Две независимых сети с выходом в интернет.

[onyx]

Описание: RB960PGS как роутер к провайдеру, далее по цепочке RB2011UAS-2HnD как CAP`S man для точек RBcAPGi-5acD2nD. DHCP на RB960PGS . RB2011UAS-2HnD статический IP, в бридже все порты с точками RBcAPGi. У точек статический IP. Создана WiFi рабочая сеть на капсмане. Адреса от DHCP сервера через точки прибегают на клиентов, все работает, а также работает выход в интернет.
Создал на капсмане подсеть для гостей, поднял DHCP там же, объединил в бридж подинтерфесы гостевой сети, бридж прицепил к DHCP.
Вопрос, как вытолкать клиентов из этой гостевой сети в интернет?
Или как организовать сети, чтобы были параллельно рабочая и гостевая в конфигурации RB960PGS и RB2011UAS?

 конфиг960

# jun/27/2020 19:54:46 by RouterOS 6.44.5
# software id = GPE3-GAYP
#
# model = 960PGS
# serial number = **********
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] auto-negotiation=no disabled=yes speed=100Mbps
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=172.18.48.10-172.18.48.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=server1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=172.18.48.1/24 interface=bridge1 network=172.18.48.0
add address="prov_address"=ether1 network="provnetwork"
/ip dhcp-server network
add address=172.18.48.0/24 gateway=172.18.48.1 netmask=24
/ip dns
set servers=172.18.48.1,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway="prov"
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Router

 конфиг2011

# oct/05/1970 11:37:46 by RouterOS 6.44.3
# software id = Q1DG-97BF
#
# model = 2011UiAS-2HnD
# serial number = ********
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled \
frequency=2412 name=channel2_41 tx-power=20
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled \
frequency=2437 name=channel2_46 tx-power=20
/interface bridge
add name=bridge1
add name=bridgeguest
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: ****, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
datapath1
add bridge=bridgeguest name=datapath2
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=1h name=security1 passphrase=********
add authentication-types="" encryption="" name=security_guest
/caps-man configuration
add channel=channel2_41 country=russia datapath=datapath1 mode=ap name=cfg2_4 \
rx-chains=0,1,2,3 security=security1 ssid=**** tx-chains=0,1,2,3
add channel=channel2_41 country=russia datapath=datapath2 mode=ap name=\
cfg_guest rx-chains=0,1,2,3 security=security_guest ssid=********* \
tx-chains=0,1,2,3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server
add authoritative=after-2sec-delay disabled=no interface=bridgeguest name=\
serverguest
/ip pool
add name=poolguest ranges=10.1.1.2-10.1.1.100
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn \
master-configuration=cfg2_4 slave-configurations=cfg_guest
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridgeguest interface=cap9
add bridge=bridgeguest interface=cap11
add bridge=bridgeguest interface=cap13
add bridge=bridgeguest interface=cap15
/interface wireless cap
#
set bridge=bridge1 caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1
/ip address
add address=172.18.48.2/24 interface=bridge1 network=172.18.48.0
add address=10.1.1.1/24 interface=bridgeguest network=10.1.1.0
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=10.1.1.1 domain=8.8.8.8 gateway=10.1.1.1 \
netmask=24
/lcd interface pages
set 0 interfaces=wlan1
/system identity
set name=CAPsMAN

[xvo]

Пропишите маршрут до этой новой гостевой сети на 960ом с 2011ым в качестве gateway.

[onyx]

Спасибо, попробую.

[Ca6ko]

Вопрос, как вытолкать клиентов из этой гостевой сети в интернет?
Или как организовать сети, чтобы были параллельно рабочая и гостевая в конфигурации RB960PGS и RB2011UAS?

Вариантов много, если нарисовать логическую схему сети L3 становится понятным что нужно делать.
Все зависит от настроек сети можно например на 2011 занатить гостевую сеть или на 960 повесить адрес шлюза из гостевой.
В общем гадать можно долго пока не выполнены п5 и 6 красных правил вверху страницы.

[onyx]

Топ дополнил. Маршрут с 960 на 2011 в данной конфигурации не получится т.к. на 960 нет ни адреса, ни сети с 2011. Мысль, на промежуточном коммутаторе 4 порта разогнать в VLANы и использовать с микротиков по 2 порта для разных подсетей, тогда DHCP для гостевой сети можно поднять на 960-м.
В перспективе будет организован hotspot, опять же, пока не представляю где его лучше поднять, на маршрутизаторе, или на капсмане?
Самый простой способ, это выкинуть 960 и все организовать на 2011. Сделать его и роутером к прову, и капсманом. Вопрос с загрузкой, потянет?

[onyx]

"можно например на 2011 занатить гостевую сеть"
Можно, но через что? На 960 не создано интерфейса для гостевой сети 2011. Выделять порт, делать бридж и вешать на него IP от гостевой 2011? Этот IP будет шлюзом для гостевой и с него делать нат?

[xvo]

В смысле не получится?
У вас и не должно быть у 960 никаких адресов из сети 2011ого, поэтому то и нужен маршрут :)
Вам надо прописать на 960 маршрут до сети 2011ого через адрес 2011ого в сети 960ого.

[xvo]

До 10.1.1.0/24 через 172.18.48.2

[onyx]

Спасибо.
Dst. Address 10.1.1.0/24
Gateway 172.18.48.2
как я понял?
А в обратную сторону, с 2011?

[xvo]

А зачем в обратную: у 2011 по идее 960ый и так гейтвей для дефолтного маршрута.