Проблема с DHCP при настройке Virtual AP

[Grobovoi]

Понадобилось создать виртуальную точку доступа для ВИП-персон
Основная сеть 192.168.0.0/24, ip роутера 192.168.0.1
Создал виртуальный wlan2, настроил безопасность на нем, присвоил IP 192.168.13.1, добавил интерфейс wlan2 в бридж
Создал новый пул для DHCP для подсети 192.168.13.0 и начал настраивать второй DHCP сервер и тут наткнулся на проблему. При создании при помощи DHCP Setup пишет There is no such IP network on selected interface. При создании через Add New пишет мол Инвалид (Invalid).

 Конфиг

/interface bridge

add mtu=1500 name=bridge1 protocol-mode=none

/interface wireless

set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors \
frequency=2422 l2mtu=2290 mode=ap-bridge periodic-calibration=enabled \
periodic-calibration-interval=10 ssid=******* wireless-protocol=802.11

/interface pppoe-client

add add-default-route=yes disabled=no interface=ether1 max-mru=1480 max-mtu=\
1480 name=pppoe-out1 password=******* use-peer-dns=yes user=*********

/ip neighbor discovery

set wlan1 discover=no

set pppoe-out1 discover=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=******** wpa2-pre-shared-key=*********

add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=wifi-vip supplicant-identity="" \
wpa2-pre-shared-key=**********

/interface wireless

add disabled=no l2mtu=2290 mac-address=4E:5E:0C:34:2F:73 master-interface=\
wlan1 name=wlan2 security-profile=wifi-vip ssid=*******-VIP \
wds-cost-range=0 wds-default-cost=0

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=3des

/ip pool

add name=dhcp ranges=192.168.0.36-192.168.0.150

add name=vip-pool ranges=192.168.13.5-192.168.13.75

/ip dhcp-server

add address-pool=dhcp disabled=no interface=bridge1 lease-time=1h name=dhcp1

# DHCP server can not run on slave interface!

add address-pool=vip-pool disabled=no interface=wlan2 lease-time=3d name=\
vip-pool

/system logging action

set 0 memory-lines=100

set 1 disk-lines-per-file=100

/interface bridge port

add bridge=bridge1 interface=wlan1

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

add bridge=bridge1 interface=wlan2

/ip address

add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0

add address=192.168.13.1/24 interface=wlan2 network=192.168.13.0

/ip dhcp-server network

add address=192.168.0.0/24 dns-server=192.168.0.1,8.8.8.8 gateway=192.168.0.1 \
netmask=24

add address=192.168.13.0/24 dns-server=192.168.13.1,8.8.8.8 gateway=\
192.168.13.1 netmask=24

/ip dns

set allow-remote-requests=yes servers=87.249.224.1,92.61.16.1

/ip firewall address-list

add address=192.168.13.0/24 comment=VIP-Users list=VIP

add address=192.168.0.0/24 comment=Bidlo list=Holops

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.0.0/24

add action=masquerade chain=srcnat src-address=192.168.13.0/24

add action=netmap chain=dstnat comment=Cam1 dst-port=48006 in-interface=\
pppoe-out1 protocol=tcp to-addresses=192.168.0.20 to-ports=48006

add action=netmap chain=dstnat comment=Cam2 dst-port=48005 in-interface=\
pppoe-out1 protocol=tcp to-addresses=192.168.0.21 to-ports=48005

add action=netmap chain=dstnat dst-port=554 in-interface=pppoe-out1 protocol=\
tcp to-addresses=192.168.0.20 to-ports=554

add action=netmap chain=dstnat dst-port=555 in-interface=pppoe-out1 protocol=\
tcp to-addresses=192.168.0.21 to-ports=554

/ip proxy

set cache-path=web-proxy1 parent-proxy=0.0.0.0

/ip upnp

set allow-disable-external-interface=yes enabled=yes

/ip upnp interfaces

add interface=bridge1 type=internal

add interface=pppoe-out1 type=external

/romon port

add disabled=no

/system clock

set time-zone-autodetect=no time-zone-name=Europe/Samara

/system clock manual

set time-zone=+04:00

/system leds

set 0 interface=wlan1

/system ntp client

set enabled=yes primary-ntp=94.242.49.220 secondary-ntp=95.140.150.140

/system watchdog

set watchdog-timer=no

Подскажите, где собака зарыта?

[summit]

не нужно wlan2 добавлять в бридж - возникает конфликт адресов

[Grobovoi]

не нужно wlan2 добавлять в бридж - возникает конфликт адресов

Спасибо, попробую. И еще пара вопросов
1)Нужно ли для второй подсети создать правило для маскарадинга?
2)Можно ли для клиентов виртуальной точки доступа раздавать IP-адреса из основной сетки?

[summit]

1. нет
2. можно, но тогда пропадает смысл в виртуальной точке

[Grobovoi]

1. нет
2. можно, но тогда пропадает смысл в виртуальной точке

Смысл есть, но мб я криво решаю поставленную задачу) Нужно некоторым пользователям обеспечить гарантированную скорость в инет. Причем МАК-адреса этих юзеров неизвестны, т.к. это приходящие люди. Вот я и решил таким образом разделить обычных юзеров от привилегированных, а дальше замутить динамический шейпинг

[podarok66]

Нужно некоторым пользователям обеспечить гарантированную скорость в инет. Причем МАК-адреса этих юзеров неизвестны, т.к. это приходящие люди. Вот я и решил таким образом разделить обычных юзеров от привилегированных, а дальше замутить динамический шейпинг

Но вланы-то тут при чем? Поднимите для них VirtualAP со своим DHCP-сервером, дайте на этот диапазон гарантированную скорость в шейпере. Хождение из гостевой локалки в домашнюю регулируйте роутами. Вот так у меня дома сетка для гостей висит:

 Домашняя гостевуха

Код: Выделить всё

/interface bridge
add mtu=1500 name=bridge1

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no frequency=2437 l2mtu=1600 mode=ap-bridge multicast-helper=\
    full name=Mikrotik radio-name=Mikrotik ssid=Mikrotik tdma-period-size=\
    auto tx-power-mode=all-rates-fixed wds-ignore-ssid=yes wireless-protocol=\
    unspecified wmm-support=enabled

/interface wireless security-profiles
set [ find default=yes ] eap-methods="" radius-mac-accounting=yes \
    radius-mac-authentication=yes wpa-pre-shared-key=********* \
    wpa2-pre-shared-key=*********
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Guest radius-mac-accounting=yes \
    radius-mac-authentication=yes wpa2-pre-shared-key=*********

/interface wireless
add disabled=no l2mtu=1600 mac-address=D6:CA:6D:CA:35:21 master-interface=\
    Mikrotik name=MyNet security-profile=Guest ssid=MyNet wds-cost-range=0 \
    wds-default-cost=0 wmm-support=enabled

/ip pool
add name=Pool ranges=192.168.100.11-192.168.100.50
add name=pool1 ranges=10.10.20.1-10.10.20.8

/ip dhcp-server
add address-pool=Pool disabled=no interface=bridge1 lease-time=1d name=DHCP
add address-pool=pool1 disabled=no interface=MyNet name=server1

/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=Mikrotik

/interface bridge settings
set use-ip-firewall=yes

/ip address
add address=192.168.100.100/24 interface=bridge1 network=192.168.100.0
add address=10.10.20.1/29 interface=MyNet network=10.10.20.0

/ip dhcp-client
add default-route-distance=0 disabled=no interface=ether2

/ip dhcp-server network
add address=10.10.20.0/29 dns-server=10.10.20.1 gateway=10.10.20.1
add address=192.168.100.0/24 dns-server=192.168.100.10 domain=home gateway=\
    192.168.100.10 netmask=24 wins-server=192.168.100.10
/ip dns
set allow-remote-requests=yes cache-size=15360KiB

/ip firewall nat
add action=masquerade chain=srcnat  out-interface=ether2 

/ip route rule
add action=unreachable dst-address=10.10.20.0/29 src-address=192.168.100.0/24
add action=unreachable dst-address=192.168.100.0/24 src-address=10.10.20.0/29

Обратите внимание, два последних правила запрещают хождение трафика между локальными сетями. Шейпинг уж сами стройте, тут у меня такая мешанина. что самого тошнит...

[Grobovoi]

Но вланы-то тут при чем? Поднимите для них VirtualAP со своим DHCP-сервером, дайте на этот диапазон гарантированную скорость в шейпере. Хождение из гостевой локалки в домашнюю регулируйте роутами.

Не понял вопроса. wlan2 появился при настройке VirtualAP. У Вас в конфиге он тоже есть, только называется по-другому. Или вопрос в том, накукуй я его в бридж засунул? Почему то мне это показалось логичным, ибо тогда как wlan2 cкоммутируется с ether1? И до сих пор не пониманию почему будет работать НАТ для второй подсети, если нет правила для маскарадинга. Изменения опробую наверно только завтра, отпишусь о результатах.

[gmx]

Читайте про фаерволл в микротике.
Маскарадинг в микротике очень занятная штука.


Вот это правило у podarok66 означает "всюду и со всеми"
add action=masquerade chain=srcnat out-interface=ether2