Russian Users MikroTik | Форум пользователей MikroTik

Доброго всем времени суток!
Прошу помощи! Не сплю уже пару ночей.
Есть hAP ac2 прошивка 6.46.3, в качестве роутера. К нему через шнурок подключен свитч и точка доступа cAP ac. С помощью Caps MAN с hap ac2 были созданы 3 сети 2.4Ггц, 5Ггц и гостевая 2.4 Ггц настройки зацепились на cAP ac. Основная сеть 192.168.2.0. Гостевая сеть находится в отдельном бридже, с отдельным диапазоном dhcp в сети 192.168.4.0. Все прекрасно работает интернет, выдача адресов, в гостевой сети стоит запрет на ввод руками ip на устройствах. Но вот с ограничением доступа из одного бриджа (гостевой сети) в другой (основную сеть) беда!!! Ограничение делал разное 1. через ip - routes 2. через Firewall, результат один. При установке запрета на доступ с 192.168.4.0/24 в сеть 192.168.2.0/24 пропадает связь не только гостевой с основной, но и наоборот. При этом если указать в адресе источнике конкретный ип например 192.168.4.135 , то с него доступ пропадает на сеть 192.168.2.0, но наоборот на 4.135 доступ остается. Делал сброс, настраивал все с нуля по мануалам, убирал caps man, делал virtual ap, менял прошивку... Все то же самое... Знающие люди подскажите куда копать? Если уже обсуждали, то тыкните пжл носом. Заранее спасибо за помощь!

Maximper писал(а): ↑27 фев 2020, 11:53 Не сплю уже пару ночей.
При установке запрета на доступ с 192.168.4.0/24 в сеть 192.168.2.0/24 пропадает связь не только гостевой с основной, но и наоборот.

Ну как бы изоляция сетей именно так и работает.
Вы просветили глобальный смысл Ваших манипуляций.
Вы гостевую сеть хотите изолировать или нет?

Как она работает? Мне нужно убрать из гостевой сети доступ в основную, но с основной оставить доступ в гостевую для работы с радмином и доступа к сетевым устройствам. Например правилом forward в firewall я блокирую доступ с сети гостевой в основную
add action=drop chain=forward disabled=yes dst-address=192.168.2.0/24 \
src-address=192.168.4.0/24
Почему доступ с основной сети пропадает в гостевую?

При этом правило с указанием конкретного адреса из гостевой
add action=drop chain=forward disabled=yes dst-address=192.168.2.0/24 \
src-address=192.168.4.135/24
работает корректно, я не могу с 4.135 попасть в сеть 2.0, но с сети 2.0 могу опасть на 135

Как в известном фильме. "Ты что, зеленый от оранжевого отличить не можешь?"
dst-address - зеленый. src-address - оранжевый.
Сделай наоборот, будет наоборот.

Фастрртак включен?
Если нет - выше запрещающего включите разрешающее на доступ из основной в гостевую.
И должно быть разрешающее правило выше на форвард, если Connection State established и related
чтобы ответы на разрешенное правило не запрещались запрещающим.

Как всегда. Вопрос "что не так?" есть, а конфига, в котором нужно смотреть - нет.

И должно быть разрешающее правило выше на форвард, если Connection State established и related

За ответ огромное спасибо, все работает!