Настройка двух изолированных WiFi сетей на RouterOS

Question

[Иван Пантелеев]

Имеется сеть со следующей топологией:


Имеется две точки доступа (Mikrotik SXT 5HnD) с wifi-мостом между ними, и ТД выступающая сейчас в роли беспроводного свитча и раздающая wifi в пределах дома (Mikrotik Groove A-52HPn).
Никак не выходит у меня создать две изолированных WiFi сети, одну "гостевую", а одну "домашнюю".

Пробовал на 192.168.88.2 организовать VLAN2 и поднять для него отдельный DHСP сервер(раздающий адреса в 10.0/24 подсети), и на 192.168.88.3 настроить VirtualAP и объединить её в бридж с VLAN2, но такой подход провалился.

Подскажите, как решить такую задачку правильно?

Answer 1

[LAA]

Привет!
Идея, на мой взгляд правильная.
Надо организовать влан интерфейс на груве.
Этот влан и радио-интерфейс объединить в единый бридж.
При этом на езернет-интерфейсе надо оставить ип-адрес из 88-ой сети, чтобы не потерять доступ.
Далее, такой же влан создать на 88.2 на том физическом интерфейсе, в который включен грув.
Ну а дальше все просто.
Если что -- в личку.

Answer 2

[Кирилл Васильев]

так сложно понять скинте конфигу!

Answer 3

[ASPI]

Про потерю какого доступа идет речь? winbox умеет без IP адресов коннектиться к микротику.
В вашем случае вообще можно было не задавать на SXTшках IP адреса, а сделать прозрачный бридж (192.168.203.70 получите через 2км на ether1 второй SXT - фактически беспроводной удлинитель витой пары будет).
Я сделал бы так, домашняя сеть wlan1 гостевая на virtual AP - wlan2, оба в бридже локальном,
адресация одна, но трафик что через wlan2 либо помечать, и запрещать в домашнюю сеть (и шейпить) или запрещать просто интерфейсом.

Answer 4

[Клёвый Админ]

Если ещё не решилось - пиши, помогу настроить.

Если кратко, то поднимаешь виртуал AP, на файрволе поднимаешь отдельный маскарадинг для неё, а правилами трафика делаешь запрет подключения в локальную сеть, только в удалённые.

Поднимаешь для интерфейса виртуал АП отдельный dhcp, либо вообще натравливаешь на неё пакет hotspot =)

Comments

[kampot]

похожая проблема. rb951g-2hnd

поднимаю ap-bridge, к основной сети подключается норм, схватывает настройки с dhcp-сервера в сети, в интернет через прокси пускает. Добавляю вирт точку доступа, настраиваю DHCP - клиент подключается, получает настройки, но в интернет не пускает. в чем косяк?

[Клёвый Админ]

kampot: маскарадинг же добавить нужно для нового диапазона IP и правилами Firewall не запрещать (а лучше разрешать) такой трафик.

[kampot]

Евгений Быченко: вот и добавляю. внутренняя сеть пингуется, а инторнеты - нет. чую что косяк с днсами и с натом