[nikolaevalexandr92]

Добрый день всем.

Есть задача построить отдельную кабельную подсеть на одном из портов Mikrotik (RouterBOARD 962UiGS-5HacT2HnT).
Чтобы в дальнейшем подключить на этот порт не управляемый коммутатор. 
Новая подсеть должна быть изолирована от основной, иметь доступ только в интернет.

Из того что сделал:
Создал отдельный бридж добавил туда 4й порт, настроил DHCP.
Клиенты получают нужные адреса, но НЕ имеют доступа к интернет.

Подскажите как сделать чтобы хосты получили доступ в интернет.

Скриншот конфига прилагаю.
 

[pingz]

Давай подскажу без шуток. 

 

IP адрес нужно назначить на интерфейс этот интерфейс убрать из всех бриджей. Это будет у нас шлюз.

Создать отдельный DHCP сервер к нему привязать пул из сети в которой у нас шлюз. Так же нужно создать нетворк где нужно добавить шлюз по умолчанию и DNS.

Дальше нужно создать правило или модернизировать NAT'а, чтобы ваши клиенты под него подпадали. 

Потом создать правило фаервола, чтобы клиенты этой сети не могли выходить на другие сети. 

 

З.Ы. Я помог? 

[nikolaevalexandr92]

Да, все заработало, но потерялся доступ к самому роутеру через Winbox.

 

В правилах доступа у меня указан доступ из основной сети (192.168.2.0/24).

 

Но из нее доступ так же закрылся.

 

[pingz]

@nikolaevalexandr92 заходи через мак

[nikolaevalexandr92]

Никак не пускало. Восстановил из бекапа.

 

Когда заработало DHCP и доступ к интернет для новой сети, основное DHCP перестало работать.

 

 

[nkusnetsov]

@nikolaevalexandr92 , если у Вас дефолтный фаервол, то там есть правило дропающее пакеты пришедшие с интерфейса НЕ в списке "LAN".
Добавьте интерфейс "bridge_guest" в список "LAN" в разделе "Interfces"-"Interface List"

[nikolaevalexandr92]

10 часов назад, nkusnetsov сказал:

@nikolaevalexandr92 , если у Вас дефолтный фаервол, то там есть правило дропающее пакеты пришедшие с интерфейса НЕ в списке "LAN".
Добавьте интерфейс "bridge_guest" в список "LAN" в разделе "Interfces"-"Interface List"

Все заработало, спасибо!