mAP lite 2 WiFi сети нет выхода в интернет

[sergey.tihomirov]

Доброе время суток!
Господа спецы по MikroTik помогите разобраться в проблеме, пожалуйста.
Есть сеть предприятия 10.0.0.0/24 у них установлен входной маршрутизатор ZyXEL ZyWALL 110 IP локального порта 10.0.0.11, настройки файервола позволяют всем пакетам лететь из локальной сети наружу без каких либо ограничений, этот маршрутизатор воткнут в порт №24 коммутатора Cisco 4948 на этом порту VLAN 10, в другой порт №36 воткнута WiFi точка MikroTik RBmAPL-2nD VLAN 10.
У меня есть задача, настроить 2 WiFi, один смотрит во внутрь сети предприятия и клиенты получают настройки от DHCP Windows Server IP 10.0.0.3, а другой гостевой со своей подсеткой. Самое главное забыл со всех WiFi нужен выход в интернет! Я произвёл настройки, но что-то пошло не так
Настройки:
# model = RBmAPL-2nD
/interface bridge
add admin-mac=C4:AD:34:B2:40:C5 auto-mac=no comment=defconf name=bridge
add name=bridgePublic
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=russia3 disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid="MikroTik 2.4" wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=WinBox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=Bullevie \
wpa2-pre-shared-key=*******
add authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys \
name=Public supplicant-identity="" wpa-pre-shared-key=BulleviePublic \
wpa2-pre-shared-key=**********
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:B2:40:C6 \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=Public ssid="MikroTik 2.4 Public" wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.30.10-192.168.30.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridgePublic name=\
DHCPPublic
/interface bridge port
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridgePublic interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=WinBox
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=bridge list=WinBox
add interface=ether1 list=WinBox
/ip address
add address=192.168.30.1/24 comment=Public interface=bridgePublic network=\
192.168.30.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-relay
add dhcp-server=10.0.0.3 disabled=no interface=bridge name=relay1
/ip dhcp-server network
add address=192.168.30.0/24 comment=defconf dns-server=8.8.8.8 gateway=\
10.0.0.11
/ip dns
set allow-remote-requests=yes servers=10.0.0.3
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
dst-address=127.0.0.1
add action=accept chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=none
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Ca6ko]

Вы устройство настроили роутером, а нужно точкой доступа, затем принять vlanы нa ether1 (транковый порт в терминологии кошки) и добавить wlan в соответствующие vlan

[sergey.tihomirov]

Вы устройство настроили роутером, а нужно точкой доступа, затем принять vlanы нa ether1 (транковый порт в терминологии кошки) и добавить wlan в соответствующие vlan

Перевёл в состояние точки и WiFi, который смотри в сеть предприятия заработал.

затем принять vlanы нa ether1 (транковый порт в терминологии кошки) и добавить wlan в соответствующие vlan
Поясните, пожалуйста, я так понимаю надо на порту Cisco в который воткнут RBmAPL-2nD дать настройку метки пакетов (транковый порт в терминологии кошки) и всем wlan присвоить этот VLAN?

[sergey.tihomirov]

Проблема в том, что после перевода в настройке Quick Set - Mode - Bridge, порт ether1 перешёл в состав bridge, поменял DHCP Client на Bridge, DHCP Relay убрал и WiFi MikroTik 2.4 начал пропускать наружу, а вот гостевой WiFi так и не пускает. Куда дальше копать? Помогите, пожалуйста.

[Ca6ko]

У Вас от самого зухеля должен идти vlan например vlan20

... другой гостевой со своей подсеткой...

и этот vlan20 нужно повесить на wlan2.

один смотрит во внутрь сети предприятия и клиенты получают настройки от DHCP Windows Server IP 10.0.0.3,

а эта сеть у Вас vlan10 и его нужно повесить на wlan1

PS Из бриджа порты выкинуть

[sergey.tihomirov]

Точно!! Чего-то я затупил !!! Спасибо, что указал путь истинный))

[sergey.tihomirov]

У Вас от самого зухеля должен идти vlan например vlan20
С зюхеле создал влан 30 и 40, повесил на порт LAN2, прописал маршрут, зюхель воткнут в порт Cisco на порту прописал:
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 30,40
switchport mode trunk
VLAN 30 локальная сеть, VLAN 40 для гостевого WiFi

... другой гостевой со своей подсеткой...

и этот vlan20 нужно повесить на wlan2.
VLAN 40 повесил на wlan2

один смотрит во внутрь сети предприятия и клиенты получают настройки от DHCP Windows Server IP 10.0.0.3,

а эта сеть у Вас vlan10 и его нужно повесить на wlan1

Повесил на wlan1 VLAN 30

PS Из бриджа порты выкинуть

А тут уже проблема т.к., если выкинут wlan2 из бриджа, то на него не повесить DHCP сервер соответственно он должен быть в бридже.
В общем перелопатил кучу литературы и уже запутался как на MicroTik правильно поднять несколько VLAN для нескольких WiFi. Как только делаю порт транковым VLAN 30,40 на Cisco? в который воткнут MikroTik, то он сразу отваливается отваливается.
Конфиг:
# dec/15/2021 12:49:39 by RouterOS 6.49.1
# software id = NWZR-50QK
#
# model = RBmAPL-2nD

/interface bridge
add admin-mac=C4:AD:34:B2:40:C5 auto-mac=no comment=defconf name=bridge \
vlan-filtering=yes
add name=bridgePublic
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=russia3 disabled=no distance=indoors frequency=auto installation=\
indoor mode=ap-bridge ssid="MikroTik 2.4" vlan-id=30 wireless-protocol=\
802.11
/interface vlan
add interface=ether1 name=vlan30 vlan-id=30
add interface=ether1 name=vlan40 vlan-id=40
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=WinBox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=********** \
wpa2-pre-shared-key=************
add authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys \
name=Public supplicant-identity="" wpa-pre-shared-key=************ \
wpa2-pre-shared-key=*************
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:B2:40:C6 \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=Public ssid="MikroTik 2.4 Public" vlan-id=40 \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.30.10-192.168.30.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridgePublic name=\
DHCPPublic
/interface bridge port
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge interface=ether1
add bridge=bridgePublic interface=wlan2 pvid=40
/ip neighbor discovery-settings
set discover-interface-list=WinBox
/interface bridge vlan
add bridge=bridge tagged=bridge,ether1 vlan-ids=30
add bridge=bridge tagged=bridgePublic,ether1 vlan-ids=40
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=bridge list=WinBox
add interface=wlan1 list=LAN
/ip address
add address=192.168.30.2/24 comment=defconf interface=wlan2 network=\
192.168.30.0
/ip dhcp-client
add comment=defconf disabled=no interface=bridge
/ip dhcp-relay
add dhcp-server=10.0.0.3 disabled=no interface=bridge name=relay1
/ip dhcp-server network
add address=192.168.30.0/24 comment=defconf dns-server=8.8.8.8 gateway=\
10.0.0.11
/ip dns
set allow-remote-requests=yes servers=10.0.0.3
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" disabled=yes \
dst-address=127.0.0.1
add action=accept chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=none
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Помогите, пожалуйста, разобраться.

[Ca6ko]

если выкинут wlan2 из бриджа, то на него не повесить DHCP сервер соответственно он должен быть в бридже.

В микротике DHCP сервер можно повесить на интерфейс. хоть на vlan40, хоть на wlan2. при условии что интерфейс не в бридже.
Можно создать новый бридж и туда добавить vlan40 и wlan2. Думаю так будет проще и понятнее

[sergey.tihomirov]

Доброе время суток.
Чего-то так у меня и не получается настроить эту точку.
Создал на зюхеле VLAN 30, 40 повесил их на порт LAN2 этот порт воткнут в trunk порт Cisco на котором VLAN 30,40
Микротик воткнут в trunk порт Cisco на котором VLAN 30,40
Настройки Микротика:
# jan/11/2022 12:10:34 by RouterOS 6.49.2
# software id = 1J2P-FXW0
#
# model = RBmAPL-2nD
# serial number = CF290B9B7582
/interface bridge
add admin-mac=C4:AD:34:CF:B9:07 auto-mac=no comment=defconf name=bridgeTrunk \
vlan-filtering=yes
add name=bridgeWiFi vlan-filtering=yes
add name=bridgeWiFi_Public vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no frequency=auto installation=indoor mode=ap-bridge ssid=\
"MikroTik 2.4" station-roaming=enabled vlan-id=30 wireless-protocol=\
802.11
/interface vlan
add interface=bridgeWiFi name=vlan30 vlan-id=30
add interface=bridgeWiFi_Public name=vlan40 vlan-id=40
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
supplicant-identity=MikroTik wpa-pre-shared-key=Bullevie \
wpa2-pre-shared-key=Bullevie
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
profilePublic supplicant-identity="" wpa2-pre-shared-key=BulleviePublic
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:CF:B9:09 \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=profilePublic ssid="MikroTik 2.4 Public" vlan-id=40 \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip pool
add name=pool1 ranges=192.168.30.20-192.168.30.250
/ip dhcp-server
add address-pool=pool1 disabled=no interface=bridgeWiFi_Public name=dhcp1
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridgeTrunk comment=defconf interface=ether1
add bridge=bridgeTrunk comment=defconf disabled=yes interface=pwr-line1
add bridge=bridgeWiFi_Public interface=wlan2
add bridge=bridgeWiFi interface=wlan1 pvid=30
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=bridgeWiFi tagged=bridgeTrunk,ether1 untagged=bridgeWiFi vlan-ids=\
30
add bridge=bridgeWiFi_Public tagged=bridgeTrunk,ether1 untagged=\
bridgeWiFi_Public vlan-ids=40
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.30.2/24 interface=wlan2 network=192.168.30.0
/ip dhcp-client
add comment=defconf disabled=no interface=bridgeTrunk
/ip dhcp-relay
add dhcp-server=10.0.0.3 disabled=no interface=bridgeWiFi name=relay1
/ip dhcp-server network
add address=192.168.30.0/24 dns-server=8.8.8.8 gateway=192.168.30.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridgeTrunk
/system clock
set time-zone-name=Europe/Moscow

Эта схема не работает. Подскажите, что в этот раз я неправильно сделал?