+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Виртуальный Wi-Fi интерфейс не может подключиться к интернету.

Виртуальный Wi-Fi интерфейс не может подключиться к интернету., RouterOS

passt

Guest

25.05.2020 20:53:00

У меня уже есть рабочая сеть с VLAN для гостей и работы — без каких-либо компонентов Mikrotik. Наш роутер выступает в роли DHCP-сервера и разделяет гостевые и рабочие VLANы. Гостевой Wi-Fi разрешён только для выхода в интернет. Рабочий Wi-Fi имеет доступ к нашей локальной сети — всё нормально. Теперь хочу протестировать и настроить MikroTik cAP ac в этой конфигурации.

Настройку точки доступа cAP я сделал через webconfig, только в разделе беспроводной связи. Конфигурация для интерфейсов wlan1 и wlan2 (2,4 ГГц и 5 ГГц) одинаковая, поэтому опишу только для одного.

Рабочий Wi-Fi — беспроводной интерфейс wlan1
Режим: ap bridge
SSID: Work
Профиль безопасности: profile-work
Режим WPS: отключён
Страна: Германия
Режим частоты: regulatory-domain (так надо из-за Германии)
Режим VLAN: use tag
ID VLAN: 10

Гостевой Wi-Fi — виртуальный интерфейс
Главный интерфейс: wlan1
Режим беспроводного интерфейса: ap bridge
SSID: Guest
Профиль безопасности: profile-guest
Режим WPS: отключён
Режим VLAN: use tag
ID WLAN: 15

Результат такой: рабочий Wi-Fi работает отлично. Клиенты получают IP-адреса и могут подключаться к локальной сети и интернету. А вот гостевой Wi-Fi не может выйти в интернет. Мой телефон подключается к гостевому Wi-Fi, получает от роутера IP-адрес, но интернет не работает. Мой ноутбук на Ubuntu вообще не получает IP-адрес.

Кто-нибудь может помочь?
Пётр

passt

Guest

16.06.2020 14:56:00

Я сбросил и перенастроил cAP ac, но результат всё тот же — успешное подключение к SSID Work, но нет подключения к SSID Guest. Как я писал в первом сообщении, у меня уже настроена точка доступа от Lancom, которая успешно работает в такой же конфигурации VLAN и WiFi Work и Guest. Поэтому я не думаю, что проблема в настройке DHCP-сервера на нашем роутере. Вот моя конфигурация:
# jun/16/2020 16:37:37 by RouterOS 6.47
# software id = EK22-3R0R
#
# model = RBcAPGi-5acD2nD
# serial number = B9320B001B18
/interface bridge
add admin-mac=C4:AD:34:85:FC:6A auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=bridge name=vlan_default vlan-id=1
add interface=bridge name=vlan_gast vlan-id=15
add interface=bridge name=vlan_intern vlan-id=10
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk management-protection=allowed mode=dynamic-keys name=profile-Gast supplicant-identity=MikroTik wpa2-pre-shared-key=<guest-pw>
add authentication-types=wpa2-psk management-protection=allowed mode=dynamic-keys name=profile-intern supplicant-identity=MikroTik wpa2-pre-shared-key=<intern-pw>
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=germany disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=wlan2ghz-intern security-profile=profile-intern ssid=WIFI@in vlan-id=10 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=germany disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=wlan5ghz-intern security-profile=profile-intern ssid=WIFI@in vlan-id=10 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:85:FC:6B master-interface=wlan2ghz-intern multicast-buffering=disabled name=vlan2ghz-gast security-profile=profile-Gast ssid=WIFI@gast vlan-id=15 vlan-mode=use-tag wds-cost-range=0-4294967295 wds-default-bridge=bridge wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:85:FC:6C master-interface=wlan5ghz-intern multicast-buffering=disabled name=vlan5ghz-gast security-profile=profile-Gast ssid=WIFI@gast vlan-id=15 vlan-mode=use-tag wds-cost-range=0-4294967295 wds-default-bridge=bridge wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=wlan2ghz-intern
add bridge=bridge comment=defconf interface=wlan5ghz-intern
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=ether1 list=LAN
/ip address
add address=10.10.0.68/22 interface=ether1 network=10.10.0.0
/ip dns
set allow-remote-requests=yes servers=10.10.0.254
/system clock
set time-zone-name=Europe/Berlin
/system logging
add topics=dhcp
add action=echo topics=dhcp
/system ntp client
set enabled=yes primary-ntp=10.10.0.254 server-dns-names=ptbtime1.ptb.de,ptbtime2.ptb.de,ptbtime3.ptb.de
/system routerboard mode-button
set enabled=yes on-event=dark-mode
/system script
add comment=defconf dont-require-permissions=no name=dark-mode owner=*sys policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\r\n :if ([system leds settings get all-leds-off] = \"never\") do={\r\n /system leds settings set all-leds-off=immediate \r\n } else={\r\n /system leds settings set all-leds-off=never \r\n }\r\n "
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
(SSID Work = WIFI@in) Я расстроен и нужна помощь.

mutluit Guest	#3 0 16.06.2020 15:37:00 Возможно, это видео поможет: Mikrotik Tutorial №22 – Создание нескольких WIFI SSID для сети на базе VLAN https://www.youtube.com/watch?v=i-qQo06ow7Y

passt

Guest

19.10.2021 15:24:00

@anav Извини, что не ответил на твой последний комментарий. Я отложил cAPac больше чем на год. Но теперь хочу попробовать снова.

/interface wireless security-profiles
add name=prof_intern authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=pw-intern
add name=prof_gast authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=pw-gast

/interface wireless
set [find default-name=wlan1] name=wlan2ghz-intern ssid=MICK@in security-profile=prof_intern frequency=auto mode=ap-bridge disabled=no
add name=vlan2ghz-gast ssid=MICK@gast security-profile=prof_gast master-interface=wlan2ghz-intern mode=ap-bridge disabled=no

/interface bridge
# выключаем режим VLAN на время настройки
add name=BR1 protocol-mode=none vlan-filtering=no

# Access-порты
# входящий трафик
/interface bridge port
add bridge=BR1 interface=wlan2ghz-intern pvid=10
add bridge=BR1 interface=vlan2ghz-gast pvid=15
# исходящий трафик
/interface bridge vlan
add bridge=BR1 untagged=wlan2ghz-intern vlan-ids=10
add brdige=BR1 untagged=vlan2ghz-gast vlan-ids=15

# Trunk-порт(ы)
# входящий трафик
/interface bridge port
add bridge=BR1 interface=ether1
# исходящий трафик
/interface bridge vlan
set bridge=BR1 tagged=ether1 [find vlan-ids=10]
set bridge=BR1 tagged=ether1 [find vlan-ids=15]

/ip address
add 10.10.0.68/24 interface=ether1
/ip route
add distance=1 gateway=10.10.0.254

# Безопасность VLAN
# Разрешаем входящие пакеты без тегов на Access-портах
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan2ghz-intern]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=vlan2ghz-gast]
# Разрешаем входящие пакеты С тегами на Trunk-портах
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether1]

# Безопасность MAC-сервера
/interface list
add name=BASIS
/interface list member
add interface=ether1 list=BASIS
/ip neighbor discovery-settings
set discover-interface-list=BASIS
/tool mac-server mac-winbox
set allowed-interface-list=BASIS
/tool mac-server
set allowed-interface-list=BASIS

# Включаем режим VLAN
/interface bridge
set BR1 vlan-filtering=yes

Как я уже писал, как только я активирую vlan-filtering=yes на последнем шаге, доступ к cAPac пропадает, но Wi-Fi для intern и gast с VLAN работает как надо. LAN нашей компании на ether1 не имеет VLAN ID или, точнее, у него стоит VLAN ID по умолчанию = 1, потому что VLAN не настроен. Нужно ли мне создавать pvid=vlan-id=1 как bridge port или bridge vlan?

mkx Guest	#5 0 19.10.2021 15:37:00 Давай я исправлю это за тебя: /ip address add 10.10.0.68/24 interface=> ether1> BR1 /interface list member add interface=> ether1> BR1 list=BASIS Подробнее о разных типах мостов.

passt

Guest

21.10.2021 15:17:00

Сначала я подумал, что твой ответ — это мое просветление, но cAPac говорит, что нет никакой разницы, настрою ли я IP-адрес на ether1 или на мост BR1 как на участника этого интерфейсного списка. Результат одинаковый: как только активируется VLAN-фильтрация на мосту BR1, я больше не могу получить доступ к cAPac, но WiFi intern и WiFi gast работают так, как нужно.

mkx

Guest

16.06.2020 15:44:00

Нужно добавить подчинённые WLAN-интерфейсы в мост: /interface bridge port
add bridge=bridge interface=vlan2ghz-gast
add bridge=bridge interface=vlan5ghz-gast

А потом, скорее всего, придётся что-то делать с настройкой VLAN. Сейчас cAP настроен как простой коммутатор, который вообще не учитывает VLAN... сами WLAN-интерфейсы работают с VLAN-тегами, мостовой интерфейс тоже (через vlan-интерфейсы). Кстати, использование VLAN с VID=1, вероятно, скрывает некоторые проблемы, потому что это стандартная настройка во многих местах, но никто не гарантирует, где именно пакеты помечены тегами, а где нет.

Но основная проблема — ether1, сейчас он неявно настроен как транковый интерфейс со всеми тегами. Хорошая практика — явно настроить VLAN на мосту. Загляни в этот туториал, чтобы понять, как это делается в ROS.

passt

Guest

10.07.2020 15:17:00

Руководство по точкам доступа описывает практически мою ситуацию. За исключением того, что я хочу настроить только две VLAN (work и guest) и использовать ether1 как транковый порт. При этом ether1 должен иметь фиксированный IP-адрес из LAN, чтобы я мог настроить точку доступа. При этом с VLAN work и guest не должно быть доступа к настройкам AP. В отличие от руководства, где для настройки AP используется дополнительная третья VLAN.

Вот моя конфигурация:

### Обзор VLAN
# 10 = BLUE Work
# 15 = GREEN Guest
### 99 = BASIS VLAN — я хочу её исключить

### Настройка WiFi
# Blue SSID
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key="blue password"
/interface wireless set [ find default-name=wlan1 ] ssid=BLUE_SSID frequency=auto mode=ap-bridge disabled=no
# Green SSID
/interface wireless security-profiles add name=GREEN_PROFILE authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key="green password"
/interface wireless add name=wlan2 ssid=GREEN_SSID master-interface=wlan1 security-profile=GREEN_PROFILE disabled=no

### Мост (Bridge)
# создаю один мост, VLAN-режим выключен на время настройки
/interface bridge add name=BR1 protocol-mode=none vlan-filtering=no

### Access Ports
# поведение при поступлении пакетов
/interface bridge port
# Blue, Green VLAN
add bridge=BR1 interface=wlan1 pvid=10
add bridge=BR1 interface=wlan2 pvid=15
# поведение при отправке
/interface bridge vlan
# Blue, Green VLAN
add bridge=BR1 untagged=wlan1 vlan-ids=10
add bridge=BR1 untagged=wlan2 vlan-ids=15

### Trunk Ports
# поведение при поступлении
/interface bridge port
# Purple Trunk. Оставляю pvid как 1 по умолчанию
add bridge=BR1 interface=ether1
# поведение при отправке
/interface bridge vlan
# Purple Trunk. L2 коммутация, мост не нужен как тегированный член (кроме BASIS_VLAN)
set bridge=BR1 tagged=ether1 [find vlan-ids=10]
set bridge=BR1 tagged=ether1 [find vlan-ids=15]
# Следующий шаг я пропустил, потому что не хочу использовать третью VLAN 99
# add bridge=BR1 tagged=BR1,ether1 vlan-ids=99

### IP-адресация и маршрутизация
# Приватный IP AP из BASIS_VLAN (LAN)
# /interface vlan add interface=BR1 name=BASIS_VLAN vlan-id=99
# /ip address add address=192.168.0.3/24 interface=BASIS_VLAN
# Вместо двух предыдущих шагов я хочу фиксированный IP для ether1
/ip address add address=10.10.0.68/24 interface=ether1
# IP роутера, который будет использовать AP
/ip route add distance=1 gateway=10.10.0.254

### Безопасность VLAN
# Разрешить на Access Ports только непомеченные пакеты
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan1]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan2]
# На Trunk Ports — только помеченные VLAN пакеты
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether1]

### Настройки MAC-сервера
# Сделать так, чтобы видимость и доступность были только из BASIS_VLAN, сети управления
/interface list add name=BASIS
# /interface list member add interface=BASIS_VLAN list=BASIS
# Вместо предыдущего шага я хочу добавить ether1 в список интерфейсов BASIS
/interface list member add interface=ether1 list=BASIS

/ip neighbor discovery-settings set discover-interface-list=BASIS
/tool mac-server mac-winbox set allowed-interface-list=BASIS
/tool mac-server set allowed-interface-list=BASIS

### Включение VLAN-режима
# До этого шага AP работает как надо — две отдельные VLAN транслируются по WiFi.
# Но как только активирую последний шаг, IP-адреса перестают раздавать по VLAN, и AP не доступен по фиксированному IP.

/interface bridge set BR1 vlan-filtering=yes

Что не так с моими изменениями оригинальной конфигурации?
Пётр

anav

Guest

10.07.2020 15:41:00

Проблемы начинаются здесь, как видите, выделенные записи не должны находиться в настройках Wi-Fi!!

/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=germany disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=wlan2ghz-intern security-profile=profile-intern ssid=WIFI@in vlan-id=10 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled

set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=germany disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=wlan5ghz-intern security-profile=profile-intern ssid=WIFI@in vlan-id=10 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled

add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:85:FC:6B master-interface=wlan2ghz-intern multicast-buffering=disabled name=vlan2ghz-gast security-profile=profile-Gast ssid=WIFI@gast vlan-id=15 vlan-mode=use-tag wds-cost-range=0-4294967295 wds-default-bridge=bridge wds-default-cost=0 wps-mode=disabled

add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:85:FC:6C master-interface=wlan5ghz-intern multicast-buffering=disabled name=vlan5ghz-gast security-profile=profile-Gast ssid=WIFI@gast vlan-id=15 vlan-mode=use-tag wds-cost-range=0-4294967295 wds-default-bridge=bridge wds-default-cost=0 wps-mode=disabled

… Отсутствуют настройки PVID и т.п., которые должны быть здесь, а не в определениях wlan!! Помните, это информирует роутер об INGRESS, чтобы роутер понимал, что делать с входящими пакетами (например, присваивать или помечать их vlanXX для access-портов)

/interface bridge port add bridge=bridge comment=defconf interface=ether1 (trunk-порт, тэгирование/PVID не требуется, но идея использовать ingress-фильтрацию здесь хорошая)

add bridge=bridge comment=defconf interface=wlan2ghz-intern**???** pvid=XX и настройка по приему приоритетных и непомеченных кадров

add bridge=bridge comment=defconf interface=wlan5ghz-intern**???** pvid=YY и настройка по приему приоритетных и непомеченных кадров

И наконец, абсолютно необходимы настройки Bridge VLAN для обработки egress части VLAN, пример с моего оборудования:

/interface bridge vlan add bridge=bridgeHallway tagged=ether1 untagged=DevicesHallway vlan-ids=45 (мой основной 2.4 ГГц Wi-Fi)

add bridge=bridgeHallway tagged=ether1 untagged=VisitorWIFI vlan-ids=200 (мой виртуальный 5 ГГц Wi-Fi)

add bridge=bridgeHallway tagged=ether1,bridgeHallway untagged=Hallway5G (мой основной 5 ГГц Wi-Fi)

passt

Guest

#10

15.07.2020 15:50:00

Спасибо, anav. Твой совет настроить “vlan-mode=no-tag” в настройках WiFi почти привёл меня к цели. Теперь я могу успешно подключаться к WiFi. НО управлять cAP через IP-адрес, который я назначил ether1, всё ещё невозможно. Я изменил конфигурацию согласно руководству по точкам доступа — смотри мой предыдущий пост №8. Вот моя текущая конфигурация: (некоторые комментарии касаются отличий от конфигурации из руководства) (для простоты конфигурация включает только WiFi на 2 ГГц):

# Создание WLAN сетей
/interface wireless security-profiles
add name=prof_intern authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=pw-intern
add name=prof_gast authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=pw-gast
/interface wireless
# не ставим VLAN с no-tag
set [find default-name=wlan1] name=wlan2ghz-intern ssid=MICK@in security-profile=prof_intern frequency=auto mode=ap-bridge disabled=no
add name=vlan2ghz-gast ssid=MICK@gast security-profile=prof_gast master-interface=wlan2ghz-intern mode=ap-bridge disabled=no

/interface bridge
# отключаем VLAN mode при настройке
add name=BR1 protocol-mode=none vlan-filtering=no

# Access-порты
# ingress
/interface bridge port
add bridge=BR1 interface=wlan2ghz-intern pvid=10
add bridge=BR1 interface=vlan2ghz-gast pvid=15
# egress
/interface bridge vlan
add bridge=BR1 untagged=wlan2ghz-intern vlan-ids=10
add brdige=BR1 untagged=vlan2ghz-gast vlan-ids=15

# Trunk-порт(ы)
# ingress
/interface bridge port
add bridge=BR1 interface=ether1
# egress
/interface bridge vlan
set bridge=BR1 tagged=ether1 [find vlan-ids=10]
set bridge=BR1 tagged=ether1 [find vlan-ids=15]
# add bridge=BR1 tagged=BR1,ether1 vlan-ids=99

# Приватный IP AP для LAN на BASIS_VLAN
# /interface vlan
# add interface=BR1 name=BASIS_VLAN vlan-id=99
# /ip address
# add address=192.168.0.3/24 interface=BASIS_VLAN
# Хочу доступ через ether1 с фиксированным IP
/ip address
add 10.10.0.68/24 interface=ether1
/ip route
add distance=1 gateway=10.10.0.254

# VLAN Security
# Разрешаем только входящие пакеты без тегов на Access-портах
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=wlan2ghz-intern]
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-untagged-and-priority-tagged [find interface=vlan2ghz-gast]
# Разрешаем только входящие пакеты С тегами на Trunk-портах
/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-only-vlan-tagged [find interface=ether1]

# MAC Server Security
/interface list
add name=BASIS
/interface list member
# доступно только с BASIS_VLAN
# add interface=BASIS_VLAN list=BASIS
# хочу доступ именно с ether1
add interface=ether1 list=BASIS
/ip neighbor discovery-settings
set discover-interface-list=BASIS
/tool mac-server mac-winbox
set allowed-interface-list=BASIS
/tool mac-server
set allowed-interface-list=BASIS

# Включаем VLAN mode
/interface bridge
set BR1 vlan-filtering=yes

Как только я включаю vlan-filtering, я уже не могу зайти на cAP-ac по его фиксированному IP. НО wlan1 и wlan2 работают ровно так, как я и хотел. В чём же последний шаг конфигурации, который позволит управлять cAP через IP, назначенный ether1?

anav

Guest

#11

15.07.2020 16:34:00

Не совсем ясно, как описать, так как у тебя настройка немного отличается от моей, но могу указать на основные моменты.
/ip neighbor discovery-settings set discover-interface-list=capwin
/interface list member add interface=ether1 list=WAN
add interface=wifi-1 list=LAN
add interface=wifi-2 list=LAN
add interface=wifi-3 list=LAN
add interface=homevlan list=LAN
add interface=homevlan list=capwin

Иными словами, я не создавал дополнительный VLAN 99, capac у меня на homevlan.
/ip address add address=192.168.0.xxx/24 interface=homevlan network=192.168.0.0
/tool mac-server mac-winbox set allowed-interface-list=capwin

Winbox тоже включён… доступ разрешён на homevlan.
Просматривая твою настройку, ты должен иметь возможность зайти на capac, если IP адрес capac — это допустимый IP в сети VLAN99. Если да, то capac вроде нормально работает, а VLAN99 у тебя вообще настроен на основном роутере?
После повторного взгляда, думаю, проблема тут… У тебя отсутствует назначение интерфейса в список.
/interface list member available from BASIS_VLAN only
add interface=BASIS_VLAN list=BASIS

Я хочу сделать это только с ether1
add interface=ether1 list=BASIS

Не уверен, нужно ли связывать ether1 с BASIS списком, НО тебе точно стоит связать vlan99 со списком BASIS.
add interface=BASIS_VLAN list=BASIS

Если это не сработает (тогда можно попробовать поменять ether1 на LAN или WAN список, но, по-моему, это не важно, ключ в отсутствии нужной связи).

mkx

Guest

#12

21.10.2021 16:23:00

Хорошо, значит ether1 должен пропускать только меткированные кадры на входе. Какой VLAN (10 или 15) должен обеспечивать доступ для управления? На данный момент к RB можно подключиться через ether1 по немаркированному доступу.

passt Guest	#13 0 22.10.2021 06:40:00 Ни один из VLAN не должен позволять доступ к управлению. Я хочу получить доступ к cAPac по IP-адресу, назначенному на ether1, который является частью нашей Ethernet LAN без VLAN (или с дефолтным VLAN=1).

mkx

Guest

#14

22.10.2021 11:38:00

Опубликуй свою текущую конфигурацию, чтобы мы точно понимали, какое устройство у тебя запущено. Выполни команду /export hide-sensitive file=anynameyouwish, скачай полученный файл, открой его в текстовом редакторе и скопируй сюда содержимое внутри [__code] [/code] блока. То, что ты выложил до этого, — это просто набор команд, которые нужно выполнить, но там нет точного результата (а ведь он зависит от предыдущего состояния конфигурации).

Однако: интерфейсы, которые добавлены в порт моста, нельзя использовать напрямую ни для чего другого. Хотя ROS на это и не ругается, это всё равно неправильно. Если порт участвует в мосте, то всякая L3-настройка, сделанная на этом порту, уже не принадлежит исключительно ему, потому что на L2 он становится частью объединённой/коммутируемой сети.

Поэтому действительно стоит перенести IP-адрес на BR1, а все остальные ссылки на ether1 (например, включение в списки интерфейсов) тоже должны быть изменены на BR1. Ещё нужно разрешить на ether1 приём неотмеченных (untagged) кадров. Твоя конфигурация должна выглядеть примерно так:

# Разрешаем входящие пакеты С тегами и БЕЗ тегов на транковых портах, иначе неотмеченное управление через ether1 работать не будет.

/interface bridge port
set bridge=BR1 ingress-filtering=yes frame-types=admit-all [find interface=ether1]

Обрати внимание, что в таком случае и интерфейс BR1, и ether1 будут использовать (неявное значение по умолчанию) PVID=1.

passt

Guest

#15

22.10.2021 14:36:00

Спасибо, mkx, наконец-то, наконец-то заработало! Теперь использую IP для моста BR1 и включил ingress-filtering с frame-types=admin-all на ether1 — вот это сработало. Вот моя итоговая конфигурация:

# oct/22/2021 14:17:54 by RouterOS 6.49
# software id = EK22-3R0R
#
# model = RBcAPGi-5acD2nD
# serial number = B9320B001B18

/interface bridge
add admin-mac=C4:AD:34:85:FC:6A auto-mac=no comment=defconf name=BR1 protocol-mode=none vlan-filtering=yes

/interface list
add name=BASIS

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profil_intern supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=profil_gast supplicant-identity=MikroTik

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=wlan2ghz-intern security-profile=profil_intern ssid=KICK@in wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge name=wlan5ghz-intern security-profile=profil_intern ssid=KICK@in wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:85:FC:6B master-interface=wlan2ghz-intern multicast-buffering=disabled name=vlan2ghz-gast security-profile=profil_gast ssid=KICK@gast wds-cost-range=0-4294967295 wds-default-bridge=BR1 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=C6:AD:34:85:FC:6C master-interface=wlan5ghz-intern multicast-buffering=disabled name=vlan5ghz-gast security-profile=profil_gast ssid=KICK@gast wds-cost-range=0-4294967295 wds-default-bridge=BR1 wds-default-cost=0 wps-mode=disabled

/interface bridge port
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=wlan2ghz-intern pvid=10
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=wlan5ghz-intern pvid=10
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=vlan2ghz-gast pvid=15
add bridge=BR1 frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=vlan5ghz-gast pvid=15
add bridge=BR1 ingress-filtering=yes interface=ether1

/ip neighbor discovery-settings
set discover-interface-list=BASIS

/interface bridge vlan
add bridge=BR1 tagged=ether1 untagged=wlan2ghz-intern,wlan5ghz-intern vlan-ids=10
add bridge=BR1 tagged=ether1 untagged=vlan2ghz-gast,vlan5ghz-gast vlan-ids=15

/interface list member
add interface=BR1 list=BASIS

/ip address
add address=10.10.10.77/24 interface=BR1 network=10.10.10.0

/ip dns
set allow-remote-requests=yes servers=10.10.10.254

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" disabled=yes in-interface-list=!BASIS
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=*2000010

/ip route
add distance=1 gateway=10.10.10.254

/system ntp client
set enabled=yes primary-ntp=10.10.10.254 server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org

/system routerboard mode-button
set enabled=yes on-event=dark-mode

/system script
add comment=defconf dont-require-permissions=no name=dark-mode owner=*sys policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="
:if ([system leds settings get all-leds-off] = \"never\") do={
/system leds settings set all-leds-off=immediate
} else={
/system leds settings set all-leds-off=never
}
"

/tool mac-server
set allowed-interface-list=BASIS

/tool mac-server mac-winbox
set allowed-interface-list=BASIS

Я отредактировал конфигурацию, убрав ненужные и неработающие строки из дефолтного конфига для 192.168.88.1. Но могу ли я так же удалить правила файрвола без вреда для работы?

mkx

Guest

#16

22.10.2021 15:41:00

Поскольку устройство не является граничным шлюзом и предполагается, что доступ для управления через untagged считается доверенным, вы можете спокойно отключить или удалить все правила фаервола. Или, чтобы перестраховаться, оставьте правила для цепочки input…

Мне интересно, нужно ли это настройка: /ip dns set > allow-remote-requests=yes > servers=10.10.10.254. Если это устройство нигде не указано как DNS-сервер вашего untagged-сегмента, тогда для надежности лучше выставить allow-remote-requests=no.

passt Guest	#17 0 25.10.2021 13:58:00 Устройство не является пограничным шлюзом, поэтому я отключил allow-remote-requests и удалил правила фаервола с цепочкой chain=forward. К сожалению, я заметил, что всё равно могу попасть в веб-конфиг устройства по его IP-адресу, и это разрешено с любого сетевого сегмента. То есть я могу получить доступ к веб-конфигу с Wifi@gast, с Wifi@intern и с LAN. Доступ с LAN желателен, а вот с Wifi@gast его быть не должно. С Wifi@gast пинг по IP-адресу запрещён, но когда пользователь gast вводит правильный IP-адрес, он получает доступ к веб-конфигу cAPac. Можно ли запретить доступ к устройству с Wifi@gast?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры