Гостевая сеть на отдельном инт-се

Тема в разделе "Беспроводные технологии", создана пользователем web, 27 ноя 2016.

  1. web

    web Участник

    приветствую

    hap ac. v6.37.1.
    собственно у меня wlan1 интерфес 2.4Ггц и есть гостевая сеть (10-я сеть)
    настроил. изолировал от локалки.
    клиент получает ИП и на этом все. инета нет.

    подскажите пожалуйста, где косяк ? спасибо

    Конфиг:

    /ip address
    add address=192.168.1.1/24 interface=bridge network=192.168.1.0
    add address=10.10.10.1/24 interface=wlan1 network=10.10.10.0

    /ip dhcp-server network
    add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1
    add address=192.168.1.0/24 gateway=192.168.1.1

    /ip firewall filter export
    add action=accept chain=input protocol=icmp
    add action=accept chain=input connection-state=new dst-port=80,8291,22,443 in-interface=bridge protocol=tcp src-address=192.168.1.0/24
    add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=80,443 in-interface=eth1-wan protocol=tcp
    add action=accept chain=input connection-state=new dst-port=53,123 protocol=udp src-address=192.168.1.0/24
    add action=accept chain=input connection-state=established,related
    add action=accept chain=output connection-state=!invalid
    add action=accept chain=forward connection-state=established,new in-interface=bridge out-interface=eth1-wan src-address=192.168.1.0/24
    add action=accept chain=forward connection-state=established,related in-interface=eth1-wan out-interface=bridge
    add action=accept chain=forward dst-port=80,443 protocol=tcp
    add action=drop chain=input
    add action=drop chain=output
    add action=drop chain=forward
    add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=eth1-wan protocol=udp
    add action=drop chain=input dst-port=53 in-interface=eth1-wan protocol=udp src-address-list="dns flood"
    add action=drop chain=forward dst-address=192.168.1.0/24 src-address=10.10.10.0/24
    add action=drop chain=forward dst-address=10.10.10.0/24 src-address=192.168.1.0/24

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=HTTP dst-address=xxxxxxxxxx dst-port=80 in-interface=eth1-wan protocol=tcp to-addresses=192.168.1.103 to-ports=80
    add action=masquerade chain=srcnat dst-address=xxxxxxxxxxxxx dst-port=80 protocol=tcp src-address=192.168.1.0/24
    add action=dst-nat chain=dstnat comment=HTTPS dst-address=xxxxxxxxxxx dst-port=443 in-interface=eth1-wan protocol=tcp to-addresses=192.168.1.103 to-ports=443
    add action=masquerade chain=srcnat dst-address=xxxxxxxxxxx dst-port=443 protocol=tcp src-address=192.168.1.0/24
    add action=masquerade chain=srcnat log=yes out-interface=eth1-wan
    add action=masquerade chain=srcnat src-address=10.10.10.0/24
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    У вас файрволл врагу не позавидуешь )
    Много лишнего. И на forward не вижу разрешения на прохождение гостевой сети куда либо.
     
  3. web

    web Участник

    Подскажите, как правильно настроить ?
    Нужны обычные вещи:
    - локалка + 5Ггц (192.168.1.0), гостевая сеть на 2.4 (10.10.10.0)
    - доступ к тику только через винбокс
    - в локалке вебсервер (соотв. доступ к портам 80, 443)
    - hairpin для доступа к сайтам из локалки (тоже не работает. настроивал по родному мануалу https://wiki.mikrotik.com/wiki/Hairpin_NAT)

    Спасибо
     
    Последнее редактирование модератором: 23 янв 2019
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Файрволл. Базовые настройки
    Код:
    /ip firewall filter
    add chain=input connection-state=established, related action=accept
    add chain=input protocol icmp action=accept
    #Разрешить windox отовсюду
    add chain=input protocol=tcp dst-port=8291 action=accept
    add chain input in-interface=WAN action=drop
    add chain forward connection-state=invalid action=drop
    add chain forward in-interface=WAN connection-state=new connection-nat-state=!dst-nat action=drop 
    #База закончена. Пилим доступы
    Код:
    add chain=forward connection-state=established, related action=accept
    add chain=forward dst-address=WEB_SEREVER protocol=tcp dst-port=80,443 action=accept
    #блокируем доступ из гостевой сети в любую другую кроме инета
    add chain=forward in-interface=GUEST out-interface=!WAN action=drop
    Далее NAT
    Маскарад наружу
    Код:
    /ip firewall nat
    add chain=srcnat out-interface=WAN action=masquerade 
    #Hairpin
    Код:
    add chain=src-nat src-address=GUEST-LAN/24 out-interface=LAN dst-address=WEB_SERVER protocol=TCP dst-port=80,443 action=masquerade 
    #пробросы портов тут нужно убрать интерфейс и оставить только dst-address. Иначе из GUEST работать не будет.
    Код:
    add chain=dstnat  dst-address=xxxxxxxxxx dst-port=80,443  protocol=tcp action=dst-nat to-addresses=192.168.1.103 
    Поправить по своему вкусу. Не факт что я нигде не ошибся в синтаксисе.
    Если приведенные правила непонятны - или читать документацию до просветления, или добро пожаловать на MTCNA )))
     
  5. web

    web Участник

    /ip firewall filter
    add action=accept chain=input connection-state=established,related
    add action=accept chain=input protocol=icmp
    add action=accept chain=input dst-port=8291 protocol=tcp
    add action=drop chain=input in-interface=eth1-wan
    add action=drop chain=forward connection-state=invalid
    add action=accept chain=forward connection-state=established,related
    add action=accept chain=forward dst-address=192.168.1.103 dst-port=80,443 protocol=tcp
    add action=drop chain=forward in-interface=wlan1 out-interface=eth1-wan
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=eth1-wan
    add action=masquerade chain=src-nat dst-address=192.168.1.103 dst-port=80,443 out-interface=bridge protocol=tcp src-address=10.10.10.0/24
    add action=dst-nat chain=dstnat dst-address=xxxxxxxxxxxxxx dst-port=80,443 protocol=tcp to-addresses=192.168.1.103

    Сделал по вашему. Спасибо.
    Но есть нюансы.
    Гостевая сеть не изолирована. 10.10.10.0 видит локалку. И на ней все так же нет инета.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Локалку или роутер по адресу локалки? Может у вас там бридж где-то висит?
    Дайте полный /export
     
  7. web

    web Участник

    Видит ПК в локалке.
    В бридже wlan2 и все eth.

    Спойлера я так понял нет ?
    Код:
    Вот полный экспорт:
    
    /interface bridge
    add admin-mac=xxxxxxxxxxxx auto-mac=no comment=defconf name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] mac-address=xxxxxxxxxxx name=eth1-wan
    set [ find default-name=ether2 ] name=ether2-master
    set [ find default-name=ether3 ] master-port=ether2-master
    set [ find default-name=ether4 ] master-port=ether2-master
    set [ find default-name=ether5 ] master-port=ether2-master
    set [ find default-name=sfp1 ] disabled=yes
    /ip neighbor discovery
    set eth1-wan discover=no
    set sfp1 discover=no
    set bridge comment=defconf
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=web supplicant-identity="" wpa-pre-shared-key="xxxxxxxxxxxxxxxx" wpa2-pre-shared-key=\
        "xxxxxxxxxxxxxxxxxxxxxxx"
    add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=xxxxxxxxxxx
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge security-profile=guest ssid=WeB tx-power=18 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled \
        wps-mode=disabled
    set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge security-profile=web ssid=WeB5 tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\
        enabled
    /ip neighbor discovery
    set wlan1 discover=no
    set wlan2 discover=no
    /interface wireless nstreme
    set wlan1 enable-polling=no
    set wlan2 enable-polling=no
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=default-dhcp ranges=192.168.1.100-192.168.1.200
    add name=pool_guest ranges=10.10.10.100-10.10.10.150
    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge name=defconf
    add address-pool=pool_guest disabled=no interface=wlan1 lease-time=12h10m name=dhcp_guest
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2-master
    add bridge=bridge comment=defconf interface=wlan2
    /ip address
    add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
    add address=10.10.10.1/24 interface=wlan1 network=10.10.10.0
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid disabled=no interface=eth1-wan
    /ip dhcp-server lease
    add address=192.168.1.101 client-id=xxxxxxxxxxxxxxxx mac-address=xxxxxxxxxxxxxxxx server=defconf
    add address=192.168.1.103 mac-address=xxxxxxxxxxxxxxx server=defconf
    /ip dhcp-server network
    add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1
    add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.1.1 name=webroute
    /ip firewall filter
    add action=accept chain=input connection-state=established,related
    add action=accept chain=input protocol=icmp
    add action=accept chain=input dst-port=8291 protocol=tcp
    add action=drop chain=input in-interface=eth1-wan
    add action=drop chain=forward connection-state=invalid
    add action=accept chain=forward connection-state=established,related
    add action=accept chain=forward dst-address=192.168.1.103 dst-port=80,443 protocol=tcp
    add action=drop chain=forward in-interface=wlan1 out-interface=eth1-wan
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=eth1-wan
    add action=masquerade chain=src-nat dst-address=192.168.1.103 dst-port=80,443 out-interface=bridge protocol=tcp src-address=10.10.10.0/24
    add action=dst-nat chain=dstnat dst-address=94.45.70.91 dst-port=80,443 protocol=tcp to-addresses=192.168.1.103
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set pptp disabled=yes
    set udplite disabled=yes
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set www disabled=yes port=8080
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ip upnp
    set enabled=yes
    /ip upnp interfaces
    add interface=bridge type=internal
    add interface=eth1-wan type=external
    /system clock
    set time-zone-name=Europe
    /system identity
    set name=Web
    /system leds
    set 1 interface=wlan2
    /system ntp client
    set enabled=yes primary-ntp=79.171.126.162 secondary-ntp=79.142.192.4
    /system routerboard settings
    set cpu-frequency=720MHz protected-routerboot=disabled
    /tool bandwidth-server
    set enabled=no
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=bridge
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=bridge 
     
    Последнее редактирование модератором: 28 ноя 2016
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Вы невнимательно смотрели мой конфиг. Надо писать !eth1-wan знак [!] ставится как галка перед полем
    И на форварде надо добавить (забыл) сразу после
    add action=accept chain=forward connection-state=established,related
    правило
    add action=drop chain=forward connection-state=new connection-nat-state=!dst-nat in-interface=eth1-wan
     
    dronclub нравится это.
  9. web

    web Участник

    Все работает. Илья, вы очень помогли.
    Спасибо огромное.
     
  10. web

    web Участник

    Извиняюсь.
    hairpin не работает
    Удалил ip из хостов винды и соотв. ERR_CONNECTION_TIMED_OUT
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Т.е. у вес DNS не отвечает? По IP сервер доступен?
     
  12. web

    web Участник

    Та нет. Все работает.
    Например сайт dddd.com
    У регистратора прописан мой внешний ип. Соотв. dns и весь мир знает, что этот сайт находится у меня.
    Снаружи все работает прекрасно.
    Из локалки я пингую этот домен и он тоже показывает мой внешний ип, но зайти я на него не могу.
    Если добавить статику на микротик или в винду 192.168.1.103 dddd.com - тогда и из локалки работает.
    Но тогда получается hairpin и не нужен, но мне не хотелось бы каждый раз домены прописывать. Добавляю редко, поэтому можно забыть и удивляться, а почему же не работает.
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    А кто мешает прописать домены в DNS микротика и указать его как DNS сервер?
    При чем это можно сделать принудительно. Что то типа:
    /ip firewall nat
    add chain=dstnat protocol=udp destination-port=53 in-interface=guest action=redirect
     
  14. web

    web Участник

    Никто не мешает.
    Просто хотелось автомат, который якобы работает и называется hairpin.
    Но если он не работает, тогда конечно буду прописывать руками.
     
  15. Илья Князев

    Илья Князев Администратор Команда форума

    add action=masquerade chain=src-nat dst-address=192.168.1.103 dst-port=80,443 out-interface=bridge protocol=tcp src-address=10.10.10.0/24
    Счтечик на этом правиле работает?
     
  16. web

    web Участник

    Нет
    По нулям
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Уберите out-interface и еще раз попробуйте
     
  18. web

    web Участник

    Нет.
    Все так же - отваливается по таймауту.
     
  19. Илья Князев

    Илья Князев Администратор Команда форума

    А напрямую по 192.168.х.х сервер откликается?
     
  20. web

    web Участник

    да. конечно