Нет интернета на гостевом wi-fi (vlan)

[Chupaka]

Не понял... Что ещё за машина, к которой подключен роутер? А CRS подключен к этой "машине"?
Выше вы писали вот такое:

В качестве роутера тут выступает машинка по адресу 192.168.65.1. На ней поднят dhcp. Она инетом рулит. В нее воткнут модем провайдера

Я, вроде как, про эту "машину" и спрашиваю. Может, схему нарисуйте?

Трассировку с гостя в Интернет по имени и IP делали?

[greendoom]

Извините, может не четко выразил свои мысли. Машина с 65.1 поднимает ppoe соединение не модеме провайдера. На ней поднят dhcp сервер. Эта машина является шлюзом для остальной сетки.
А CRS висит в этой сети.
Трассировку не делал, как сделаю, покажу.

[Chupaka]

Вот я и спрашиваю, что это за "машина" и каковы её возможности в плане туннелирования.

[greendoom]

Вот я и спрашиваю, что это за "машина" и каковы её возможности в плане туннелирования.

Это линуксовый хост, можно туннелировать.

По поводу трейсера вот что:

C:\Users\Admin>tracert 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1 192.168.89.1 reports: Destination net unreachable.

Trace complete.

C:\Users\Admin>tracert mail.ru
Unable to resolve target system name mail.ru.

[Chupaka]

Хм... Это же адрес CRS? У него точно есть шлюз по умолчанию?

[greendoom]

Хм... Это же адрес CRS? У него точно есть шлюз по умолчанию?

Ну ваще в сетке адрес у CRS 192.168.65.230, а то адрес гостевого влана. на бридже.

[Chupaka]

Но если у вас маркировки роутинга нет, то таблица маршрутизации общая. А отвечает он с адреса интерфейса пользователя - это нормально. Так есть на CRS маршрут по умолчанию или нет?

[greendoom]

Но если у вас маркировки роутинга нет, то таблица маршрутизации общая. А отвечает он с адреса интерфейса пользователя - это нормально. Так есть на CRS маршрут по умолчанию или нет?

У CRM маршрут по умолчанию в эту сетку 192.168.65.0. Туда все пакеты летят.

[Chupaka]

У CRM маршрут по умолчанию в эту сетку 192.168.65.0.

М-м-м... Может, покажете "/ip route print detail"? А то в моём мире маршрут по умолчанию должен быть через шлюз (IP-адрес), а не "в сетку"...

[greendoom]

У CRM маршрут по умолчанию в эту сетку 192.168.65.0.

М-м-м... Может, покажете "/ip route print detail"? А то в моём мире маршрут по умолчанию должен быть через шлюз (IP-адрес), а не "в сетку"...

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 X S dst-address=0.0.0.0/0 gateway=192.168.65.1 gateway-status=192.168.65.1 inactive distance=1 scope=30 target-scope=10

1 ADC dst-address=192.168.65.0/24 pref-src=192.168.65.230 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

2 ADC dst-address=192.168.65.0/32 pref-src=192.168.65.230 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

3 ADC dst-address=192.168.89.0/24 pref-src=192.168.89.1 gateway=vlan10-guest gateway-status=vlan10-guest reachable distance=0 scope=10

[Chupaka]

Т.е. маршрут по умолчанию у вас выключен ("X S dst-address=0.0.0.0/0"), поэтому клиенты и получают ошибку при попытке доступа в Интернет. А маршрут к основной сетке есть - поэтому те устройства доступны.

[greendoom]

Т.е. маршрут по умолчанию у вас выключен ("X S dst-address=0.0.0.0/0"), поэтому клиенты и получают ошибку при попытке доступа в Интернет. А маршрут к основной сетке есть - поэтому те устройства доступны.

ОК. тогда как остальные клиенты, которые подключены в порты на микроте, получают доступ к инету?

[Chupaka]

Так у них же шлюзом является основной роутер, а не CRS.

[greendoom]

Так у них же шлюзом является основной роутер, а не CRS.

да, вы правы. все верно...

[greendoom]

Можно ли гостевой инет настроить не на основном CRS, а на трех точках доступа? Я имею ввиду выставление в Datapath на CRS на гостевой сетке Local forwarding и Client to client forwarding.

[Chupaka]

Конечно можно.

[greendoom]

Конечно можно.

Каким образом? Мне нужно будет конфигурить каждую точку. Но как? мне нужно будет там влан прописывать с основого CRS?

[Chupaka]

Это зависит от того, как вы хотите пробросить клиентов к основному роутеру. Если через VLAN - тогда да, на CRS его прокинуть и, например, через Datapath добавить гостевые интерфейсы в бридж с этим виланом.

[greendoom]

Это зависит от того, как вы хотите пробросить клиентов к основному роутеру. Если через VLAN - тогда да, на CRS его прокинуть и, например, через Datapath добавить гостевые интерфейсы в бридж с этим виланом.

а для моей сетки это сработает? а можете подробнее описать процесс?

[Chupaka]

Так, вы, может, сначала опишите подробнее, чего хотите добиться от Local forwarding и Client to client forwarding (по отдельности)? Потому как ничего не мешает вам гнать трафик без Local Forwarding на CAPsMAN (CRS) - и там его уже скопом отправить в VLAN в сторону роутера основного. Т.е. просто создать интерфейс VLAN на интерфейсе, смотрящем в роутер, и добавить его в бридж с гостевыми интерфейсами (сейчас на этом бридже у вас DHCP-сервер, как понимаю).

[greendoom]

Так, вы, может, сначала опишите подробнее, чего хотите добиться от Local forwarding и Client to client forwarding (по отдельности)? Потому как ничего не мешает вам гнать трафик без Local Forwarding на CAPsMAN (CRS) - и там его уже скопом отправить в VLAN в сторону роутера основного. Т.е. просто создать интерфейс VLAN на интерфейсе, смотрящем в роутер, и добавить его в бридж с гостевыми интерфейсами (сейчас на этом бридже у вас DHCP-сервер, как понимаю).

проблема в том, как завернуть гостевую сетку и изолировать ее от основной. у меня внешний DHCP же стоит. поэтому я ищу пути, как это реализовать, не сломав существующую систему

[Chupaka]

Так вы её изолированным VLAN'ом и догоните до роутера, а там уже изолируйте, что надо. Или внешний DHCP - это какое-то третье устройство? Тогда его надо или в тот же VLAN добавлять, или настроить DHCP Relay на одном из других устройств.

[greendoom]

Так вы её изолированным VLAN'ом и догоните до роутера, а там уже изолируйте, что надо. Или внешний DHCP - это какое-то третье устройство? Тогда его надо или в тот же VLAN добавлять, или настроить DHCP Relay на одном из других устройств.

сам задумываюсь о DHCP relay уже. внешний DHCP это не третье устройство, это линуксовая машинка, которая выполняет функцию DHCP сервера в сетке.

Таким образом теоретически, нужно поднять на DHCP (линуксова машинка) за микротом гостевую сетку и назначить на VLAN на микроте DHCP relay, чтобы он получал команды с внешнего DHCP сервачка?

[Chupaka]

Да, но при этом терминирование вилана останется на CRS - и мы вернулись туда, откуда пришли. А если вы поднимаете на линуксовой машине VLAN, вешаете на него DHCP и пробрасываете этот VLAN до CRS, добавив его в бридж с гостевыми интерфейсами - вуаля, CRS работает простой трубой, изоляция на линуксовой машине, DHCP тоже

[greendoom]

Да, но при этом терминирование вилана останется на CRS - и мы вернулись туда, откуда пришли. А если вы поднимаете на линуксовой машине VLAN, вешаете на него DHCP и пробрасываете этот VLAN до CRS, добавив его в бридж с гостевыми интерфейсами - вуаля, CRS работает простой трубой, изоляция на линуксовой машине, DHCP тоже

Да, но здесь возникает другая проблема в таком случае. Чтобы линуксовый комп с DHCP не раздавал айпишники из этой подсети (VLAN) на компы в организации. Я имею ввиду в нашу сеть. И тут мы снова возвращаемся к тому, к чему начинали. Если DHCP будет поднят на линуксовой машине, то по идее он должен раздавать адреса всем в нашей сети. А нужно, чтобы адреса получали только гостевые вай фай устройства через CRS.