+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

VLAN 1003 для Airport Extreme

VLAN 1003 для Airport Extreme, RouterOS

doozyicecream

Guest

31.08.2015 10:55:00

Всем привет, я тут новичок, так что будьте поосторожнее. Мне нужен добрый человек, который объяснит или подскажет статьи о том, как настроить VLAN 1003 для гостевой сети Apple Airport Extreme. Моя конфигурация примерно такая: Оборудование: CRS-125-24G Cloud Router Switch eth1 подключён к интернет-провайдеру, eth2 — главный в локальной сети, eth3 по eth20 переключаются/зависимы от eth2, eth16 подключён к Airport Extreme. Всё работает отлично, но как только я включаю гостевую сеть, любое устройство, подключающееся к гостевому SSID, не получает IP-адрес. Я знаю, что нужно создать VLAN с ID 1003 и новый DHCP пул/адреса и прочее, но не уверен, как это сделать. Технический мануал на сайте Mikrotik для меня слишком сложный. Кто-нибудь может помочь? Спасибо!

FirstTech

Guest

31.05.2016 12:58:00

Я пытался следовать твоему примеру, но у меня не получилось всё настроить правильно. Опишу свою конфигурацию, надеюсь, ты заметишь, где я мог допустить явную ошибку. Заранее спасибо!

У нас RouterBOARD 1100AHx2 в роли роутера между кабельным модемом (со статическим IP) и коммутатором MikroTik CRS226-24G-2S+ для нашей локальной сети. В ролях точек доступа WiFi — несколько Apple Airport Extreme. Сейчас у меня есть один приватный, который просто объединяет всю сеть в мост, и ещё один настроен как роутер для публичного доступа.

Я бы хотел перенести публичный WiFi на порт 10 RouterBOARD и настроить его так, чтобы у него был только базовый доступ в Интернет.

В нашей локальной сети DHCP обслуживает наш Windows файловый сервер, а RouterBOARD выступает как шлюз.

Я следовал твоим инструкциям из этого поста, внеся необходимые изменения под свою сеть. Как только я добавляю мосты:

/interface bridge port add bridge=bridge-public interface=vlan-guest-ether24
add bridge=bridge-guest interface=ether02-master-local

— я теряю возможность маршрутизировать трафик в локальной сети. Если я удаляю эти настройки, всё работает.

Есть идеи, в чём может быть проблема?

brablc

Guest

01.06.2016 15:40:00

Я не совсем понимаю всю эту заморочку с бриджами, о которой выше говорили, это же всё про DHCP на VLAN, да? У меня всё работает вот так просто:

/interface vlan
add interface=ether2-master name=vlan160 vlan-id=160

/ip address
add address=192.168.160.1/24 interface=vlan160 network=192.168.160.0

/ip pool
add name=dhcp-pool-vlan160 ranges=192.168.160.32-192.168.160.254

/ip dhcp-server
add address-pool=dhcp-pool-vlan160 disabled=no interface=vlan160 name=dhcp-vlan160

/ip dhcp-server network
add address=192.168.160.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.160.1

Обязательно проверяйте VLAN при прямом подключении к устройству Mikrotik. Я потратил пару дней на поиск проблемы, сделал лабораторку (там всё работало), и в итоге обнаружил, что Cisco-коммутатор, который соединяет мой офис с Mikrotik, — умный и не рассылает VLAN-пакеты в широковещательном режиме.

UminOtoko

Guest

02.10.2016 04:08:00

Всем привет! Я совсем новичок в Mikrotik, так что сразу прошу прощения за мою неопытность! У меня похожая проблема. У меня есть Airport Extreme в режиме моста, подключенный к роутеру, пока что на ether3, но в итоге будет четыре устройства на ether2-ether5. Я настроил мост, который объединяет все LAN-порты (ether2..ether10), а WAN-порт — это ether1. Настроил VLAN с id = 1003, связанный с тем же мостом, чтобы обрабатывать гостевую сеть Apple Airport. Также настроил DHCP для LAN (10.0.1.0/24) и VLAN (192.168.77.0/24), проверил, что DHCP и пинг работают внутри подсетей. Частная LAN работает как надо. Но трафик из гостевой сети в интернет не идет. При подключении к гостевой сети клиент получает IP и может общаться с другими на той же подсети, но выйти в интернет не может! Кто-нибудь может подсказать, в чем может быть проблема?

# oct/02/2016 00:06:20 by RouterOS 6.36.3
# software id = 59JF-39A6
#
/ip pool
add name=dhcp-private ranges=10.0.1.20-10.0.1.200
add name=dhcp_pool1 ranges=192.168.77.2-192.168.77.254
/ip address
add address=10.0.1.1/24 interface=bridge1 network=10.0.1.0
add address=192.168.77.1 interface=vlan1 network=192.168.77.1
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server
add address-pool=dhcp-private disabled=no interface=bridge1 name=dhcp-private
add address-pool=dhcp_pool1 disabled=no interface=vlan1 name=dhcp-public
/ip dhcp-server network
add address=10.0.1.0/24 dns-server=10.0.1.1 gateway=10.0.1.1 netmask=24
add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=10.0.1.0/24 list=Private_LAN
add address=192.168.77.0/24 list=Public_LAN
/ip firewall filter
add action=accept chain=input comment="Разрешить установленные/связанные подключения к роутеру для кэшированного DNS" connection-state=established,related
add action=accept chain=input comment="Разрешить Private LAN доступ к роутеру" in-interface=bridge1 src-address-list=Private_LAN
add action=accept chain=input comment="Временное разрешение Public_LAN доступа к роутеру" src-address-list=Public_LAN
add action=drop chain=input comment="Блокировать весь остальной трафик к роутеру"
add action=drop chain=forward comment="Блокировать некорректные подключения" connection-state=invalid
add action=accept chain=forward comment="Разрешить новые подключения из private LAN" connection-state=established,related,new in-interface=bridge1
add action=accept chain=forward comment="Разрешить новые подключения из public VLAN" connection-state=new in-interface=vlan1
add action=accept chain=forward comment="Разрешить установленные/связанные подключения" connection-state=established,related
add action=drop chain=forward comment="Блокировать все остальные состояния подключений"
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.0.1.0/24
set api-ssl disabled=yes

efaden Guest	#5 0 02.10.2016 13:44:00 Опубликуй полный экспорт. Конфигурация интерфейса/моста там отсутствует.

UminOtoko

Guest

02.10.2016 21:33:00

Привет, efaden, спасибо за помощь. Вот полный экспорт конфигурации:

/interface bridge
add comment="LAN bridge" name=bridge1

/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment="LAN interfaces"
set [ find default-name=sfp1 ] disabled=yes

/ip neighbor discovery
set ether1 comment=WAN discover=no
set ether2 comment="LAN interfaces"
set bridge1 comment="LAN bridge"

/interface vlan
add comment="vlan for public wifi" interface=bridge1 name=vlan1 vlan-id=1003

/ip neighbor discovery
set vlan1 comment="vlan for public wifi"

/ip pool
add name=dhcp-private ranges=10.0.1.20-10.0.1.200
add name=dhcp_pool1 ranges=192.168.77.2-192.168.77.254

/ip dhcp-server
add address-pool=dhcp-private disabled=no interface=bridge1 name=dhcp-private
add address-pool=dhcp_pool1 disabled=no interface=vlan1 name=dhcp-public

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10

/ip address
add address=10.0.1.1/24 interface=bridge1 network=10.0.1.0
add address=192.168.77.1 interface=vlan1 network=192.168.77.1

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network
add address=10.0.1.0/24 dns-server=10.0.1.1 gateway=10.0.1.1 netmask=24
add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1

/ip dns
set allow-remote-requests=yes

/ip firewall address-list
add address=10.0.1.0/24 list=Private_LAN
add address=192.168.77.0/24 list=Public_LAN

/ip firewall filter
add action=accept chain=input comment="Разрешить установленные/связанные подключения к роутеру для кэшированного DNS" connection-state=established,related
add action=accept chain=input comment="Разрешить Private LAN доступ к роутеру" in-interface=bridge1 src-address-list=Private_LAN
add action=accept chain=input comment="Разрешить Public_LAN доступ к роутеру (временное правило)" src-address-list=Public_LAN
add action=drop chain=input comment="Отбросить весь остальной трафик к роутеру"
add action=drop chain=forward comment="Отбросить недействительные подключения" connection-state=invalid
add action=accept chain=forward comment="Разрешить новые подключения из private LAN" connection-state=established,related,new in-interface=bridge1
add action=accept chain=forward comment="Разрешить новые подключения из public VLAN" connection-state=new in-interface=vlan1
add action=accept chain=forward comment="Разрешить установленные/связанные подключения" connection-state=established,related
add action=drop chain=forward comment="Отбросить все остальные состояния соединений"

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.0.1.0/24
set api-ssl disabled=yes

/system clock
set time-zone-name=America/New_York

/system identity
set name=GBC_Internet

/system ntp client
set enabled=yes primary-ntp=129.6.15.28 secondary-ntp=129.6.15.29

/system routerboard settings
set protected-routerboot=disabled

/system script
add name=script1 owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source="/ip firewall address-list\r\n#rfc 1918, loopback, and multicast\r\nadd address=10.0.0.0/8 comment=\"\" disabled=no list=rfc-1918\r\nadd address=127.0.0.1 comment=\"\" disabled=no list=rfc-1918\r\nadd address=192.168.0.0/16 comment=\"\" disabled=no list=rfc-1918\r\nadd address=172.16.0.0/20 comment=\"\" disabled=no list=rfc-1918\r\nadd address=172.16.0.0/12 comment=\"\" disabled=no list=rfc-1918\r\nadd address=224.0.0.0/4 comment=\"\" disabled=no list=rfc-1918\r\nadd address=240.0.0.0/4 comment=\"\" disabled=no list=rfc-1918"

/tool bandwidth-server
set enabled=no

UminOtoko

Guest

03.10.2016 02:20:00

После публикации экспорта и повторного просмотра, меня осенило, что я забыл указать /24 у IP-адреса VLAN. Исправленный адрес:
/ip address
add address=10.0.1.1/24 interface=bridge1 network=10.0.1.0
add address=192.168.77.1/24 interface=vlan1 network=192.168.77.0
Теперь всё работает как надо! Ещё раз спасибо, что посмотрели!

FirstTech Guest	#8 0 08.10.2016 17:58:00 Вопрос... Я следовал вашей настройке для своего роутера CRS. Теперь у меня настроено так, что когда кто-то подключается через гостевую сеть Airport Extreme, им выдаётся адрес из диапазона 172. При подключении к основным точкам доступа они получают адрес из диапазона 192. Когда я подключаюсь через публичную точку доступа, могу спокойно сидеть в интернете. Но я не вижу никаких устройств в частной сети. Хотя я МОГУ вручную попытаться подключиться к устройству из частной сети и при этом получить запрос на вход в AD. Если я ввожу данные, могу просматривать частную сеть. Как сделать так, чтобы устройства с адресами из диапазона 172 могли только выходить в интернет и НИЧЕГО больше?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры