Отсутствует интернет в гостевой сети

[pasol]

я одного не могу понять.

Почему, когда я даю статический адрес со шлюзом 172.16.0.1, то все работает, а когда точно такие же параметры прилетают от dhcp, то не работает

[Erik_U]

/ipconfig /all в обоих случаях, и сравнивать результат.

[pasol]

на адреса 172.16.2.150-160 я еще перенес камеры.

У них маска 255.255.252.0 и шлюз 172.16.0.1 - доступ к интернету есть

а гостевой интерфейс же ip получается Микротик через nat должен преобразовать в 172.16.2.100?

я подумал, что может быть у 172.16.2.100 нету доступа в интернет, но он же точно время получает с сервера NTP?! Хотел попинговать сайты через админку, а все с 100% потерь идут - так и должно быть?

----

еще раз проверил:
вручную ставлю маску 255.255.252.0
вручную ставлю шлюз 172.16.0.1

ip попробовал 172.16..0.200, 172.16.1.200, 172.16..2.200 - во всех трех вариантах интернет был доступен

[Erik_U]

Я же выше написал уже.

Еще раз.

/ip address
add address=172.16.2.100/22 interface=bridge2 network=172.16.2.0
add address=172.16.1.1/24 interface=bridge-guest network=172.16.1.0

Это означает, что если у клиентов, подключенных к bridge2 маска правильная (/22), то они могут достучаться до шлюза по умолчанию, и у них интернет работает.

В гостевой сети не будет работать ничего, потому, что клиент не видит шлюз в своей сети, а маршрутизация на микротике не работает потому, что даже если пакет дойдет каким то чудом до шлюза, обратно он точно не вернется.

Ликвидируйте сетевой бардак.
Не ищите других причин.
Их конечно много, но сначала бардак.

[pasol]

Я же выше написал уже.

Еще раз.

/ip address
add address=172.16.2.100/22 interface=bridge2 network=172.16.2.0
add address=172.16.1.1/24 interface=bridge-guest network=172.16.1.0

Это означает, что если у клиентов, подключенных к bridge2 маска правильная (/22), то они могут достучаться до шлюза по умолчанию, и у них интернет работает.

запутался, я делал маску add address=172.16.1.1/22 interface=bridge-guest network=172.16.1.0 и это не помогало, и я убрал

[Erik_U]

Последний раз пытаюсь объяснить.

Вша "гостевая сеть" полностью перекрывается основной.

Фактически это одна сеть, которую вы разделили физически на 2 части разными интерфейсами микротика.

И маршрутизации между этими частями нет, потому, что логически - это одна и та же сеть. И взаимодействия нет, потому что части на разных интерфейсах.

Нужно.

1. Сделать непересекающиеся по IP адресации сети.
2. в настройках DHCP для клиентов из этих подсетей шлюзами по умолчанию сделать интерфейсы (адреса) микротика, а не стороннего сервера.
3. На стороннем сервере, который у вас шлюз в интернет (какой то сервер) добавить маршрут до гостевой сети, чтобы обратные пакеты знали, куда лететь. Либо 4.
4. И гостевую и основную сети макротика сделать отличными от сети, в которой находится сервер-шлюз. Микротику дать 1 адрес на 1 интерфейсе из этой сети в сторону сервера0шлюза, и на этом интерфейсе у микротика поднять НАТ. Тогда не нужно будет на сервере-шлюзе прописывать маршруты до сетей за микротиком.

С наступающим.

Микротик должен был ругаться и не давать вам такое настроить. У вас пол конфига красное или это троллинг какой то?

[pasol]

Последний раз пытаюсь объяснить.

Вша "гостевая сеть" полностью перекрывается основной.

Фактически это одна сеть, которую вы разделили физически на 2 части разными интерфейсами микротика.

И маршрутизации между этими частями нет, потому, что логически - это одна и та же сеть. И взаимодействия нет, потому что части на разных интерфейсах.

Нужно.

1. Сделать непересекающиеся по IP адресации сети.
2. в настройках DHCP для клиентов из этих подсетей шлюзами по умолчанию сделать интерфейсы (адреса) микротика, а не стороннего сервера.
3. На стороннем сервере, который у вас шлюз в интернет (какой то сервер) добавить маршрут до гостевой сети, чтобы обратные пакеты знали, куда лететь. Либо 4.
4. И гостевую и основную сети макротика сделать отличными от сети, в которой находится сервер-шлюз. Микротику дать 1 адрес на 1 интерфейсе из этой сети в сторону сервера0шлюза, и на этом интерфейсе у микротика поднять НАТ. Тогда не нужно будет на сервере-шлюзе прописывать маршруты до сетей за микротиком.

С наступающим.

Микротик должен был ругаться и не давать вам такое настроить. У вас пол конфига красное или это троллинг какой то?

спасибо большое за помощь, адреса в основной сети раздает шлюз, поэтому в основной сети настройки такие же, как и у рабочих станций:



т.е. для гостевой сети выдавать вообще другие адреса, например 192.168.1.х, и на шлюзе настроить маршрут до этой сети?

[pasol]

настроил новые адреса, но запросы от микротика до шлюза не доходят(
на шлюзе для адресов 172.26.26.х разрешил весь трафик
добавил маршрут 172.16.0.0 mask 255.255.255.0 172.26.26.1

 

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=\
channel-2-6 tx-power=10
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce frequency=5200 name=channel-5-40 \
tx-power=20
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=\
channel-2-11 tx-power=15
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=\
channel-2-1 tx-power=20
/interface bridge
add name=bridge-guest
add name=bridge2
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: MCS, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-Ce/ac/P(20dBm), SSID: MCS, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
/caps-man datapath
add bridge=bridge2 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
add bridge=bridge-guest client-to-client-forwarding=no local-forwarding=yes name=datapath_guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 \
passphrase=1234567890
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security_guest \
passphrase=1234567890
/caps-man configuration
add channel=channel-5-40 country=russia3 datapath=datapath1 mode=ap name=cfg-mcs-5 rx-chains=0,1,2 \
security=security1 ssid=MCS tx-chains=0,1,2
add channel=channel-2-11 country=russia3 datapath=datapath1 mode=ap name=cfg-2 rx-chains=0,1,2 \
security=security1 ssid=MCS-2.4G tx-chains=0,1,2
add channel=channel-2-1 country=russia3 datapath=datapath_guest mode=ap name=cfg_guest rx-chains=0,1,2 \
security=security_guest ssid=MCS-public tx-chains=0,1,2
add channel=channel-2-1 country=russia3 datapath=datapath1 mode=ap name=cfg-mcs-2 rx-chains=0,1,2 \
security=security1 ssid=MCS tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_guest ranges=172.26.26.10-172.26.26.254
/ip dhcp-server
add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest lease-time=1d name=dhcp1
/queue simple
add max-limit=30M/30M name=wifi-guest target=bridge-guest
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg-mcs-2 name-format=\
prefix-identity name-prefix=2G slave-configurations=cfg-2,cfg_guest
add action=create-dynamic-enabled hw-supported-modes=ac,an master-configuration=cfg-mcs-5 name-format=\
prefix-identity name-prefix=5G
/interface bridge port
add bridge=bridge2 hw=no interface=ether1
add bridge=bridge2 interface=wlan1
/interface wireless cap
#
set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=172.16.2.100/22 interface=bridge2 network=172.16.2.0
add address=172.26.26.1/24 interface=bridge-guest network=172.26.26.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=bridge-guest
/ip dhcp-server network
add address=172.26.26.0/24 dns-server=8.8.8.8,172.16.0.24 gateway=172.26.26.1
/ip firewall filter
add action=accept chain=input src-address=127.0.0.1
add action=accept chain=input dst-port=5246,5247 protocol=udp src-address=127.0.0.1
add action=accept chain=forward disabled=yes dst-address=172.16.0.24 src-address=172.16.1.0/24
add action=drop chain=forward disabled=yes dst-address=172.16.0.0/24 src-address=172.16.1.0/24
add action=drop chain=forward disabled=yes dst-address=172.16.1.0/24 src-address=172.16.0.0/24
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2
/ip route
add distance=1 gateway=172.16.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=172.16.0.0/24
set ssh disabled=yes
set winbox address=172.16.0.0/24
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name="MikroTik (office)"
/system logging
add topics=caps
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=80.249.145.122

[Erik_U]

 

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=\
channel-2-6 tx-power=10
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce frequency=5200 name=channel-5-40 \
tx-power=20
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=\
channel-2-11 tx-power=15
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=\
channel-2-1 tx-power=20
/interface bridge
add name=bridge-guest
add name=bridge2
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: MCS, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5200/20-Ce/ac/P(20dBm), SSID: MCS, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
/caps-man datapath
add bridge=bridge2 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
add bridge=bridge-guest client-to-client-forwarding=no local-forwarding=yes name=datapath_guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 \
passphrase=1234567890
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security_guest \
passphrase=1234567890
/caps-man configuration
add channel=channel-5-40 country=russia3 datapath=datapath1 mode=ap name=cfg-mcs-5 rx-chains=0,1,2 \
security=security1 ssid=MCS tx-chains=0,1,2
add channel=channel-2-11 country=russia3 datapath=datapath1 mode=ap name=cfg-2 rx-chains=0,1,2 \
security=security1 ssid=MCS-2.4G tx-chains=0,1,2
add channel=channel-2-1 country=russia3 datapath=datapath_guest mode=ap name=cfg_guest rx-chains=0,1,2 \
security=security_guest ssid=MCS-public tx-chains=0,1,2
add channel=channel-2-1 country=russia3 datapath=datapath1 mode=ap name=cfg-mcs-2 rx-chains=0,1,2 \
security=security1 ssid=MCS tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_guest ranges=172.26.26.10-172.26.26.254
/ip dhcp-server
add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest lease-time=1d name=dhcp1
/queue simple
add max-limit=30M/30M name=wifi-guest target=bridge-guest
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg-mcs-2 name-format=\
prefix-identity name-prefix=2G slave-configurations=cfg-2,cfg_guest
add action=create-dynamic-enabled hw-supported-modes=ac,an master-configuration=cfg-mcs-5 name-format=\
prefix-identity name-prefix=5G
/interface bridge port
add bridge=bridge2 hw=no interface=ether1
add bridge=bridge2 interface=wlan1
/interface wireless cap
#
set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=wlan1,wlan2
/ip address
add address=172.16.2.100/22 interface=bridge2 network=172.16.2.0
add address=172.26.26.1/24 interface=bridge-guest network=172.26.26.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=bridge-guest
/ip dhcp-server network
add address=172.26.26.0/24 dns-server=8.8.8.8,172.16.0.24 gateway=172.26.26.1
/ip firewall filter
add action=accept chain=input src-address=127.0.0.1
add action=accept chain=input dst-port=5246,5247 protocol=udp src-address=127.0.0.1
add action=accept chain=forward disabled=yes dst-address=172.16.0.24 src-address=172.16.1.0/24
add action=drop chain=forward disabled=yes dst-address=172.16.0.0/24 src-address=172.16.1.0/24
add action=drop chain=forward disabled=yes dst-address=172.16.1.0/24 src-address=172.16.0.0/24
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=bridge2
/ip route
add distance=1 gateway=172.16.0.24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=172.16.0.0/24
set ssh disabled=yes
set winbox address=172.16.0.0/24
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name="MikroTik (office)"
/system logging
add topics=caps
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=80.249.145.122

физические интерфейсы в bridge-guest не добавлены. у вас нет гостевой сети.
По конфигу в гостевой бридж должны попадать интерфейсы капсман, но не попадают.

попробуйте тут убрать cfg-2 из слейв конфигурации, или в cfg-2 указать гостевой бридж.
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg-mcs-2 name-format=\
prefix-identity name-prefix=2G slave-configurations=cfg-2,cfg_guest

И по мелочи.

Шлюзом по умолчанию у микротика (котрый для 0.0.0.0:0) должен быть адрес вашего шлюза-сервера. Это в IP/Routes

Адрес микротика должен быть шлюзом по умолчанию для клиентов DHCP. В каждой сети - свой. Это в настройках network у DHCP

[pasol]

физические интерфейсы в bridge-guest не добавлены. у вас нет гостевой сети.
По конфигу в гостевой бридж должны попадать интерфейсы капсман, но не попадают.

вроде бы появляются, но почему то некоторые inactive, но не все же

попробуйте тут убрать cfg-2 из слейв конфигурации, или в cfg-2 указать гостевой бридж.
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg-mcs-2 name-format=\
prefix-identity name-prefix=2G slave-configurations=cfg-2,cfg_guest

попробовал и так и так. Если добавляю в cfg-2 гостевой бридж, то интернет пропадает, если убираю из конфигурации cfg-2, то гостевому лучше не становится

Шлюзом по умолчанию у микротика (котрый для 0.0.0.0:0) должен быть адрес вашего шлюза-сервера. Это в IP/Routes

в настройках 0.0.0.0 была опечатка, при многочисленных правках видимо залезла. До этого там было правильно. Сейчас исправил.

Адрес микротика должен быть шлюзом по умолчанию для клиентов DHCP. В каждой сети - свой. Это в настройках network у DHCP

а тут вроде все правильно и есть

---

Но есть хорошая новость, трассировка идет до 172.26.26.1 , а ранее трассировка даже и не начиналась