-guest-wifi \
    radio-mac=00:00:00:00:00:00 security=security2-guest-wifi
add channel=channel_5G_36 configuration=cfg_5G configuration.ssid=homenet \
    datapath=datapath1 disabled=no l2mtu=1600 mac-address=B8:69:F4:25:E1:4E \
    master-interface=none name=cap_oleg_5G_36 radio-mac=B8:69:F4:25:E1:4E \
    security=security1
add channel=channel_5G_36 configuration=cfg_5G datapath=datapath2-guest-wifi \
    disabled=no l2mtu=1600 mac-address=BA:69:F4:20:BC:49 master-interface=\
    cap_oleg_5G_36 name=cap_oleg_5G_36-guest-wifi radio-mac=00:00:00:00:00:00 \
    security=security2-guest-wifi
add channel=channel_2.4G_1 configuration=cfg_2.4G configuration.ssid=homenet \
    datapath=datapath1 disabled=no l2mtu=1600 mac-address=B8:69:F4:25:FC:49 \
    master-interface=none name=cap_vlad_2.4G_1 radio-mac=B8:69:F4:25:FC:49 \
    security=security1
add channel=channel_2.4G_1 configuration=cfg_2.4G datapath=\
    datapath2-guest-wifi disabled=no l2mtu=1600 mac-address=BA:69:F4:25:FC:49 \
    master-interface=cap_vlad_2.4G_1 name=cap_vlad_2.4G_1-guest-wifi \
    radio-mac=00:00:00:00:00:00 security=security2-guest-wifi
add channel=channel_5G_36 configuration=cfg_5G configuration.ssid=homenet \
    datapath=datapath1 disabled=no l2mtu=1600 mac-address=B8:69:F4:25:FC:4A \
    master-interface=none name=cap_vlad_5G_36 radio-mac=B8:69:F4:25:FC:4A \
    security=security1
add channel=channel_5G_36 configuration=cfg_5G datapath=datapath2-guest-wifi \
    disabled=no l2mtu=1600 mac-address=BA:69:F4:25:FC:4A master-interface=\
    cap_vlad_5G_36 name=cap_vlad_5G_36-guest-wifi radio-mac=00:00:00:00:00:00 \
    security=security2-guest-wifi
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.20-192.168.1.100
add name=pool2-guest-wifi ranges=10.1.1.2-10.1.1.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
add add-arp=yes address-pool=pool2-guest-wifi disabled=no interface=\
    bridge2-guest-wifi name=dhcp2-guest-wifi
/queue simple
add burst-limit=45M/45M burst-threshold=4M/4M burst-time=1m52s/1m52s \
    max-limit=5M/5M name=queue-burst-limit-guest-wifi queue=\
    pcq-upload-default/pcq-download-default target=bridge2-guest-wifi
add max-limit=66M/66M name=queue_limit queue=\
    pcq-upload-default/pcq-download-default target=bridge1
/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-79..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no interface=any \
    signal-range=-120..-80 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2.4G
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
/interface bridge port
add bridge=bridgeCAM hw=no interface=ether2_videorecorder
add bridge=bridge1 interface=ether3_vlad-mikrotik
add bridge=bridge1 interface=ether4_natasha
add bridge=bridge1 interface=ether5_oleg-mikrotik-camera
add bridge=bridgeCAM hw=no interface=ether6_camera-colonna
add bridge=bridgeCAM hw=no interface=ether7_camera-samburova
add bridge=bridgeCAM hw=no interface=ether8_camera-shevchenko
add bridge=bridge1 interface=ether9_zyxel
add bridge=bridge1 interface=ether10_mikrotik-floor3
add bridge=bridge1 interface=sfp1
add bridge=bridge2-guest-wifi interface=cap_oleg_2.4G_1-guest-wifi
add bridge=bridge2-guest-wifi interface=cap_oleg_5G_36-guest-wifi
add bridge=bridgeCAM interface=vlan77
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=10.1.1.1/24 interface=bridge2-guest-wifi network=10.1.1.0
add address=192.168.150.1/24 interface=bridgeCAM network=192.168.150.0
/ip dhcp-server lease
add address=192.168.1.23 client-id=1:c8:60:0:6e:24:30 mac-address=\
    C8:60:00:6E:24:30 server=dhcp1
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=10.1.1.1,8.8.8.8 gateway=10.1.1.1 netmask=\
    24
add address=192.168.1.0/24 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=forward comment=\
    "1.1. Forward and Input Established and Related connections" \
    connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "1.2. DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=WAN \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=\
    tcp
add action=drop chain=input comment="1.6. Protected - OpenVPN Connections" \
    src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=1194 in-interface-list=WAN log=yes log-prefix="BLACK OVPN" \
    protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
    in-interface-list=WAN protocol=tcp src-address-list="OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
    in-interface-list=WAN protocol=tcp src-address-list="OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=1194 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=1194 in-interface-list=WAN protocol=\
    tcp
add action=accept chain=input comment="1.8. Access Normal Ping" \
    in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.1.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    10.1.1.0/24
add action=masquerade chain=srcnat out-interface-list=WAN src-address=\
    192.168.150.0/24
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN \
    protocol=udp
/ip route rule
add action=unreachable dst-address=192.168.1.0/24 src-address=10.1.1.0/24
add action=unreachable dst-address=10.1.1.0/24 src-address=192.168.1.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.227 secondary-ntp=88.147.254.230
/system routerboard settings
set silent-boot=no
/tool user-manager database
set db-path=user-manager
Конфиг от MikroTik hAP ac2:

Код: Выделить всё

# apr/20/1970 10:38:49 by RouterOS 6.42.3
# software id = BUY5-RT3L
#
# model = RBD52G-5HacD2HnD
# serial number = 92F209D97F4B
/interface bridge
add name=bridge1
add fast-forward=no name=bridgeCAM
/interface ethernet
set [ find default-name=ether2 ] name=ether2_router
set [ find default-name=ether3 ] name=ether3_oleg
set [ find default-name=ether5 ] name=ether5_camera-dvor
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: homenet, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n mode=ap-bridge ssid=\
    Chernomorskaya3 wireless-protocol=802.11
# managed by CAPsMAN
# channel: 5180/20-Ce/ac/P(20dBm), SSID: homenet, CAPsMAN forwarding
set [ find default-name=wlan2 ] band=5ghz-a/n/ac mode=ap-bridge ssid=\
    Chernomorskaya3 wireless-protocol=802.11
/interface vlan
add interface=bridge1 name=vlan77 vlan-id=77
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=123456789 \
    wpa2-pre-shared-key=ANAPA2013
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=free-wifi \
    supplicant-identity="" wpa-pre-shared-key=123456789 wpa2-pre-shared-key=\
    123456789
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge1 interface=ether2_router
add bridge=bridge1 interface=ether3_oleg
add bridge=bridge1 interface=ether4
add bridge=bridgeCAM interface=ether5_camera-dvor
add bridge=bridgeCAM interface=vlan77
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface wireless cap
# 
set caps-man-addresses=192.168.1.1 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.1.8/24 interface=bridge1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=mikrotik-oleg
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.227
/system routerboard settings
set silent-boot=no
Перенес vlan77 с основного бриджа на порт где висит MikroTik hAP ac2, картина с левым трафиком изменилась (прикладываю 2 скрина):

Изображение

Изображение


Ответить