Режим AP с гостевой сетью. Возможно?

[Василий Залукаев]

Суть такая, есть сеть с локальными ресурсами. Туда воткнут city. Надо по кабелю и по wifi передать эту сеть дальше. Это режим Точка доступа/Ретранслятор. Проблем не возникло. Но есть потребность - часть пользователей надо подключить по wifi в отдельную сеть чтобы им выдавались там свои ip адреса и основным шлюзом для них был city чтобы они могли получать инет. Как я понял функционала роутинга (NAT) в режиме AP у кинетиков нет. Да и даже dhcp сервера в таком раскладе не поднять. Я попробовал удалить интерфейс "провайдер", все загнал в "домашнюю сеть", создал "гостевую сеть", все "так" как я хочу, по проводу и по wifi у части клиентов локальные ip адреса, у части "гостевые", им выдаются шлюз гостевой ip роутера, DNS, но роутинга нет. Я не могу для гостевой сети создать маршрут в основным шлюзом к примеру локальным ip роутера, или шлюза локальной сети. Поле становится красным и не дает сохранить. На микротике 3 раза мышкой клацнуть, даже на ростелекомовском роутере это на изи сделать просто нажав "изолировать сеть" и все прекрасно работает (перевел его в АП просто удалив все варианты WAN подключений, но и с ними бы работало). У зухеля же выходит только когда он в режиме роутер и все его клиенты находятся за NAT. ВОзможно ли такое сделать? Спасибо.

[Le ecureuil]

Из cli можно, но в основном эта функция расчитана на MWS с контроллером - там можно и в web.

[Василий Залукаев]

8 hours ago, Le ecureuil said:

Из cli можно, но в основном эта функция расчитана на MWS с контроллером - там можно и в web.

Понял, спасибо. жалко что такая крутая штука не умеет примитив из коробки в пару кликов. Ведь режим AP довольно часто требователен и не дать возможности в нем поднимать гостевую сеть в пару кликов...

[vasek00]

10 часов назад, Василий Залукаев сказал:

Суть такая, есть сеть с локальными ресурсами. Туда воткнут city. Надо по кабелю и по wifi передать эту сеть дальше. Это режим Точка доступа/Ретранслятор. Проблем не возникло. Но есть потребность - часть пользователей надо подключить по wifi в отдельную сеть чтобы им выдавались там свои ip адреса и основным шлюзом для них был city чтобы они могли получать инет. Как я понял функционала роутинга (NAT) в режиме AP у кинетиков нет. Да и даже dhcp сервера в таком раскладе не поднять. Я попробовал удалить интерфейс "провайдер", все загнал в "домашнюю сеть", создал "гостевую сеть", все "так" как я хочу, по проводу и по wifi у части клиентов локальные ip адреса, у части "гостевые", им выдаются шлюз гостевой ip роутера, DNS, но роутинга нет. Я не могу для гостевой сети создать маршрут в основным шлюзом к примеру локальным ip роутера, или шлюза локальной сети. Поле становится красным и не дает сохранить. На микротике 3 раза мышкой клацнуть, даже на ростелекомовском роутере это на изи сделать просто нажав "изолировать сеть" и все прекрасно работает (перевел его в АП просто удалив все варианты WAN подключений, но и с ними бы работало). У зухеля же выходит только когда он в режиме роутер и все его клиенты находятся за NAT. ВОзможно ли такое сделать? Спасибо.

Вопрос а зачем его переводить в Точка доступа/Ретранслятор, что мешает его использовать в режиме "Основной" подключив его по LAN, так принципиально название или потратить 5мин для настройки того что нужно.

Режим Точка доступа/Ретранслятор - пере конфигурация сетевых интерфейсов, не загружать не нужные службы и прописать нужный маршрут.

а микротике 3 раза мышкой клацнуть, даже на ростелекомовском роутере это на изи сделать просто нажав "изолировать сеть" и все прекрасно работает (перевел его в АП просто удалив все варианты WAN подключений, но и с ними бы работало). У зухеля же выходит только когда он в режиме роутер и все его клиенты находятся за NAT. ВОзможно ли такое сделать?

Ставите его в основной режим, как и сказали отключить WAN + прописать маршрут по умолчанию и DNS => и делайте что хотите на нем.

[Василий Залукаев]

Just now, vasek00 said:

Вопрос а зачем его переводить в Точка доступа/Ретранслятор, что мешает его использовать в режиме "Основной" подключив его по LAN, так принципиально название или потратить 5мин для настройки того что нужно.

Режим Точка доступа/Ретранслятор - пере конфигурация сетевых интерфейсов, не загружать не нужные службы и прописать нужный маршрут.

а микротике 3 раза мышкой клацнуть, даже на ростелекомовском роутере это на изи сделать просто нажав "изолировать сеть" и все прекрасно работает (перевел его в АП просто удалив все варианты WAN подключений, но и с ними бы работало). У зухеля же выходит только когда он в режиме роутер и все его клиенты находятся за NAT. ВОзможно ли такое сделать?

Ставите его в основной режим, как и сказали отключить WAN + прописать маршрут по умолчанию и DNS => и делайте что хотите на нем.

1. Потому что на этапе планирования сети зажали пару розеток. Как итог у меня в кабинете есть одна розетка где надо подключить 2 проводных устройства и одно беспроводное и они должны быть в той же подсети что и LAN.
2. Я так и сделал, но не могу для гостевой сети прописать маршрут до основного шлюза. Клиентам выдается шлюз роутера (к прмиеру для гостевой 10.1.30.1), то вон заставить кинетик маршрутизировать трафик дальше на 10.1.30.1 можно только если есть WAN интерфейс. Т.е. сам кинетик на интерфейсе 10.1.30.1 не знает где искать кпримеру 192,168,0,1

[Василий Залукаев]

35 minutes ago, vasek00 said:

Вопрос а зачем его переводить в Точка доступа/Ретранслятор, что мешает его использовать в режиме "Основной" подключив его по LAN, так принципиально название или потратить 5мин для настройки того что нужно.

Режим Точка доступа/Ретранслятор - пере конфигурация сетевых интерфейсов, не загружать не нужные службы и прописать нужный маршрут.

а микротике 3 раза мышкой клацнуть, даже на ростелекомовском роутере это на изи сделать просто нажав "изолировать сеть" и все прекрасно работает (перевел его в АП просто удалив все варианты WAN подключений, но и с ними бы работало). У зухеля же выходит только когда он в режиме роутер и все его клиенты находятся за NAT. ВОзможно ли такое сделать?

Ставите его в основной режим, как и сказали отключить WAN + прописать маршрут по умолчанию и DNS => и делайте что хотите на нем.

Это настройки локальной сети:

тут все нормально, IP что по кабелю, что по wifi получаю от своего dhcp сервера и проблем нет.

Это гостевой.

С галочками "Использовать NAT" игрался. Не заметил чтобы на что-то влияло.

Если включить "Доступ к приложения домашней сети", то появляется маршрут на компе:

Но попытка его трасернуть безуспешна:

Хотя для всех с LAN интерфейса он доступен.

Естественно руками кинетику добавил вот такой маршрут:

[Le ecureuil]

Про nat:
> no interface Guest ip nat loopback

[vasek00]

Тут есть маленькая ремарка с которой нужно считаться

https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних-

Выдержки ниже

Скрытый текст

И как итог

Скрытый текст

isolate-private

interface GigabitEthernet0/Vlan3
    description "Guest VLAN"
    security-level protected
....    
    up
!
interface GigabitEthernet1   (родной WAN порт, отключенный)
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
....    
    ip global 700
    down


interface Bridge0
    rename Home
    description "Home Lan"
....
    security-level private


interface Bridge1
    description Guest
.....
    security-level protected

 

 

[Василий Залукаев]

On 2/11/2021 at 11:12 AM, vasek00 said:

Тут есть маленькая ремарка с которой нужно считаться

https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних-

Выдержки ниже

  Hide contents

И как итог

  Hide contents

isolate-private

interface GigabitEthernet0/Vlan3
    description "Guest VLAN"
    security-level protected
....    
    up
!
interface GigabitEthernet1   (родной WAN порт, отключенный)
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
....    
    ip global 700
    down


interface Bridge0
    rename Home
    description "Home Lan"
....
    security-level private


interface Bridge1
    description Guest
.....
    security-level protected

 

 

Камрад спасибо тебе большущее. действительно Bridge1 был protected. Сделал его private и потом no isolate-private. Естественно перед этим было добавлен маршрут  ip route 0.0.0.0/0 192.168.0.1

Ух ). Отлегло аж )