Вопрос как в работающую сеть добавить Микротик с рабочим и гостевым WiFi

[igorlv]

Здравствуйте

Подскажите как правльно настроить

Есть сеть 10.125.28.0-254
В которой есть роутер 10.125.28.254
(он же DHCP сервер 10.125.28.2-140 )
(здесь я ничего поменять или добавить не могу)

Надо в эту сеть добавить микротик(CAPsMAN) и 3 CAP
и создать рабочий WiFi "WORK" и гостевую сеть "GUEST"

WORK должен получать по DHCP от роутера адрес (10.125.28.2-140)

а GUEST должен от DHCP микротика (диапозон 192.168.8.2-140)

Соответственно сети должны не пересекаться и гостевая сеть должна выходить напрямую в интернет

Что сделано.
Я настроил класическую схему где Микротик основной шлюз и CAPsMAN создал 2 сети WORK и GUEST (DHCP раздает сам микротик)
Все работает.
Мало того я добился (когда к микротику подключить 2 кабеля) от роутера 10.125.28.254 в порт WAN и 2-й порт то +- заработало как я хочу.
Но что-то мне подсказывает что я на неверном пути.

Подскажите как теоретически должна работать такая схема? Куда кабель подключать в WAN или в LAN порт.
Может есть что-то подобное кем-то описано

Спасибо

[xvo]

Микротик должен быть шлюзом только для гостевой сети.

Поэтому, что на CAPsMAN'е, что на всех CAP'ах логично все физические интерфейсы (включая радио) собрать в бриджи - и там будет основная сеть. При этом для этих CAP-интерфейсов настроить local forwarding.
И тогда CAP'ы можно разместить где угодно в сети, не обязательно за микротиком - и трафик от них будет ходить напрямую.
А вот гостевые интерфейсы делать на CAP'ах виртуальными, собрать их в отдельный бридж на CAPsMAN'е и выпускать через firewall и NAT микротика - так чтобы у них не было доступа в основную сеть, а только наружу в интернет.

[igorlv]

Спасибо за наводку.
Может где то Вам попадался более разжеванный мануал?

[xvo]

Мне мануалы если и попадаются, то тем же способом, что и вам - поиском :)
Но вообще тут не совсем типичный случай, так что мануал в готовом виде на него маловероятен.

Сначала настройте все микротики в "режим бриджа".
Потом, когда у всех будут адреса в основной сети, переводите вайфай на точках под управление капсмана в режиме local forwarding.
А уже потом на капсмане создавайте вторую сеть, и для нее slave конфигурацию.

Вот на каждый из этапов инструкции найти более чем реально.

[igorlv]

Прошу совета

все порты микротика (1-5) я добавил в LAN и в бридж bridge-work (входящий кабель включил в первый порт, хотя могу в любой)
Создал CAPsMAN с рабочей сетью WiFi "WORK" и гостевой "GUEST"
WiFi "WORK" я добавил в бридж bridge-work и назначил адрес 10.125.28.240
WiFi "GUEST" я добавил в бридж bridge-guest и назначил адрес 192.168.8.240

Все что связано с рабочей сетью работает как я хочу (ДНСР прилетает от 10.125.28.254) и интернет работает
Гостевая WiFi "GUEST" работает тоже нормально (ДНСР прилетает от 192.168.8.240)
Только в гостевой сети нет интернета.
Как я понимаю я не настроил маршрутизацию.
Второй день играюсь.
Прошу совета (а лучше мануал, еще лучше строку(и) в терминал) как мне bridge-guest(192.168.8.240) выпустить в интернет

Спасибо за помощь

[xvo]

Как я понимаю я не настроил маршрутизацию.

Да, причем не настроили вы её на 10.125.28.254

[igorlv]

К сожалению
Есть роутер 10.125.28.254 на нем я ничего менять не могу.
Посоветуйте как мне обыграть эту ситуацию.

может как то завернуть трафик на 10.125.28.240?
Или какой то НАТ поднять

[igorlv]

[admin@MikroTik240] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.125.28.254 1
1 ADC 10.125.28.0/24 10.125.28.240 bridge-work 0
2 ADC 192.168.8.0/24 192.168.8.240 bridge-guest 0

[xvo]

К сожалению
Есть роутер 10.125.28.254 на нем я ничего менять не могу.
Посоветуйте как мне обыграть эту ситуацию.

может как то завернуть трафик на 10.125.28.240?
Или какой то НАТ поднять

Тогда NAT:

/ip firewall nat add chain=src-nat out-interface=bridge-work action=masquerade