Приветствую.
Имею - hap ac lite, его адрес .7.99
ether1-gw подключен к адсл-модему, чей адрес .7.1
Конфиг не очень сложный - вкратце поднимается несколько ppp l2tp туннелей, потом при помощи mangle mark + routing привязываются к физ портам (eth3 <-> ppp1 и тд).
Задача:
wlan1 свободен. Нужно, чтобы подключившись к wlan1 И имея включенное dhcp, клиент просто попадал в lan модема и получал от него все настройки. (это тривиально бриджуя wlan1 и eth1-gw).
НО если клиент подключается с настроенным вручную IP, dns И (!) gateway нацелен на адрес микротика (.7.99), то микротик должен стать полноценным гейтвеем для него. Суть - получить возможность mangle пакетов от такого клиента, что даст возможность уводить пакеты по ip list некому на ppp интерфейс. Остальные пропускаем на .7.1
Как бы сделал кое как - ослабил правила drop и тд. Но работает очень медленно, speedtest.net так и не смог дождаться (хотя вообще инет есть и даже пакеты на адреса из списка летят как надо через ppp). Где то петля? Затык?
Поможете? Спасибо
НО если клиент подключается с настроенным вручную IP, dns И (!) gateway нацелен на адрес микротика (.7.99), то микротик должен стать полноценным гейтвеем для него.
Вы же понимаете, что у вас в одном шировищательном домене получается две сети ? Так делать мягко говоря не надо. Просьба нарисуйте схему и более подробно, что вы хотите в итоге.
Скорее всего все делается намного проще и без всяких маркировок.
Например через vlan или подключением в другой порт. Как вариант можно создать две wifi сети , которые будут разруливать в разные сети.
Рисую. Скоро будет. Вот как раз VLAN не очень владею - спасибо заранее.
И таки нужно с одного интерфейса иметь и тех кто сразу идет на 7.1 и тех кто идет на 7.1 через 7.99
Понимаю, что бридж wlan1+eth1-gw как раз и миксует две сети в один домен?
JackBauer: Вы нарисуйте схему, я думаю очень много вопросов у вас у самого исчезнет.
Пускать условно две сети в один сегмент, не надо. :) Инфа 100%.
Надо разгуливать по другому. Ждем схему.
задача по сути оставить 'хитрых' в локалке без nat на микре, чтобы доступ к нас был и кросс-пинг оттуда-сюда-туда + обход блока некоторых ip, которые попали в блеклист прова по дикой маске.
JackBauer: Ну если я все правильно понял, то вам надо, что бы на hap ac lite появилась еще одна сеть из ADSL.
Тогда вам надо зайти в настройки interface, выбрать ether5 и убрать у него master-port ether2.
Пойти в bridge, создать новый bridge-wan. Во вкладке ports, в bridge-wan добавить порты ether1 и ether2.
На этом все. Теперь у вас на интерфейсах этих будет сеть от ADSL.
Вообще если у вас ADSL pppoe, я бы все это повесил на hap ac lite. Тем самым вы избежите двойного NAT. Естественно при этом adsl становится как bridge и вы теряете кол-во портов. Хотя если он умеет vlan, то и это решаемо.
Опять же все это можно решить и через vlan внутри switch chip это не будет съедать ресурсы CPU mikrotik. Хотя я не думаю, что у вас там будет такая нагрузка.
Нет, все не так. Все порты заняты. Нужно wlan1 чтобы был точкой входа в лан модема + чтобы микротик был еще и интеллектуальным гейтвеем (форвардером, но НЕ натом).
Закройте глаза на eth2-5 - их как будто вообще нет :)
(и модем это для простоты - никакой там не модем и не pppoe и ничего оно не умеет кроме как натить внешний ip в сеть .7.0 но делает это как надо)
И вы как бы совсем проигнорировали задачу как таковую (обработка пакетов входящих в .7.99 и направление их или на .7.1 или на ppp*)
Прошу еще раз внимательно все перечитать ))
Я у вас вижу две точки соединения с ADSL.
Зачем оно возвращается обратно в ADSL с наверняка внутренний сеткой mikrotik мне не очень понятно.
при этом я вижу что порты 3.4.5 заняты.
Вообще , может тогда не делать еще одну внутренний сеть в mikrotik , а сделать все единой сеткой.
Зачем такой сложный огород ? Оставить за старшего или ADSL или Mikrotik.
JackBauer: eth1 у вас ADSL, eth3 -4 я вижу.
eth2 куда подключен и что там должно быть ?
Ну и я то же не внимательный.
>Нужно wlan1 чтобы был точкой входа в лан модема
Если вам нужно на Wlan1 повесить сетку ADSL создайте bridge-wan и туда прописать ether1 и wlan1.
При этом wlan1 убрать из текущего bridge.
Если вам надо еще wlan сети, то вы можете создать еще одну VirtualAP (хоть 1000)
Зайти в Wireless>virtual. Появится wlan3. Прописать нужный SSDI, аутентификацию и сделать bridge с чем вам нужно.
(это тривиально бриджуя wlan1 и eth1-gw).
НО если клиент подключается с настроенным вручную IP, dns И (!) gateway нацелен на адрес микротика (.7.99), то микротик должен стать полноценным гейтвеем для него. Суть - получить возможность mangle пакетов от такого клиента, что даст возможность уводить пакеты по ip list некому на ppp интерфейс. Остальные пропускаем на .7.1
Как бы сделал кое как - ослабил правила drop и тд. Но работает очень медленно, speedtest.net так и не смог дождаться (хотя вообще инет есть и даже пакеты на адреса из списка летят как надо через ppp). Где то петля? Затык?
JackBauer: Ну а зачем так делать то ?
Создайте две wlan сетки и рулите.
Все остальное это неправильные грабли со всех сторон.
У вас wlan1 должен будет смотреть в две сетки или роутингом или bridge.
При этом держать сразу две адресации в одном широковещательном домене, это вообще не надо так делать.
При этом гарантий нормальной работы не будет совсем. Тем более вы там еще и ppp поднимаете.
Надо все упрощать, вы же пытаетесь все усложнить. Тот же VPN настройки на mikrotik и в нем же уже разваливайте куда хотите вплоть до поднятие vlan и передачу всего трафика по vlan хитрому клиенту.
Честно говоря я уже потерял нить событий, что в итоге надо.
С такой схемой вы получаете двойной нат, непонятное прохождение трафика, две адресации сети в одном широковещательном домене итд.
Сделайте две Wan сети на ризные сетки , это проще и быстрее без всяких маркировок трафика.
>/interface bridge port
add bridge=br0 interface=lan
add bridge=br0 interface=wan
При этом , что бы DHCP в wan не лез он добавил запрет
>add action=drop chain=input comment="do not accept DHCP requests" dst-port=67-68 in-interface=wan ip-protocol=udp mac-protocol=ip
Но вот весь широковещательный трафик будет ползать в две стороны :) Молодец, чего я еще скажу.
Занатял два правила, к которому он прописал роут, хотя к роута там нет отношение от слова совсем
Банальный редерект.
Но если вы считаете, что это нормально - то кто вам в праве помешать ?
Только учтите< что Mikrotik сейчас сильно меняет понимание bridge и Master-port, так что при очередном обновлении это все может поломаться .
Сложный
