Нет интернета на гостевом wi-fi (vlan)

[Chupaka]

Конечно можно.

[greendoom]

Конечно можно.

Каким образом? Мне нужно будет конфигурить каждую точку. Но как? мне нужно будет там влан прописывать с основого CRS?

[Chupaka]

Это зависит от того, как вы хотите пробросить клиентов к основному роутеру. Если через VLAN - тогда да, на CRS его прокинуть и, например, через Datapath добавить гостевые интерфейсы в бридж с этим виланом.

[greendoom]

Это зависит от того, как вы хотите пробросить клиентов к основному роутеру. Если через VLAN - тогда да, на CRS его прокинуть и, например, через Datapath добавить гостевые интерфейсы в бридж с этим виланом.

а для моей сетки это сработает? а можете подробнее описать процесс?

[Chupaka]

Так, вы, может, сначала опишите подробнее, чего хотите добиться от Local forwarding и Client to client forwarding (по отдельности)? Потому как ничего не мешает вам гнать трафик без Local Forwarding на CAPsMAN (CRS) - и там его уже скопом отправить в VLAN в сторону роутера основного. Т.е. просто создать интерфейс VLAN на интерфейсе, смотрящем в роутер, и добавить его в бридж с гостевыми интерфейсами (сейчас на этом бридже у вас DHCP-сервер, как понимаю).

[greendoom]

Так, вы, может, сначала опишите подробнее, чего хотите добиться от Local forwarding и Client to client forwarding (по отдельности)? Потому как ничего не мешает вам гнать трафик без Local Forwarding на CAPsMAN (CRS) - и там его уже скопом отправить в VLAN в сторону роутера основного. Т.е. просто создать интерфейс VLAN на интерфейсе, смотрящем в роутер, и добавить его в бридж с гостевыми интерфейсами (сейчас на этом бридже у вас DHCP-сервер, как понимаю).

проблема в том, как завернуть гостевую сетку и изолировать ее от основной. у меня внешний DHCP же стоит. поэтому я ищу пути, как это реализовать, не сломав существующую систему

[Chupaka]

Так вы её изолированным VLAN'ом и догоните до роутера, а там уже изолируйте, что надо. Или внешний DHCP - это какое-то третье устройство? Тогда его надо или в тот же VLAN добавлять, или настроить DHCP Relay на одном из других устройств.

[greendoom]

Так вы её изолированным VLAN'ом и догоните до роутера, а там уже изолируйте, что надо. Или внешний DHCP - это какое-то третье устройство? Тогда его надо или в тот же VLAN добавлять, или настроить DHCP Relay на одном из других устройств.

сам задумываюсь о DHCP relay уже. внешний DHCP это не третье устройство, это линуксовая машинка, которая выполняет функцию DHCP сервера в сетке.

Таким образом теоретически, нужно поднять на DHCP (линуксова машинка) за микротом гостевую сетку и назначить на VLAN на микроте DHCP relay, чтобы он получал команды с внешнего DHCP сервачка?

[Chupaka]

Да, но при этом терминирование вилана останется на CRS - и мы вернулись туда, откуда пришли. А если вы поднимаете на линуксовой машине VLAN, вешаете на него DHCP и пробрасываете этот VLAN до CRS, добавив его в бридж с гостевыми интерфейсами - вуаля, CRS работает простой трубой, изоляция на линуксовой машине, DHCP тоже

[greendoom]

Да, но при этом терминирование вилана останется на CRS - и мы вернулись туда, откуда пришли. А если вы поднимаете на линуксовой машине VLAN, вешаете на него DHCP и пробрасываете этот VLAN до CRS, добавив его в бридж с гостевыми интерфейсами - вуаля, CRS работает простой трубой, изоляция на линуксовой машине, DHCP тоже

Да, но здесь возникает другая проблема в таком случае. Чтобы линуксовый комп с DHCP не раздавал айпишники из этой подсети (VLAN) на компы в организации. Я имею ввиду в нашу сеть. И тут мы снова возвращаемся к тому, к чему начинали. Если DHCP будет поднят на линуксовой машине, то по идее он должен раздавать адреса всем в нашей сети. А нужно, чтобы адреса получали только гостевые вай фай устройства через CRS.

[Chupaka]

А он сейчас, разве, не всем раздаёт?

А будет раздавать на основном интерфейсе пул адресов для основной сети, а на интерфейсе VLAN - пул для гостевой сети.

[greendoom]

А он сейчас, разве, не всем раздаёт?

А будет раздавать на основном интерфейсе пул адресов для основной сети, а на интерфейсе VLAN - пул для гостевой сети.

он раздает всем. но тут вопрос возникает, как сделать так, чтобы dhcp сервер на линухе не раздал никому адреса из этого диапазона VLAN, который я поднимаю на DHCP сервере линуксовом. VLAN ведь будет торчать в общую сеть.

[Корпич]

как сделать так, чтобы dhcp сервер на линухе не раздал никому адреса из этого диапазона VLAN, который я поднимаю на DHCP сервере линуксовом.

Стандартная работа DHCP сервера выдавать адреса из той сети, что прописана на интерфейсе, с которого пришел запрос.
Что мешает в изолированной гостевой сети поднять DHCP сервер на микротике?

[Chupaka]

он раздает всем. но тут вопрос возникает, как сделать так, чтобы dhcp сервер на линухе не раздал никому адреса из этого диапазона VLAN, который я поднимаю на DHCP сервере линуксовом. VLAN ведь будет торчать в общую сеть.

Хм... Что значит "торчать в общую сеть"? VLAN как раз и используется для разделения сетей. Поэтому вы настраиваете два сервера DHCP, каждый на своём интерфейсе со своим пулом, настраиваете гостевую подсеть на новом интерфейсе VLAN (чтобы он мог быть шлюзом для гостей) - и вуаля.

[greendoom]

как сделать так, чтобы dhcp сервер на линухе не раздал никому адреса из этого диапазона VLAN, который я поднимаю на DHCP сервере линуксовом.

Стандартная работа DHCP сервера выдавать адреса из той сети, что прописана на интерфейсе, с которого пришел запрос.
Что мешает в изолированной гостевой сети поднять DHCP сервер на микротике?

подытожу. насколько я понял, я просто поднимаю на линуксовой машине (где DHCP) VLAN интерфейс. но саму подсеть не конфигурю на этом DHCP линуксовом серваке (то есть подсеть не создаю, диапазон не назначаю в файле /etc/dhcp/dhcpd.conf). а вместо этого поднимаю DHCP сервер на CRS на бридже, который смотрит в этот VLAN интерфейс. все верно?

[Chupaka]

Да, можно и так. DHCP у вас, по идее, уже поднят, осталось перенести IP-адрес с CRS на сервер и поднять VLAN между машинами.

[greendoom]

Да, можно и так. DHCP у вас, по идее, уже поднят, осталось перенести IP-адрес с CRS на сервер и поднять VLAN между машинами.

Я попробую этот вариант, если прокатит, то отпишусь, что все получилось.