проблема с прохождением пакетов из Wi-FI

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
a007
Сообщения: 22
Зарегистрирован: 06 апр 2018, 14:11

Добрый день.
Пытаюсь сделать: Wi-Fi- мост с LAN сетью и отдельную гостевую сеть.
WI-FI мост- работает как надо. А вот клиенты из гостевой сети не пингуют ничего дальше 10.1.1.1 (ip адрес микротика со стороны гостевой сети)
192.168.3.0/24 сеть WI-FI- LAN
10.1.1.0/24 гостевая сеть WI-FI
192.168.3.19; 10.1.1.1-ip микротика
192.168.3.9-адрес шлюза провайдера.

Код: Выделить всё

[admin@MikroTik] > ip address print
 #   ADDRESS            NETWORK         INTERFACE                                                                 
 0   192.168.3.19/24    192.168.3.0     ether1                                                                    
 1   10.1.1.1/24        10.1.1.0        Guest Wi-Fi

Код: Выделить всё

[admin@MikroTik] > ip route print
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          192.168.3.9               1
 1 ADC  10.1.1.0/24        10.1.1.1        bridge_guest              0
 2 ADC  192.168.3.0/24     192.168.3.19    LAN-WLAN

Код: Выделить всё

ip firewall filter print
 0    chain=forward action=accept src-address=10.1.1.0/24 dst-address=192.168.3.0/24 log=no log-prefix="" 
 1    chain=forward action=accept src-address=0.0.0.0 dst-address=10.1.1.0/24 log=no log-prefix="" 
 2    chain=forward action=accept log=no log-prefix=""

при удалении правил firewall ничего не меняется.

Код: Выделить всё

 ip firewall nat print
 0    chain=srcnat action=masquerade src-address=10.1.1.0/24 src-address-list=10.1.1.0/24 dst-address-list=192.168.3.19 out-interface=LAN-WLAN log=no log-prefix=""
что сделал не так? (


Вернуться к началу
o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 13:02, всего редактировалось 1 раз.


Вернуться к началу
a007
Сообщения: 22
Зарегистрирован: 06 апр 2018, 14:11

o12k9ks писал(а): 07 апр 2018, 02:04
Пытаюсь сделать: Wi-Fi- мост с LAN сетью и отдельную гостевую сеть
Либо я перестал понимать русский, либо отупел. Можно по русски сказать что нужно сделать?
У вас есть бридж между вайфай и ланом? И отдальный гостевой вайфай? И вам надо с тем же гостевым вайфаем тоже бридж с тем же ланом? Или что?
Вообще ничего не понятно)
есть локальная сеть 192.168.3.0/24
на микротике настраиваю:
1. Мост wi-fi в эту сеть(все клиенты получают настройки dhcp из сете 192.168.3.0.24 от сервера расположенного в LAN сети и т.д.)
2. Гостевая сеть(MM-GUEST), со своими ip адресами, которые раздает микротик.
Идея в том , чтобы некоторые люди подключаясь к wi-fi ресурсам сети и нормально работали в домене AD, а другие получали ip от микротик и получали только доступ к инету(без ресурсов локалки). Фильтрацию трафика позже буду делать.
И столкнулся с проблемой из WI-FI (MM не гостевой) все нормально проходит и работает, а из второй wi-fi сети (MM-GUEST - гостевой) трафик не проходит через микротик, не натится в локалку 192.168.3.0/24
клиент с адресом полученным от микротик 10.1.1.150 ничего не пингует, кроме 10.1.1.1
Надеюсь понятнее стало.


Вернуться к началу
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

a007 писал(а): 07 апр 2018, 17:58
o12k9ks писал(а): 07 апр 2018, 02:04
Пытаюсь сделать: Wi-Fi- мост с LAN сетью и отдельную гостевую сеть
Либо я перестал понимать русский, либо отупел. Можно по русски сказать что нужно сделать?
У вас есть бридж между вайфай и ланом? И отдальный гостевой вайфай? И вам надо с тем же гостевым вайфаем тоже бридж с тем же ланом? Или что?
Вообще ничего не понятно)
есть локальная сеть 192.168.3.0/24
на микротике настраиваю:
1. Мост wi-fi в эту сеть(все клиенты получают настройки dhcp из сете 192.168.3.0.24 от сервера расположенного в LAN сети и т.д.)
2. Гостевая сеть(MM-GUEST), со своими ip адресами, которые раздает микротик.
Идея в том , чтобы некоторые люди подключаясь к wi-fi ресурсам сети и нормально работали в домене AD, а другие получали ip от микротик и получали только доступ к инету(без ресурсов локалки). Фильтрацию трафика позже буду делать.
И столкнулся с проблемой из WI-FI (MM не гостевой) все нормально проходит и работает, а из второй wi-fi сети (MM-GUEST - гостевой) трафик не проходит через микротик, не натится в локалку 192.168.3.0/24
клиент с адресом полученным от микротик 10.1.1.150 ничего не пингует, кроме 10.1.1.1
Надеюсь понятнее стало.
вроде все крайне просто ( хотя описано длиновато):
-у Вас есть сегмент сети вида провода + WiFi в котором все должны быть в L2 одном ( и это работает )
- у Вас второй WiFi из которого всех надо пускать только а в Интнернет, но не пускать в в сегмент из сети выше.
Если так- задача тривиальная, но ошибиться можно всегда и везде, давайте export своего конфига


Вернуться к началу
o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 13:03, всего редактировалось 1 раз.


Вернуться к началу
a007
Сообщения: 22
Зарегистрирован: 06 апр 2018, 14:11

o12k9ks писал(а): 07 апр 2018, 20:56 У вас нат уходит не на внешку, а на внутренние интерфейсы, если я правильно понял.
ip firewall nat print
chain=srcnat action=masquerade src-address=10.1.1.0/24 src-address-list=10.1.1.0/24 dst-address-list=192.168.3.19 out-interface=LAN-WLAN log=no log-prefix=""
out-interface=LAN-WLAN
если не разберетесь, могу бесплатно глянуть по тимке
все правильно (вроде бы )192.168.3.19 -внешний адрес микротика, через который он выходит в LAN и инет

Код: Выделить всё

 chain=srcnat action=masquerade dst-address=192.168.3.19 log=no log-prefix=""
тоже не помогает, как и

Код: Выделить всё

 chain=srcnat action=masquerade src-address=10.1.1.0/24 dst-address=192.168.3.19 log=no log-prefix=""
и даже

Код: Выделить всё

 chain=srcnat action=masquerade src-address=10.1.1.150 dst-address=192.168.3.19 log=no log-prefix=""
персонально для машины с ip 10.1.1.150
Может дело не в нате?


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»