Проблема с организацией гостевой сети Wi-Fi

[Reitzteil]

Здравствуйте.

Имеется Mikrotik RB2011UiAS-2HnD-IN, по мануалам сконфигурировал его так: на ether6 создан PPPoE client и подключен кабель провайдера, другие интерфейсы, включая wlan1, объединены для локальной сети в bridge-Local, к роутеру для настройки через WinBox подключаюсь ноутбуком по ether2. DHCP-сервер в подсети 192.168.1.0/24 работает, проверял, Wi-Fi также раздается по локалке, т.е. проводной и беспроводной интернет есть везде. Когда пытаюсь создать гостевой сегмент Wi-Fi с изоляцией от обычной локалки, т.е. с использованием гостевого бриджа (делал как здесь: https://pogrommist.ru/2018/06/nastroit- ... s-2hnd-in/), то интернет в гостям в подсеть 10.1.40.0/24 не раздается, проверял на двух ноутбуках с Win7 и Win10, на обоих значок Wi-Fi в трее пишет "Без подключения к интернету", хотя адрес по второму DHCP-серверу им присваивается корректно. Шлюз и DNS-сервер одинаковые, 10.1.40.1. В чем может быть причина?

 

# may/22/2019 20:50:36 by RouterOS 6.44
# software id = PXL9-P26U
#
# model = 2011UiAS-2HnD
# serial number = 91E109577F5B
/interface bridge
add arp=proxy-arp name=bridge-Local
add name=bridge_guest
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether6 ] comment=WAN
set [ find default-name=ether7 ] comment=LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether6 name=pppoe-out1 \
password=******** use-peer-dns=yes user=v*******
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no frequency-mode=\
superchannel hw-protection-mode=rts-cts mode=ap-bridge radio-name=Mikrotik \
ssid=Abius_mikrotik wireless-protocol=802.11 wps-mode=disabled
/interface pptp-client
add connect-to=88.87.**.*** name=pptp-out1 password=****** user=admin
/interface vlan
add disabled=yes interface=bridge-Local name=vlan1 vlan-id=2
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=******** \
wpa2-pre-shared-key=********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=\
Guest_Wi-Fi supplicant-identity="" unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=******** wpa2-pre-shared-key=********
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=BA:69:F4:DC:84:9F \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=Guest_Wi-Fi ssid=test_guest wds-cost-range=0 \
wds-default-cost=0 wmm-support=enabled wps-mode=disabled
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool3 ranges=192.168.1.2-192.168.1.254
add name=pool_guest ranges=10.1.40.2-10.1.40.40
/ip dhcp-server
add address-pool=dhcp_pool3 disabled=no interface=bridge-Local name=dhcp1
add address-pool=pool_guest disabled=no interface=bridge_guest name=\
server_guest
/queue simple
add max-limit=5120k/10240k name=queue1 target=bridge_guest
/interface bridge port
add bridge=bridge-Local interface=ether1
add bridge=bridge-Local interface=ether2
add bridge=bridge-Local interface=ether3
add bridge=bridge-Local interface=ether4
add bridge=bridge-Local interface=ether5
add bridge=bridge-Local interface=ether7
add bridge=bridge-Local interface=ether8
add bridge=bridge-Local interface=ether9
add bridge=bridge-Local interface=ether10
add bridge=bridge-Local interface=wlan1
add bridge=bridge_guest interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge-Local list=LAN
/ip address
add address=192.168.1.1/24 interface=bridge-Local network=192.168.1.0
add address=10.1.40.1/24 interface=wlan2 network=10.1.40.0
/ip dhcp-server network
add address=10.1.40.0/24 dns-server=10.1.40.1 gateway=10.1.40.1
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=\
"gives access to Mikrotik within local network" in-interface=bridge-Local \
src-address=192.168.1.0/24
# pppoe-out1 not ready
add action=accept chain=input comment=\
"allows input connections to external interface" connection-state=\
established,related in-interface=pppoe-out1
# pppoe-out1 not ready
add action=accept chain=forward comment=\
"allows input connections to internal interface (bridge)" connection-state=\
established,related in-interface=pppoe-out1 out-interface=bridge-Local
add action=accept chain=input comment="allows ping on Mikrotik" in-interface=\
ether6 protocol=icmp
add action=drop chain=input comment=\
"denies incoming connections to external interface" in-interface=ether6
# pppoe-out1 not ready
add action=drop chain=input comment=\
"denies incoming connections to PPPoE-interface" in-interface=pppoe-out1
# pppoe-out1 not ready
add action=fasttrack-connection chain=forward in-interface=bridge-Local \
out-interface=pppoe-out1
# pppoe-out1 not ready
add action=drop chain=forward comment=\
"denies outcoming connections from internal interface (bridge)" \
in-interface=pppoe-out1 out-interface=bridge-Local
/ip firewall nat
# no interface
add action=masquerade chain=srcnat dst-address=!192.168.1.0/24 out-interface=\
pppoe-out1 src-address=192.168.1.0/24
# no interface
add action=masquerade chain=srcnat out-interface=pptp-out1
/ip route
add distance=1 dst-address=192.168.2.0/24 gateway=pptp-out1
/ip route rule
add action=unreachable dst-address=192.168.1.0/24 src-address=10.1.40.0/24
add action=unreachable dst-address=10.1.40.0/24 src-address=192.168.1.0/24
/ip service
set ftp disabled=yes
set www disabled=yes
set winbox address=192.168.1.0/24
/ip smb
set enabled=yes interfaces=bridge-Local
/ip smb shares
set [ find default=yes ] disabled=yes
add directory=/disk1 name=share1
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/lcd
set time-interval=hour
/system clock
set time-zone-name=Europe/Volgograd
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=89.109.251.22
/tool mac-server
set allowed-interface-list=none

[Erik_U]

Маскарадинг у вас только для основной сети.

Добавьте такую же запись
/ip firewall nat
# no interface
add action=masquerade chain=srcnat dst-address=!192.168.1.0/24 out-interface=\
pppoe-out1 src-address=192.168.1.0/24

для гостевой (10.1.40.х)

[mrigor]

Вам нужно настроить nat для гостевой сети.

Настройка NAT выполняется следующими командами:

ip firewall nat add chain=srcnat out-interface=интерфейс провайдера action=masquerade
, где интерфейс провайдера - это интерфейс, на который приходит интернет от провайдера, например ether1. Для PPPoE соединений указывается название PPPoE интерфейса. Настройки NAT достаточно, чтобы заработал интернет.

[Reitzteil]

Erik_U, mrigor

Спасибо, настроил NAT и всё заработало. Только не совсем так, как у меня было по PPPoE, потому что если я указываю подсеть-источник (например, 10.1.40.1/24) и подсеть назначения (например, !10.1.40.1/24), то если прописать внешний интерфейс out-interface как bridge_guest – интернета не будет, а если его убрать, то всё нормально.