Гостевой Wi-fi

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
demaniablo
Сообщения: 0
Зарегистрирован: 14 сен 2016, 12:11

Здравствуйте. Прочитал много информации, но все чуть-чуть не то, что мне надо.
Имеется:рабочая сеть-192.168.1.0/24
интернет шлюз ПК 192.168.1.1(pfSense) -> не управляемый свич(к нему подключено большинство ПК) -> mikrotik rb951ui-2hnd.
На mikrotik настроен wi-fi с доступом к рабочей сети. Нужно настроить виртуальную wi-fi точку доступа без доступа к локальной сети(например с ip-адресацией10.1.1.0/24), только для раздачи интернета.
Все порты и Wlan1 в бридже1, создал VirtualAP (guest-wifi) master interface Wlan1. Настроил dhcp (10.1.1.0/24), создал guest-bridge куда поместил виртуальную guest-wifi. В Nat стоит: srcnat, out interface-bridge1, action-masquerade.
Что еще я упустил? В такой конфигурации гостевая wifi раздает ip и пингуется 192.168.1.1, но интернета нет.


demaniablo
Сообщения: 0
Зарегистрирован: 14 сен 2016, 12:11

 "Конфигурация"
# sep/14/2016 15:35:05 by RouterOS 6.34.2
# software id = ********
#
/interface bridge
add name=bridge-guest-wifi
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=LAN supplicant-identity="" \
wpa-pre-shared-key=******** wpa2-pre-shared-key=********
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=virt_wi-fi supplicant-identity="" wpa-pre-shared-key=\
******** wpa2-pre-shared-key=********
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2452 mode=\
ap-bridge security-profile=LAN ssid=WorkLan
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:C2:1B:35 \
master-interface=wlan1 multicast-buffering=disabled name=guest_wi-fi \
security-profile=virt_wi-fi ssid=FreeLan wds-cost-range=0 wds-default-cost=0
/ip pool
add name=pool1 ranges=192.168.1.31-192.168.1.39
add name=pool_guest_wifi ranges=10.1.1.2-10.1.1.50
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridge1 name=server1
add address-pool=pool_guest_wifi disabled=no interface=bridge-guest-wifi name=\
dhcp_guest_wifi
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=wlan1
add bridge=bridge-guest-wifi interface=guest_wi-fi
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge-guest-wifi interface=ether5
add bridge=bridge1 interface=ether1
/ip address
add address=192.168.1.29/24 interface=bridge1 network=192.168.1.0
add address=10.1.1.1/24 interface=bridge-guest-wifi network=10.1.1.0
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=10.1.1.1 netmask=\
24
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1
/system identity
set name=MT
/system routerboard settings
set protected-routerboot=disabled


demaniablo
Сообщения: 0
Зарегистрирован: 14 сен 2016, 12:11

Подскажите, пожалуйста, возможно ли это? Или ткните в каком направлении копать?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

demaniablo писал(а):......Все порты и Wlan1 в бридже1, создал VirtualAP (guest-wifi) master interface Wlan1. Настроил dhcp (10.1.1.0/24), создал guest-bridge куда поместил виртуальную guest-wifi. В Nat стоит: srcnat, out interface-bridge1, action-masquerade.
Что еще я упустил? В такой конфигурации гостевая wifi раздает ip и пингуется 192.168.1.1, но интернета нет.

А подумать?
Зачем Вы НАТ делаете от интерфейса бриджа Вами же созданного?
НАТ - это подмена исходящего адреса (source), значит Вы натить должны от имени интерфейса куда у вас воткнут приходящий провод, (а это провод от вашего источника интернета).
То есть Вы вифи сетку должны скрыть (заНАТить) и тогда уже pfSense пустит в интернет.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
demaniablo
Сообщения: 0
Зарегистрирован: 14 сен 2016, 12:11

Vlad-2 писал(а):Зачем Вы НАТ делаете от интерфейса бриджа Вами же созданного?
НАТ - это подмена исходящего адреса (source), значит Вы натить должны от имени интерфейса куда у вас воткнут приходящий провод, (а это провод от вашего источника интернета).
То есть Вы вифи сетку должны скрыть (заНАТить) и тогда уже pfSense пустит в интернет.

Потому что остальные eth порты и Wlan1 не должны быть заНАТены, поэтому они в одном бридже с портом, куда идет uplink. Я делаю НАТ от бриджа, куда воткнут кабель от источника интернета. А если виртуальную wifi воткнуть в один бридж со всеми, то dhcp не будет ему раздавать ip 10.1.1.0


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

demaniablo писал(а):Потому что остальные eth порты и Wlan1 не должны быть заНАТены, поэтому они в одном бридже с портом, куда идет uplink. Я делаю НАТ от бриджа, куда воткнут кабель от источника интернета. А если виртуальную wifi воткнуть в один бридж со всеми, то dhcp не будет ему раздавать ip 10.1.1.0

Тогда так:

1) Создайте отдельный бридж для виртуал-вифи сети и дайте ему адрес (из сети 10.1.1.0)
2) Туда поместите virtual-wlan (Virtual AP)
3) На этот бридж включите DHCP для раздачи адресации из 10.1.1.0
4) Ну и уже работающих клиентов с отдельным сетевым сегментом с отдельной IP-адресацией (сеть 10.1.1.0) уже НАТ'те отчего хотите и как хотите, ну и маршрутизируйте как угодно.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
demaniablo
Сообщения: 0
Зарегистрирован: 14 сен 2016, 12:11

Vlad-2 писал(а):1) Создайте отдельный бридж для виртуал-вифи сети и дайте ему адрес (из сети 10.1.1.0)
2) Туда поместите virtual-wlan (Virtual AP)
3) На этот бридж включите DHCP для раздачи адресации из 10.1.1.0

Это я и сделал. От клиента из сети 10.1.1.0 даже пингуется интернет шлюз 192.168.1.1, но интернет не раздает почему-то.
Vlad-2 писал(а):4) Ну и уже работающих клиентов с отдельным сетевым сегментом с отдельной IP-адресацией (сеть 10.1.1.0) уже НАТ'те отчего хотите и как хотите, ну и маршрутизируйте как угодно.

Вот тут то вся проблема, как сделать, чтобы интернет раздавался от интернет-шлюза?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

demaniablo писал(а):Вот тут то вся проблема, как сделать, чтобы интернет раздавался от интернет-шлюза?

Не вижу проблему!!!

У Вас микротик (на котором Вы вифи сетку и настроили) скажем имеет адрес 192.168.1.2, шлюз у него прописан в сети - это адрес pfSense (192.168.1.1), доступ в Интернет для адреса микротика разрешён,
так сделайте наконец-то то действие что я под номером 4 и описывал: проНАТе своих вифи клиентов под(за) адресом микротика, ну а так как IP-микротику есть доступ в Интернет,
то всё и заработает.

Ещё раз, но иначе -- мы прячем другую адресацию (вифи сеть, она у нас работает) за текущей рабочей IP-сетью, доступ в Интернет у которой на интернет-шлюзе разрешён.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
sachaff
Сообщения: 4
Зарегистрирован: 05 ноя 2016, 22:00

возникла необходимость настроить гост wi-fi на RB2011UAS-2HnD-IN.
в закладке wireless - interfaces при добавлении интерфейса есть пункт virtual , а не virtualap
это таже точка доступа или нет?
благодарю.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

sachaff писал(а):возникла необходимость настроить гост wi-fi на RB2011UAS-2HnD-IN.
в закладке wireless - interfaces при добавлении интерфейса есть пункт virtual , а не virtualap
это таже точка доступа или нет?
благодарю.

Ну уже по пунктам меню спрашивать, как-то уж слишком по-начинающи :-)

Итак:
при создании виртуальной точки, создаётся виртуальный WLAN интерфейс (например создаться wlan3 или wlan4)
который для Вас и для микротика будет якобы настоящим ВиФи адаптером.
Его (интерфейс) уже настраиваете (можете создать отдельный SSID, отдельную политику шифрования и так далее),
но так как это всего лишь виртуальный адаптер, общее для них будет, и канал вещание и сила сигнала - в точности как и у основного адаптера.
А дальше этот виртуальный интерфейс (или будем говорить точку) добавляете в бридж, в туннель...создаёте отдельный пул
раздачи адресов, настраиваете IP-адресацию, маршрутизацию/NAT и всё....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить