настройка 2-го WAN порта для создания 2-й подсети WLAN

Чтобы не создавать новую схожую тему, продолжу тут, вопрос близок к изначальному.

Необходимо отдельную внутреннюю подсеть, обслуживающую wi-fi-ные точки доступа, завернуть на выделенный узкий канал провайдера, зазовем его ether1_WAN_10M.

В /ip route rule добавлены подсети, трафик с которых должен идти по указанному узкому каналу.

Код:

/ip route rule
add action=lookup-only-in-table src-address=172.16.18.0/24 table=wi-fi_hotel_users
add action=lookup-only-in-table disabled=yes src-address=50.0.0.0/24 table=wi-fi_hotel_user

Прописываем маршрут на узкий и основной каналы

Код:

/ip route
add comment="Wi-Fi hotel route to 10Mbits channel" distance=1 gateway=ether1_WAN_10M routing-mark=wi-fi_hotel_users
add comment="Main WAN route" distance=1 gateway=80.xxx.xxx.xxx

В общем работает, трафик от вай-файных пользователей судя по трасерту и активности интерфейса идет по узкому каналу.

Вопрос остается такой, как быть с DNS-запросами?
Если выдернуть кабель из интерфейса основного канала (на нем пока нет юзеров), перестает работать DNS и интернет у подключённых wi-fi пользователей соответственно. В общем, провайдер пока один заведен, просто разные по пропускной способности каналы, поэтому DNS-адреса провайдера на обоих WAN-подключениях на данный момент одинаковые.
Собственно как заставить работать пользователей указанной подсети полностью через ether1_WAN_10M, включая работу с DNS.
И второй момент, существует еще одна подсетка 50.0.0.0/24, в которой точки доступа и контроллер CAPsMAN внутри общаются между собой. Она сейчас отключена в ip route rule как видно выше, если ее также активировать, точки от контроллера отваливаются.

Был бы признателен за помощь на данном этапе настройки.

 

Адреса предоставленных DNS-серверов провайдера прописаны в IP - DNS статически, на бридж с пользователями развернут свой DNS-сервер.
Не совсем понял, что вы имеете в виду и как настроить. Или имелось в виду поднять дополнительный DNS-сервер со static-only (возьмется адресация из IP - DNS), но тогда на каком интерфейсе?

И по второму вопросу как можно решить описанную ситуацию?

 

Илья, именно так и сделано, иначе бы как все работало. В качестве адреса DNS и шлюза пользователям выдаётся адрес из указанной подсети 172.16.18.5, который висит на бридже контроллера на роутере. Или какой им адрес передавать по DHCP в качестве DNS в рассматриваемом мной случае?

Файрволлом - хорошо, нужно как-то перехватить запросы от точек к адресу CAPsMAN 50.0.0.1 и направить куда нужно? Просто не понимаю как.

 

Пока ответа от вас не последовало, хотел бы позволить себе развить мысль касаемо DNS в свете описанной проблемы, или может я не прав?
Запросы к DNS-серверам провайдера, указанным в IP -> DNS, отправляются по основному маршруту, и в случае отваливания интерфейса основного канала (когда мы отключаем интерфейс или выдергивает провод основного канала), слать их получается некуда, DNS прекращает работать, отсюда и проблема. То есть необходимо обеспечить доступ Микротика к серверам DNS провайдера через узкий канал, на котором "сидят" wi-fi-ные абоненты. Если я не прав, поясните на примере, пжл, как решить задачу.

 

Вопрос с направлением трафика из подсетей, обслуживающих wi-fi подключения, решил таким образом:

Код:

/ip firewall address-list
add address=172.16.18.0/24 list=to_ether1_WAN_10M
add address=50.0.0.0/24 list=to_ether1_WAN_10M

Код:

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=toWAN1 passthrough=yes src-address-list=\
  to_ether1_WAN_10M

Код:

/ip route
add distance=1 gateway=80.xxx.xxx.233 routing-mark=toWAN1

Трафик ходит через требуемый узкий канал.
Единственное, не совсем понимаю, почему потребовалось только одно правило маркировки?

Доступность DNS провайдера, в случае отсутствия основного канала и маршрута по умолчанию, указанием маршрута ко второму адресу DNS провайдера через узкий канал.

Код:

/ip route
add comment="DNS secondary to 10Mbits chanell" distance=1 dst-address=80.xxx.xxx.233/32 \
  gateway=ether1_WAN_10M

 

Илья, по приведенному вами варианту я пробовал в самом начале, я же писал о возникшей при этом проблеме с подсетью 50.0.0.0/24, в которой сразу отваливалась связь между точками и контроллером.

 

Поясните как именно и с какой целью? В приведенном мною mangle-правиле?
Мне не хотелось бы сморозить что-то явно неправильно в обсуждаемом вопросе.

 

Имеется в виду при попытке подключения снаружи на внешний адрес интерфейса узкого канала соединения не установится? В общем-то туда извне подключаться не планируется, но проверил - доступ есть. К сожалению, не всегда понятно, что вы имеете в виду.
Однако добавляя in-interface=ether1_WAN_10M к своему правилу маркировки у wi-fi-йных подсетей пропадает интернет.

 

Верно, доступа из подсетей 172.16.18.0/24 и 50.0.0.0/24 к любым локальным адресам самого микротика нет.
Впрочем, если нужно, можно в mangle-правиле задать dst-address-list=!, т.е. с отрицанием самой же маркируемой в src-address подсети, в этом случае локальные адреса становятся доступны.