Запрос функции: Упрощённое управление гостьевыми Wi-Fi сетями в Capsman V2

Не обязательно использовать VLAN для гостевой сети. Вот пример конфигурации, которую я сегодня собрал на hAP ax2. Этот роутер добавлен в существующую сеть с Draytek, выполняет роль WiFi точки доступа для частной сети, коммутатора для кассы в кофейне и гостевого WiFi с фаерволом и NAT. Конечно, если у вас Mikrotik — единственный роутер, придётся делать немного иначе. (Кстати, это решение для одного AP. Представляю, что с несколькими точками доступа всё будет по-другому. Раньше я настраивал VLAN по одному Ethernet кабелю между cAP ax и hAP ax2 — писал об этом пару месяцев назад и даже немного ругался.) Основная проблема, с которой я сталкивался — нужно правильно настраивать «datapath» на CAP, а также «slaves datapath» тоже на CAP, а не в capsman.  

Гостевой WiFi вынесен в отдельную подсеть с NAT/маскарадингом. Правило masquerade/srcnat срабатывает по исходному IP 192.168.200.0/24. Есть правило фаервола, блокирующее трафик с 192.168.200.0/24 в 192.168.0.0/16 (любой 192.168 C-класс). Этот момент, наверное, надо подправить, если у вас используются подсети 10.x.x.x/8 и 172.16.x.x и т.п.  

Для частного WiFi NAT не применяется — он просто работает как точка доступа. Все 5 Ethernet-портов объединены в бридж, так что они могут выступать как обычные порты коммутатора и любым из них можно подключиться к существующей сети.  

Для гостевой сети создан отдельный бридж с приватным IP 192.168.200.1 и DHCP-сервером для этой подсети. В конфигурации CAP параметр «slaves datapath» указывает на datapath с бриджем «guest-wifi». DHCP-клиент получает IP и шлюз из основной сети через любой из портов в основном бридже.  

Обязательно нужно установить для WiFi-интерфейсов параметр «manager = capsman». Почему-то эта настройка не экспортируется в конфиг.  

/interface bridge  
add admin-mac=48:A9:8A:35:65:14 auto-mac=no comment=defconf name=bridge port-cost-mode=short  
add name=guest_WiFi  

/interface list  
add comment=defconf name=WAN  
add comment=defconf name=LAN  

/interface wifi datapath  
add bridge=guest_WiFi disabled=no name=guestWiFi  
add bridge=bridge disabled=no name=Private_WiFi  

/interface wifi configuration  
add country="United Kingdom" datapath=guestWiFi disabled=no mode=ap name="Guest WiFi" ssid=GuestWiFi  

/interface wifi security  
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=Private_WiFi passphrase=Private_WiFi_Password  

/interface wifi configuration  
add channel.width=20mhz country="United Kingdom" datapath=Private_WiFi disabled=no mode=ap name=Private_WiFi security=Private_WiFi security.ft=no ssid=Private_WiFi  

/interface wifi  
set [ find default-name=wifi1 ] configuration=Private_WiFi disabled=no
add configuration="Guest WiFi" disabled=no mac-address=4A:A9:8A:35:65:18 master-interface=wifi1 name=wifi2  
set [ find default-name=wifi2 ] configuration=Private_WiFi disabled=no
add configuration="Guest WiFi" disabled=no mac-address=4A:A9:8A:35:65:19 master-interface=wifi2 name=wifi3  

/ip pool  
add name=guest-wifi ranges=192.168.200.11-192.168.200.200  

/ip dhcp-server  
add address-pool=guest-wifi interface=guest_WiFi lease-time=10m name=guest-wifi  

/interface bridge port  
add bridge=bridge interface=ether1 internal-path-cost=10 path-cost=10  
add bridge=bridge comment=defconf interface=ether2 internal-path-cost=10 path-cost=10  
add bridge=bridge comment=defconf interface=ether3 internal-path-cost=10 path-cost=10  
add bridge=bridge comment=defconf interface=ether4 internal-path-cost=10 path-cost=10  
add bridge=bridge comment=defconf interface=ether5 internal-path-cost=10 path-cost=10  

/interface list member  
add comment=defconf interface=bridge list=LAN  

/interface wifi cap  
set caps-man-addresses=127.0.0.1 discovery-interfaces=lo enabled=yes slaves-datapath=guestWiFi  

/interface wifi capsman  
set enabled=yes interfaces=lo package-path="" require-peer-certificate=no upgrade-policy=none  

/interface wifi provisioning  
add action=create-enabled disabled=no master-configuration=Private_WiFi slave-configurations="Guest WiFi"  

/ip address  
add address=192.168.200.1/24 interface=guest_WiFi network=192.168.200.0  

/ip dhcp-client  
add comment=defconf interface=bridge  

/ip dhcp-server network  
add address=192.168.200.0/24 comment="guest wifi" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.200.1  

/ip firewall filter  
add action=drop chain=forward comment="Drop Guest WiFi to LAN" dst-address=192.168.0.0/16 log-prefix="drop guest wifi to lan" src-address=192.168.200.0/24  

/ip firewall nat  
add action=masquerade chain=srcnat comment="Guest WiFi masquerade" out-interface=bridge src-address=192.168.200.0/24

carl0s Подожди... значит гостевая сеть проходит через LAN роутеров Draytek, чтобы выйти в WAN? Роутер Draytek — это то место, где находится оборудование для точек продаж?