classic.ISPforum.cz

Zdravím,
opět prosím o radu. Už druhý den o tom přemýšlím a googlím a nedaří se mi zjisti, jak nastavit mikrotik jako AP včetně wifi sítě pro hosty. Současná konfigurace:
Tik1 (RB951-2HnD): hlavní router v režimu Home AP - je na něm spuštěna Wifi pro hosty, která je nakonfigurována přes Quick Set - z wifi pro hosty se do vnitřní sítě nedostanu, ale není mi jasné, jak je to možné. Ve firewallu nejsou žádná pravidla, IP adresu dostávám z rozsahu vnitřní sítě.
Tik2 (RB951-2HnD): AP v režimu WISP AP v módu Bridge, je nastaven DHCP klient na WAN, zbridžoval jsem všechny adaptéry, funguje jak privátní wifi tak i wifi pro hosty. Z této wifi pro hosty se ale dostanu do lokální sítě. IP adresu přiděluje Tik1.

Otázkou tedy je, jak zařídit, aby jsem se z wifi pro hosty na Tiku2 nedostal do lokální sítě, nedaří se mi v Tiku1 přijít na to, co to odděluje. Nevím ani kterou cestou se vydat, zda tvořit nějaký VLANy, markovat pakety nebo přidělovat pro wifi pro hosty IP adresy z jiného rozsahu a nadělat pravidla ve firewallu případně se poprat s CAPsMANem. Jak to udělat nejelagantněji?

Nevím, jak to je udělané přes quickset (nikdy jsem to nepoužil), možná je tam nějaký filtr na bridge.

Běžný postup, pokud má být více AP je s VLANami - na routeru (je jedno, jestli má wifi nebo ne) vyrobit dva bridge (LAN a GUEST), na každý z nich dát jiný rozsah IP adres, do firewallu přidat pravidlo, které zakáže provoz mezi LAN a GUEST. Potom od LAN bridge dát wlan, nad wlan vytvořit virtualAP a dát do GUEST bridge.
Pokud bude připojeno ještě další externí AP, tak na ether portu kde bude připojeno vytvořit VLAN rozhraní (tag třeba 10) a toto vlan rozhraní přidat do GUEST bridge.
Ve všech dalších AP vyrobit opět dva bridge (LAN a GUEST), strčit do nich patřičné wlan/vAP, a ether + vlan vytvořený nad tím ether.

Takhle je to poměrně univerzální - můžou po cestě být další (VLANové) switche, místo mikrotik ap to můžou být třeba unifi... konfigurace je pořád víceméně stejná.
Možnost je i CAPSMAN, ale učit se to kvůli dvěma APčkům doma je zbytečné. To je lepší se naučit a pochopit to řešení s VLANy, má to mnohem více uplatnění, GUESTovská síť může být i drátová...

Děkuji za návod, popsal jsi to výborně! Věnoval jsem se tomu od včerejšího poledne, musel jsem toho spoustu naštudovat a konečně úspěch. Furt to né a né fungovat, i přesto že se konfigurace tiků zdála správná a logická, samozřejmě jsem nevěděl, že když to mám propojené přes switch, tak musím dát porty na switchi do wlanu také, jinak my ty vlan tagy odstraní a smolík. To mi fakt zavařilo škécu Holt sem o vlanech nic nevěděl.

Pokud guest jedes verejne... (bez hlesla) urcite bych resil data retention na teto siti...
Myslim na wifi ztotoznit cloveka, a uchovavat data. Resil jsem to v jedne firme (prisel jim od policajtu papir se zadosti o vypisy). a nemeli nic. Dikybohu to byl jen prestupek co tam clovek pachal.. tak to odlozili. Tak jsem nasadil sluzbu od miia.cz a je klid. (beha to na Mikrotiku) a pokud za nima nekdo prijde, ze chti vypis... tak je poslou spravci sluzby...
Jinak presne jak to popsal rsaf .... jinak bych to ani ja nedelal...