Mikrotik cAP ac вывод в отдельную подсеть
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
ardour007
- Сообщения: 5
- Зарегистрирован: 15 фев 2022, 12:54
Добрый день, уважаемые коллеги, эксперты! Я молодой специалист в компании (знания mikrotik "зашел в Winbox" ((). Прошу не судить строго за терминологию и форму подачи обращения. Стоит задача разделить две wi-fi сети так, чтобы из второй нельзя было просочиться во внутренню локальную сеть, так называемая обычно "Гостевая". Есть понимание, что это должна быть отдельная подсеть. Вопрос как это реализовать на данной точке wi-fi (грубо говоря куда зайти и что поменять). Сейчас оба wi-fi в одном диапазоне адресации 192.168.10.0\24. Вторую (гостевую) сделать 192.168.11.0. Сегодня крайний срок закрытия заявки, тянул до последнего, надеялся разобраться но увы не вышло. Прошу помощи.
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Кто является шлюзом/роутером?ardour007 писал(а): ↑18 фев 2022, 09:47 Добрый день, уважаемые коллеги, эксперты! Я молодой специалист в компании (знания mikrotik "зашел в Winbox" ((). Прошу не судить строго за терминологию и форму подачи обращения. Стоит задача разделить две wi-fi сети так, чтобы из второй нельзя было просочиться во внутренню локальную сеть, так называемая обычно "Гостевая". Есть понимание, что это должна быть отдельная подсеть. Вопрос как это реализовать на данной точке wi-fi (грубо говоря куда зайти и что поменять). Сейчас оба wi-fi в одном диапазоне адресации 192.168.10.0\24. Вторую (гостевую) сделать 192.168.11.0. Сегодня крайний срок закрытия заявки, тянул до последнего, надеялся разобраться но увы не вышло. Прошу помощи.
-
ardour007
- Сообщения: 5
- Зарегистрирован: 15 фев 2022, 12:54
Кто является шлюзом/роутером?
[/quote]
Другой микрот, crs354-48g-4s+2q
Нашел в нем Address List, там только 192.168.10.2/24 interface bridge
Спасибо большое за ответ!
[/quote]
Другой микрот, crs354-48g-4s+2q
Нашел в нем Address List, там только 192.168.10.2/24 interface bridge
Спасибо большое за ответ!
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
-
ardour007
- Сообщения: 5
- Зарегистрирован: 15 фев 2022, 12:54
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
По нормальному Нужно сделать VLAN и трафик гостевой сети пустить до роутера в отдельном влане.
Но если квалификации не хватает то делайте отдельную транспортную подсеть и запрещайте проход трафика из гостевой в рабочую,
порядок работ примерно следующий
1. Сделать на Сар виртуальный wlan на него повесить гостевую сеть и отдельный DHCP сервер и IP адрес гостевой сети допустим192.168.168.1
2 На бридж Сар повесить адрес транспортной сети например 172.20.0.2
3 На бридж CRS повесить второй адрес транспортной сети 172.20.0.1
4 На CRS запретить хождение трафика в рабочую сеть из гостевой и транспортной.
PS Использовать свич CRS в качестве роутера плохая идея.
Сар ас и то раза в 3 будет производительнее как роутер
Но если квалификации не хватает то делайте отдельную транспортную подсеть и запрещайте проход трафика из гостевой в рабочую,
порядок работ примерно следующий
1. Сделать на Сар виртуальный wlan на него повесить гостевую сеть и отдельный DHCP сервер и IP адрес гостевой сети допустим192.168.168.1
2 На бридж Сар повесить адрес транспортной сети например 172.20.0.2
3 На бридж CRS повесить второй адрес транспортной сети 172.20.0.1
4 На CRS запретить хождение трафика в рабочую сеть из гостевой и транспортной.
PS Использовать свич CRS в качестве роутера плохая идея.
Сар ас и то раза в 3 будет производительнее как роутер
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
ardour007
- Сообщения: 5
- Зарегистрирован: 15 фев 2022, 12:54
Спасибо большое за ответы, друзья. Сейчас остановился на следующем:Ca6ko писал(а): ↑18 фев 2022, 12:17 По нормальному Нужно сделать VLAN и трафик гостевой сети пустить до роутера в отдельном влане.
Но если квалификации не хватает то делайте отдельную транспортную подсеть и запрещайте проход трафика из гостевой в рабочую,
порядок работ примерно следующий
1. Сделать на Сар виртуальный wlan на него повесить гостевую сеть и отдельный DHCP сервер и IP адрес гостевой сети допустим192.168.168.1
2 На бридж Сар повесить адрес транспортной сети например 172.20.0.2
3 На бридж CRS повесить второй адрес транспортной сети 172.20.0.1
4 На CRS запретить хождение трафика в рабочую сеть из гостевой и транспортной.
PS Использовать свич CRS в качестве роутера плохая идея.
Сар ас и то раза в 3 будет производительнее как роутер
1. на главном микротике rb3011uias развернул dhcp 192.168.66.0/24;
2. повесил его на интерфейс sfp1-vlan2765; (это второй микрот куда и подлючена CAp AP по LAN)
3. relay прописал Ip адрес тачки которая раздает dhcp т.е. сам главный микрот rb3011uias
4. Добавил адрес лист 192.168.66.0/24 с адресом 192.168.66.1 на главном rb3011uias и 192.168.66.2 на последующем crs2765 куда подключена CAp ap
5. Пошел пинг до CAP ap 192.168.66.3
теперь у меня нарисовалась проблема такого плана:
1. В гостевую сеть 192.168.х.х статически через CAp AP я подлючаюсь и все хорошо, есть интернет, переключаюсь на dhcp - адрес получаю из внутренней сети. Куда посмотреть теперь, где настраивать? на главном rb3011uias, на втором crs2765 или на самом CAP ap
2. Даже если я статически подключаюсь к Wi-fi я могу подключаться через тот же anydesk во внутренние пк компании. Понимаю что нужно правило, я его прописал на CAP, из\в drop, не срабатывает
Почитал и понял что настроил ерундень, можно просить ссылку на пакет Wireless CAPsMAN для rb3011, теряюсь на оф. сайте (
-
ardour007
- Сообщения: 5
- Зарегистрирован: 15 фев 2022, 12:54
Сделал сервер capsman, 2 ssid, завис на этапе dhcp для гостевой сети. не получают абоненты Ip адреса гостевой сети, в чем может быть вопрос, где не настроил)
Вроде разобрался, теерь хотел спросить как правильно закрыть хождение траффика пчерез готевой wi-fi, к примеру чтобы с телефона нельзя было подключиться с рабочему компу. буду благодарен
Вроде разобрался, теерь хотел спросить как правильно закрыть хождение траффика пчерез готевой wi-fi, к примеру чтобы с телефона нельзя было подключиться с рабочему компу. буду благодарен