Mikrotik + UniFi controller. 4 разных вайфай сети и vlan. Как объединить вланы?

Question

[itcry]

Всем привет. Стоит задача поднять в офисе 4 разных вайфай сети. Сети подняты через UniFi controller и тарелки ap. На контроллере указано что каждая вайфай сеть имеет свой вилан. 2,10,20,30. Контроллер подсоединён к микроту в порт eth10. На микроте на 10 порту я поднял 4 разных вилана с таким же айди, как и на контроллере. Дальше создал 4 бриджа для каждого вилана, каждому бриджу дал айпи в соответствующей сетке. На каждый бридж накинул свой дхцп.
1. Правильно ли я поднял виланы? Клиенты получают айпишники в соответствии с тем, к какой сети они подключены.
2. Виланы без каких либо роут правил и факторов получились изолированными. Проблема в том, что я никак не могу заставить видеть устройства из одного влана в другом. Клиенты видят только шлюз во всех этих сетях, но что за шлюзом - не видно. Мне кажется, я намутил с бриджами. Но пробовал без бриджей совсем - результат тот же

Answer 1

[vreitech]

если vlan'ы получились изолированными и каждый со своей адресацией - скорее всё сделано правильно.
теперь вам надо настроить маршрутизацию между всеми этими сетями на микротике и выдачу клиентам по dhcp шлюза по-умолчанию (т. е. выдачу IP-адреса микротика из текущей подсети в качестве шлюза по-умолчанию).

Comments

[itcry]

Да, дхцп настроены так, что выдают шлюзы своим клиентам как положено. Но маршруты между вланами не поднимаются. Причём я даже руками пытался прописать - ничего не дало

[itcry]

poisons, 24/ адреса добавлены на бриджи и на эти же бриджи дхцп. Клиент из влан100 получает шлюз 192.168.100.1 (адрес бриджа в сотой сетке) , а клиент из vlan101 получает шлюз 192.168.101.1 . При этом уэклиент 100 пингует шлюз 101.1, но все что за шлюзом уже не видит

[itcry]

poisons, /ip firewall filter
add action=accept chain=input src-address-list=allow_ip
add action=drop chain=input

[itcry]

с микротика все клиенты во всех вланах пингуются без проблем.
фаервол настроен только на закрытие внешнего трафика, ибо ломать логин пытаются постоянно. Больше никаких правил не прописывал.
>> ip settings print
ip-forward: yes
send-redirects: yes
accept-source-route: no

Answer 2

[itcry]

В общем вопрос был решён. Не находил времени расписать все. Не знаю точно почему, но проблема была в следующем. Я на eth10 порт повесил кучу вланов. Дальше для каждого влана поднял свой бридж. И на каждый бридж повесил дхцп. Сейчас я сделал по другому. Я на eth10 повесил бридж ( так как в последствии планируется к этому бриджу ещё один порт присоединить) дальше на этот бридж повесил кучу виланов. И каждому вилану выдал свой дхцп. После этого все стало работать как нужно. Потом уже фаерволом изолировал сети и дал гулять определенным айпи так, как нужно было мне. Всем спасибо за помощь!