организация гостевой wifi сети через capsman в существующей сети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

16 янв 2019, 10:35

Здравствуйте!
Изображение

Есть существующая сеть. Сервер 172.22.22.10 на базе Windows Server c ролями DHCP, DNS и Forefront TMG. Ранее все mikrotiki (RB951 и RB952) работали отдельно друг от друга и раздавали wifi со своими настройками. Сейчас потребовалось сделать на их основе бесшовный WiFi и добавить гостевую сеть, чтобы она имела доступ в интернет и не имели доступ в сеть.

Дополнительно был куплен wAP ac для роли контролера capsman. Бесшовный wifi вроде заработал. А вот с гостевой сетью уже неделю бьюсь - гости не получают доступ в интернет.

Я думал, что компьютеры 172.22.21.х для 172.22.22.10 будут видится как 172.22.22.1 и проблем быть не должно, но что-то не так. Надо дополнительно настраивать 172.22.22.10? Или вообще это делается не так?

Настройки:
 Настройки
# jan/16/1970 23:24:10 by RouterOS 6.40.8
# software id = XT19-DHRI
#
# model = RouterBOARD wAP G-5HacT2HnD
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce \
frequency=2422 name=channel-2-3 tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \
frequency=5180 name=channel-5-36 tx-power=20
/interface bridge
add name=bridge-guest
add name=bridge2
/interface wireless
# managed by CAPsMAN
# channel: 2422/20-Ce/gn(20dBm), SSID: Office, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac/P(20dBm), SSID: Office-5G, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/caps-man datapath
add bridge=bridge2 client-to-client-forwarding=yes local-forwarding=yes name=\
datapath1
add bridge=bridge-guest client-to-client-forwarding=yes local-forwarding=no \
name=datapath_guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security1 passphrase=1234567890
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security_guest passphrase=000123456
/caps-man configuration
add channel=channel-5-36 country=russia3 datapath=datapath1 mode=ap name=\
cfg-5 rx-chains=0,1,2 security=security1 ssid=Office-5G tx-chains=0,1,2
add channel=channel-2-3 country=russia3 datapath=datapath1 mode=ap name=cfg-2 \
rx-chains=0,1,2 security=security1 ssid=Office tx-chains=0,1,2
add channel=channel-2-3 country=russia3 datapath=datapath_guest mode=ap name=\
cfg_guest rx-chains=0,1,2 security=security_guest ssid=Public \
tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_guest ranges=172.22.21.10-172.22.21.254
add name=dhcp_pool1 ranges=172.22.21.10-172.22.21.254
/ip dhcp-server
add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest \
lease-time=12h name=dhcp1
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn \
master-configuration=cfg-2 slave-configurations=cfg_guest
add action=create-dynamic-enabled hw-supported-modes=ac,an \
master-configuration=cfg-5
/interface bridge port
add bridge=bridge2 interface=ether1
add bridge=bridge2 interface=wlan1
add bridge=bridge2
/interface wireless cap
#
set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=\
wlan1,wlan2
/ip address
add address=172.22.22.1/24 interface=ether1 network=172.22.22.0
add address=172.22.21.1/24 interface=bridge-guest network=172.22.21.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge-guest
/ip dhcp-server network
add address=172.22.21.0/24 dns-server=8.8.8.8,172.22.21.1 gateway=172.22.21.1
/ip firewall filter
add action=accept chain=input src-address=127.0.0.1
add action=accept chain=input dst-port=5246,5247 protocol=udp src-address=\
127.0.0.1
add action=drop chain=forward dst-address=172.22.22.0/24 src-address=\
172.22.21.0/24
add action=drop chain=forward dst-address=172.22.21.0/24 src-address=\
172.22.22.0/24
/ip firewall nat
add action=masquerade chain=srcnat src-address=172.22.21.0/24
/system logging
add topics=caps


pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

17 янв 2019, 09:43

gmx писал(а):
16 янв 2019, 16:31
https://www.technotrade.com.ua/Articles ... -08-05.php
по этой инструкции и делал + в другой статье нашел, что надо сделать правило masquerade. Но интернета нет


pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

17 янв 2019, 10:04

Пробовал сегодня пропинговать ya.ru из WinBox - пинг не проходит. С локальных компьютеров ya.ru пингуется, c других mikrotik (которые еще не CAP) тоже. Там есть активное правило
/ip route
add distance=1 gateway=172.22.22.1

А в wAP ac этот пункт был выключен, а когда я его включил он стал "unreachable"


Ca6ko
Сообщения: 817
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

17 янв 2019, 13:08

У Вас стоит включен на точках Local Forward. То есть точка рулит трафиком, а что точка знает про гостевую сеть 172.22.21.0/24? Сама она в другой сети, Попробуйте снять галку Local Forward, должно заработать.
Ну и разрулите маршруты для WAP она должна находить выход в инет из обоих подсетей


Устройство, которое пользователь не носит с собой, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные ...
pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

17 янв 2019, 14:24

pasol писал(а):
17 янв 2019, 10:04
А в wAP ac этот пункт был выключен, а когда я его включил он стал "unreachable"
оказался не внимательным, правило было
/ip route
add distance=1 gateway=172.22.22.1

а шлюз то 172.22.22.10
переписал на
/ip route
add distance=1 gateway=172.22.22.10

ping пошел. При подключении к гостевой сети появляется статус "IP4-подключение: Интернет", но ничего не открывается не по имени, не по Ip


pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

17 янв 2019, 14:27

Ca6ko писал(а):
17 янв 2019, 13:08
У Вас стоит включен на точках Local Forward. То есть точка рулит трафиком, а что точка знает про гостевую сеть 172.22.21.0/24? Сама она в другой сети, Попробуйте снять галку Local Forward, должно заработать.
Ну и разрулите маршруты для WAP она должна находить выход в инет из обоих подсетей
в гостевой сети Local Forward отключен.


pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

17 янв 2019, 14:32

pasol писал(а):
17 янв 2019, 14:24
ping пошел.
для bridge2 пошел, а для bridge-guest нет.


pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

17 янв 2019, 15:34

зашел в Forefront - он отклоняет все пакеты с Ip 172.22.21.х c отмазкой, что исходный адрес подделан


pasol
Сообщения: 9
Зарегистрирован: 16 янв 2019, 10:22

18 янв 2019, 10:22

nat не правильно работает?


Ответить