1. Главная страница » Компьютеры

Mikrotik настройка двух подсетей

Автор: | 16.12.2019
Нет комментариев

# DHCP server can not run on slave interface!
Видимо из-за этого не работает. Только не пойму почему. Воторой dhcp выделен красным(

вот мой конфиг:
/interface bridge
add admin-mac=E4:8D:8C:A1:88:ED auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn channel-w > country=russia2 disabled=no distance=indoors frequency=2427 mode=ap-bridge
ss > /ip neighbor discovery
set ether1 discover=no
set br > /interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=
tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm
wpa-pre-shared-key=CorteC2010 wpa2-pre-shared-key=CorteC2010
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
add name=pool2 ranges=192.168.2.10-192.168.2.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=br > # DHCP server can not run on slave interface!
add address-pool=pool2 disabled=no interface=ether2-master name=server1
/interface bridge port
add br > add br > /ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=
192.168.1.0
add address=192.168.2.1/24 interface=ether2-master network=192.168.2.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,client > /ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related"
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=
ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related"
connection-state=established,related
add action=drop chain=forward comment="defconf: drop inval > invalid
add action=drop chain=forward comment=
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat
connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=
ether1
/system clock
set time-zone-name=Asia/Krasnoyarsk
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

Читайте также:  Iface eth0 inet dhcp

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.

В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.

Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.

Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:

Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.

Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.

1. Настройка MikroTik VLAN

Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

  1. Откройте в меню New Terminal;
  2. Введите команду systemreset;
  3. Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

  1. Откройте меню IPDHCP Client;
  2. В появившемся окне нажмите красный плюсик;
  3. В новом окне в списке Interface: выбираем WAN интерфейс ether1;
  4. Нажимаем кнопку OK для сохранения настроек.

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Проверяем наличие соединения с интернетом:

  1. Откройте New Terminal;
  2. Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

1.3 Объединение LAN портов в Br >Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

    Откройте меню Br >

Добавляем LAN порты в Bridge:

  1. Перейдите на вкладку Ports;
  2. Нажмите "красный плюсик";
  3. В списке Interface выберите второй порт роутера ether2;
  4. В списке Br >

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

  1. Откройте меню Interfaces;
  2. Перейдите на вкладку VLAN;
  3. Нажмите "красный плюсик";
  4. В появившемся окне в поле Name указываем название интерфейса vlan2;
  5. В поле VLAN >

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

  1. Откройте меню IP — Addresses;
  2. Нажмите "красный плюсик";
  3. В поле Address введите 192.168.88.1/24;
  4. В списке Interface выберите интерфейс br >

Настройка IP адреса гостевой сети:

  1. Откройте меню IP — Addresses;
  2. Нажмите "красный плюсик";
  3. В поле Address введите 192.168.10.1/24;
  4. В списке Interface выберите виртуальный интерфейс vlan2;
  5. Нажимаем кнопку OK.

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

  1. Откройте меню IP — Pool;
  2. Нажмите "красный плюсик";
  3. В появившемся окне в поле Name укажите название dhcp_pool_main;
  4. В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
  5. Нажмите кнопку OK для сохранения пула адресов.

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

  1. Нажмите "красный плюсик";
  2. В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
  3. В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
  4. Нажимаем кнопку OK для сохранения пула адресов.

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

  1. Откройте меню IP — DHCP server;
  2. Нажмите "красный плюсик";
  3. В появившемся окне в поле Name укажите название dhcp_server_main;
  4. В списке Interface выберите интерфейс офисной сети br >

Настраиваем DHCP сервер гостевой сети аналогичным образом:

  1. Нажмите "красный плюсик";
  2. В появившемся окне в поле Name укажите название dhcp_server_vlan2;
  3. В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
  4. В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
  5. Нажмите кнопку OK.

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

  1. Нажмите "красный плюсик";
  2. В поле Address укажите сеть предприятия 192.168.88.0/24;
  3. В поле Gateway укажите адрес шлюза 192.168.88.1;
  4. В поле Netmask укажите маску 24;
  5. В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
  6. Нажмите кнопку OK.

Добавляем гостевую сеть:

  1. Нажмите "красный плюсик";
  2. В поле Address укажите сеть предприятия 192.168.10.0/24;
  3. В поле Gateway укажите адрес шлюза 192.168.10.1;
  4. В поле Netmask укажите маску 24;
  5. В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
  6. Нажмите кнопку OK.

1.7 Настройка DNS сервера

  1. Откройте меню IP — DNS и нажмите кнопку Settings;
  2. Поставьте галочку Allow Remote Request;
  3. Нажмите кнопку OK.

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

  1. Откройте меню IP — Firewall;
  2. Перейдите на вкладку NAT;
  3. Нажмите "красный плюсик";
  4. В списке Chain выберите srcnat;
  5. В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;
  6. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
  7. Перейдите на вкладку Action;
  8. В списке Action выберите masquerade;
  9. Нажмите кнопку OK.

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

  1. Нажмите "красный плюсик";
  2. В списке Chain выберите srcnat;
  3. В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
  4. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
  5. Перейдите на вкладку Action;
  6. В списке Action выберите masquerade;
  7. Нажмите кнопку OK.

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

  1. Откройте меню IP — Routes;
  2. Перейдите на вкладку Rules;
  3. Нажмите "красный плюсик";
  4. В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
  5. В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
  6. В списке Action выберите unreachable;
  7. Нажмите кнопку OK.

Добавляем второе правило аналогичным образом, только меняем местами подсети.

  1. Нажмите "красный плюсик";
  2. В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
  3. В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
  4. В списке Action выберите unreachable;
  5. Нажмите кнопку OK.

Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

2 Настройка EnGenius VLAN

Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.

Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.

2.1 Создание двух виртуальных Wi-Fi точек

Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System — Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.

Переходим в меню Wireless — Basic и настраиваем две Wi-Fi точки Office и HotSpot.

    В списке Enabled SS >

2.2 Настройка безопасности

На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.

  • Откройте меню Wireless — Security;
  • В списке ESS >

Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.

Также не забудьте в меню Management — Admin изменить пароль для входа в настройки точки доступа EnGenius.

2.3 Настройка VLAN виртуальной точки HotSpot

Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.

  • Откройте меню Wireless — VLAN;
  • Выберите Virtual LAN: Enable;
  • Напротив SS >

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

  • Откройте меню Network — LAN;
  • Br >

Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Одной из довольно распространенных задач, встающих перед администраторами сетей, например на предприятиях, является задача по объединению двух различных сетей, с полноценной маршрутизацией.

Если в качестве маршрутизаторов для этих сетей, используются оборудование компании Mikrotik, то реализация этой задачи, не займет много времени.

Предположим, что у нас есть две локальные сети. 192.168.0.0/24 и 192.168.2.0/24, частью которых, являются роутеры под управлением Mikrotik RouterOS level 6, с IP адресами 192.168.0.1 и 192.168.2.1 соответственно. Для объединения их в одну маршрутизируемую сеть, в качестве передающей среды, мы будем использовать виртуальную сеть VLAN, где в качестве шлюза для соседней сети, будет использоваться соответствующий интерфейс имеющий адрес с сетевой маской /32. Топологически, это будет выглядеть так:

Предположим, что мы соединили оба роутера RouterBoard Mikrotik через порты ether5.

Начнем настройку с Router A, который работает в сети 192.168.0.0/24, и имеет IP адрес 192.168.0.1.

Первое, что мы делаем, это создаем виртуальную сеть VLAN. Открываем раздел Interfaces и переходим на вкладку VLAN. Добавляем новую запись с такими параметрами: Name — можем оставить без изменений vlan1, VLAN ID — 2, ставим 2 или любое другое число. И Interface — ether5, так как мы решили, что роутеры у нас будут объединены портами №5.

Далее в разделе IP Addresses мы добавляем новый адрес для только что созданного виртуального интерфейса. В поле Address мы вписываем IP нашего роутера с маской /32 — 192.168.0.1/32, в поле Network мы указываем IP второго роутера Router B — 192.168.2.1 и в качестве интерфейса, выбираем vlan1.

Последнее, что нам надо сделать, это добавить новый маршрут в разделе IP Routes.

Здесь на вкладке Routes, добавляем новое правило маршрутизации, где в качестве Dst.Addresses мы укажем префикс соседней сети — 192.168.2.0/24, а в качестве Gateway — 192.168.2.1, IP адрес соседнего роутера.

На этом настройку Router A, можно считать законченной. Переходим к настройке второго роутера Router B. В принципе, нам надо сделать точно такие же операции, только с другими IP адресами.

Открываем раздел Interfaces и на вкладке VLAN, добавляем новую запись с такими же параметрами, как и в первый раз. Name — оставляем без изменений vlan1, VLAN ID — 2, должен совпадать с этим же значением Router A, и Interface — ether5.

Как и в первом случае, следующий шаг, это назначение IP адреса для интерфейса vlan1. В разделе IP Addresses, добавляем новый адрес. В поле Address мы вписываем IP нашего роутера с маской /32 — 192.168.2.1/32, а вот в поле Network мы указываем IP первого роутера Router A — 192.168.0.1, в качестве интерфейса, выбираем vlan1.

И закончим настройку, добавлением нового маршрута. В разделе IP Routes, на вкладке Routes, добавляем новое правило маршрутизации, где в качестве Dst.Addresses мы укажем префикс соседней сети — 192.168.0.0/24, а в качестве Gateway — 192.168.0.1, IP адрес первого роутера.

Теперь наши две сети объединены и мы можем иметь доступ с одной сети к ресурсам другой.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *