Почему не работает гостевая сеть на Mikrotik Cap Lite + Win Server 2008 R2 (DHCP, DNS, AD..)?

Question

[MikeKMS]

Есть желание настроить гостевую сеть Wifi на точках доступа Mikrotik Cap Lite без доступа в локальную сеть предприятия. Настраивал по нескольким инструкциям (1 https://www.marthur.com/networking/mikr ... omment-302., 2 ), но каждый раз при подключении к гостевой сети нет интернета. Точки доступа работают в режиме бридж, клиенты корпоративной сети получают параметры ip от DHCP Windows server 2008 R2. На сервере установлены роли: DHCP (сеть 192.168.0.0/16), DNS, Active directory, Службы политики сети и доступа, Файловые службы. Адрес сервера - 192.168.0.1/16, на точках доступа айпи адреса прописаны вручную (192.168.0.7/16, 192.168.0.8/16). К первой сетевой карте сервера подключен роутер Mikrotik RB750Gr (192.168.88.99), адрес роутера 192.168.88.1, вторая сетевая подключена к неуправляемому свитчу. Клиентские компьютеры, ноутбуки, точки доступа подключены к неуправляемуму свитчу. Сервер выступает в качестве шлюза. Ранее точки доступа были подключены напрямую к роутеру Mikrotik RB750Gr и гостевой доступ работал как надо и без сбоев. После подключения к серверу невозможно настроить интернет на точках доступа для гостевой сети, внутренняя защищенная WI-FI сеть работает хорошо. Подозреваю, что связано это с сервером, только не знаю где копать. Может кто-то сталкивался с такой проблемой? Настройкf точrb доступа:

# aug/24/2020 23:17:37 by RouterOS 6.44.5
# software id = LL4G-ZM9I
#
# model = RouterBOARD cAP L-2nD
# serial number = 792E07779CB0
/interface bridge
add admin-mac=64:D1:54:D5:4D:E8 auto-mac=no comment="Local bridge" name=\
    bridge
add name=bridge1
add arp=reply-only name=bridge_free_wifi
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=ukraine disabled=no \
    frequency-mode=regulatory-domain installation=outdoor mode=ap-bridge \
    ssid=miska_rada_AP tx-power=19 tx-power-mode=all-rates-fixed
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=*********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed name=profile_guest_wifi \
    supplicant-identity=""
/interface wireless
add default-forwarding=no keepalive-frames=disabled mac-address=\
    66:D1:54:D5:4D:E9 master-interface=wlan1 multicast-buffering=disabled \
    name=free_wifi security-profile=profile_guest_wifi ssid=\
    miska_rada_free_wifi wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=10.10.10.2-10.10.10.254
add name=dhcp_pool1 ranges=10.10.10.2-10.10.10.254
add name=dhcp_pool2 ranges=10.1.1.2-10.1.1.254
add name=pool3 ranges=192.168.1.1-192.168.1.254
add name=dhcp_pool4 ranges=10.1.1.2-10.1.1.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=\
    bridge_free_wifi lease-time=8h name=dhcp-guest
add address-pool=dhcp_pool4 interface=free_wifi name=dhcp2
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether1
add bridge=bridge_free_wifi interface=free_wifi
/ip address
add address=192.168.0.7/16 interface=bridge1 network=192.168.0.0
add address=10.10.10.1/24 interface=bridge_free_wifi network=10.10.10.0
add address=10.1.1.1/24 disabled=yes interface=free_wifi network=10.1.1.0
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=10.1.1.1,8.8.8.8 gateway=10.1.1.1
add address=10.10.10.0/24 dns-server=192.168.0.1,8.8.8.8,8.8.4.4 gateway=\
    10.10.10.1 netmask=24
/ip dns
set servers=192.168.0.1,8.8.8.8,8.8.4.4
/ip firewall filter
add action=drop chain=forward disabled=yes dst-address=192.168.0.0/16 \
    src-address=10.1.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=\
    bridge_free_wifi src-address=10.10.10.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=bridge1 \
    src-address=10.1.1.0/24
/ip route
add distance=1 gateway=192.168.88.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24,192.168.0.0/16
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.88.0/24,192.168.0.0/16
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Kiev
/system package update
set channel=long-term

Comments

[MikeKMS]

Удалось настроить, что было сделано:
1) полностью были сброшены настройки с помощью Winbox->System->Reset Configuration (no default configuration)
2) в quick set был выбран режим bridge, заданы статические параметры ip, ip адрес шлюза сервера, DNS сервера, теже SSID и пароль
3) с помощью статьи была настроена гостевая точка доступа без доступа к корпоративной сети
Все пока работает.

Answer 1

[Сергей]

Поясните пожалуйста этот момент:
Ранее точки доступа были подключены напрямую к роутеру Mikrotik RB750Gr и гостевой доступ работал как надо и без сбоев.
После подключения к серверу невозможно настроить интернет на точках доступа для гостевой сети,
внутренняя защищенная WI-FI сеть работает хорошо.

Как теперь подключены точки доступа?

Answer 2

[MikeKMS]

Точки доступа и сервер подключены к неуправляемому свитчу. DHCP, DNS, AD на сервере. При подключении к корпоративной сети WIFI DHCP сервера раздает настройки (точка доступа в режиме bridge). При подключении к гостевой сети DHCP-сервер точки доступа CAP-lite раздает настройки.