Mikrotik RB2011UiAS-2HnD и гостевая сеть WiFi. | Ubiquiti форум UBNT: инструкции, настройка

Mikrotik RB2011UiAS-2HnD и гостевая сеть WiFi.

Nekit73rus

новичок
4 Фев 2015
10
0
3
Здравствуйте!
Конфигурация дефолтовая. Роутер Mikrotik RB2011UiAS-2HnD.
2м портом(DHCP сервер выключен) подключен к основной сети 192.168.0.0/24 - всё работает.
Создаю VirtualAP(10.5.50.1) с DHCP сервером (10.5.50.0/24), клиенты подключаются, получают IP но интернета нет.
Как правильно настроить гостевую AP для доступа в интернет через второй порт роутера? Чтобы сеть 192.168.0.0/24 они не видели?
 

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва
IP->Filter->Nat создайте правило разрешающее выход в интернет для новой сети
 

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва
вот так попробуйте:
/ip firewall nat add action=masquerade chain=srcnat out-interface=интерфейс_через_который_выход_в_интернет src-address-list=10.5.50.0/24

Где затык? до куда доходят пакеты и стопорятся?
 
Автор
N

Nekit73rus

новичок
4 Фев 2015
10
0
3
Сделано.
При попытке пинга он видит адрес:
C:\Users\etc>ping www.ru

Обмен пакетами с www.ru [193.124.3.1] с 32 байтами данных:
А там: превышен интервал ожидания.


Опишу свои действия:
1) Сбросил микротик, зашёл на него. Добавил мост(bridge1), соединил wlan1,Eth1-Eth10 в этот мост.
2) IP -> Adresses добавил адрес на Eth1 - 192.168.0.19/24 подсеть 192.168.0.0 - подключил к основной сети.
3) IP -> DNS - прописал DNS. (192.168.0.250)
4) в настройках wlan1 в WDS выбрал dynamic и bridge1.
проверяем: проводами всё работает, основной wifi работает.
5) Создаю Virtual AP.
6) IP -> Adresses добавил адрес на wlan2 - 10.5.50.1/24 подсеть 10.5.50.0
7) Повесил на wlan2 DHCP IP > DHCP Server - DHCP Setup - вбил всё кроме DHCP Relay.
Проверяем... к гостевой сети подключается, IP 10.5.50.x маска и шлюз 10.5.50.1 - получает клиент.
А дальше как бы я не вертел IP - Firewall - NAT ... ничего не выходит ((
И в гостевой сети пинга до 10.5.50.1 почему то нет.

созданы правила:
/ip firewall nat add action=masquerade chain=srcnat src-address=10.5.50.0/24 to-addresses=0.0.0.0
/ip route add distance=1 gateway=192.168.0.1
Так же пробовал создать bridge2, перевесить DHCP на него и wlan2 засовывал тоже в bridge2.

--------------
Роутер подключен первым портом Eth1 в общую сеть. IP - 192.168.0.19.
Шлюз общей(основной) сети 192.168.0.1, ДНС - 192.168.0.250.
bridge1 - wlan1(wds: dynamic, bridge1), Eth1-Eth10;
bridge2(DHCP 10.5.50.1/24) - wlan2(wds: dynamic, bridge2);
/ip firewall nat add action=masquerade chain=srcnat src-address=10.5.50.0/24 to-addresses=0.0.0.0
/ip route add distance=1 gateway=192.168.0.1
 
Автор
N

Nekit73rus

новичок
4 Фев 2015
10
0
3
Гейт основной сети - 192.168.0.19, 192.168.0.250 - DNS основной сети. К ней подключен микротик Eth1 портом, адрес на Eth1 192.168.0.19
 

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва
wlan2 - убери DHCP
подключись к wlan2 чемнить, задай IP вручную, посмотри коннект и пинг
если все нормально, объединяй wlan2 в бридж с интерфейсом по которому инет приходит и пробуй
 
Автор
N

Nekit73rus

новичок
4 Фев 2015
10
0
3
Если wlan2 объединить с bridge1 то клиенты будут получать IP из 192.168.0.0/24. Так работает.
Смысл - дать всем в 10.5.50.0/24 интернет.
 

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва
У тебя схема работы какая?:
Интернет->микротик (интерфейс Eth1)->остальные интерфейсы - локальная сеть + WiFi интерфейс: wlan1 и wlan2
bridge1
-> wlan1+Eth2+Eth3.. для локальной сети 192,168,0,0/24
?
 
Автор
N

Nekit73rus

новичок
4 Фев 2015
10
0
3
Bridge1 - wlan1, Eth1-Eth10. Без DHCP, Eth1 портом подключен к основной сети. Eth1 присвоен адрес 192.168.0.19 (IP -> Adresses)
Если подключиться к wlan1, Eth1-Eth10 - всё работает норм - клиент получает адрес 192.168.0.x от DHCP основной сети.

wlan2 без моста, с DHCP на wlan2 10.5.50.0/24 - клиенты подключаются и получают IP 10.5.50.x gate&DNS - 10.5.50.1.
Но в wlan2 пинга до 10.5.50.1 почему то нет.

Хотя из консоли микротика любой IP из 192.168.0.0/24 и 10.5.50.0/24 пингуется.
 
Автор
N

Nekit73rus

новичок
4 Фев 2015
10
0
3
Конфиг роутера:
/interface bridge
add
name=bridge1
add
name=bridge2
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=auto hide-ssid=yes l2mtu=2290 mode=ap-bridge ssid=MikroTikTest wireless-protocol=802.11
add disabled=no l2mtu=2290 mac-address=4E:5E:0C:B8:91:5F master-interface=wlan1 name=wlan2 ssid=INBITest wds-cost-range=0 wds-default-bridge=bridge1 wds-default-cost=0 \
wds-mode=dynamic
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys wpa2-pre-shared-key=12345
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=Guests supplicant-identity="" wpa2-pre-shared-key=12345
/interface wireless
add disabled=no l2mtu=2290 mac-address=4E:5E:0C:B8:91:60 master-interface=wlan1 name=wlan3 security-profile=Guests ssid=INBI_Guest wds-cost-range=0 wds-default-bridge=\
bridge2 wds-default-cost=0 wds-mode=dynamic
/ip pool
add name=dhcp_pool1 ranges=192.168.50.2-192.168.50.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge2 lease-time=3d name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=sfp1
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=wlan2
add bridge=bridge2 interface=wlan3
/ip address
add address=192.168.0.19/24 interface=bridge1 network=192.168.0.0
add address=192.168.50.1/24 interface=bridge2 network=192.168.50.0
/ip dhcp-server network
add address=192.168.50.0/24 dns-server=192.168.50.1 gateway=192.168.50.1
/ip dns
set allow-remote-requests=yes servers=192.168.0.250
/ip firewall filter
add chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1 src-address=192.168.50.0/24
/ip route
add distance=1 gateway=192.168.0.1
--------------------------------------------------------------------------------------------------
Переделал гостевой пул с 10.5.50.0/24 на 192.168.50.0/24 думал может в этом дело.
Так же были предложения создать 2 моста и 2 Virtual AP - это не помогло.
Пинг до ya.ru из гостевой сети есть, трейс тоже есть. Но в браузере так и тихо.
Так же пробовал делать пинг с размером 1472 - пинг тоже есть.
И кстати webfig микротика открывается по адресу 192.168.50.1 и 192.168.0.19 из гостевой сети.
Прошивка 6.25.
 
Последнее редактирование:

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва
щас попробовал на 751 микротике, завелось с полпенка )))
прошивка 6.26

Уже была сеть 192.168.151.0/24
Сделал:
1. Wireless -> Добавил к физическому интерфейс wlan1 - Virtual AP, получилось: wlan1 + wlan2(Virtual AP, в wireless: master interface - wlan1, security как на wlan1)
2. IP -> Address -> интерфейсу wlan2 назначил 192.168.133.1/24
3. IP -> Firewall -> NAT -> правило для выхода
4. Подключил ноут, прописал ip: 192.168.133.12
пинг до 192.168.133.1 идет нормально, до ресурсов интернет тоже нормально, до другой сети 192.168.151.0/24 тоже нормально
 
Автор
N

Nekit73rus

новичок
4 Фев 2015
10
0
3
щас попробовал на 751 микротике, завелось с полпенка )))
прошивка 6.26

Уже была сеть 192.168.151.0/24
Сделал:
1. Wireless -> Добавил к физическому интерфейс wlan1 - Virtual AP, получилось: wlan1 + wlan2(Virtual AP, в wireless: master interface - wlan1, security как на wlan1)
2. IP -> Address -> интерфейсу wlan2 назначил 192.168.133.1/24
3. IP -> Firewall -> NAT -> правило для выхода
4. Подключил ноут, прописал ip: 192.168.133.12
пинг до 192.168.133.1 идет нормально, до ресурсов интернет тоже нормально, до другой сети 192.168.151.0/24 тоже нормально
export compact пожалуйста в студию ))
Вроде всё так же, но почему то на 2011 не пашет. Попробую тоже самое на домашнем 951м.
 

arastegaev

Moderator
16 Янв 2013
4.160
123
123
38
Москва
RB751G-2HnD
export compact file=conf

# feb/09/2015 22:56:09 by RouterOS 6.26
#
/interface bridge
add
mtu=1500 name=bridge1
/interface pppoe-client
add
add-default-route=yes disabled=no interface=ether5 mrru=1600 name=mts \
password=password user=user
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=\
profile1 supplicant-identity="" unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=F12Bz32H wpa2-pre-shared-key=F12Bz32H
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2437 \
ht-supported-mcs="mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mc\
s-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15" l2mtu=2290 mode=ap-bridge \
security-profile=profile1 ssid=hawaii50-2 tx-power-mode=card-rates
add disabled=no l2mtu=2290 mac-address=D6:CA:6D:29:53:B3 master-interface=\
wlan1 name=wlan2 security-profile=profile1 ssid=hophay wds-cost-range=0 \
wds-default-cost=0
/ip pool
add name=dhcp_pool1 ranges=192.168.151.2-192.168.151.254
add name=dhcp_pool2 ranges=192.168.133.2-192.168.133.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=3d name=\
dhcp1
add address-pool=dhcp_pool2 disabled=no interface=wlan2 lease-time=3d name=\
dhcp2
/system logging action
set 1 disk-file-name=""
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=wlan1
/ip address
add address=192.168.151.1/24 interface=bridge1 network=192.168.151.0
add address=192.168.133.1/24 interface=wlan2 network=192.168.133.0
/ip dhcp-server network
add address=192.168.133.0/24 gateway=192.168.133.1
add address=192.168.151.0/24 dns-server=77.88.8.7,77.88.8.3 gateway=\
192.168.151.1
/ip dns
set servers=77.88.8.7,77.88.8.3
/ip firewall filter
add action=drop chain=input comment="drop brute forcers" src-address-list=\
blacklist
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=1w chain=input connection-state=new dst-port=\
21,22,23,8291 in-interface=mts protocol=tcp src-address-list=\
blacklist_stage2
add action=add-src-to-address-list address-list=blacklist_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=\
21,22,23,8291 in-interface=mts protocol=tcp src-address-list=\
blacklist_stage1
add action=add-src-to-address-list address-list=blacklist_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=\
21,22,23,8291 in-interface=mts protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=mts src-address=\
192.168.151.0/24
add action=masquerade chain=srcnat out-interface=mts src-address=\
192.168.133.0/24
/system clock
set time-zone-name=Europe/Volgograd
/system leds
set 0 interface=wlan1