Mikrotik VLAN beállítás vendég hálózathoz

Belefutottam egy olyan problémába, hogy egy központi router által adott címtartományhoz kellett egy vendég hálózat, ami lehetőség szerint a központon keresztül működik.

Ezt úgy akartam megoldani, hogy a vendég háló egy VLAN-on keresztül működjön a rendes hálózat mellett, és legyen saját wifi is.

Sorban:

Központi router (alap már meg van, csak a VLAN)

  1. Interfaces-ben a VLAN fülön felvettem, Name: "Guest_vlan_10" / VLAN ID:10 / Interface: bridge1 (mert több wifi eszköznél is akarom használni, nem specifikus porton kersztül)
  2.  IP Addresses-ben felvettem, adress:192.168.10.1/24 / network:192.168.10.0 / Interface: Guest_vlan_10 (itt az IP az amit akarok)
  3. IP/Pool-ban felvettem: Name:guest / addresses:192.168.10.2-192.168.10.254 
  4. DHCP szerver: Name:guest_dhcp / interface:guest_vlan_10 / adress pool:guest
  5. Ez után a Bridge-ben is kellett a VLANs fülnél egy új bridge paraméter: Bridge:bridge1 /  VLAN ISs:10 / Tagged: guest_vlan_10
  6. Végül, hogy a guest ne láthassa a main-t, tűzfalon: Chain:forward / src. address:192.168.10.0/24 (guest pool) / dst.address: 192.168.5.0/24 (main pool) / action:drop*

*:A dropnak előbb kell lennie mint ha van sima action accept és forward!

Ha ez megvan, a wifiknél:

  1. Wireless alatt Security profiles-nél felvesszülk a guest profilt
  2. Wireless interfacesben a wlan-hoz adunk egy virtual-t, SSID:Home-Guest / Security profiles:guest / VLAN mode: use tag / VLAN ID:10
  3. A Bridge-ben pedig adjuk hozzá a bridge portoknál a guest wifit.

Ezek után a guest networknek müködnie kell.

Egy eszközön belüli beállításnál némiképp másra van szükség:

  • Hozzunk létre egy bridge-t a szükséges portokkal
  • Interface-ben hozzunk létre egy VLAN-t, aminek a kimeneti interfésze a bridge legyen
  • Vegyük fel a guest wifi-t (értelem szerűen a vendég jelszóval) minden marad alapon
  • Vegyük fel a bridge-be a portokat, a vendég wifivel együtt
  • A vendég wifi VLAN fülén adjuk meg a PVID-t (VLAN ID) és állítsuk "admit only untagged and priority tagged"-re, pipáljuk az "Ingress filtering"-t
  • Az alap wifi esetén az alap PVID (1) mellett hasonlóan állítsuk be a Frame types és Ingress értékeket (admin only..., és pipa)
  • A bridbe-nél VLAN fülön admit all és ingress filtering beállítás szükséges
  • Address listben vegyünk fel IP-t a VLAN-nak és a bridge-nek
  • DHCP-nél szintén a VLAN-t adjuk interfésznek, és a Network fülön vegyünk fel egy új hálót, ahol a Gateway a guest IP, DNS pedig lehet külsö, pl. 8.8.8.8 és/vagy 1.1.1.1
  • Tűzfal-NAT-nál a következők kellenek: chain: srcnat  / src.address: <vendég wifi tartomány, pl.: 192.168.6.0/24> / Out.interface: bridge (mert a vendég wifi a bridge felé kommunikál) / action:masquerade
  • A végén pedig érdemes a tűzfalnál felvenni, hogy Chain:forward / src.address <vendég tartomány, 192.168.6.0/24> / dst.address: <fő tartomány, 192.168.1.0/24> / action: drop

Itt az utóbbi beállítás mintakonfigja:

/interface bridge
add ingress-filtering=yes name=bridge vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no mode=ap-bridge name=wlan1 ssid=WIFI-BELSO wps-mode=disabled
/interface vlan
add interface=bridge name=vlan15-guest vlan-id=15
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=BELSOJELSZO wpa2-pre-shared-key=BELSOJELSZO
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=guest supplicant-identity="" wpa-pre-shared-key=vendegjelszo wpa2-pre-shared-key=vendegjelszo
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=DE:2C:6E:80:A7:A2 master-interface=wlan1 multicast-buffering=disabled name=wlan2-guest security-profile=guest ssid=WIFI-Vendeg wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip pool
add name=pool-guest ranges=192.168.6.100-192.168.6.200
/ip dhcp-server
add address-pool=pool-guest disabled=no interface=vlan15-guest lease-time=1h name=dhcp-guest
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=wlan1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=wlan2-guest pvid=15
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=15
/ip address
add address=192.168.5.195/24 interface=bridge network=192.168.5.0
add address=192.168.6.1/24 interface=vlan15-guest network=192.168.6.0
/ip dhcp-server network
add address=192.168.6.0/24 dns-server=1.1.1.1,8.8.8.8 gateway=192.168.6.1
/ip dns
set servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=drop chain=forward dst-address=192.168.2.0/24 src-address=192.168.6.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge src-address=192.168.6.0/24
/ip route
add distance=1 gateway=192.168.5.1