Гостевой Wi-fi

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
menshikov
Сообщения: 0
Зарегистрирован: 09 дек 2016, 18:18

Без конкретики, а общее направление:
дайте роутеру адрес из вашей сети (из 10.65.0.0/24) хотя по идеи он уже должен иметь адрес в этой сети.

дал 10.65.0.84 бриджу
Пропишите ему шлюз на сервер (на 10.65.0.151)(может и ДНС надо будет прописать в настройках) и проверьте что с роутера пинги пошли.
Роутер стал обычным клиентом - потребителем интернета.

Что именно и где? не могу разобраться 84 пингуется 151 нет и нет интернета


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

menshikov писал(а):Что именно и где? не могу разобраться 84 пингуется 151 нет и нет интернета

Хватит заниматься отсебячиной, не думать и не делать что я уже 3 раза описал.
(и научитесь/потренируйтесь правильно квотить, ответ Ваш ужасно отобразился)

(очищаем всё что там у вас есть, микротик должен быть чистым и без свитчей, бриджей)
I) ПЕРВАЯ ЧАСТЬ: (делаем логику)
1) ставите на первый порт айпи 10.65.0.84/24, прописываете шлюз по умолчанию(это сервер 151) и настраиваете днс (надеюсь это Вы умеете)
2) на второй порт ставите адрес из второй подсети, просто поставьте и всё
3) проверяете что вы видите вашу основную сеть...и можете пинговать её узлы и есть доступ в интернет с микротика (проверять в консоле командой пинг)

ЕСЛИ ЭТО получилось, то идём ко второй части. БРИДЖИ тут нам не нужны.

I) ВТОРАЯ ЧАСТЬ: (делаем логику и доступ в Интернет для ВиФи)
1) создаёте бридж для вифи (bridge-wifi)
2) даёте ему адрес из будущей сети отдельной для вифи (там вроде у вас была сетка 10.55.0.1/24)
3) В этот бридж подключаете порт 3 и wlan1 адаптер
4) настраиваете DHCP на этом бридже и подключаете компьютер на 3й порт и проверяете что работает и IP получаете
5) проверяете что и по WiFi тоже всё хорошо (по вифи получаете адрес)
6) можете 3й порт потом вывести из бриджа вифи
7) ГЛАВНОЕ: НАТ (берёте в файрволе во вкладке НАТ делаете правило, что если идут клиенты с адреса 10.55.хх.хх/24,
то выпускать их(out interface) через интерфейс (ether1) и режим Маскарадинг

ВСЁ! Всё что я сейчас описал подробно, я Вам это уже раза 3 описывал, почему не сделать было раньше?
ПРОШУ по частям сделать, понять и применить уже решения на практике.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
menshikov
Сообщения: 0
Зарегистрирован: 09 дек 2016, 18:18

прошу прощения за ваши нервы, я так и сделал и не описал.
2 порт вставлена наша сетка 10.65.0.1/24
Интернет идет с сервера 151 адрес.
Если прописать настройки wi-fi модулю ноутбука (10.65.0.190, маска 255.255.255.0, основной 10.65.0.151) и подключиться к Wi-FI Mikrotik то все работает и интернет и сеть.
Если поставить настройки на автомат и подключиться к Virtual WI-FI (с именем) mobile, то IP он получает нормальный (из пула скажем 10.5.5.254), но интернета нет. Допинговаться могу до маршрутизатора 10.65.0.84. 151 не пингуется. Ковырял много настроек по разным вариантам с форумов.
Если в НАТ ставить ether2, то ругается, что он в brige, ставил brige-go, выводил порты из бриджа 2 и 3 и прописывал на них.

Код: Выделить всё

[spoiler=]"/interface bridge
add name=bridge-mobile
add name=bridge1-GO
/interface ethernet
set [ find default-name=ether3 ] master-port=ether2
/interface wireless security-profiles
add authentication-types=wpa2-psk,wpa2-eap group-ciphers=tkip,aes-ccm \
    management-protection=allowed mode=dynamic-keys name=profile-GO \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
    XXXXXXX
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm \
    management-protection=allowed mode=dynamic-keys name=profile-mobile \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
    XXXXXXX
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=auto \
    mode=ap-bridge security-profile=profile-GO wireless-protocol=802.11
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:F6:61:A3 \
    master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\
    wlan2 security-profile=profile-mobile ssid=Mobille wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/ip pool
add name=pool-mobile ranges=10.5.5.2-10.5.5.254
/ip dhcp-server
add address-pool=pool-mobile disabled=no interface=bridge-mobile lease-time=\
    12h10m name=server-mobile
/interface bridge port
add bridge=bridge1-GO interface=ether2
add bridge=bridge1-GO interface=wlan1
add bridge=bridge-mobile interface=wlan2
/interface ethernet switch host
add mac-address=01:80:C2:00:00:00 redirect-to-cpu=yes share-vlan-learned=no \
    switch=switch1 vlan-id=1
/ip address
add address=10.5.5.1/24 interface=wlan2 network=10.5.5.0
add address=10.65.0.84 interface=bridge1-GO network=10.65.0.84
/ip dhcp-server network
add address=10.5.5.0/24 dns-server=8.8.8.8 gateway=10.5.5.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1-GO \
    src-address=10.5.5.0/24
add action=masquerade chain=srcnat out-interface=all-ethernet src-address=\
    10.5.5.0/24
add action=redirect chain=dstnat dst-port=9999 in-interface=all-ethernet \
    protocol=tcp to-ports=80
/ip route
add check-gateway=ping distance=1 gateway=10.65.0.151
add check-gateway=ping distance=1 dst-address=10.65.0.0/24 gateway=\
    10.65.0.151 pref-src=10.65.0.151"[/spoiler]


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Если у вас второй порт в бридже, и на втором порту вы ставили адрес, то после того,
как порт уходит в состав бриджа, вы должны адрес со второго порта перенести на бридж в который
вы порт и вставили/или не использовать этот адрес уже.


Также и в файрволле, вы должны НАТить уже не от порта2, а выбрать Ваш бридж (который имеет адрес 84)
и соответственно будет идти НАТ от бриджа с его адресом, микротику тут не принципиально, НАТить
от порта или бриджа, тут главное, чтобы при Маскарадинге был у этого интерфейса адрес.

И виртуальная точка - это логический отдельный интерфейс, а значит чтобы на нём заработало, надо сделать как я описывал в ЧАСТИ ДВА,
то есть - первая ваша вифи сеть обычная - работает по статике и через ваш бридж (назовём его локальным),
вторая вифи сеть (гостевая), через виртуальный wlan интерфейс, добавляете его в бридж-вифи, на котором работает уже свой DHCP
сервер, всё как я описывал выше, просто опять же - данную сеть для выхода в инет НАТите надо уже НЕ от порта, а натите от бриджа локального.
И первым делом, как всегда, сначала проверяете одно, потом уже другое.

Пробуйте. Почти уже где-то Вы рядом ...около финиша. :bra_vo:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
menshikov
Сообщения: 0
Зарегистрирован: 09 дек 2016, 18:18

Vlad-2 писал(а):Пробуйте. Почти уже где-то Вы рядом ...около финиша. :bra_vo:

Блин, я возле этого финиша был почти с первого поста, просто перетыкивал все варианты.
виртуальная и так в отдельном бридже.
И натю я от бриджа с 84 айпи, но нальше маршрута, а точнее 84 айти сеть не видит, даже воткнутый в 3 порт комп. Не могу понять где я упустил


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

menshikov писал(а):
Vlad-2 писал(а):Пробуйте. Почти уже где-то Вы рядом ...около финиша. :bra_vo:

Блин, я возле этого финиша был почти с первого поста, просто перетыкивал все варианты.
виртуальная и так в отдельном бридже.
И натю я от бриджа с 84 айпи, но нальше маршрута, а точнее 84 айти сеть не видит, даже воткнутый в 3 порт комп. Не могу понять где я упустил

Проверяйте все адреса, адреса в микротике (именно адреса) задаются с маской, то есть если на бридж ставите адрес, надо писать
192.168.5.100/24, означает что адрес 5.100 будет на интерфейса, маска нужна. Сам по молодости в микротиках пару раз делал ошибку и связь не работала.
Обратите внимание, я старался везде где надо указывать маску.
Но маска не везде нужна.
Так же про НАТ для гостевой точки (задайте там нат более точно, то есть подставте исходящюю сеть вашу, 10.55.хххх) и возможно надо поиграться с порядком правил
в закладке НАТ, их порядок порой и в зависимости от системы важен.
Счётчик правила НАТ срабатывает?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
menshikov
Сообщения: 0
Зарегистрирован: 09 дек 2016, 18:18

тупо присвоил 10.65.0.85 первому порту
воткнул кабель и с такими

Код: Выделить всё

/interface bridge
add name=bridge-mobile
add name=bridge1-GO
/interface wireless security-profiles
add authentication-types=wpa2-psk,wpa2-eap group-ciphers=tkip,aes-ccm \
    management-protection=allowed mode=dynamic-keys name=profile-GO \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
    GXXXXX12
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm \
    management-protection=allowed mode=dynamic-keys name=profile-mobile \
    supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=\
    GXXXXXXXX3
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=auto \
    mode=ap-bridge security-profile=profile-GO wireless-protocol=802.11
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:F6:61:A3 \
    master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\
    wlan2 security-profile=profile-mobile ssid=Mobille wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/ip pool
add name=pool-mobile ranges=10.5.5.2-10.5.5.254
/ip dhcp-server
add address-pool=pool-mobile disabled=no interface=bridge-mobile lease-time=\
    12h10m name=server-mobile
/interface bridge port
add bridge=bridge1-GO interface=ether2
add bridge=bridge1-GO interface=wlan1
add bridge=bridge-mobile interface=wlan2
add bridge=bridge1-GO interface=ether3
/interface ethernet switch host
add mac-address=01:80:C2:00:00:00 redirect-to-cpu=yes share-vlan-learned=no \
    switch=switch1 vlan-id=1
/ip address
add address=10.5.5.1/24 interface=bridge-mobile network=10.5.5.0
add address=10.65.0.84 interface=bridge1-GO network=10.65.0.0
add address=10.65.0.85/24 interface=ether1 network=10.65.0.0
/ip dhcp-server network
add address=10.5.5.0/24 dns-server=8.8.8.8 gateway=10.5.5.1,10.65.0.151 \
    netmask=24
add address=10.65.0.0/24 dns-server=8.8.8.8 gateway=10.65.0.151 netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
    10.5.5.0/24
add action=masquerade chain=srcnat out-interface=all-ethernet src-address=\
    10.65.0.0/24
/ip route
add disabled=yes distance=1 dst-address=10.5.5.0/24 gateway=ether1
add disabled=yes distance=1 dst-address=10.65.0.0/24 gateway=10.65.0.151
/system clock
set time-zone-name=Asia/Krasnoyarsk

настройками пошел интернет по wi-fi (правда какойто странный ну да ладно)
но сетку с портов не могу прикрутить! Что тут не так?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

У меня ночь и всё равно я вижу костыли и куча Ваших не внимательностей!

menshikov писал(а):/interface ethernet switch host
add mac-address=01:80:C2:00:00:00 redirect-to-cpu=yes share-vlan-learned=no \
switch=switch1 vlan-id=1

Вот это что? Зачем эти параметры?

menshikov писал(а):/ip address
add address=10.5.5.1/24 interface=bridge-mobile network=10.5.5.0
add address=10.65.0.84 interface=bridge1-GO network=10.65.0.0

НУ вот же явная ошибка, где маска при установке адреса для бриджа?

menshikov писал(а):/ip route
add disabled=yes distance=1 dst-address=10.5.5.0/24 gateway=ether1

С какова перепуга сеть внутренняя,чисто для мобильных клиентов и привязана шлюзу и ещё к порту 1? ЗАЧЕМ?

ЕЩё раз
1) ПОРТ засунуты в бридж...теряет себя, он становиться подчинённым, а значит адрес на порту уже не играет роли
2) УБЕРИТЕ все бриджа, уже 5й раз наверно - сделайте без бридж, бридж нужен один (в моём понимании) и только для
DHCP работы, чтобы он не вещал в общую сеть. Хватит пытаться методом тыка сделать.
3) Настройте просто роутер как обычного клиент сети, без БРИДЖЕЙ (Снова и опять)
проверь пинг, проверьте сеть, доступ в интернет от имени вашего роутера как обычного компа,
потом добавляем вторую часть задачи (часть где формируется независимый закрытый НЕ известный для основной сети сетевой сегмент для работы ВиФИ по DHCP)
и после того, как работает выдача адреса, смотрим уже, думаем и натим от адрес и от интерфейса смотрящего уже в сеть общую.

Всё делается по очереди, не так как Вы хотите, сразу второе, не сделав первое, без фундамента никак.
Ещё раз прошу Вас, взять чистый роутер, сделать два моих задания во вчерашнем посту и понять концепцию, метод научного тыка тут
уже не идёт.
Внимательно, руками делайте, меньше меньше бриджей. Бриджы часто играет плохую шутку. (БЕЗ бриджей плизззззззз)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
menshikov
Сообщения: 0
Зарегистрирован: 09 дек 2016, 18:18

Спасибо. Беда быыла в бридже и не стоит менять параметр, лучше удалить и заного создать (тот же нат т.к. бывают глюки)
Оставил бридж для гостевой. wlan1 теперь не в одном бридже и при подключении к нему со статическими ip c нашей сетки пинги не идут в нашу сетку и нет инета.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

menshikov писал(а):Спасибо. Беда быыла в бридже и не стоит менять параметр, лучше удалить и заного создать (тот же нат т.к. бывают глюки)
Оставил бридж для гостевой. wlan1 теперь не в одном бридже и при подключении к нему со статическими ip c нашей сетки пинги не идут в нашу сетку и нет инета.

Всё остальное и важное (1-работа микротика в сети Вашей и 2-е это работа гостевой ВиФи сети через DHCP --- это заработало??)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить