Две сети. Гостевая и рабочая. Нужна проверка конфига.

Тема в разделе "Беспроводные технологии", создана пользователем dead kirill, 16 июн 2017.

  1. dead kirill

    dead kirill Новый участник

    Доброго дня! сразу скажу, это работает, но терзают сомнения что сделано как говорится Best practice. прошу проверку конфига и рекомендации. Правильно ли сделан роутинг на точке доступа, работает ли изоляция (пинг не приходит, проверил).
    Итак задача: сделать на ТД Mikrotik CAPs две wi-fi сети, с изоляцией друг от друга. Соответственно одна рабочая, находящаяся в одном адресном пространстве с основной локальной сетью предприятия, сеть 192.168.1.0/24 . И гостевая 10.1.1.0/24, которой нужен только инет.
    Схема: Интернет в сети через kerio, шлюз для всех 192.168.1.100. ДНС 192.168.1.50
    /interface bridge
    add arp=reply-only comment="" name=bridge1
    add comment="" name="wifi to lan"
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    add authentication-types=wpa2-psk comment=\
    "" eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=\
    "only lan from office" supplicant-identity="" wpa2-pre-shared-key=\
    123456
    add authentication-types=wpa2-psk comment="" \
    eap-methods="" group-key-update=50m management-protection=allowed mode=\
    dynamic-keys name="free wi-fi" supplicant-identity="" \
    wpa2-pre-shared-key=123456
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no mode=ap-bridge mtu=1492 security-profile=\
    "only lan from office" ssid="Only lan" wireless-protocol=unspecified \
    wps-mode=disabled
    add disabled=no keepalive-frames=disabled mac-address= \
    master-interface=wlan1 mtu=1492 multicast-buffering=disabled name=wlan2 \
    security-profile="free wi-fi" ssid="Only quests" wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
    /interface vlan
    add disabled=yes interface=wlan2 name=vlan101 vlan-id=101
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name="pool free-wifi" ranges=10.1.1.2-10.1.1.20
    /ip dhcp-server
    add add-arp=yes address-pool="pool free-wifi" disabled=no interface=bridge1 \
    lease-time=1d name="dhcp from free wifi"
    /queue simple
    add max-limit=2M/2M name="from guests" target=10.1.1.0/24
    /interface bridge port
    add bridge="wifi to lan" interface=ether1
    add bridge="wifi to lan" comment="" interface=wlan1
    add bridge=bridge1 disabled=yes interface=vlan101
    add bridge=bridge1 interface=wlan2
    /interface l2tp-server server
    set caller-id-type=ip-address
    /ip address
    add address=192.168.1.6/24 disabled=yes interface="wifi to lan" network=\
    192.168.1.0
    add address=10.1.1.1/24 comment="" \
    interface=wlan2 network=10.1.1.0
    add address=192.168.1.6/24 interface=ether1 network=192.168.1.0
    add address=10.1.1.1/24 comment="" \
    disabled=yes interface=bridge1 network=10.1.1.0
    /ip dhcp-client
    add dhcp-options=hostname,clientid interface=ether1
    add dhcp-options=hostname,clientid interface=ether1

    /ip dhcp-server network
    add address=10.1.1.0/24 dns-server=8.8.8.8,10.1.1.1 gateway=10.1.1.1 netmask=\
    24
    /ip dns
    set allow-remote-requests=yes servers=192.168.1.50
    /ip dns static
    add address=192.168.1.50 name=123456
    /ip firewall filter
    add action=drop chain=forward disabled=yes dst-address=!192.168.1.100 \
    src-address=10.1.1.0/24
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=!bridge1
    /ip route
    add comment="" distance=1 gateway=\
    192.168.1.100
    /ip route rule
    add action=unreachable disabled=yes dst-address=10.1.1.0/24 src-address=\
    192.168.1.0/24
    add action=unreachable disabled=yes dst-address=192.168.1.0/24 src-address=\
    10.1.1.0/24
    add action=unreachable dst-address=10.1.1.0/24 src-address=192.168.1.0/24
    add action=unreachable dst-address=192.168.1.0/24 src-address=10.1.1.0/24
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /system clock
    set time-zone-autodetect=no
    /system clock manual
    set time-zone=+05:00
    /system identity
    set name=cAP1
    /system ntp client
    set enabled=yes primary-ntp=192.168.1.50 secondary-ntp=85.21.78.8
     
    dead kirill, 16 июн 2017
    #1
    Проект построения Wi-Fi сети на московском международном автомобильном салоне
    Проект построения Wi-Fi сети на московском международном автомобильном салоне
    Экспертный удаленный аудит сетевого оборудования для завода полимерных материалов
    Экспертный удаленный аудит сетевого оборудования для завода полимерных материалов
    Проект настройки резервирования каналов (Multiwan)
    Проект настройки резервирования каналов (Multiwan)
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вообще не вижу настройки CAP.
     
    Илья Князев, 22 июн 2017
    #2
  3. dead kirill

    dead kirill Новый участник

    dead kirill, 22 июн 2017
    #3
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Тогда на первый взгляд все ОК.
     
    Илья Князев, 22 июн 2017
    #4