Нет интернета на гостевом wi-fi (vlan)

[greendoom]

Всем добрый день! Прошу сильно не пинать, так как в теме микротиков я новый человек. Есть 24-х портовик CRS326-24G-2S+. Настроен в режиме обычного свича. Есть внешний дхцп сервачок. Купили 3 микрота hap ac2 для вай фая. Ну соответственно поднял на 24 портовике Capsman, чтобы он рулил этими тремя точками. Настроил, как в большинстве мануалов, две сети: op-office для офисных работников и op-guest для гостей. Для офисного вай фая выставил в Datapath Local forwarding и client to client forwarding. Все хорошо. А вот с гостевой сеткой косяк. Не удается никак на нее инет дать. Пробовал через отдельный бридж, но не сработало. Сейчас сделал для гостевых интерфейсов отдельный vlan, поднял на нем дхцп. Поместил этот vlan в бридж со всеми портами. В итоге клиент получает айпишник от дцхп на микроте, но в инет не выходит. Подскажите, что я упустил. Что нужно донастроить, чтобы не поломать существующую сетку и прикрутить изолированный гостевой вай фай?

Код: Выделить всё

# jun/25/2021 10:36:37 by RouterOS 6.47
# software id = 
#
# model = CRS326-24G-2S+
# serial number = ********
/caps-man channel
add band=2ghz-b/g/n frequency=2447 name=office-2G
add band=5ghz-a/n/ac frequency=5300 name=office-5G
/interface bridge
add admin-mac=C4:********** auto-mac=no comment=defconf name=bridge
/interface vlan
add arp=reply-only interface=bridge name=vlan10-guest vlan-id=10
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=yes name=\
    op-office
add bridge=bridge client-to-client-forwarding=no local-forwarding=no name=\
    op-guest vlan-id=10 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough \
    eap-radius-accounting=yes encryption=aes-ccm group-encryption=aes-ccm \
    name=op-office
add authentication-types=wpa2-psk encryption=aes-ccm name=op-guest \
    passphrase=*********
/caps-man configuration
add channel=office-2G country=belarus datapath=op-office mode=ap name=\
    op-office-2G rx-chains=0,1,2,3 security=op-office ssid=office \
    tx-chains=0,1,2,3
add channel=office-5G country=belarus datapath=op-office mode=ap name=\
    op-office-5G rx-chains=0,1,2,3 security=op-office ssid=office \
    tx-chains=0,1,2,3
add channel=office-2G country=belarus datapath=op-guest mode=ap name=\
    op-guest-2G rx-chains=0,1,2,3 security=op-guest ssid=office-guest \
    tx-chains=0,1,2,3
add channel=office-5G country=belarus datapath=op-guest mode=ap name=\
    op-guest-5G rx-chains=0,1,2,3 security=op-guest ssid=office-guest \
    tx-chains=0,1,2,3
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool_guest ranges=192.168.89.2-192.168.89.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool_guest disabled=no interface=\
    vlan10-guest name=dhcp-guest
/queue type
add kind=pcq name=queue-guest-download pcq-classifier=dst-address pcq-rate=\
    10M
add kind=pcq name=queue-guest-upload pcq-classifier=src-address pcq-rate=10M
/queue simple
add max-limit=10M/10M name=queue-guest queue=\
    queue-guest-upload/queue-guest-download target=192.168.89.0/24
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=\
    -75..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=\
    -120..76 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=op-office-2G \
    name-format=prefix-identity name-prefix=2G radio-mac=48:******** \
    slave-configurations=op-guest-2G
add action=create-dynamic-enabled master-configuration=op-office-5G \
    name-format=prefix-identity name-prefix=5G radio-mac=48:******** \
    slave-configurations=op-guest-5G
add action=create-dynamic-enabled master-configuration=op-office-2G \
    name-format=prefix-identity name-prefix=2G radio-mac=48:******** \
    slave-configurations=op-guest-2G
add action=create-dynamic-enabled master-configuration=op-office-5G \
    name-format=prefix-identity name-prefix=5G radio-mac=48:********* \
    slave-configurations=op-guest-5G
add action=create-dynamic-enabled master-configuration=op-office-2G \
    name-format=prefix-identity name-prefix=2G radio-mac=48:********* \
    slave-configurations=op-guest-2G
add action=create-dynamic-enabled master-configuration=op-office-5G \
    name-format=prefix-identity name-prefix=5G radio-mac=48:********* \
    slave-configurations=op-guest-5G
/interface bridge port
add bridge=bridge comment=defconf hw=no interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=ether11
add bridge=bridge comment=defconf interface=ether12
add bridge=bridge comment=defconf interface=ether13
add bridge=bridge comment=defconf interface=ether14
add bridge=bridge comment=defconf interface=ether15
add bridge=bridge comment=defconf interface=ether16
add bridge=bridge comment=defconf interface=ether17
add bridge=bridge comment=defconf interface=ether18
add bridge=bridge comment=defconf interface=ether19
add bridge=bridge comment=defconf interface=ether20
add bridge=bridge comment=defconf interface=ether21
add bridge=bridge comment=defconf interface=ether22
add bridge=bridge comment=defconf interface=ether23
add bridge=bridge comment=defconf interface=ether24
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=ether11 list=LAN
add interface=ether12 list=LAN
add interface=ether13 list=LAN
add interface=ether14 list=LAN
add interface=ether15 list=LAN
add interface=ether16 list=LAN
add interface=ether17 list=LAN
add interface=ether18 list=LAN
add interface=ether19 list=LAN
add interface=ether20 list=LAN
add interface=ether21 list=LAN
add interface=ether22 list=LAN
add interface=ether23 list=LAN
add interface=ether24 list=LAN
/ip address
add address=192.168.65.225/24 disabled=yes interface=ether2 network=\
    192.168.65.0
add address=192.168.65.230 interface=bridge network=192.168.65.0
add address=192.168.89.1/24 interface=vlan10-guest network=192.168.89.0
/ip dhcp-client
add disabled=no interface=bridge
/ip dhcp-server network
add address=192.168.89.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.89.1
/ip dns
set servers=192.168.65.15,192.168.65.60
/ip route
add disabled=yes distance=1 gateway=192.168.65.1
/ip route rule
add action=drop disabled=yes dst-address=192.168.89.0/24 src-address=\
    192.168.65.0/24
add action=drop disabled=yes dst-address=192.168.65.0/24 src-address=\
    192.168.89.0/24
/radius
add address=192.168.65.145 secret=******** service=wireless timeout=3s600ms
/system clock
set time-zone-name=Europe/Minsk
/system identity
set name="Mikrotik"
/system logging
add topics=radius
/system routerboard settings
set boot-os=router-os

[Chupaka]

Здравствуйте.

Как я понял, у вас сейчас CRS является роутером для гостевой сети. Он маршрутизирует подсеть 192.168.89.0/24 на 192.168.65.1.

А на 192.168.65.1 прописан маршрут к 192.168.89.0/24 через CRS?

[greendoom]

Добрый вечер!
Нет, никаких маршрутов не прописывал. Поднимал эту сеть (192.168.89.0/24) сугубо на CRS.

[Chupaka]

Ну так надо прописать, а то основной роутер не знает, куда отправлять ответы гостям

[greendoom]

Я попробую прописать маршрут, по результату отпишусь сюда. Но уже на следующей неделе.

[greendoom]

Прописал маршрут, не помогло. Есть еще идеи? И к тому же у меня вопрос, как потом ее (гостевую сеть) можно будет изолировать от основной сети, если она маршрутизируется через нее?

Вернее так, инета нету, но доступ в основную сетку появился.

[Chupaka]

А кто работает основным роутером? На нём гостевую сетку разрешили в Интернеты?

Изоляция настраивается через Firewall Filter: надо запретить то, что нельзя. Ну, либо в связке с основным роутером настраивать. Но мы о нём пока ничего не знаем. Возможно, проще было бы пробросить бриджем всех гостевых клиентов к нему - и пусть он уже сам разбирается.

[greendoom]

В качестве роутера тут выступает машинка по адресу 192.168.65.1. На ней поднят dhcp. Она инетом рулит. В нее воткнут модем провайдера и весь трафик через нее ползет.
Каким образом бридж с микрота пробрасывается куда-то дальше? Как его пробросить к 192.168.65.1?

[Chupaka]

Каким-нибудь тоннелем (EoIP, GRE) или прочим VLAN. Вы же до сих пор не сказали, что из себя представляет роутер, поэтому я не знаю его возможностей

[greendoom]

Роутер это обычный модем провайдера. Он подключен к машине по адресу 192.168.65.1. Машинка поднимает ppoe соединение и рулит инетом сама. Она выступает в качестве шлюза для всей сетки.

[Chupaka]

Не понял... Что ещё за машина, к которой подключен роутер? А CRS подключен к этой "машине"?
Выше вы писали вот такое:

В качестве роутера тут выступает машинка по адресу 192.168.65.1. На ней поднят dhcp. Она инетом рулит. В нее воткнут модем провайдера

Я, вроде как, про эту "машину" и спрашиваю. Может, схему нарисуйте?

Трассировку с гостя в Интернет по имени и IP делали?

[greendoom]

Извините, может не четко выразил свои мысли. Машина с 65.1 поднимает ppoe соединение не модеме провайдера. На ней поднят dhcp сервер. Эта машина является шлюзом для остальной сетки.
А CRS висит в этой сети.
Трассировку не делал, как сделаю, покажу.

[Chupaka]

Вот я и спрашиваю, что это за "машина" и каковы её возможности в плане туннелирования.

[greendoom]

Вот я и спрашиваю, что это за "машина" и каковы её возможности в плане туннелирования.

Это линуксовый хост, можно туннелировать.

По поводу трейсера вот что:

C:\Users\Admin>tracert 8.8.8.8

Tracing route to 8.8.8.8 over a maximum of 30 hops

1 192.168.89.1 reports: Destination net unreachable.

Trace complete.

C:\Users\Admin>tracert mail.ru
Unable to resolve target system name mail.ru.

[Chupaka]

Хм... Это же адрес CRS? У него точно есть шлюз по умолчанию?

[greendoom]

Хм... Это же адрес CRS? У него точно есть шлюз по умолчанию?

Ну ваще в сетке адрес у CRS 192.168.65.230, а то адрес гостевого влана. на бридже.

[Chupaka]

Но если у вас маркировки роутинга нет, то таблица маршрутизации общая. А отвечает он с адреса интерфейса пользователя - это нормально. Так есть на CRS маршрут по умолчанию или нет?

[greendoom]

Но если у вас маркировки роутинга нет, то таблица маршрутизации общая. А отвечает он с адреса интерфейса пользователя - это нормально. Так есть на CRS маршрут по умолчанию или нет?

У CRM маршрут по умолчанию в эту сетку 192.168.65.0. Туда все пакеты летят.

[Chupaka]

У CRM маршрут по умолчанию в эту сетку 192.168.65.0.

М-м-м... Может, покажете "/ip route print detail"? А то в моём мире маршрут по умолчанию должен быть через шлюз (IP-адрес), а не "в сетку"...

[greendoom]

У CRM маршрут по умолчанию в эту сетку 192.168.65.0.

М-м-м... Может, покажете "/ip route print detail"? А то в моём мире маршрут по умолчанию должен быть через шлюз (IP-адрес), а не "в сетку"...

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 X S dst-address=0.0.0.0/0 gateway=192.168.65.1 gateway-status=192.168.65.1 inactive distance=1 scope=30 target-scope=10

1 ADC dst-address=192.168.65.0/24 pref-src=192.168.65.230 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

2 ADC dst-address=192.168.65.0/32 pref-src=192.168.65.230 gateway=bridge gateway-status=bridge reachable distance=0 scope=10

3 ADC dst-address=192.168.89.0/24 pref-src=192.168.89.1 gateway=vlan10-guest gateway-status=vlan10-guest reachable distance=0 scope=10

[Chupaka]

Т.е. маршрут по умолчанию у вас выключен ("X S dst-address=0.0.0.0/0"), поэтому клиенты и получают ошибку при попытке доступа в Интернет. А маршрут к основной сетке есть - поэтому те устройства доступны.

[greendoom]

Т.е. маршрут по умолчанию у вас выключен ("X S dst-address=0.0.0.0/0"), поэтому клиенты и получают ошибку при попытке доступа в Интернет. А маршрут к основной сетке есть - поэтому те устройства доступны.

ОК. тогда как остальные клиенты, которые подключены в порты на микроте, получают доступ к инету?

[Chupaka]

Так у них же шлюзом является основной роутер, а не CRS.

[greendoom]

Так у них же шлюзом является основной роутер, а не CRS.

да, вы правы. все верно...

[greendoom]

Можно ли гостевой инет настроить не на основном CRS, а на трех точках доступа? Я имею ввиду выставление в Datapath на CRS на гостевой сетке Local forwarding и Client to client forwarding.