2x MikroTik hAP lite a VLAN

Siet pre hosti mozes riesit roznymi sposobmi.
VLAN je podla mna najkomplikovanejsi, pretoze MT podporuje priamo v sebe funkciu Hotspot, ktora ti nastavi vsetko potrebne.
Druha tiez nenarocna moznost je priradenie inej routy pre ssid hosti a tento rozsah blokovat na fw, aby sa nevedel dostat na tvoju siet.

mně VLAN přijde naopak jako geniálně jednoduché a bezproblémové řešení, vše řešíš na Layer2, což kromě daleko vyšší bezpečnosti, dává možnost celé řešení připojení k inetu vyřešit velmi jednoduše, zejména pokud se má jednat o vícero zařízení, kde už máš problémy jak poskytovat DHCP/DNS v rámci jednotlivých wifi sítí.

Tak jsem to udělal přes VLAN a funguje to. Hodil jsem ether1-4, WiFi Doma a WiFi Host do stejného bridge a do bridge jsem hodil VLAN 20. Na ní jsem dal Firewall, že se nedostaneš do administrace na 10.10.10.1 a vůbec do síťě 10.0.0.0/24. Na WiFi host jsem dal tag VLAN 20 a funguje to. Na VLAN jsem dal omezení rychlosti na 4/1Mbps. Na AP v obýváku jsem dal všechny porty do bridge + WiFi i Virtual AP. Na Virtual AP jsem dal tag 20 a jede to. Pokud si na ethernetu v PC nastavím tag na 20, jsem v síti pro hosty.

bohužel to máš špatně. jeden z ether portů na obou MKTicích musí být trunk (a tedy součást obou VLAN - pomocí virtuálních portů). Možná ti to po haluzi nějak funguje, ale je to naprosto špatně.
Předpokládám, že jsi dva DHCP servery nenastavil a v obou "kvaziVLANách" máš stejný rozsah. No, asi chápu, co jsi provedl, ale je to naprosto špatně a žádnou VLAN neprovozuješ.

Tak jsem to tak nastavil, ale nyní mi nefunguje pravidlo ve FW na komunikaci mezi sítěma. Moje pravidlo je :
/ip firewall filter
add chain=forward action=drop src-address=10.0.0.0/24 dst-address=10.10.10.0/24
add chain=forward action=drop src-address=10.10.10.0/24 dst-address=10.0.0.0/24

Bohužel z Guest sítě se dostanu na ip 10.0.0.0/24. Jak to opravit? Díky

PS : Jinak 2 dhcp servery jsem samozřejmě měl, 1. s IP range 10.0.0.10-254 na LAN a 2. 10.10.10.10-254 na VLAN. Toto vše fungovalo a dokonce fungovalo moje FW pravidlo.

E1: A jak mám nastavit, když chci např. na ether2 hodit AP, které podporuje na Virtual SSID VLAN tag? Ve VLANech se nevyznám. Díky

forward pravidla jsou správně, nicméně bez znalosti celého konfigu je to celkem k ničemu.

Níže máš příklad pro RB941 (rozdíl je jen ve 4 portech, tudíž tam chybí ether5), kde ether1 je WAN, ether2 je trunkport a zbytek (E3+E4 jsou LAN porty):

/interface bridge
add admin-mac=6C:3B:6B:EE:BA:E8 auto-mac=no comment=defconf name=bridge
add name=hoste-bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-AP
set [ find default-name=ether3 ] name=ether3-master
set [ find default-name=ether4 ] master-port=ether3-master
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface vlan
add interface=ether2-AP name=VLAN1_E2 vlan-id=1
add interface=ether2-AP name=VLAN2_E2 vlan-id=2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=\
    ffffffffssssss
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Domaci supplicant-identity="" \
    wpa2-pre-shared-key=aaaaabbbbbccccc
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Hoste supplicant-identity="" \
    wpa2-pre-shared-key=zzzzzzzzzzzzzzz
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge name=\
    "wlan1-Domaci" security-profile=Domaci ssid=Domaci \
    wds-default-bridge=bridge wds-mode=dynamic wireless-protocol=802.11 \
    wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=6C:3B:6B:EE:BA:E9 \
    master-interface="wlan1-Domaci" multicast-buffering=disabled name=\
    "wlan2-Hoste" security-profile=Hoste ssid=Hoste vlan-id=2 \
    wds-cost-range=0 wds-default-bridge=hoste-bridge wds-default-cost=0 \
    wds-mode=dynamic wps-mode=disabled
/ip pool
add name=default-dhcp ranges=192.168.100.50-192.168.100.200
add name="pool-hoste" ranges=192.168.200.100-192.168.200.200
/ip dhcp-server
add add-arp=yes address-pool=default-dhcp authoritative=yes disabled=no \
    interface=bridge name=defconf
add add-arp=yes address-pool="pool-hoste" authoritative=yes disabled=no \
    interface=hoste-bridge name=hoste
/caps-man manager
set ca-certificate=auto certificate=auto upgrade-policy=require-same-version
/interface bridge port
add bridge=bridge interface="wlan1-Domaci"
add bridge=hoste-bridge interface="wlan2-hoste"
add bridge=bridge interface=ether3-master
add bridge=bridge interface=VLAN1_E2
add bridge=hoste-bridge interface=VLAN2_E2
/ip address
add address=192.168.100.1/24 comment=defconf interface=bridge network=\
    192.168.100.0
add address=192.168.200.1/24 interface=hoste-bridge network=192.168.200.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ether1
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf dns-server=192.168.100.1 gateway=\
    192.168.100.1
add address=192.168.200.0/24 dns-server=192.168.200.1 gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.100.1 name=router
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1
add action=drop chain=forward in-interface=hoste-bridge \
    out-interface=bridge
add action=drop chain=forward in-interface=hoste \
    out-interface=bridge-bridge
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ether1
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=Router
/system ntp client
set enabled=yes primary-ntp=37.187.104.44 secondary-ntp=46.28.110.244
/system routerboard settings
set boot-device=flash-boot cpu-frequency=650MHz protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

Podobně řešení pro AP (tady je to o dost jednodušší, žádný routing, jen jeden trunkport v podobě ether1 a zbytek v bridgi):

/interface bridge
add name=bridge
add name=bridge-hoste
/interface ethernet
set [ find default-name=ether1 ] name=ether1-ROUTER
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
/interface vlan
add interface=ether1-ROUTER name=VLAN1_E1 vlan-id=1
add interface=ether1-ROUTER name=VLAN2_E1 vlan-id=2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=\
    ffffffffssssss
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Domaci supplicant-identity="" \
    wpa2-pre-shared-key=aaaaabbbbbccccc
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Hoste supplicant-identity="" \
    wpa2-pre-shared-key=zzzzzzzzzzzzzzz
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge name=\
    "wlan1-Domaci" security-profile=Domaci ssid=Domaci \
    wds-default-bridge=bridge wds-mode=dynamic wireless-protocol=802.11 \
    wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=6C:3B:6B:EE:BA:EA \
    master-interface="wlan1-Domaci" multicast-buffering=disabled name=\
    "wlan2-Hoste" security-profile=Hoste ssid=Hoste vlan-id=2 \
    wds-cost-range=0 wds-default-bridge=hoste-bridge wds-default-cost=0 \
    wds-mode=dynamic wps-mode=disabled
/interface bridge port
add bridge=bridge interface=VLAN1_E1
add bridge=bridge interface=ether2-master
add bridge=bridge interface=wlan1-Domaci
add bridge=bridge-hoste interface=VLAN2_E1
add bridge=bridge-hoste interface=wlan2-Hoste
/ip address
add address=192.168.100.2/24 interface=bridge network=192.168.100.0
/ip route
add distance=1 gateway=192.168.100.1
/system clock
set time-zone-name=Europe/Prague
/system ntp client
set enabled=yes primary-ntp=37.187.104.44 secondary-ntp=46.28.110.244
/system routerboard settings
set boot-device=flash-boot cpu-frequency=650MHz protected-routerboot=disabled

samotný propoj je nutno realizovat přes trunk porty (Ether2 na routeru, Ether1 na AP).

Tak jsem zjistil, že mi hosté mohou furt koukat do sítě. Mohl bys mi, prosím, poslat .backup soubor? Když hodím to tvoje do terminálu, hodí mi to chyby a wifi "Hosti" mi nepřidělí IP. Díky

Backup nemám, nemám ani dva volné mikrotiky. Konfiguraci jsem psal ručně podle jiných zařízení, takže tam může být chyba.

Nicméně: obnova konfigurace se provádí z čistého rebootu po výmazu konfigu: https://wiki.mikrotik.com/wiki/Manual:Configuration_Management#Configuration_Reset

/system reset-configuration no-defaults run-after-reset flash/konfig.rcs

Případně importuj ručně do čistého HW bez defaultu, ale s parametrem "verbose=yes" - pak bych potřeboval vědět, kde to ty chyby dělá.

To jsem udělal, teď mám tuto konfiguraci :

/interface bridge
add fast-forward=no name=Bridge_HOST
add fast-forward=no name=Bridge_LAN
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-LAN
set [ find default-name=ether3 ] name=ether3-LAN
set [ find default-name=ether4 ] name=ether4-TRUNK
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n mode=ap-bridge name=wlan1-LAN \
    ssid=MikroTik wps-mode=disabled
/interface vlan
add interface=ether4-TRUNK name=vlan-host vlan-id=20
add interface=ether4-TRUNK name=vlan-lan vlan-id=10
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:31:F7:44 \
    master-interface=wlan1-LAN multicast-buffering=disabled name=wlan1-HOST \
    ssid=xxx_HOST wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool_LAN ranges=10.0.0.10-10.0.0.254
add name=pool_HOST ranges=10.10.10.10-10.10.10.254
/ip dhcp-server
add address-pool=pool_LAN disabled=no interface=Bridge_LAN lease-time=1d name=\
    DHCP_LAN
add address-pool=pool_HOST disabled=no interface=Bridge_HOST lease-time=1d \
    name=DHCP_HOST
/interface bridge port
add bridge=Bridge_LAN interface=wlan1-LAN
add bridge=Bridge_LAN interface=ether2-LAN
add bridge=Bridge_LAN interface=ether3-LAN
add bridge=Bridge_LAN interface=vlan-lan
add bridge=Bridge_HOST interface=vlan-host
add bridge=Bridge_HOST interface=wlan1-HOST
/ip neighbor discovery-settings
set discover-interface-list=all
/ip address
add address=10.0.0.1/24 interface=Bridge_LAN network=10.0.0.0
add address=10.10.10.1/24 interface=Bridge_HOST network=10.10.10.0
/ip dhcp-client
add disabled=no interface=ether1-WAN
/ip dhcp-server config
set store-leases-disk=never
/ip dhcp-server network
add address=10.0.0.0/24 gateway=10.0.0.1
add address=10.10.10.0/24 gateway=10.10.10.1
/ip firewall filter
add action=drop chain=forward dst-address=10.10.10.0/24 src-address=10.0.0.0/24
add action=drop chain=forward dst-address=10.0.0.0/24 src-address=10.10.10.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
/ipv6 dhcp-client
add add-default-route=yes interface=ether1-WAN pool-name=ipv6 request=prefix
/system clock
set time-zone-name=Europe/Prague
/system routerboard settings
set silent-boot=no
[admin@MikroTik] > 

Je to OK? Momentálně jsem zkoušel dát na eth4 starší AirCa8-PRO, co umí VLANy a z 10.10.10.0/24 se dostanu do 10.0.0.0/24 i přes Firewall.

Není to OK.

Svévolně jsi změnil firewallová pravidla, používáš IP adresy (naprosto špatně) a úplně jsi deaktivoval stavový firewall (totálně špatně).
Kromě toho jsi udělal další menší chybu, že jsi dal trunk až na poslední port, což ti znemožňuje použít switchčip a veškerý bridging dělá úplně zbytečně CPU. Všimni si, že já mám v bridgi jen Masterport (ether2-master).

Firewall tam samozřejmě bude, tady mi šlo jen o tu VLANu. Na netu bylo psané, že se tam takto mají dát ty IP, hodím tam tedy místo IP ty VLANy.
Nepodporuje MK Hardware Offload? Myslel jsem, že to funguje stejně. Alespoň se poučím. Díky za rady!

Firewall tam samozřejmě bude, tady mi šlo jen o tu VLANu

Ale ty VLANy fungují, jinak bys nedostal IP adresy z různých rozsahů. Co ti nefunguje, je právě ten firewall, protože ti to nějaký router odroutoval. Ve firewallingu dále platí, že se používají co nejobecnější pravidla; je to jednak nejbezpečnější, a potom taky nejrychlejší z pohledu zatížení CPU.

Nepodporuje MK Hardware Offload?

Podporuje, ale musíš jej nastavit. To se "postaru" dělá právě tím masterportem.

https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

FW mi už funguje perfektně, z domácí sítě se nedostanu do hosta a naopak. Jinak už jsem zprovoznil i to AirCa8-PRO - AirCa8-PRO je před MkT a do ethernetu nezasahuje, jen na AP jsem nastavil VLANu 10 pro home a 20 pro hosty a taky to fachčí. Díky za rady, nakonec jsem tam hodil i speed limit, 4Mbps / 1Mbps stačí i na FHD YouTube.

PS : Nevíš, jestli by šlo do sítě pro hosty dostat nějak IPv6, když mám od ISP prefix /64?? Díky

Pokud mas od ISP jen /64, tak nijak. Neni mozne si pres DHCP-PD vyzadat dalsi /64 prefix?

Právě že není, proto jsem to chtěl zkusit vyřešit jinak. Mám přidělený 1 statický blok. Chtěl jsem to mít komplet, hosti budou mít hold smůlu :D . Možná po domluvě s ISP by to šlo, uvidíme. Díky za rady

OK.

ad IPv6: to záleží, zda je ten rozsah určen pro tvou LAN (tj. router dostal IP z jiného rozsahu), nebo jej ISP přidělil už "odroutovaný" (mám pocit, že to takto doprasil jeden velký český ISP). V prvním případě postupuješ dle standardních IPv6 postupů, pro MKT např. zde: http://access.feld.cvut.cz/view.php?cisloclanku=2012080001 . V případě druhém je to problém, a VLAN hostů budeš muset vysunout na úroveň WAN rozhraní a zbridgovat jej, plus si "nějak" zařídit, aby neprocházely DHCP requesty a lease offery z WAN do LAN. Řešitelné to asi je, ale určitě to není standardní procedura a už vůbec ne standardní setup.

Mne pride VLAN na domace sieta naopak ako zbytocnost, pretoze je tam +- zopar zariadeni a stale tie iste. Navyse preco obist cely hotspot, ktory bol prave na takyto problem navrhnuty a jeho setup nam vytvori vsetko (od dhcp, cez pravidal na fw, nastavenie a pod).
VLAN je podla mna vhodny naopak do zlozitejsich sieti, kde by som sa mohol po case "stratit"....prirovna by som to k statickemu routingu vs dynamicky pri zlozitejsich sietovych strukturach.

hotspot ti ale řeší jen jednu věc, a tou je separátní wifi pro hosty. Naopak, hotspot stačí v případě, že si vystačíš s jedním zařízením (routerem). Jakmile máš takových AP víc, je logická volba VLAN, a to právě kvůli nižším protokolům, broadcastům, nebo třeba zjednodušenému řízení šířky pásma. Navíc nastavit VLANy na MKT je tak extrémně jednoduché, že to právě celé nastavení zjednodušuje.

Zdravím, mám 2 routery hAP lite a potřebuji co nejelegantněji rozchodit síť pro hosty.

hotspot ti ale řeší jen jednu věc, a tou je separátní wifi pro hosty.

Ved prave. On chce len riesit hosti a tam je najjednoduchsia cesta spravit setup hotspotu. O nic viac sa nemusi starat.

no právě. Tímhle jsem si už prošel a rozhodně to není něco, co bych komukoli doporučil, mixovat hosty a vlastní domácí síť.

Nechapem, co myslis tym mixovanim. Hotspot ti predsa vytvori privatnu siet oddelenu od zvysku na urovni fw. Pozrel si si ty vobec, co spravi setup hotspotu na MT;o)?

Tak ještě jednou: ty se bavíš o FW, a co ARP a spol? Jak vyřešíš vícero AP? Ptám se proto, že vím co je HS zač.

Definuj arp a spol...ved ide o inu routu, takze netreba riesit ani arp, ani broadcast, ani spol...z hotspotu sa nic na lan siet nedostane. Nastaveniei druheho AP cez hotspot setup zaberie imho menej casu ako nastavenie vlanov v celej sieti.
Ako som povedal za mna su vlany urcene pre zlozitejsie a komplexnejsie siete, kde sa kombinuju LAN, WAN a WLAN rozhrania a napriklad ak na jednom ethernete trunkujem viacero skupin s roznymi bezpecnostnymi poziadavkami, pretoze to sa ani inak poriesit neda.

Doprčicuž... jak dostaneš bez VLANy traffic z AP na router, když jsou propojeny jen jedním ethernetem?