|
14.07.2020., 19:34 | #1 |
Registered User
Datum registracije: Jul 2020
Lokacija: Zagreb
Postovi: 6
|
Mikrotik RB2011 - Guest Wi-Fi problem [noob]
Pozdrav kolege, Molim pomoć pri konfanju Mikrotika za najobičniji guest wifi, s odvojenim subnetom, bez vlanova. (zasad). Kasnije kad to proradi, ići će i još jedan dodatni WiFi za pametne uređaje. Radi se o uređaju RB2011. Situacija je sljedeća: Interfejsi: eth1 - pppoe client eth2 - eth10, wlan1 - bridge-lan (10.20.30.0/24, gw:10.20.30.1) wlan2-guest - bridge-guest (10.20.40.0/24, gw: 10.20.40.1) Dva DHCP servera, jedan za bridge-lan, drugi za bridge-guest Na bridge-lan dijelu sve uredno radi, ali na bridge-guest uređaji nemaju izlaz na internet. Uredno dobiju IP adresu i ostale postavke od DHCP servera. Ne radi ping na 8.8.8.8, greška je: request timed out DNS radi, rezolva google.com (Pinging google.com [216.58.214.206]). Gotovo sam siguran da je problem do Firewall / NAT djela, ali nikako ne mogu prokljuviti što. TIK majstori pomagajte ! |
14.07.2020., 20:31 | #2 |
El Mattador
Datum registracije: Nov 2001
Lokacija: Ljubuški<->Metković
Postovi: 1,819
|
wlan2 je virtualni AP, jel li tako ? Čisto da provjerim. Uglavnom, Firewall - Mangle Ako nemaš, treba napraviti pravila da wlan2 može ići na net preko eth1. Također, da li si pod IP-Addresses dodao adresu gw-a za wlan2 (10.20.40.1) ? Šta ti se nalazi u bridge guest ? Samo wlan2 ili ? |
|
|
Oglas
|
|
14.07.2020., 21:41 | #3 |
Premium
Datum registracije: Oct 2008
Lokacija: Dbk
Postovi: 986
|
Pogledaj tutorial : https://www.youtube.com/watch?v=6P0MDlYWR_E , napravi sve korak po korak i to je to. Sigurno ti fali neka sitnica koju ćemo teže pogoditi nego da odradiš cijeli setup iznova |
15.07.2020., 12:59 | #4 |
Registered User
Datum registracije: Jul 2020
Lokacija: Zagreb
Postovi: 6
|
@Matta Tako je, wlan2 je virtualni. Nemam ništa pod Firewall - Mangle, kako to treba izgledati? Pod IP addresses su dodani svi subneti, tako i za guest - da. @night - ma joj pratio sam tutoriale od tog crnca za sve do sad, kralj je, tako i za guest wifi međutim ne radi. Netko i u youtube komentarima dole je napisao isti problem - da mu uređaji dobe IP adresu iz guest subneta ali nemaju izlaz na net. Firewall izgleda ovak: [spodingo@rt-0001.spodingo.com] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix="" [spodingo@rt-0001.spodingo.com] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 ;;; ESTABLISHED-RELATED chain=forward action=fasttrack-connection connection-state=established,related 2 ;;; ESTABLISHED-RELATED chain=forward action=accept connection-state=established,related 3 ;;; ESTABLISHED-RELATED chain=input action=accept connection-state=established,related 4 X ;;; OUTPUT ALL chain=output action=accept log=no log-prefix="" 5 ;;; ICMP chain=input action=accept protocol=icmp log=no log-prefix="" 6 ;;; MikroTik Manage WAN chain=input action=accept protocol=tcp in-interface=pppoe-out1 dst-port=8291,60022 log=no log-prefix="" 7 ;;; IKE, NAT-Traversal chain=input action=accept protocol=udp dst-port=500,4500 8 ;;; ALL WAN chain=input action=drop in-interface=pppoe-out1 log=no log-prefix="" 9 ;;; ALL LAN chain=input action=accept in-interface=bridge-lan 10 ;;; DST-NAT chain=forward action=accept connection-nat-state=dstnat 11 chain=forward action=accept in-interface=bridge-lan 12 ;;; FORWARD ALL chain=forward action=drop [spodingo@rt-0001.spodingo.com] /ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 2 D ;;; special dummy rule to show fasttrack counters chain=postrouting action=passthrough Zadnje izmijenjeno od: Nikky. 15.07.2020. u 13:19. |
15.07.2020., 13:26 | #5 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,554
|
Jeli Gateway (gw:10.20.30.1) koji radi (izlazi na net) za eth2 klijente ? Kod gw:10.20.40.1 to ne radi > promijeni ga u gw:10.20.30.1 ili dodaj route na gw:10.20.30.1. |
15.07.2020., 21:43 | #6 | |
Registered User
Datum registracije: Jul 2020
Lokacija: Zagreb
Postovi: 6
|
Citiraj:
Makar ne kužim zašto ne bi radilo ako je gw 10.20.40.1 i dodan uredno taj network pod addressess i u dhcp server.. Ostale postavke ako će pomoć: Zadnje izmijenjeno od: spodingo. 15.07.2020. u 21:58. |
|
16.07.2020., 13:40 | #8 |
Registered User
Datum registracije: Jul 2020
Lokacija: Zagreb
Postovi: 6
|
dodatna maskarada, uz ovu postojeću ? napravio sam i to, i ne radi, ista greška :/... al ni nema smisla, pa postojeća maskarada (0) uključuje sav promet s rutera na izlaz pppoe-out1. ovak sam samo dodao jednu dodatnu maskaradu (1) sa source address od guest mreže.. ili sam skroz pobrkao lončiće ? Faking TIK tako moćan a tak jednostavnu stvar ne mogu prokljuviti : / |
16.07.2020., 14:22 | #9 |
Registered User
Datum registracije: Jul 2020
Lokacija: Zagreb
Postovi: 6
|
Heureka!
|
16.07.2020., 14:38 | #10 |
El Mattador
Datum registracije: Nov 2001
Lokacija: Ljubuški<->Metković
Postovi: 1,819
|
Bridge guest treba nekako usmjeriti prema internetu. Zato sam i rekao da u Mangle dodaš 2 rule-a (mark connection i mark routing). Ali očito može i tako. |
|
|
Oglas
|
|
17.07.2020., 10:26 | #11 |
Registered User
Datum registracije: Jul 2020
Lokacija: Zagreb
Postovi: 6
|
Jučer sam proveo čitav dan zezajući se s ovim, te mogu reć da sam polovio osnove tik firewalla. Pobrisao sam sve ruleove i slagao 1 po 1, razlog zašto guest wifi nije mogao do interneta je zbog posljednjeg drop forward rula. Sada ga više opće nemam u konfiguraciji i sve radi iz prve. Kreiran je još jedan virtual AP - devices.spodingo.com za shelly relej i pametnu žarulju, te sam složio par ruleova koji onemogućuju pristup shelly deviceovima iz guest mreže i njihovu komunikaciju. Također, uveo sam simple queue za bridge-guest, limit download i upload speed. Zbog toga sam morao isključiti guest subnet iz fasstrack rula (ne radi queue ako je upaljen fasttrack). Kak vam se čini, imate neki savjet kako bi se to moglo poboljšati ? |
17.07.2020., 10:35 | #12 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,554
|
Tik - ove vole napadati razne gamadi, nađi info na netu, u osnovi treba "pametno" dodati par rule - ova u fw. Kako si već naučio bitno je gdje su na listi (od gore prema dole). |
17.07.2020., 11:39 | #13 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,528
|
Napada gamad sve modeme, ne samo mikrotik Samo sto u mikrotiku sve vidis, u drugima manje, pa mislis da drugi su bolji |
|
|
Oglas
|
|
|
|