Mikrotik RB2011 - Guest Wi-Fi problem [noob]

spodingo · 14.07.2020., 19:34

Pozdrav kolege,

Molim pomoć pri konfanju Mikrotika za najobičniji guest wifi, s odvojenim subnetom, bez vlanova. (zasad).

Kasnije kad to proradi, ići će i još jedan dodatni WiFi za pametne uređaje.

Radi se o uređaju RB2011.

Situacija je sljedeća:

Interfejsi:

eth1 - pppoe client
eth2 - eth10, wlan1 - bridge-lan (10.20.30.0/24, gw:10.20.30.1)
wlan2-guest - bridge-guest (10.20.40.0/24, gw: 10.20.40.1)

Dva DHCP servera, jedan za bridge-lan, drugi za bridge-guest

Na bridge-lan dijelu sve uredno radi, ali na bridge-guest uređaji nemaju izlaz na internet. Uredno dobiju IP adresu i ostale postavke od DHCP servera.

Ne radi ping na 8.8.8.8, greška je: request timed out

DNS radi, rezolva google.com (Pinging google.com [216.58.214.206]).

Gotovo sam siguran da je problem do Firewall / NAT djela, ali nikako ne mogu prokljuviti što.

TIK majstori pomagajte !

Matta · 14.07.2020., 20:31

wlan2 je virtualni AP, jel li tako ? Čisto da provjerim.

Uglavnom, Firewall - Mangle

Ako nemaš, treba napraviti pravila da wlan2 može ići na net preko eth1.

Također, da li si pod IP-Addresses dodao adresu gw-a za wlan2 (10.20.40.1) ?

Šta ti se nalazi u bridge guest ? Samo wlan2 ili ?

Night · 14.07.2020., 21:41

Pogledaj tutorial : https://www.youtube.com/watch?v=6P0MDlYWR_E , napravi sve korak po korak i to je to. Sigurno ti fali neka sitnica koju ćemo teže pogoditi nego da odradiš cijeli setup iznova

spodingo · 15.07.2020., 12:59

@Matta

Tako je, wlan2 je virtualni.

Nemam ništa pod Firewall - Mangle, kako to treba izgledati?

Pod IP addresses su dodani svi subneti, tako i za guest - da.

@night - ma joj pratio sam tutoriale od tog crnca za sve do sad, kralj je, tako i za guest wifi međutim ne radi. Netko i u youtube komentarima dole je napisao isti problem - da mu uređaji dobe IP adresu iz guest subneta ali nemaju izlaz na net.

Firewall izgleda ovak:

[spodingo@rt-0001.spodingo.com] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no
log-prefix=""

[spodingo@rt-0001.spodingo.com] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; ESTABLISHED-RELATED
chain=forward action=fasttrack-connection
connection-state=established,related
2 ;;; ESTABLISHED-RELATED
chain=forward action=accept connection-state=established,related
3 ;;; ESTABLISHED-RELATED
chain=input action=accept connection-state=established,related
4 X ;;; OUTPUT ALL
chain=output action=accept log=no log-prefix=""
5 ;;; ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""
6 ;;; MikroTik Manage WAN
chain=input action=accept protocol=tcp in-interface=pppoe-out1
dst-port=8291,60022 log=no log-prefix=""
7 ;;; IKE, NAT-Traversal
chain=input action=accept protocol=udp dst-port=500,4500
8 ;;; ALL WAN
chain=input action=drop in-interface=pppoe-out1 log=no log-prefix=""
9 ;;; ALL LAN
chain=input action=accept in-interface=bridge-lan
10 ;;; DST-NAT
chain=forward action=accept connection-nat-state=dstnat
11 chain=forward action=accept in-interface=bridge-lan
12 ;;; FORWARD ALL
chain=forward action=drop

[spodingo@rt-0001.spodingo.com] /ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough

Nikky · 15.07.2020., 13:26

Jeli Gateway (gw:10.20.30.1) koji radi (izlazi na net) za eth2 klijente ?
Kod gw:10.20.40.1 to ne radi > promijeni ga u gw:10.20.30.1 ili dodaj route na gw:10.20.30.1.

spodingo · 15.07.2020., 21:43

Citiraj:

Autor Nikky

Jeli Gateway (gw:10.20.30.1) koji radi (izlazi na net) za eth2 klijente ?
Kod gw:10.20.40.1 to ne radi > promijeni ga u gw:10.20.30.1 ili dodaj route na gw:10.20.30.1.

Probao sam i, ista stvar.

Makar ne kužim zašto ne bi radilo ako je gw 10.20.40.1 i dodan uredno taj network pod addressess i u dhcp server..

Ostale postavke ako će pomoć:

dadoremix · 15.07.2020., 22:22

maskarada pppoe na guest network i bok

spodingo · 16.07.2020., 13:40

Citiraj:

Autor dadoremix

maskarada pppoe na guest network i bok

dodatna maskarada, uz ovu postojeću ?

napravio sam i to, i ne radi, ista greška :/... al ni nema smisla, pa postojeća maskarada (0) uključuje sav promet s rutera na izlaz pppoe-out1. ovak sam samo dodao jednu dodatnu maskaradu (1) sa source address od guest mreže..

ili sam skroz pobrkao lončiće ?

Faking TIK tako moćan a tak jednostavnu stvar ne mogu prokljuviti : /

spodingo · 16.07.2020., 14:22

Apdejt: i ćorava kokoš nabode zrno

Dodao sam sljedeći filter forward rule i sad Guest klijenti imaju izlaz na net.

Dodatni masqarad rul sam uklonio jer je nepotreban budući da u svom nemam specificiran source address..

Može li netko objasniti zašto ?

Matta · 16.07.2020., 14:38

Bridge guest treba nekako usmjeriti prema internetu. Zato sam i rekao da u Mangle dodaš 2 rule-a (mark connection i mark routing). Ali očito može i tako.

spodingo · 17.07.2020., 10:26

Jučer sam proveo čitav dan zezajući se s ovim, te mogu reć da sam polovio osnove tik firewalla.

Pobrisao sam sve ruleove i slagao 1 po 1, razlog zašto guest wifi nije mogao do interneta je zbog posljednjeg drop forward rula.

Sada ga više opće nemam u konfiguraciji i sve radi iz prve.

Kreiran je još jedan virtual AP - devices.spodingo.com za shelly relej i pametnu žarulju, te sam složio par ruleova koji onemogućuju pristup shelly deviceovima iz guest mreže i njihovu komunikaciju.

Također, uveo sam simple queue za bridge-guest, limit download i upload speed. Zbog toga sam morao isključiti guest subnet iz fasstrack rula (ne radi queue ako je upaljen fasttrack).

Kak vam se čini, imate neki savjet kako bi se to moglo poboljšati ?

Nikky · 17.07.2020., 10:35

Tik - ove vole napadati razne gamadi, nađi info na netu,
u osnovi treba "pametno" dodati par rule - ova u fw.
Kako si već naučio bitno je gdje su na listi (od gore prema dole).

dadoremix · 17.07.2020., 11:39

Napada gamad sve modeme, ne samo mikrotik
Samo sto u mikrotiku sve vidis, u drugima manje, pa mislis da drugi su bolji

14.07.2020., 19:34	#1
spodingo Registered User Moj komp Datum registracije: Jul 2020 Lokacija: Zagreb Postovi: 6	Mikrotik RB2011 - Guest Wi-Fi problem [noob] Pozdrav kolege, Molim pomoć pri konfanju Mikrotika za najobičniji guest wifi, s odvojenim subnetom, bez vlanova. (zasad). Kasnije kad to proradi, ići će i još jedan dodatni WiFi za pametne uređaje. Radi se o uređaju RB2011. Situacija je sljedeća: Interfejsi: eth1 - pppoe client eth2 - eth10, wlan1 - bridge-lan (10.20.30.0/24, gw:10.20.30.1) wlan2-guest - bridge-guest (10.20.40.0/24, gw: 10.20.40.1) Dva DHCP servera, jedan za bridge-lan, drugi za bridge-guest Na bridge-lan dijelu sve uredno radi, ali na bridge-guest uređaji nemaju izlaz na internet. Uredno dobiju IP adresu i ostale postavke od DHCP servera. Ne radi ping na 8.8.8.8, greška je: request timed out DNS radi, rezolva google.com (Pinging google.com [216.58.214.206]). Gotovo sam siguran da je problem do Firewall / NAT djela, ali nikako ne mogu prokljuviti što. TIK majstori pomagajte !

14.07.2020., 20:31	#2
Matta El Mattador Moj komp Datum registracije: Nov 2001 Lokacija: <-> Postovi: 1,913	wlan2 je virtualni AP, jel li tako ? Čisto da provjerim. Uglavnom, Firewall - Mangle Ako nemaš, treba napraviti pravila da wlan2 može ići na net preko eth1. Također, da li si pod IP-Addresses dodao adresu gw-a za wlan2 (10.20.40.1) ? Šta ti se nalazi u bridge guest ? Samo wlan2 ili ? __________________

15.07.2020., 12:59	#4
spodingo Registered User Moj komp Datum registracije: Jul 2020 Lokacija: Zagreb Postovi: 6	@Matta Tako je, wlan2 je virtualni. Nemam ništa pod Firewall - Mangle, kako to treba izgledati? Pod IP addresses su dodani svi subneti, tako i za guest - da. @night - ma joj pratio sam tutoriale od tog crnca za sve do sad, kralj je, tako i za guest wifi međutim ne radi. Netko i u youtube komentarima dole je napisao isti problem - da mu uređaji dobe IP adresu iz guest subneta ali nemaju izlaz na net. Firewall izgleda ovak: [spodingo@rt-0001.spodingo.com] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix="" [spodingo@rt-0001.spodingo.com] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 ;;; ESTABLISHED-RELATED chain=forward action=fasttrack-connection connection-state=established,related 2 ;;; ESTABLISHED-RELATED chain=forward action=accept connection-state=established,related 3 ;;; ESTABLISHED-RELATED chain=input action=accept connection-state=established,related 4 X ;;; OUTPUT ALL chain=output action=accept log=no log-prefix="" 5 ;;; ICMP chain=input action=accept protocol=icmp log=no log-prefix="" 6 ;;; MikroTik Manage WAN chain=input action=accept protocol=tcp in-interface=pppoe-out1 dst-port=8291,60022 log=no log-prefix="" 7 ;;; IKE, NAT-Traversal chain=input action=accept protocol=udp dst-port=500,4500 8 ;;; ALL WAN chain=input action=drop in-interface=pppoe-out1 log=no log-prefix="" 9 ;;; ALL LAN chain=input action=accept in-interface=bridge-lan 10 ;;; DST-NAT chain=forward action=accept connection-nat-state=dstnat 11 chain=forward action=accept in-interface=bridge-lan 12 ;;; FORWARD ALL chain=forward action=drop [spodingo@rt-0001.spodingo.com] /ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 2 D ;;; special dummy rule to show fasttrack counters chain=postrouting action=passthrough Zadnje izmijenjeno od: Nikky. 15.07.2020. u 13:19.

16.07.2020., 14:22	#9
spodingo Registered User Moj komp Datum registracije: Jul 2020 Lokacija: Zagreb Postovi: 6	Heureka! Apdejt: i ćorava kokoš nabode zrno Dodao sam sljedeći filter forward rule i sad Guest klijenti imaju izlaz na net. Dodatni masqarad rul sam uklonio jer je nepotreban budući da u svom nemam specificiran source address.. Može li netko objasniti zašto ?

16.07.2020., 14:38	#10
Matta El Mattador Moj komp Datum registracije: Nov 2001 Lokacija: <-> Postovi: 1,913	Bridge guest treba nekako usmjeriti prema internetu. Zato sam i rekao da u Mangle dodaš 2 rule-a (mark connection i mark routing). Ali očito može i tako. __________________

14.07.2020., 21:41	#3
Night Premium Datum registracije: Oct 2008 Lokacija: Dbk Postovi: 1,247	Pogledaj tutorial : https://www.youtube.com/watch?v=6P0MDlYWR_E , napravi sve korak po korak i to je to. Sigurno ti fali neka sitnica koju ćemo teže pogoditi nego da odradiš cijeli setup iznova

15.07.2020., 13:26	#5
Nikky Moderator Datum registracije: Sep 2006 Lokacija: St Postovi: 23,499	Jeli Gateway (gw:10.20.30.1) koji radi (izlazi na net) za eth2 klijente ? Kod gw:10.20.40.1 to ne radi > promijeni ga u gw:10.20.30.1 ili dodaj route na gw:10.20.30.1.

15.07.2020., 22:22	#7
dadoremix Premium Moj komp Datum registracije: Nov 2006 Lokacija: HR Postovi: 4,684	maskarada pppoe na guest network i bok

17.07.2020., 10:26	#11
spodingo Registered User Moj komp Datum registracije: Jul 2020 Lokacija: Zagreb Postovi: 6	Jučer sam proveo čitav dan zezajući se s ovim, te mogu reć da sam polovio osnove tik firewalla. Pobrisao sam sve ruleove i slagao 1 po 1, razlog zašto guest wifi nije mogao do interneta je zbog posljednjeg drop forward rula. Sada ga više opće nemam u konfiguraciji i sve radi iz prve. Kreiran je još jedan virtual AP - devices.spodingo.com za shelly relej i pametnu žarulju, te sam složio par ruleova koji onemogućuju pristup shelly deviceovima iz guest mreže i njihovu komunikaciju. Također, uveo sam simple queue za bridge-guest, limit download i upload speed. Zbog toga sam morao isključiti guest subnet iz fasstrack rula (ne radi queue ako je upaljen fasttrack). Kak vam se čini, imate neki savjet kako bi se to moglo poboljšati ?

17.07.2020., 10:35	#12
Nikky Moderator Datum registracije: Sep 2006 Lokacija: St Postovi: 23,499	Tik - ove vole napadati razne gamadi, nađi info na netu, u osnovi treba "pametno" dodati par rule - ova u fw. Kako si već naučio bitno je gdje su na listi (od gore prema dole).

17.07.2020., 11:39	#13
dadoremix Premium Moj komp Datum registracije: Nov 2006 Lokacija: HR Postovi: 4,684	Napada gamad sve modeme, ne samo mikrotik Samo sto u mikrotiku sve vidis, u drugima manje, pa mislis da drugi su bolji

Oglasni prostor
PC Ekspert Forum Oglas