http://mikrotik.moscow Новое в теме Гостевая сеть: VLAN против моста форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Wed, 24 Jun 2026 03:56:32 +0300 Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
Гостевой Wi-Fi без VLAN (к вашему сведению): http://forum.mikrotik.com/t/isolated-guest-wifi-sans-vlans/173913/1 https://tangentsoft.com/mikrotik/wiki?name=Isolated%20Guest%20WiFi%20Sans%20VLANs (там же объясняется подход QuickSet)
05.04.2025 18:03:00, jaclaz.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409210 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409210 Sat, 05 Apr 2025 18:03:00 +0300 RouterOS Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
Он работает на уровне L2, но может заглянуть внутрь Ethernet-кадра и увидеть заголовки уровней L3 (IP) и L4 (TCP/UDP), что даёт возможность фильтровать и по ним. Вот страница с документацией по бриджевому файрволу: https://help.mikrotik.com/docs/spaces/ROS/pages/328068/Bridging+and+Switching#BridgingandSwitching-BridgeFirewall. Помните, эти уровни OSI похожи на луковую шелуху или матрёшку. L2 — самый внешний перед физическим уровнем, так что имея кадр L2, вы можете его "развернуть" и заглянуть внутрь.
05.04.2025 16:44:00, anserk.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409209 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409209 Sat, 05 Apr 2025 16:44:00 +0300 RouterOS Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
Вероятно, это более детальная настройка, чем могут обеспечить стандартные правила фильтрации фаервола, хотя, поскольку я не использую мостовые фильтры, ничего конкретного в голову не приходит.
02.04.2025 18:03:00, anav.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409208 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409208 Wed, 02 Apr 2025 18:03:00 +0300 RouterOS Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
Спасибо за ответы. Думаю, пока оставлю всё как есть и в будущем настрою VLANы. Бридж работает на втором уровне модели OSI (MAC-адреса), а IP-файрвол — на третьем и выше (IP-адреса, TCP/UDP порты и так далее). Да, именно так, бридж работает на втором уровне, и фильтры тоже должны работать на этом уровне. Но я спрашивал о разнице между фильтрами, потому что если бридж, как мы выяснили, работает на втором уровне модели OSI, то что, к черту, там делают фильтры на основе IP?
02.04.2025 16:50:00, kspr.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409207 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409207 Wed, 02 Apr 2025 16:50:00 +0300 RouterOS Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
MikroTik рекомендует либо использовать Quick Set для всего и не трогать другие настройки, либо вообще не пользоваться Quick Set. По поводу использования фильтров моста для сегментации гостевой WiFi — да, это можно применить в вашем случае. Они работают за счет блокировки всех пересылаемых Ethernet-кадров с указанных беспроводных интерфейсов и на них. Поскольку WAN-интерфейс (eth1) не входит в мост, трафик WAN между eth1 и беспроводными интерфейсами не подпадает под эти фильтры. Многие обычные роутеры используют такой же подход с ebtables (файрвол на уровне L2) для гостевой WiFi-функциональности. Знаю, что некоторые роутеры Asus так делают. К тому же, для использования этих фильтров вовсе не обязательно применять Quick Set. Теперь, когда вы знаете, что они собой представляют, можно просто вручную добавить их в свою кастомную конфигурацию. При этом желательно ограничить доступ к самому роутеру через IP-файрвол, если только вы не хотите, чтобы он был доступен из гостевой сети. Самый безопасный вариант — разрешать от гостевой сети к роутеру только DHCP (UDP 67) и DNS (UDP и TCP 53) (цепочка input). Это правило файрвола остается актуальным и при использовании VLAN. По умолчанию правила файрвола не блокируют доступ к роутеру с локальной стороны. Одно важно учесть: фильтры моста довольно сильно нагружают процессор. Я использовал такие же фильтры для гостевой WiFi на hAP ac2 и заметил, что это ограничивает максимальную пропускную способность WiFi. Подробнее здесь: http://forum.mikrotik.com/t/vlans-with-wifi-qcom-ac/182887/17 Возможно, вас это не коснется, так как у hAP ax3 процессор чуть посильнее (но не значительно), как видно из официальных тестов. На практике это ограничение может не иметь значения, если ваша WiFi-сеть не должна работать быстрее 400 Мбит/с.
01.04.2025 13:27:00, anserk.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409206 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409206 Tue, 01 Apr 2025 13:27:00 +0300 RouterOS Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
Мост работает на уровне 2 модели OSI (MAC-адреса), а IP-файрвол — на уровнях 3 и выше (IP-адреса, TCP/UDP-порты и так далее). https://help.mikrotik.com/docs/spaces/ROS/pages/119144661/IPv4+and+IPv6+Fundamenta­ls#IPv4andIPv6Fundamentals-OSIModel Эта страница тоже очень помогает понять, как пакеты проходят в RouterOS: https://help.mikrotik.com/docs/spaces/ROS/pages/328227/Packet+Flow+in+RouterOS
01.04.2025 13:33:00, anserk.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409205 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409205 Tue, 01 Apr 2025 13:33:00 +0300 RouterOS Гостевая сеть: VLAN против моста RouterOS в форуме RouterOS.
Недавно я начал менять конфигурацию своего роутера hAP ax3. У меня настроены два бриджа: один стандартный и другой, созданный специально для гостевой WiFi-сети. Просматривая интернет, я наткнулся на пост, где кто-то сказал, что наличие более одного бриджа на MikroTik-роутере не рекомендуется. Кроме того, в большинстве руководств по настройке гостевой WiFi на MikroTik используют VLAN, а не отдельный бридж. Всё это заставило меня задуматься, насколько оптимальна моя конфигурация и есть ли какие-то лучшие практики по выбору способа настройки гостевой WiFi-сети.
18.03.2025 05:50:00, kspr.]]> http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409204 http://mikrotik.moscow/forum/forum57/86672-gostevaya-set_-vlan-protiv-mosta/message409204 Tue, 18 Mar 2025 05:50:00 +0300 RouterOS