Нет доступа к интернету из гостевой wifi Сети

Обсуждение оборудования и его настройки
Ответить
mulders21
Сообщения: 4
Зарегистрирован: 14 сен 2018, 15:20

14 сен 2018, 16:39

Добрый день.
Прошу помочь с настройкой. В капсмане настроил 2 сети одна должна быть с доступом к локальной сети и интернету, другая только с доступом в интернет.
Настраивал по инструкциям в интернете, но на гостевой сети не выходит в интернет, хотя IP адрес получает с правильного DHCP.
Кажется , что я не правильно в бриджах настроил, но не могу понять в чём ошибка.
Интернет воткнут в первый порт и работает через PPPoE.
Вот конфигурация.
 
/caps-man channel
add band=2ghz-b/g/n frequency=2457 name="gwifi channel" tx-power=30
add band=2ghz-b/g/n frequency=2432 name="lan wifi channel" tx-power=30
/interface bridge
add admin-mac=123456789 auto-mac=no comment=defconf fast-forward=no \
name=bridge
add arp=reply-only fast-forward=no name="guest bridge"
add fast-forward=no name="lan wifi bridge"
/interface ethernet
set [ find default-name=ether1 ] mac-address=28:28:5D:E0:0B:7D
set [ find default-name=ether2 ] name=ether2-master
/interface pppoe-client
add add-default-route=yes default-route-distance=0 disabled=no interface=\
ether1 keepalive-timeout=60 name=pppoe-out1 password=123 \
use-peer-dns=yes user=123
/interface wireless
# managed by CAPsMAN
# channel: 2457/20-eC/gn(20dBm), SSID: 123, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
distance=indoors frequency=auto mode=ap-bridge ssid=123 \
wireless-protocol=802.11
/caps-man datapath
add bridge="guest bridge" client-to-client-forwarding=no name=\
"guest datapath"
add bridge=bridge client-to-client-forwarding=yes name="lan datapath"
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
group-encryption=aes-ccm name="guest security" passphrase=321
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
group-encryption=aes-ccm name="lan security" passphrase=321
/caps-man configuration
add channel="gwifi channel" country=russia datapath="guest datapath" mode=ap \
name="guest cfg" rx-chains=0,1,2 security="guest security" ssid=123 \
tx-chains=0,1,2
add channel="lan wifi channel" country=russia datapath="lan datapath" \
distance=indoors mode=ap name="lan cfg" rx-chains=0,1,2 security=\
"lan security" ssid=321 tx-chains=0,1,2
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.180
add name=guestwifi ranges=192.168.20.10-192.168.20.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
bridge name=defconf
add add-arp=yes address-pool=guestwifi disabled=no interface="guest bridge" \
name="guest DHCP"
/queue simple
add burst-limit=2M/5M burst-threshold=512k/3M burst-time=30s/30s max-limit=\
1M/4M name="wifi queue" target="guest bridge"
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration="guest cfg" \
slave-configurations="lan cfg"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge="guest bridge" comment=defconf interface=wlan1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=wlan1 list=discover
add interface=bridge list=discover
add interface=pppoe-out1 list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
/interface pppoe-server server
add disabled=no interface=<l2tp> service-name=service1
/interface wireless cap
#
set discovery-interfaces=ether1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=\
192.168.1.0
add address=192.168.20.1 interface="guest bridge" network=192.168.20.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
add address=192.168.20.0/24 dns-server=8.8.8.8,192.168.20.1 gateway=\
192.168.20.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=\
192.168.20.0/24


mulders21
Сообщения: 4
Зарегистрирован: 14 сен 2018, 15:20

18 сен 2018, 09:42

Ребят помогите советом пожалуйста. Нашёл несколько инструкций всё по ним вроде делал не работает и всё тут. Подскажите хотя бы в каком направлении рыть ума не приложу.
Как дать возможность гостевому бриджу в котором только CAP интерфейсы выхода в интернет? Какой то порт в него добавить? или правило где то прописать? Когда гостевую переключаю на общи бридж всё работает.


gmx
Сообщения: 2082
Зарегистрирован: 01 окт 2012, 14:48

19 сен 2018, 10:04

Ну и зачем reply-only?????
add arp=reply-only fast-forward=no name="guest bridge"

Читайте
https://wiki.mikrotik.com/wiki/Manual%3 ... Reply_Only

Если не поняли, то при reply-only нужно вручную заносить записи в ARP таблицу всех клиентов.


mulders21
Сообщения: 4
Зарегистрирован: 14 сен 2018, 15:20

20 сен 2018, 16:15

Спасибо. Видимо где то подсмотрел и решил поменять. После замены ситуация осталась прежней, подключается, получает IP но интернета нет.
Возможно правило в фаервол добавить надо или с бриджами что то не так?


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

20 сен 2018, 18:36

а шлюз и dns он получает?


gmx
Сообщения: 2082
Зарегистрирован: 01 окт 2012, 14:48

21 сен 2018, 08:30

Ну а стандартные проверки:

пинг микротика
пинг 8.8.8.8
пинг rambler.ru

где не срабатывает?

А фаерволл нужно отключить. Все правила. И проверять.
В фаерволл добавляем только те правила, работу которых хорошо понимаем.


mulders21
Сообщения: 4
Зарегистрирован: 14 сен 2018, 15:20

21 сен 2018, 09:10

Шлюз и DNS получает. И вообще меняю datapath в конфигурации гостевой сети на лановский и всё работает. По факту получается я просто меняю bridge.


Изображение

Хотя при смене bridge получается и DHCP меняется на локальный. Может в нем проблема.
Пинговать было проблематично, т.к. из устройств с wifi там только телефон на iOS. Но свойства я проверял и адрес со шлюзом получал корректно телефон.


gmx
Сообщения: 2082
Зарегистрирован: 01 окт 2012, 14:48

21 сен 2018, 15:23

Самое правильное все же подключиться ноутбуком в гостевой сети и пробовать пинговать.

Фаерволл выключили?

Попробуйте еще: очистить полностью arp таблицу, а в гостевом DHCP выключить галочку Add arp for Leases.


Ответить