MikroTik.by
For every complex problem, there is a solution that is simple, neat, and wrong.
Нет интернета на гостевом wi-fi (vlan)
Нет интернета на гостевом wi-fi (vlan)
Сообщение greendoom » 25 июн 2021, 11:19
Всем добрый день! Прошу сильно не пинать, так как в теме микротиков я новый человек. Есть 24-х портовик CRS326-24G-2S+. Настроен в режиме обычного свича. Есть внешний дхцп сервачок. Купили 3 микрота hap ac2 для вай фая. Ну соответственно поднял на 24 портовике Capsman, чтобы он рулил этими тремя точками. Настроил, как в большинстве мануалов, две сети: op-office для офисных работников и op-guest для гостей. Для офисного вай фая выставил в Datapath Local forwarding и client to client forwarding. Все хорошо. А вот с гостевой сеткой косяк. Не удается никак на нее инет дать. Пробовал через отдельный бридж, но не сработало. Сейчас сделал для гостевых интерфейсов отдельный vlan, поднял на нем дхцп. Поместил этот vlan в бридж со всеми портами. В итоге клиент получает айпишник от дцхп на микроте, но в инет не выходит. Подскажите, что я упустил. Что нужно донастроить, чтобы не поломать существующую сетку и прикрутить изолированный гостевой вай фай?
# jun/25/2021 10:36:37 by RouterOS 6.47 # software model = CRS326-24G-2S+ # serial number = ******** /caps-man channel add band=2ghz-b/g/n frequency=2447 name=office-2G add band=5ghz-a/n/ac frequency=5300 name=office-5G /interface bridge add admin-mac=C4:********** auto-mac=no comment=defconf name=bridge /interface vlan add arp=reply-only interface=bridge name=vlan10-guest vlan-id=10 /caps-man datapath add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=\ op-office add bridge=bridge client-to-client-forwarding=no local-forwarding=no name=\ op-guest vlan-id=10 vlan-mode=use-tag /caps-man security add authentication-types=wpa2-eap eap-methods=passthrough \ eap-radius-accounting=yes encryption=aes-ccm group-encryption=aes-ccm \ name=op-office add authentication-types=wpa2-psk encryption=aes-ccm name=op-guest \ passphrase=********* /caps-man configuration add channel=office-2G country=belarus datapath=op-office mode=ap name=\ op-office-2G rx-chains=0,1,2,3 security=op-office ssid=office \ tx-chains=0,1,2,3 add channel=office-5G country=belarus datapath=op-office mode=ap name=\ op-office-5G rx-chains=0,1,2,3 security=op-office ssid=office \ tx-chains=0,1,2,3 add channel=office-2G country=belarus datapath=op-guest mode=ap name=\ op-guest-2G rx-chains=0,1,2,3 security=op-guest ssid=office-guest \ tx-chains=0,1,2,3 add channel=office-5G country=belarus datapath=op-guest mode=ap name=\ op-guest-5G rx-chains=0,1,2,3 security=op-guest ssid=office-guest \ tx-chains=0,1,2,3 /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp_pool_guest ranges=192.168.89.2-192.168.89.254 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool_guest disabled=no interface=\ vlan10-guest name=dhcp-guest /queue type add kind=pcq name=queue-guest-download pcq-classifier=dst-address pcq-rate=\ 10M add kind=pcq name=queue-guest-upload pcq-classifier=src-address pcq-rate=10M /queue simple add max-limit=10M/10M name=queue-guest queue=\ queue-guest-upload/queue-guest-download target=192.168.89.0/24 /user group set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\ sword,web,sniff,sensitive,api,romon,dude,tikapp" /caps-man access-list add action=accept allow-signal-out-of-range=10s disabled=no signal-range=\ -75..120 ssid-regexp="" add action=reject allow-signal-out-of-range=10s disabled=no signal-range=\ -120..76 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled master-configuration=op-office-2G \ name-format=prefix-identity name-prefix=2G radio-mac=48:******** \ slave-configurations=op-guest-2G add action=create-dynamic-enabled master-configuration=op-office-5G \ name-format=prefix-identity name-prefix=5G radio-mac=48:******** \ slave-configurations=op-guest-5G add action=create-dynamic-enabled master-configuration=op-office-2G \ name-format=prefix-identity name-prefix=2G radio-mac=48:******** \ slave-configurations=op-guest-2G add action=create-dynamic-enabled master-configuration=op-office-5G \ name-format=prefix-identity name-prefix=5G radio-mac=48:********* \ slave-configurations=op-guest-5G add action=create-dynamic-enabled master-configuration=op-office-2G \ name-format=prefix-identity name-prefix=2G radio-mac=48:********* \ slave-configurations=op-guest-2G add action=create-dynamic-enabled master-configuration=op-office-5G \ name-format=prefix-identity name-prefix=5G radio-mac=48:********* \ slave-configurations=op-guest-5G /interface bridge port add bridge=bridge comment=defconf hw=no interface=ether1 add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=ether6 add bridge=bridge comment=defconf interface=ether7 add bridge=bridge comment=defconf interface=ether8 add bridge=bridge comment=defconf interface=ether9 add bridge=bridge comment=defconf interface=ether10 add bridge=bridge comment=defconf interface=ether11 add bridge=bridge comment=defconf interface=ether12 add bridge=bridge comment=defconf interface=ether13 add bridge=bridge comment=defconf interface=ether14 add bridge=bridge comment=defconf interface=ether15 add bridge=bridge comment=defconf interface=ether16 add bridge=bridge comment=defconf interface=ether17 add bridge=bridge comment=defconf interface=ether18 add bridge=bridge comment=defconf interface=ether19 add bridge=bridge comment=defconf interface=ether20 add bridge=bridge comment=defconf interface=ether21 add bridge=bridge comment=defconf interface=ether22 add bridge=bridge comment=defconf interface=ether23 add bridge=bridge comment=defconf interface=ether24 /interface list member add interface=ether1 list=WAN add interface=ether2 list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=ether5 list=LAN add interface=ether6 list=LAN add interface=ether7 list=LAN add interface=ether8 list=LAN add interface=ether9 list=LAN add interface=ether10 list=LAN add interface=ether11 list=LAN add interface=ether12 list=LAN add interface=ether13 list=LAN add interface=ether14 list=LAN add interface=ether15 list=LAN add interface=ether16 list=LAN add interface=ether17 list=LAN add interface=ether18 list=LAN add interface=ether19 list=LAN add interface=ether20 list=LAN add interface=ether21 list=LAN add interface=ether22 list=LAN add interface=ether23 list=LAN add interface=ether24 list=LAN /ip address add address=192.168.65.225/24 disabled=yes interface=ether2 network=\ 192.168.65.0 add address=192.168.65.230 interface=bridge network=192.168.65.0 add address=192.168.89.1/24 interface=vlan10-guest network=192.168.89.0 /ip dhcp-client add disabled=no interface=bridge /ip dhcp-server network add address=192.168.89.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.89.1 /ip dns set servers=192.168.65.15,192.168.65.60 /ip route add disabled=yes distance=1 gateway=192.168.65.1 /ip route rule add action=drop disabled=yes dst-address=192.168.89.0/24 src-address=\ 192.168.65.0/24 add action=drop disabled=yes dst-address=192.168.65.0/24 src-address=\ 192.168.89.0/24 /radius add address=192.168.65.145 secret=******** service=wireless timeout=3s600ms /system clock set time-zone-name=Europe/Minsk /system identity set name="Mikrotik" /system logging add topics=radius /system routerboard settings set boot-os=router-os
Настройка гостевой сети WiFi на Mikrotik
Опубликовано: 03.06.2020
Используемые термины: Mikrotik, WiFi. Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.
Создание гостевой сети
Переходим к настройке WiFi интерфейсов: Переходим на вкладку Security Profiles — кликаем по плюсу для создания нового профиля — задаем имя для профиля и настраиваем безопасность: * в данном примере будет создан профиль с названием profile_wifi_guest; разрешаем только WPA2; задаем ключ безопасности (пароль для подключения к WiFi). На вкладке WiFi Interfaces создаем новый виртуальный интерфейс (Virtual): На вкладке General задаем имя для нашей гостевой беспроводной сети: Переходим на вкладку Wireless — задаем SSID — выбираем реальный беспроводной интерфейс (Master Interface) и профиль безопасности, который мы создали ранее:
Настройка IP-адресации
Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP. Переходим в раздел IP: . и Pool: На вкладке Pools создаем новый диапазон адресов: * в данном примере мы создали список адресов 172.16.10.2-172.16.10.254. Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка. Переходим в раздел IP — DHCP Server: На вкладке DHCP создаем новую настройку: * где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов. Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу: * где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google. Осталось назначить IP для самого микротика. Переходим в IP — Addresses: Создаем новый адрес: * мы создадим новый IP адрес 172.16.10.1, который будет назначен роутеру гостевому интерфейсу.
Блокируем доступ к локальной сети
Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра. Переходим в IP — Firewall: На вкладке Filter Rules создаем новое правило: * мы должны создать правило в Chain forward; запрещающее запросы из локальной сети (192.168.88.0/24) в гостевую (172.16.10.0/24). В вашем случае это могут быть другие подсети. . а на вкладке Action мы должны выбрать drop: Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную: Перенесем созданные правила повыше: Готово.
Если в гостевой сети нет Интернета
- Устройство, подключенное к WiFi получает IP-адрес автоматически, а не вручную.
- Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
- Нет специально созданных правил Firewall, которые запрещают весь трафик.
- Убедиться, что микротик, в принципе, раздает Интернет.
Ограничение и лимиты
Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.
Скорость
Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues:
На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:
- Name — имя нашего скоростного ограничения.
- Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
- Max Limit — максимальная скорость передачи данных.
- Burst Limit — скорость в режиме turbo.
- Burst Threshold — скорость, при превышении которой активируется режим ограничения.
- Burst Time — время в секундах для расчета средней скорости.
Нажимаем OK для завершения настройки.
Время (расписание работы WiFi)
Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:
/interface wireless set [ find name=»Guest WiFi» ] disabled=yes
/interface wireless set [ find name=»Guest WiFi» ] disabled=no
* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.
Переходим в раздел System:
. и Scheduler:
Создаем новую задачу по расписанию и указываем следующие настройки:
- Name — имя для задания.
- Start Time — время начала отработки. Предположим, в 8 утра.
- Interval — период отработки. В данном примере каждый день.
- On Event — что выполняем.
И следом создаем задание на выключение WiFi: