cad2206 Posted July 3, 2014 · Report post Добрый день. Пытаюсь настроить на RB912UAG-2HPnD гостевую сеть wi-fi. Настраивал по этой статье: http://www.technotrade.com.ua/Articles/virtual_ap_mi…tup.php#nat_setup. Единственное что, роутер настраивал с нуля, прописал: 1) для ether1 адрес 192.168.0.4 маска 255.255.255.0 шлюз 192.168.0.1 (это другой микротик, раздающий интернет, с адресом 192.168.0.1); 2) для wlan1 ничего не прописывал; 3) для wlan2 (гостевая сеть) адрес 192.168.2.4 маска 255.255.255.0. На него повесил dhcp сервер 4) ether1 и wlan1 воткнул в bridge_main 5) wlan2 не втыкал (если воткнуть, то естесственно клиент получает адрес 192.168.0.х... В итоге, клиент подключающийся к сети wlan1 сквозняком получает адрес (192.168.0.x) от dhcp сервера на 192.168.0.1 и получает доступ и к ЛВС и к Интернету. А вот клиент, подключающийся к wlan2 получает адрес (192.168.2.х) от dhcp сервера на 192.168.2.4 и не видит ни ЛВС ни Интернет. Понимаю, что нужно прописать маршрут из сети 192.168.2.0/24 в 192.168.0.0/24, но как только не прописывал - результат нулевой. NAT и фаервол вообще не трогал, они вроде нужны только чтобы изолировать сети... но пока они и так изолированы)))). Подскажите, что я не так делаю? С микротиком "общаюсь" одну неделю. Может не понимаю логику и принцип его работы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted July 3, 2014 (edited) · Report post Нахрена WAN и LAN интерфейсы воткнуты в бридж? Если создан бридж, то dhcp сервер (и всё прочее) надо вешать только на бридж. Вам бридж не нужен. Надо повесить разные dhcp сервера на каждый из интерфейсов. На каждом из них будет своя подсеть, отличная от той что на ether1. Edited July 3, 2014 by Diamont Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
cad2206 Posted July 3, 2014 · Report post Нахрена WAN и LAN интерфейсы воткнуты в бридж? ммм, я про WAN интервейс ничего не говорил, у этого роутера всего-то один порт ether1 vlan1 (wi-fi интерфейс для работников) соединен с ether1 в bridge для того, чтобы клиенты, подключаемые к vlan1 напрямую подключались к локальной сети 192.168.0.0 (dhcp сервер находится в этой подсети) vlan2 (виртуальная wi-fi сеть для гостей). на нем повешен второй dhcp сервер раздающий адреса для сети 192.168.2.0 если клиент подключается в точке на vlan1, он получает адрес 192.168.0.х и имеет доступ и к локальной сети и в интернет. Если клиент подключается к точке на vlan2, он получает адрес 192.168.2.х. Но не могу понять как его пустить в сеть 192.168.0.0 для выдачи интернета. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted July 3, 2014 · Report post У вас ether1 и есть WAN. Если надо запретить клиентам гостевой сети видеть локалку, то настраивайте, как я сказал и играйте с фаерволом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vovannovig Posted July 3, 2014 · Report post Понимаю, что нужно прописать маршрут из сети 192.168.2.0/24 в 192.168.0.0/24, но как только не прописывал - результат нулевой. NAT и фаервол вообще не трогал, они вроде нужны только чтобы изолировать сети... но пока они и так изолированы)))). Не знаю что вы там пробовали но можно включить НАТ на все... /ip firewall nat add action=masquerade chain=srcnat comment="NAT" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 3, 2014 · Report post Не знаю что вы там пробовали но можно включить НАТ на все... /ip firewall nat add action=masquerade chain=srcnat comment="NAT" Вот так НАТ не следует включать, если не хотите потом проблемы искать. НАТ включается только по src.address, в таком случае все работает прозрачно и правильно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vovannovig Posted July 4, 2014 · Report post Вот так НАТ не следует включать, если не хотите потом проблемы искать. НАТ включается только по src.address, в таком случае все работает прозрачно и правильно. Я дал человеку направление(так же сразу указал что нат на все), а он исходя из того заработает или нет пускай создает списки адресов, правит,... и вообще обраается к - http://wiki.mikrotik.com/wiki/Manual:IP , а в частности http://wiki.mikrotik.com/wiki/Manual:IP/Firewall Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...