Zdravím,
opět prosím o radu. Už druhý den o tom přemýšlím a googlím a nedaří se mi zjisti, jak nastavit mikrotik jako AP včetně wifi sítě pro hosty. Současná konfigurace:
Tik1 (RB951-2HnD): hlavní router v režimu Home AP - je na něm spuštěna Wifi pro hosty, která je nakonfigurována přes Quick Set - z wifi pro hosty se do vnitřní sítě nedostanu, ale není mi jasné, jak je to možné. Ve firewallu nejsou žádná pravidla, IP adresu dostávám z rozsahu vnitřní sítě.
Tik2 (RB951-2HnD): AP v režimu WISP AP v módu Bridge, je nastaven DHCP klient na WAN, zbridžoval jsem všechny adaptéry, funguje jak privátní wifi tak i wifi pro hosty. Z této wifi pro hosty se ale dostanu do lokální sítě. IP adresu přiděluje Tik1.
Otázkou tedy je, jak zařídit, aby jsem se z wifi pro hosty na Tiku2 nedostal do lokální sítě, nedaří se mi v Tiku1 přijít na to, co to odděluje. Nevím ani kterou cestou se vydat, zda tvořit nějaký VLANy, markovat pakety nebo přidělovat pro wifi pro hosty IP adresy z jiného rozsahu a nadělat pravidla ve firewallu případně se poprat s CAPsMANem. Jak to udělat nejelagantněji?
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik jako AP se sítí pro hosty
Nevím, jak to je udělané přes quickset (nikdy jsem to nepoužil), možná je tam nějaký filtr na bridge.
Běžný postup, pokud má být více AP je s VLANami - na routeru (je jedno, jestli má wifi nebo ne) vyrobit dva bridge (LAN a GUEST), na každý z nich dát jiný rozsah IP adres, do firewallu přidat pravidlo, které zakáže provoz mezi LAN a GUEST. Potom od LAN bridge dát wlan, nad wlan vytvořit virtualAP a dát do GUEST bridge.
Pokud bude připojeno ještě další externí AP, tak na ether portu kde bude připojeno vytvořit VLAN rozhraní (tag třeba 10) a toto vlan rozhraní přidat do GUEST bridge.
Ve všech dalších AP vyrobit opět dva bridge (LAN a GUEST), strčit do nich patřičné wlan/vAP, a ether + vlan vytvořený nad tím ether.
Takhle je to poměrně univerzální - můžou po cestě být další (VLANové) switche, místo mikrotik ap to můžou být třeba unifi... konfigurace je pořád víceméně stejná.
Možnost je i CAPSMAN, ale učit se to kvůli dvěma APčkům doma je zbytečné. To je lepší se naučit a pochopit to řešení s VLANy, má to mnohem více uplatnění, GUESTovská síť může být i drátová...
Běžný postup, pokud má být více AP je s VLANami - na routeru (je jedno, jestli má wifi nebo ne) vyrobit dva bridge (LAN a GUEST), na každý z nich dát jiný rozsah IP adres, do firewallu přidat pravidlo, které zakáže provoz mezi LAN a GUEST. Potom od LAN bridge dát wlan, nad wlan vytvořit virtualAP a dát do GUEST bridge.
Pokud bude připojeno ještě další externí AP, tak na ether portu kde bude připojeno vytvořit VLAN rozhraní (tag třeba 10) a toto vlan rozhraní přidat do GUEST bridge.
Ve všech dalších AP vyrobit opět dva bridge (LAN a GUEST), strčit do nich patřičné wlan/vAP, a ether + vlan vytvořený nad tím ether.
Takhle je to poměrně univerzální - můžou po cestě být další (VLANové) switche, místo mikrotik ap to můžou být třeba unifi... konfigurace je pořád víceméně stejná.
Možnost je i CAPSMAN, ale učit se to kvůli dvěma APčkům doma je zbytečné. To je lepší se naučit a pochopit to řešení s VLANy, má to mnohem více uplatnění, GUESTovská síť může být i drátová...
1 x
Děkuji za návod, popsal jsi to výborně! Věnoval jsem se tomu od včerejšího poledne, musel jsem toho spoustu naštudovat a konečně úspěch. Furt to né a né fungovat, i přesto že se konfigurace tiků zdála správná a logická, samozřejmě jsem nevěděl, že když to mám propojené přes switch, tak musím dát porty na switchi do wlanu také, jinak my ty vlan tagy odstraní a smolík. To mi fakt zavařilo škécu Holt sem o vlanech nic nevěděl.
0 x
Pokud guest jedes verejne... (bez hlesla) urcite bych resil data retention na teto siti...
Myslim na wifi ztotoznit cloveka, a uchovavat data. Resil jsem to v jedne firme (prisel jim od policajtu papir se zadosti o vypisy). a nemeli nic. Dikybohu to byl jen prestupek co tam clovek pachal.. tak to odlozili. Tak jsem nasadil sluzbu od miia.cz a je klid. (beha to na Mikrotiku) a pokud za nima nekdo prijde, ze chti vypis... tak je poslou spravci sluzby...
Jinak presne jak to popsal rsaf .... jinak bych to ani ja nedelal...
Myslim na wifi ztotoznit cloveka, a uchovavat data. Resil jsem to v jedne firme (prisel jim od policajtu papir se zadosti o vypisy). a nemeli nic. Dikybohu to byl jen prestupek co tam clovek pachal.. tak to odlozili. Tak jsem nasadil sluzbu od miia.cz a je klid. (beha to na Mikrotiku) a pokud za nima nekdo prijde, ze chti vypis... tak je poslou spravci sluzby...
Jinak presne jak to popsal rsaf .... jinak bych to ani ja nedelal...
0 x
auby