Здравствуйте. Прочитал много информации, но все чуть-чуть не то, что мне надо.
Имеется:рабочая сеть-192.168.1.0/24
интернет шлюз ПК 192.168.1.1(pfSense) -> не управляемый свич(к нему подключено большинство ПК) -> mikrotik rb951ui-2hnd.
На mikrotik настроен wi-fi с доступом к рабочей сети. Нужно настроить виртуальную wi-fi точку доступа без доступа к локальной сети(например с ip-адресацией10.1.1.0/24), только для раздачи интернета.
Все порты и Wlan1 в бридже1, создал VirtualAP (guest-wifi) master interface Wlan1. Настроил dhcp (10.1.1.0/24), создал guest-bridge куда поместил виртуальную guest-wifi. В Nat стоит: srcnat, out interface-bridge1, action-masquerade.
Что еще я упустил? В такой конфигурации гостевая wifi раздает ip и пингуется 192.168.1.1, но интернета нет.
Гостевой Wi-fi
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 0
- Зарегистрирован: 14 сен 2016, 12:11
Подскажите, пожалуйста, возможно ли это? Или ткните в каком направлении копать?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
demaniablo писал(а):......Все порты и Wlan1 в бридже1, создал VirtualAP (guest-wifi) master interface Wlan1. Настроил dhcp (10.1.1.0/24), создал guest-bridge куда поместил виртуальную guest-wifi. В Nat стоит: srcnat, out interface-bridge1, action-masquerade.
Что еще я упустил? В такой конфигурации гостевая wifi раздает ip и пингуется 192.168.1.1, но интернета нет.
А подумать?
Зачем Вы НАТ делаете от интерфейса бриджа Вами же созданного?
НАТ - это подмена исходящего адреса (source), значит Вы натить должны от имени интерфейса куда у вас воткнут приходящий провод, (а это провод от вашего источника интернета).
То есть Вы вифи сетку должны скрыть (заНАТить) и тогда уже pfSense пустит в интернет.
-
- Сообщения: 0
- Зарегистрирован: 14 сен 2016, 12:11
Vlad-2 писал(а):Зачем Вы НАТ делаете от интерфейса бриджа Вами же созданного?
НАТ - это подмена исходящего адреса (source), значит Вы натить должны от имени интерфейса куда у вас воткнут приходящий провод, (а это провод от вашего источника интернета).
То есть Вы вифи сетку должны скрыть (заНАТить) и тогда уже pfSense пустит в интернет.
Потому что остальные eth порты и Wlan1 не должны быть заНАТены, поэтому они в одном бридже с портом, куда идет uplink. Я делаю НАТ от бриджа, куда воткнут кабель от источника интернета. А если виртуальную wifi воткнуть в один бридж со всеми, то dhcp не будет ему раздавать ip 10.1.1.0
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
demaniablo писал(а):Потому что остальные eth порты и Wlan1 не должны быть заНАТены, поэтому они в одном бридже с портом, куда идет uplink. Я делаю НАТ от бриджа, куда воткнут кабель от источника интернета. А если виртуальную wifi воткнуть в один бридж со всеми, то dhcp не будет ему раздавать ip 10.1.1.0
Тогда так:
1) Создайте отдельный бридж для виртуал-вифи сети и дайте ему адрес (из сети 10.1.1.0)
2) Туда поместите virtual-wlan (Virtual AP)
3) На этот бридж включите DHCP для раздачи адресации из 10.1.1.0
4) Ну и уже работающих клиентов с отдельным сетевым сегментом с отдельной IP-адресацией (сеть 10.1.1.0) уже НАТ'те отчего хотите и как хотите, ну и маршрутизируйте как угодно.
-
- Сообщения: 0
- Зарегистрирован: 14 сен 2016, 12:11
Vlad-2 писал(а):1) Создайте отдельный бридж для виртуал-вифи сети и дайте ему адрес (из сети 10.1.1.0)
2) Туда поместите virtual-wlan (Virtual AP)
3) На этот бридж включите DHCP для раздачи адресации из 10.1.1.0
Это я и сделал. От клиента из сети 10.1.1.0 даже пингуется интернет шлюз 192.168.1.1, но интернет не раздает почему-то.
Vlad-2 писал(а):4) Ну и уже работающих клиентов с отдельным сетевым сегментом с отдельной IP-адресацией (сеть 10.1.1.0) уже НАТ'те отчего хотите и как хотите, ну и маршрутизируйте как угодно.
Вот тут то вся проблема, как сделать, чтобы интернет раздавался от интернет-шлюза?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
demaniablo писал(а):Вот тут то вся проблема, как сделать, чтобы интернет раздавался от интернет-шлюза?
Не вижу проблему!!!
У Вас микротик (на котором Вы вифи сетку и настроили) скажем имеет адрес 192.168.1.2, шлюз у него прописан в сети - это адрес pfSense (192.168.1.1), доступ в Интернет для адреса микротика разрешён,
так сделайте наконец-то то действие что я под номером 4 и описывал: проНАТе своих вифи клиентов под(за) адресом микротика, ну а так как IP-микротику есть доступ в Интернет,
то всё и заработает.
Ещё раз, но иначе -- мы прячем другую адресацию (вифи сеть, она у нас работает) за текущей рабочей IP-сетью, доступ в Интернет у которой на интернет-шлюзе разрешён.
-
- Сообщения: 4
- Зарегистрирован: 05 ноя 2016, 22:00
возникла необходимость настроить гост wi-fi на RB2011UAS-2HnD-IN.
в закладке wireless - interfaces при добавлении интерфейса есть пункт virtual , а не virtualap
это таже точка доступа или нет?
благодарю.
в закладке wireless - interfaces при добавлении интерфейса есть пункт virtual , а не virtualap
это таже точка доступа или нет?
благодарю.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
sachaff писал(а):возникла необходимость настроить гост wi-fi на RB2011UAS-2HnD-IN.
в закладке wireless - interfaces при добавлении интерфейса есть пункт virtual , а не virtualap
это таже точка доступа или нет?
благодарю.
Ну уже по пунктам меню спрашивать, как-то уж слишком по-начинающи
Итак:
при создании виртуальной точки, создаётся виртуальный WLAN интерфейс (например создаться wlan3 или wlan4)
который для Вас и для микротика будет якобы настоящим ВиФи адаптером.
Его (интерфейс) уже настраиваете (можете создать отдельный SSID, отдельную политику шифрования и так далее),
но так как это всего лишь виртуальный адаптер, общее для них будет, и канал вещание и сила сигнала - в точности как и у основного адаптера.
А дальше этот виртуальный интерфейс (или будем говорить точку) добавляете в бридж, в туннель...создаёте отдельный пул
раздачи адресов, настраиваете IP-адресацию, маршрутизацию/NAT и всё....