svyaznoy Опубликовано 4 мая, 2017 · Жалоба Здравствуйте форумчане. Есть проблемка((. Есть микротик hap lite в качестве wi-fi роутера. Хочу дома организовать 2 точки доступа вай фай на одной железке с отдельными паролями и фильтрами для взрослых и детей отдельно. Настроил два бриджа. В первый бридж закинул wlan1 и ether1, во второй бридж - wlan2 и ether3, ether4 1)Не могу организовать два wi-fi канала с отдельными паролями с дхцп сервером для них. Когда проверяю - на первую точку захожу инет работает, а на вторую точку не пускает. 2)Также нужно привязать для каждого бриджа отдельные DNS (для бриджа1 - 8.8.8.8 для взрослых и для бриджа2 - 77.88.8.7 для детей) Как это правильно настроить??? Просьба помочь??? Вот конфиг: [@MikroTik] > export compact # may/04/2017 13:01:49 by RouterOS 6.38.5 # software id = 3QSP-PLYS # /interface bridge add name=bridge1 add name=bridge2 /interface ethernet set [ find default-name=ether1 ] mac-address=00:xx:xx:xx:xx:xx /interface pptp-client add connect-to=1.1.1.1 disabled=no name=pptp-client password=usert1 user=\ usert1 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap eap-methods="" \ wpa-pre-shared-key=1234567890 wpa2-pre-shared-key=1234567890 add authentication-types=wpa2-psk,wpa2-eap eap-methods="" \ management-protection=allowed mode=dynamic-keys name=00000000 \ supplicant-identity="" wpa2-pre-shared-key=00000000 add authentication-types=wpa2-psk,wpa2-eap management-protection=allowed mode=\ dynamic-keys name=11111111 supplicant-identity="" wpa2-pre-shared-key=\ 11111111 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \ disabled=no frequency=auto mode=ap-bridge security-profile=11111111 ssid=\ "\F2\EE\F7\EA\E01" wireless-protocol=802.11 wps-mode=disabled add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:A2:AA:AA \ master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\ wlan2 security-profile=00000000 ssid="\F2\EE\F7\EA\E02" wds-cost-range=0 \ wds-default-cost=0 wps-mode=disabled /ip firewall layer7-protocol add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook\ |ok.ru|youtube.com).*\$" /ip pool add name=pool-1 ranges=192.168.10.11-192.168.10.100 add name=pool-2 ranges=192.168.10.130-192.168.10.250 /ip dhcp-server add add-arp=yes address-pool=pool-1 disabled=no interface=bridge1 name=\ DHCP-serv1 src-address=192.168.10.1 add add-arp=yes address-pool=pool-2 disabled=no interface=bridge2 name=\ DHCP-serv2 src-address=192.168.10.1 /interface bridge port add bridge=bridge1 interface=wlan1 add bridge=bridge1 interface=ether2 add bridge=bridge2 interface=wlan2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 /ip address add address=192.168.10.1/24 interface=bridge1 network=192.168.10.0 add address=192.168.10.1/24 interface=bridge2 network=192.168.10.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=77.88.8.7,8.8.8.8 /ip firewall address-list add address=192.168.10.130-192.168.10.250 list=local_list /ip firewall filter add action=reject chain=forward content=vk.com disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=vkontakte disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=odnoklassniki disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward comment=youtube content=youtube disabled=yes \ protocol=tcp reject-with=tcp-reset src-address-list=local_list add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address=192.168.10.0/24 add action=reject chain=forward content=ok.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address-list=local_list add action=drop chain=forward content=ok.ru disabled=yes protocol=tcp \ src-address-list=local_list add action=reject chain=forward content=go.mail.ru disabled=yes protocol=tcp \ reject-with=tcp-reset src-address-list=local_list add action=reject chain=forward dst-port=80,443 layer7-protocol=social \ out-interface=bridge2 protocol=tcp reject-with=tcp-reset add action=reject chain=forward disabled=yes dst-port=80,443 layer7-protocol=\ social protocol=tcp reject-with=tcp-reset src-address-list=local_list /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=\ 192.168.10.0/24 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /routing ospf network add area=backbone network=192.168.10.0/24 add area=backbone network=10.10.10.0/24 /system clock set time-zone-name=Europe/Moscow /tool mac-server set [ find default=yes ] disabled=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 4 мая, 2017 · Жалоба А зачем бридж? Чем не устраивает два разных DHCP сервера на разных интерфейсах? Если дети умные, а они умные, они сменят на устройстве DNS и будет все работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
svyaznoy Опубликовано 4 мая, 2017 (изменено) · Жалоба А зачем бридж? Чем не устраивает два разных DHCP сервера на разных интерфейсах? Если дети умные, а они умные, они сменят на устройстве DNS и будет все работать. 1)Почему-то у меня не заработал, пробовал ранее 2)Если хорошо запаролить устройство то дети не тронут Изменено 4 мая, 2017 пользователем svyaznoy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 4 мая, 2017 · Жалоба Кто ребенку запрещает изменить настройки на самом устройстве? Вам нужно на 2 разных интерфейса повешать две разные посети допустим 192.168.10.1/24 и 192.168.11.1/24 Создать два разных DHCP сервера с двумя разными пулами. Создать правило маскарада(ната) хотите можете добавить два для каждой сети. Создать правило фаервола для подсети, чтобы дропать все пакеты на 53 порту кроме 77.88.8.7 Дальше уже думаем, как запретить детям VPN, TOR, proxy сервера. :D При бриджах нужно роутер еще в сейф ложить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 4 мая, 2017 · Жалоба Дальше уже думаем, как запретить детям VPN, TOR, proxy сервера. :D вот делать вам нечего. РКН укусил? Интернет с сим-карты то все равно не будет кастрированным Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 4 мая, 2017 · Жалоба Я до человека донести хочу, что его идея утопия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...