Три MikroTik hAP ax lite в роли точек доступа.

Поскольку никто не хочет помогать мне с capsman (хотя это должно было быть так просто), прошу помощи с настройкой Wi-Fi. Мои настройки:  
# 2025-06-04 15:00:05 by RouterOS 7.18.2  
# software id = 9LCG-S59P  
#  
# model = RB4011iGS+  
# serial number =  

/interface bridge  
add name=bridge1  
/interface pppoe-client  
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user={user}  
/interface list  
add name=WAN  
add name=LAN  
/ip pool  
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254  
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254  
add name=dhcp_pool2 ranges=192.168.30.2-192.168.30.254  
/ip dhcp-server  
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1  
/port  
set 0 name=serial0  
set 1 name=serial1  
/interface bridge port  
add bridge=bridge1 interface=ether2  
add bridge=bridge1 interface=ether3  
add bridge=bridge1 interface=ether4  
add bridge=bridge1 interface=ether5  
add bridge=bridge1 interface=ether6  
/interface list member  
add interface=pppoe-out1 list=WAN  
add interface=ether1 list=WAN  
add interface=bridge1 list=LAN  
add interface=ether3 list=WAN  
/interface wifi cap  
set caps-man-addresses=127.0.0.1 certificate=request discovery-interfaces=ether3 enabled=yes  
/interface wifi capsman  
set ca-certificate=auto enabled=yes interfaces=*F package-path="" require-peer-certificate=no upgrade-policy=none  
/ip address  
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0  
add address=91.220.222.78/24 interface=ether1 network=91.220.222.0  
/ip dhcp-server network  
add address=192.168.30.0/24 gateway=192.168.30.1  
add address=192.168.88.0/24 dns-server=1.1.1.1 gateway=192.168.88.1  
/ip dns  
set servers=1.1.1.1  
/ip firewall filter  
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=accept chain=input comment="user and admin access" in-interface-list=LAN  
add action=drop chain=input comment="drop all else"  
/ip firewall nat  
add action=masquerade chain=srcnat out-interface-list=WAN  
/system clock  
set time-zone-name=Europe/Warsaw  
/system identity  
set name=Gatekeeper  
/system note  
set show-at-login=no  
/system ntp client  
set enabled=yes  
/system ntp client servers  
add address=tempus2.gum.gov.pl  
/system routerboard settings  
set enter-setup-on=delete-key  

Есть небольшие остатки попыток подключить capsman, так что если нужно — можно и убрать.

Заметки: ПЕРВЫЙ ШАГ — добавить настройки Offbridge и выполнить всю конфигурацию VLAN из этого безопасного места (используем порт 9). Рекомендую так делать для всех устройств… добавил сущность Management Interface List 3, удалил дублирующий IP Pool. Предполагается 3 VLAN: один — management VLAN (все устройства получают IP на этом VLAN), Trusted VLAN (как домашние пользователи) и Guest или IOT VLAN. Поскольку у RB4011 порты разбиты на две группы, первые пять портов объединяем в один мост, а WAN-порт переводим на 6-й. Обычно для PPPOE не используют ip dhcp client или статический IP для WAN. Изменил pppoe peer dns server на NO, т.к. предполагается, что пользователи будут выходить через 1.1.1.1, а не через провайдера.

ШАГ 1: Чтобы работать с VLAN, так как при их применении или смене с дефолтных на ваши настройки бывает запутанно, лучше делать это из безопасного места. Избежите кучи проблем! Так что используйте off bridge порт для настройки и как аварийный порт доступа к устройству в любое время…

Связанные настройки (удалить ETHER9 из моста в /interface bridge port settings):
/interface ethernet set [ find default-name=ether9] name=OffBridge9
/ip address add address=192.168.77.1/30 interface=OffBridge9 network=192.168.77.0 comment="Offbridge и аварийный доступ"
/interface list member add interface=OffBridge9 list=TRUSTED

Примечание: чтобы получить доступ к роутеру, просто настройте ПК/ноутбук с IPV4 адресом 192.168.77.2 и через логин с паролем зайдёте без проблем. Модель = RB4011iGS+ {только главные изменения/модификации}
# серийный номер =

/interface bridge  
add name=bridge1 vlan-filtering=no {поменять на YES в самом конце настройки}

/interface ethernet  
set [ find default-name=ether9] name=OffBridge9

/interface pppoe-client  
add add-default-route=yes disabled=no interface=ether6 name=pppoe-out1 use-peer-dns=no user={user}

/interface vlan  
add interface=bridge1 name=vlan10-home vlan-id=10  
add interface=bridge1 name=vlan30-guest vlan-id=30  
add interface=bridge1 name=vlan99-mgmt vlan-id=99

/interface list  
add name=WAN  
add name=LAN  
add name=MGMT

/ip pool  
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254 comment="home"  
add name=dhcp_pool1 ranges=192.168.99.2-192.168.88.254 comment="management"  
add name=dhcp_pool2 ranges=192.168.30.2-192.168.30.254 comment="guest"

/ip dhcp-server  
add address-pool=dhcp_pool0 interface=vlan10-home name=dhcp0  
add address-pool=dhcp_pool2 interface=vlan30-guest name=dhcp2  
add address-pool=dhcp_pool1 interface=vlan99-mgmt name=dhcp1

/interface bridge port  
add bridge=bridge1 ingress-filtering=yes frame-types=admit-only-vlan-tagged interface=ether1 comment="trunk to axlite1"  
add bridge=bridge1 ingress-filtering=yes frame-types=admit-only-vlan-tagged interface=ether2 comment="trunk to axlite1"  
add bridge=bridge1 ingress-filtering=yes frame-types=admit-only-vlan-tagged interface=ether3 comment="trunk to axlite1"  
add bridge=bridge1 ingress-filtering=yes frame-types=admit-only-priority-and-untagged interface=ether4 pvid=10 comment="home pc"  
add bridge=bridge1 ingress-filtering=yes frame-types=admit-only-priority-and-untagged interface=ether5 pvid=10 comment="home printer"

/ip neighbor discovery-settings  
set discover-interface-list=MGMT

/interface list member  
add interface=pppoe-out1 list=WAN  
add interface=ether6 list=WAN  
add interface=vlan10-home list=LAN  
add interface=vlan30-guest list=LAN  
add interface=vlan99-mgmt list=LAN  
add interface=vlan99-mgmt list=MGMT  
add interface=OffBridge9 list=MGMT

/interface bridge vlan  
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 untagged=ether4,ether5 vlan-id=10  
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-id=30,99

/ip address  
add address=192.168.88.1/24 interface=vlan10-home network=192.168.88.0  
add address=192.168.30.1/24 interface=vlan30-guest network=192.168.30.0  
add address=192.168.99.1/24 interface=vlan99-mgmt network=192.168.99.0  
add address=192.168.77.1/30 interface=OffBridge9 network=192.168.77.0

/ip dhcp-server network  
add address=192.168.30.0/24 dns-server=1.1.1.1 gateway=192.168.30.1  
add address=192.168.88.0/24 dns-server=1.1.1.1 gateway=192.168.88.1  
add address=192.168.99.0/24 dns-server=1.1.1.1 gateway=192.168.99.1

/ip dns  
set server=1.1.1.1

/ip firewall filter  
add action=accept chain=input connection-state=established,related,untracked  
add action=drop chain=input connection-state=invalid  
add action=accept chain=input protocol=icmp  
add action=accept chain=input dst-address=127.0.0.1  
add action=accept chain=input comment="admin access" in-interface-list=MGMT  
add action=drop chain=input comment="drop all else" disabled=yes {включить это правило в самом конце}

/ip firewall filter  
add action=fasttrack-connection chain=forward connection-state=established,related  
add action=accept chain=forward connection-state=established,related,untracked  
add action=drop chain=forward connection-state=invalid  
add action=accept chain=forward comment="internet traffic" in-interface-list=LAN out-interface-list=WAN  
add action=accept chain=forward comment="port forwarding" connection-nat-state=dstnat enabled=no {включить при необходимости или удалить}  
add action=accept chain=forward comment="admin to all vlans" in-interface-list=MGMT out-interface-list=LAN  
add action=drop chain=forward comment="drop all else"

/ip firewall nat  
add action=masquerade chain=srcnat out-interface-list=WAN

/tool mac-server  
set allowed-interface-list=none

/tool mac-server mac-winbox  
set allowed-interface-list=MGMT

anav — Спасибо за поддержку, но у меня всё никак не получается. Чтобы лучше показать своё подключение, возможно, я опишу, как оно выглядит: Насколько я понял, я начинаю с настроек, которые выкладывал раньше? Это те же настройки, что я нашёл на этом форуме. Спрашиваю, потому что сначала я ввёл (X), потом применил первый набор команд и потерял интернет. Пришлось вернуть предыдущие настройки. Я ещё раз пройдусь по всему в ближайшие дни и выложу, где у меня ошибки и после какой команды пропадает интернет.

Когда я ввожу это в терминал, получаю вот такое: Я настроил это через UI, удалив * (не знаю, правильно ли это). Через терминал добавить не смог, поэтому список создал через UI. Опять же, через терминал сделать не удалось, но VLAN фильтрация была отключена из UI. Решил проблему, удалив ‘frame-types=admit-only-vlan-tagged’, а потом добавив это через UI. Стоит ли включать это после выполнения всех команд из второго блока? Потому что когда включил это после первой группы команд, интернет полностью пропал. И я вообще не мог зайти в роутер. В итоге пришлось делать сброс настроек до заводских, и я опять на нуле.