Бодрого времени суток! Внутри основной сети 10.10.0.0 захотелось поставить точку доступа в роли которой послужил hap lite. Создал:
Virtual-интерфейс (office) у которой мастер wlan1,
гостевой bridge, в который включил office
адрес для office 10.10.30.1
сервер dhcp с адрес пулом, который нацепил на гостевой bridge
Итог: устройства получают адресаip и dns нормально, но интернета в упор не видят. Если подцепиться к wlan1, то всё нормально, но это основная сеть и пускать по ней никого не буду. ЧЯДНТ ??
Гостевой wi-fi внутри сети
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
gmx
- Модератор
- Сообщения: 3305
- Зарегистрирован: 01 окт 2012, 14:48
Если отвлечься от возможно неправильно настроенного фаерволла, нужно проверить маскарадинг.
-
Sergafan10
- Сообщения: 24
- Зарегистрирован: 12 сен 2018, 10:53
В рулесах пусто, ради чистоты эксперимента. В нате вот это
0 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""
В WAN-листе только ether1 (в него провод воткнут из основной сети). Тоже сперва на маскарад подумал, только как его так замаскарадить??
P.S.: Пакеты не бегают, кстати по этому правилу.
0 chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""
В WAN-листе только ether1 (в него провод воткнут из основной сети). Тоже сперва на маскарад подумал, только как его так замаскарадить??
P.S.: Пакеты не бегают, кстати по этому правилу.
Последний раз редактировалось Sergafan10 29 окт 2020, 14:51, всего редактировалось 1 раз.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Во-первых, при таком подходе клиенты второй точки доступа будут иметь доступ во внутреннюю сеть, что совсем не вяжется с вашей идеей о гостевой сети.
Во-вторых, зачем виртуальный интерфейс, если точка доступа только дня гостевой сети? Или нет?
Удалите порт ведущий к гостевой точки из бриджа на основном роутере, повесьте на него гостевой адрес и гостевой dhcp. А на точке просто сделайте бридж из ether1 и wlan1.
Дальше firewall'ом на основном роутере легко можно управлять кому куда можно, а куда - нельзя.
Во-вторых, зачем виртуальный интерфейс, если точка доступа только дня гостевой сети? Или нет?
Удалите порт ведущий к гостевой точки из бриджа на основном роутере, повесьте на него гостевой адрес и гостевой dhcp. А на точке просто сделайте бридж из ether1 и wlan1.
Дальше firewall'ом на основном роутере легко можно управлять кому куда можно, а куда - нельзя.
Telegram: @thexvo
-
Sergafan10
- Сообщения: 24
- Зарегистрирован: 12 сен 2018, 10:53
1) вы имеет ввиду такой маскарад?
2) на точке хотелось бы ещё, чтобы wlan1 работал, к которому подцепить пару принтеров
3) на основном кстати, гостевая сеть тоже есть, только там она ни в каких бриджах не состоит, а при попытке сделать отдельный бридж и включить гостевой интерфейс туда, интернет н агостевой тоже тухнет и появляется при удалении из нового бриджа
4) до этого момента бы дойти
2) на точке хотелось бы ещё, чтобы wlan1 работал, к которому подцепить пару принтеров
3) на основном кстати, гостевая сеть тоже есть, только там она ни в каких бриджах не состоит, а при попытке сделать отдельный бридж и включить гостевой интерфейс туда, интернет н агостевой тоже тухнет и появляется при удалении из нового бриджа
4) до этого момента бы дойти
-
Sergafan10
- Сообщения: 24
- Зарегистрирован: 12 сен 2018, 10:53
на основном удалить ether2 (на нём локалка висит) из бриджа? вся ж сеть обвалится!Удалите порт ведущий к гостевой точки из бриджа на основном роутере
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не только, вообще схему, когда точка торчит внутри клиентской сети.
Маскарад только усугубляет ситуацию: гостевой трафик не только ходит через основную сеть, но и ещё и не прячется за адресом самой точки.
По-хорошему, надо настраивать на основном на бридже пару vlan'ов (один для основной сети, один для гостевой, плюс ещё, в идеале, управляющий, но при одной точке можно и без него обойтись), и дальше оба эти vlan'а протянуть до точки и там пихать в один трафик от основной SSID, в другой - от гостевой.Sergafan10 писал(а): ↑29 окт 2020, 15:37 2) на точке хотелось бы ещё, чтобы wlan1 работал, к которому подцепить пару принтеров
3) на основном кстати, гостевая сеть тоже есть, только там она ни в каких бриджах не состоит, а при попытке сделать отдельный бридж и включить гостевой интерфейс туда, интернет н агостевой тоже тухнет и появляется при удалении из нового бриджа
4) до этого момента бы дойти
Но чувствуется, что это вам сложновато будет.
Ещё вариант, отдать гостевую сеть на точке под управление капсмана с выключенным local-forwarding. Но это тоже не два клика.
Если же пытаться идти тем путем, которым вы пошли изначально, то тогда можно сделать следующее:
1) Вообще убрать маскарад на точке.
2) На основном прописать маршрут до гостевой сети через адрес точки в основного сети.
3) И настраивать firewall на точке тоже, так чтобы он из гостевой разрешал ходить только на шлюз.
Telegram: @thexvo
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
То есть точка не напрямую? Через свитчи?Sergafan10 писал(а): ↑29 окт 2020, 15:40на основном удалить ether2 (на нём локалка висит) из бриджа? вся ж сеть обвалится!Удалите порт ведущий к гостевой точки из бриджа на основном роутере
Telegram: @thexvo
-
Sergafan10
- Сообщения: 24
- Зарегистрирован: 12 сен 2018, 10:53
Давайте с терминологией разберёмся. Есть тик №1, работает как роутер стоит в аппаратной. И есть тик №2, хочу воткнуть в офисе как точку доступа, далеко от первого тика. В первом есть только один бридж, в котором ether2 (смотрит в локалку) и wlan1. На нём есть гостевая вафля, которая работает исправно, несмотря на то, что в бриджах не состоит. И там есть маскарад, где out = ether1 (смотрит на провайдера). Со switch никаких настроек нет.
На роутере №1 прописал dst.adress 10.10.10.0/24 через ether2, что-то всё равно тухляк.На основном прописать маршрут до гостевой сети через адрес точки в основного сети
Я понял, что задача не тривиальна. Может на самом деле глянуть в сторону capsman ? С vlan'ами не разберусь, думаю.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так я и спрашиваю, что там за "локалка" на этом ether2?Sergafan10 писал(а): ↑29 окт 2020, 16:57 В первом есть только один бридж, в котором ether2 (смотрит в локалку) и wlan1
Коммутатор отдельный?
А то, ведь, как я понимаю, там в этом бридже кроме ether2 и wlan1 у вас ничего нет?
Надо прописывать не через ether2, а через ip-адрес который второй микротик получает в вашей "локалке".Sergafan10 писал(а): ↑29 окт 2020, 16:57 На роутере №1 прописал dst.adress 10.10.10.0/24 через ether2, что-то всё равно тухляк.
Telegram: @thexvo