Jump to content
Калькуляторы

не работают два канала wi-fi на микротик микротик вай фай

Здравствуйте форумчане. Есть проблемка((. Есть микротик hap lite в качестве wi-fi роутера. Хочу дома организовать 2 точки доступа вай фай на одной железке с отдельными паролями и фильтрами для взрослых и детей отдельно. Настроил два бриджа. В первый бридж закинул wlan1 и ether1, во второй бридж - wlan2 и ether3, ether4

1)Не могу организовать два wi-fi канала с отдельными паролями с дхцп сервером для них. Когда проверяю - на первую точку захожу инет работает, а на вторую точку не пускает.

2)Также нужно привязать для каждого бриджа отдельные DNS (для бриджа1 - 8.8.8.8 для взрослых и для бриджа2 - 77.88.8.7 для детей)

Как это правильно настроить??? Просьба помочь???

Вот конфиг:

 

[@MikroTik] > export compact

# may/04/2017 13:01:49 by RouterOS 6.38.5

# software id = 3QSP-PLYS

#

/interface bridge

add name=bridge1

add name=bridge2

/interface ethernet

set [ find default-name=ether1 ] mac-address=00:xx:xx:xx:xx:xx

/interface pptp-client

add connect-to=1.1.1.1 disabled=no name=pptp-client password=usert1 user=\

usert1

/ip neighbor discovery

set ether1 discover=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap eap-methods="" \

wpa-pre-shared-key=1234567890 wpa2-pre-shared-key=1234567890

add authentication-types=wpa2-psk,wpa2-eap eap-methods="" \

management-protection=allowed mode=dynamic-keys name=00000000 \

supplicant-identity="" wpa2-pre-shared-key=00000000

add authentication-types=wpa2-psk,wpa2-eap management-protection=allowed mode=\

dynamic-keys name=11111111 supplicant-identity="" wpa2-pre-shared-key=\

11111111

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \

disabled=no frequency=auto mode=ap-bridge security-profile=11111111 ssid=\

"\F2\EE\F7\EA\E01" wireless-protocol=802.11 wps-mode=disabled

add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:A2:AA:AA \

master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\

wlan2 security-profile=00000000 ssid="\F2\EE\F7\EA\E02" wds-cost-range=0 \

wds-default-cost=0 wps-mode=disabled

/ip firewall layer7-protocol

add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook\

|ok.ru|youtube.com).*\$"

/ip pool

add name=pool-1 ranges=192.168.10.11-192.168.10.100

add name=pool-2 ranges=192.168.10.130-192.168.10.250

/ip dhcp-server

add add-arp=yes address-pool=pool-1 disabled=no interface=bridge1 name=\

DHCP-serv1 src-address=192.168.10.1

add add-arp=yes address-pool=pool-2 disabled=no interface=bridge2 name=\

DHCP-serv2 src-address=192.168.10.1

/interface bridge port

add bridge=bridge1 interface=wlan1

add bridge=bridge1 interface=ether2

add bridge=bridge2 interface=wlan2

add bridge=bridge2 interface=ether3

add bridge=bridge2 interface=ether4

/ip address

add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0

add address=192.168.10.1/24 interface=bridge2 network=192.168.10.0

/ip dhcp-client

add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dhcp-server network

add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1

/ip dns

set allow-remote-requests=yes servers=77.88.8.7,8.8.8.8

/ip firewall address-list

add address=192.168.10.130-192.168.10.250 list=local_list

/ip firewall filter

add action=reject chain=forward content=vk.com disabled=yes protocol=tcp \

reject-with=tcp-reset src-address=192.168.10.0/24

add action=reject chain=forward content=vkontakte disabled=yes protocol=tcp \

reject-with=tcp-reset src-address=192.168.10.0/24

add action=reject chain=forward content=odnoklassniki disabled=yes protocol=tcp \

reject-with=tcp-reset src-address=192.168.10.0/24

add action=reject chain=forward comment=youtube content=youtube disabled=yes \

protocol=tcp reject-with=tcp-reset src-address-list=local_list

add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \

reject-with=tcp-reset src-address=192.168.10.0/24

add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \

reject-with=tcp-reset src-address-list=local_list

add action=drop chain=forward content=ok.ru disabled=yes protocol=tcp \

src-address-list=local_list

add action=reject chain=forward content=go.mail.ru disabled=yes protocol=tcp \

reject-with=tcp-reset src-address-list=local_list

add action=reject chain=forward dst-port=80,443 layer7-protocol=social \

out-interface=bridge2 protocol=tcp reject-with=tcp-reset

add action=reject chain=forward disabled=yes dst-port=80,443 layer7-protocol=\

social protocol=tcp reject-with=tcp-reset src-address-list=local_list

/ip firewall nat

add action=masquerade chain=srcnat out-interface=ether1 src-address=\

192.168.10.0/24

/ip service

set telnet disabled=yes

set ftp disabled=yes

set ssh disabled=yes

set api disabled=yes

set api-ssl disabled=yes

/routing ospf network

add area=backbone network=192.168.10.0/24

add area=backbone network=10.10.10.0/24

/system clock

set time-zone-name=Europe/Moscow

/tool mac-server

set [ find default=yes ] disabled=yes

Share this post


Link to post
Share on other sites

А зачем бридж? Чем не устраивает два разных DHCP сервера на разных интерфейсах?

 

Если дети умные, а они умные, они сменят на устройстве DNS и будет все работать.

Share this post


Link to post
Share on other sites

А зачем бридж? Чем не устраивает два разных DHCP сервера на разных интерфейсах?

 

 

 

Если дети умные, а они умные, они сменят на устройстве DNS и будет все работать.

 

1)Почему-то у меня не заработал, пробовал ранее

 

2)Если хорошо запаролить устройство то дети не тронут

Edited by svyaznoy

Share this post


Link to post
Share on other sites

Кто ребенку запрещает изменить настройки на самом устройстве?

 

Вам нужно на 2 разных интерфейса повешать две разные посети допустим 192.168.10.1/24 и 192.168.11.1/24

 

Создать два разных DHCP сервера с двумя разными пулами.

 

Создать правило маскарада(ната) хотите можете добавить два для каждой сети.

 

Создать правило фаервола для подсети, чтобы дропать все пакеты на 53 порту кроме 77.88.8.7

 

Дальше уже думаем, как запретить детям VPN, TOR, proxy сервера. :D

 

При бриджах нужно роутер еще в сейф ложить.

GfMRduEx324.jpg

Share this post


Link to post
Share on other sites

Дальше уже думаем, как запретить детям VPN, TOR, proxy сервера. :D

 

вот делать вам нечего. РКН укусил?

 

Интернет с сим-карты то все равно не будет кастрированным

Share this post


Link to post
Share on other sites

Я до человека донести хочу, что его идея утопия.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this