svyaznoy Posted May 4, 2017 · Report post Здравствуйте форумчане. Есть проблемка((. Есть микротик hap lite в качестве wi-fi роутера. Хочу дома организовать 2 точки доступа вай фай на одной железке с отдельными паролями и фильтрами для взрослых и детей отдельно. Настроил два бриджа. В первый бридж закинул wlan1 и ether1, во второй бридж - wlan2 и ether3, ether4 1)Не могу организовать два wi-fi канала с отдельными паролями с дхцп сервером для них. Когда проверяю - на первую точку захожу инет работает, а на вторую точку не пускает. 2)Также нужно привязать для каждого бриджа отдельные DNS (для бриджа1 - 8.8.8.8 для взрослых и для бриджа2 - 77.88.8.7 для детей) Как это правильно настроить??? Просьба помочь??? Вот конфиг: [@MikroTik] > export compact # may/04/2017 13:01:49 by RouterOS 6.38.5 # software id = 3QSP-PLYS # /interface bridge add name=bridge1 add name=bridge2 /interface ethernet set [ find default-name=ether1 ] mac-address=00:xx:xx:xx:xx:xx /interface pptp-client add connect-to=1.1.1.1 disabled=no name=pptp-client password=usert1 user=\ usert1 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap eap-methods="" \ wpa-pre-shared-key=1234567890 wpa2-pre-shared-key=1234567890 add authentication-types=wpa2-psk,wpa2-eap eap-methods="" \ management-protection=allowed mode=dynamic-keys name=00000000 \ supplicant-identity="" wpa2-pre-shared-key=00000000 add authentication-types=wpa2-psk,wpa2-eap management-protection=allowed mode=\ dynamic-keys name=11111111 supplicant-identity="" wpa2-pre-shared-key=\ 11111111 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \ disabled=no frequency=auto mode=ap-bridge security-profile=11111111 ssid=\ "\F2\EE\F7\EA\E01" wireless-protocol=802.11 wps-mode=disabled add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:A2:AA:AA \ master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\ wlan2 security-profile=00000000 ssid="\F2\EE\F7\EA\E02" wds-cost-range=0 \ wds-default-cost=0 wps-mode=disabled /ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook\ |ok.ru|youtube.com).*\$" /ip pool add name=pool-1 ranges=192.168.10.11-192.168.10.100 add name=pool-2 ranges=192.168.10.130-192.168.10.250 /ip dhcp-server add add-arp=yes address-pool=pool-1 disabled=no interface=bridge1 name=\ DHCP-serv1 src-address=192.168.10.1 add add-arp=yes address-pool=pool-2 disabled=no interface=bridge2 name=\ DHCP-serv2 src-address=192.168.10.1 /interface bridge port add bridge=bridge1 interface=wlan1 add bridge=bridge1 interface=ether2 add bridge=bridge2 interface=wlan2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 /ip address add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0 add address=192.168.10.1/24 interface=bridge2 network=192.168.10.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7,8.8.8.8 /ip firewall address-list add address=192.168.10.130-192.168.10.250 list=local_list /ip firewall filter add action=reject chain=forward content=vk.com disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=vkontakte disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=odnoklassniki disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward comment=youtube content=youtube disabled=yes \ protocol=tcp reject-with=tcp-reset src-address-list=local_list add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address-list=local_list add action=drop chain=forward content=ok.ru disabled=yes protocol=tcp \ src-address-list=local_list add action=reject chain=forward content=go.mail.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address-list=local_list add action=reject chain=forward dst-port=80,443 layer7-protocol=social \ out-interface=bridge2 protocol=tcp reject-with=tcp-reset add action=reject chain=forward disabled=yes dst-port=80,443 layer7-protocol=\ social protocol=tcp reject-with=tcp-reset src-address-list=local_list /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=\ 192.168.10.0/24 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /routing ospf network add area=backbone network=192.168.10.0/24 add area=backbone network=10.10.10.0/24 /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 4, 2017 · Report post А зачем бридж? Чем не устраивает два разных DHCP сервера на разных интерфейсах? Если дети умные, а они умные, они сменят на устройстве DNS и будет все работать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
svyaznoy Posted May 4, 2017 (edited) · Report post А зачем бридж? Чем не устраивает два разных DHCP сервера на разных интерфейсах? Если дети умные, а они умные, они сменят на устройстве DNS и будет все работать. 1)Почему-то у меня не заработал, пробовал ранее 2)Если хорошо запаролить устройство то дети не тронут Edited May 4, 2017 by svyaznoy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 4, 2017 · Report post Кто ребенку запрещает изменить настройки на самом устройстве? Вам нужно на 2 разных интерфейса повешать две разные посети допустим 192.168.10.1/24 и 192.168.11.1/24 Создать два разных DHCP сервера с двумя разными пулами. Создать правило маскарада(ната) хотите можете добавить два для каждой сети. Создать правило фаервола для подсети, чтобы дропать все пакеты на 53 порту кроме 77.88.8.7 Дальше уже думаем, как запретить детям VPN, TOR, proxy сервера. :D При бриджах нужно роутер еще в сейф ложить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted May 4, 2017 · Report post Дальше уже думаем, как запретить детям VPN, TOR, proxy сервера. :D вот делать вам нечего. РКН укусил? Интернет с сим-карты то все равно не будет кастрированным Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 4, 2017 · Report post Я до человека донести хочу, что его идея утопия. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...