Mikrotik RB2011 - Guest Wi-Fi problem [noob]
 

Pozdrav kolege,

Molim pomoć pri konfanju Mikrotika za najobičniji guest wifi, s odvojenim subnetom, bez vlanova. (zasad).

Kasnije kad to proradi, ići će i još jedan dodatni WiFi za pametne uređaje.

Radi se o uređaju RB2011.

Situacija je sljedeća:

Interfejsi:

eth1 - pppoe client
eth2 - eth10, wlan1 - bridge-lan (10.20.30.0/24, gw:10.20.30.1)
wlan2-guest - bridge-guest (10.20.40.0/24, gw: 10.20.40.1)

Dva DHCP servera, jedan za bridge-lan, drugi za bridge-guest

Na bridge-lan dijelu sve uredno radi, ali na bridge-guest uređaji nemaju izlaz na internet. Uredno dobiju IP adresu i ostale postavke od DHCP servera.

Ne radi ping na 8.8.8.8, greška je: request timed out

DNS radi, rezolva google.com (Pinging google.com [216.58.214.206]).

Gotovo sam siguran da je problem do Firewall / NAT djela, ali nikako ne mogu prokljuviti što.

TIK majstori pomagajte !

wlan2 je virtualni AP, jel li tako ? Čisto da provjerim.

Uglavnom, Firewall - Mangle

Ako nemaš, treba napraviti pravila da wlan2 može ići na net preko eth1.

Također, da li si pod IP-Addresses dodao adresu gw-a za wlan2 (10.20.40.1) ?

Šta ti se nalazi u bridge guest ? Samo wlan2 ili ?

Pogledaj tutorial : https://www.youtube.com/watch?v=6P0MDlYWR_E , napravi sve korak po korak i to je to. Sigurno ti fali neka sitnica koju ćemo teže pogoditi nego da odradiš cijeli setup iznova :)

@Matta

Tako je, wlan2 je virtualni.

Nemam ništa pod Firewall - Mangle, kako to treba izgledati?

Pod IP addresses su dodani svi subneti, tako i za guest - da.

@night - ma joj pratio sam tutoriale od tog crnca za sve do sad, kralj je, tako i za guest wifi međutim ne radi. Netko i u youtube komentarima dole je napisao isti problem - da mu uređaji dobe IP adresu iz guest subneta ali nemaju izlaz na net.

Firewall izgleda ovak:

[spodingo@rt-0001.spodingo.com] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""

[spodingo@rt-0001.spodingo.com] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; ESTABLISHED-RELATED
chain=forward action=fasttrack-connection
connection-state=established,related
2 ;;; ESTABLISHED-RELATED
chain=forward action=accept connection-state=established,related
3 ;;; ESTABLISHED-RELATED
chain=input action=accept connection-state=established,related
4 X ;;; OUTPUT ALL
chain=output action=accept log=no log-prefix=""
5 ;;; ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""
6 ;;; MikroTik Manage WAN
chain=input action=accept protocol=tcp in-interface=pppoe-out1
dst-port=8291,60022 log=no log-prefix=""
7 ;;; IKE, NAT-Traversal
chain=input action=accept protocol=udp dst-port=500,4500
8 ;;; ALL WAN
chain=input action=drop in-interface=pppoe-out1 log=no log-prefix=""
9 ;;; ALL LAN
chain=input action=accept in-interface=bridge-lan
10 ;;; DST-NAT
chain=forward action=accept connection-nat-state=dstnat
11 chain=forward action=accept in-interface=bridge-lan
12 ;;; FORWARD ALL
chain=forward action=drop

[spodingo@rt-0001.spodingo.com] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough

Jeli Gateway (gw:10.20.30.1) koji radi (izlazi na net) za eth2 klijente ?
Kod gw:10.20.40.1 to ne radi > promijeni ga u gw:10.20.30.1 ili dodaj route na gw:10.20.30.1.

Probao sam i, ista stvar.

https://i.ibb.co/6NSN0TJ/Capture1.png

Makar ne kužim zašto ne bi radilo ako je gw 10.20.40.1 i dodan uredno taj network pod addressess i u dhcp server..

Ostale postavke ako će pomoć:

https://i.ibb.co/F5PhxzK/Capture2.png

maskarada pppoe na guest network i bok

dodatna maskarada, uz ovu postojeću ?

https://i.ibb.co/Kzqzfh5/Annotation-...-16-133757.png

napravio sam i to, i ne radi, ista greška :/... al ni nema smisla, pa postojeća maskarada (0) uključuje sav promet s rutera na izlaz pppoe-out1. ovak sam samo dodao jednu dodatnu maskaradu (1) sa source address od guest mreže..

ili sam skroz pobrkao lončiće ?

Faking TIK tako moćan a tak jednostavnu stvar ne mogu prokljuviti : /

Heureka!
 

Apdejt: i ćorava kokoš nabode zrno

Dodao sam sljedeći filter forward rule i sad Guest klijenti imaju izlaz na net.

Dodatni masqarad rul sam uklonio jer je nepotreban budući da u svom nemam specificiran source address..

https://i.ibb.co/M6fwRyS/Annotation-...-16-141833.png

Može li netko objasniti zašto ? :wtf2:

Bridge guest treba nekako usmjeriti prema internetu. Zato sam i rekao da u Mangle dodaš 2 rule-a (mark connection i mark routing). Ali očito može i tako.

Jučer sam proveo čitav dan zezajući se s ovim, te mogu reć da sam polovio osnove tik firewalla.

Pobrisao sam sve ruleove i slagao 1 po 1, razlog zašto guest wifi nije mogao do interneta je zbog posljednjeg drop forward rula.

Sada ga više opće nemam u konfiguraciji i sve radi iz prve.

Kreiran je još jedan virtual AP - devices.spodingo.com za shelly relej i pametnu žarulju, te sam složio par ruleova koji onemogućuju pristup shelly deviceovima iz guest mreže i njihovu komunikaciju.

Također, uveo sam simple queue za bridge-guest, limit download i upload speed. Zbog toga sam morao isključiti guest subnet iz fasstrack rula (ne radi queue ako je upaljen fasttrack).

https://i.ibb.co/S5DLWJK/Annotation-...-17-102517.png

Kak vam se čini, imate neki savjet kako bi se to moglo poboljšati ?

Tik - ove vole napadati razne gamadi, nađi info na netu,
u osnovi treba "pametno" dodati par rule - ova u fw.
Kako si već naučio bitno je gdje su na listi (od gore prema dole).

Napada gamad sve modeme, ne samo mikrotik
Samo sto u mikrotiku sve vidis, u drugima manje, pa mislis da drugi su bolji :)