MK v internej sieti - cez fw ide len hostovska wifi

není ti rozumět. V první řadě vypiš konfigurace obou bridgí, pak se můžeme bavit.

Pokud nevíš jak, tak:

/interface bridge port print

#     INTERFACE     BRIDGE        HW  PVID PR  PATH-COST INTERNA...    HORIZON
 0   H ether1        LAN           yes    1 0x         10         10       none
 1 I H ether2        LAN           yes    1 0x         10         10       none
 2 I H ether3        LAN           yes    1 0x         10         10       none
 3   H ether4        LAN           yes    1 0x         10         10       none
 4 I   ether5        Guest         yes    1 0x         10         10       none
 5     wlan_INT_24   LAN                  1 0x         10         10       none
 6 I   wlan_guest_24 Guest                1 0x         10         10       none

LAN by mala byt interna siet, kde IP prideluje stroj pred MK 10.6.X.X, Guest prideluje MK 192.168.1.X

tady to máš správně. Tak ještě ta firewallová pravidla.

/ip firewall export
/ip firewall nat export

edit: nicméně pro tebe a i pro iptables se "LAN" chová zcela transparentně, takže na firewallu pakety z LAN neuvidíš, protože to je L2. Routuješ (L3) jen mezi Guest a LAN.

/ip firewall filter
add action=accept chain=input comment="pristup na MK z GUEST len moj pc" dst-port=9999 protocol=tcp src-address=192.168.1.0/24 src-mac-address=01:23:45:67:AB:CD
add action=drop chain=input comment="drop na MKT z Guest" src-address=192.168.1.0/24 add action=drop chain=forward comment="drop z Guest do internej siete"  dst-address=10.6.0.0/16 log-prefix="GUEST  to LAN - " src-address=192.168.1.0/24
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log-prefix="YYY - "
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid log-prefix="XXX - "
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="NAT - " out-interface=LAN src-address=192.168.1.0/24

tady to vypadá poměrně OK, jen si úplně nejsem jistý, jak máš řešenou tu guest síť, protože forward máš zakázaný včetně výchozí brány v LAN.

Vsetko fici, jediny problem pripojenie cez wifi
- ak sa pripojim na Guest, a spustim nejaky test rychlosti, pekne vo fw vidim ako nabiehaju MB (pravidlo tusim 4)
- ak sa pripojim na LAN, a spustim ten isty test, vo fw nwvidim zeby niekde pribudali nejake MB, ako keby to slo mimo fw

Ten hostovsky port na lan mas v v bridge s wifi guest, alebo su to samostatne rozsahy?

eth1 je vstup na MK interna siet
eth2,3,4 a wlan_aaa_24 spolu s eth1 su v LAN - tam v podstate nieje nastavene nic, len na wifi heslo a pod.
eth5 a wlan_guest_24 su v GUEST, maju svoj dhcp, zdielaju jeden pool (192.168.....),

INTERFACE BRIDGE HW PVID PR PATH-COST INTERNA... HORIZON
0 H ether1 LAN yes 1 0x 10 10 none
1 I H ether2 LAN yes 1 0x 10 10 none
2 I H ether3 LAN yes 1 0x 10 10 none
3 H ether4 LAN yes 1 0x 10 10 none
4 I ether5 Guest yes 1 0x 10 10 none
5 wlan_INT_24 LAN 1 0x 10 10 none
6 I wlan_guest_24 Guest 1 0x 10 10 none
LAN by mala byt interna siet, kde IP prideluje stroj pred MK 10.6.X.X, Guest prideluje MK 192.168.1.X

Kedze mas obe rozhrania v bridge nemal b tam byt rozdiel. Mozes si skusit vytvorit forwardovacie pravidlo, kde bude vstupom Guest a tam b si mal vidiet vsetky packety z oboch rozhrani.

preco guest?

Pretoze mas obe rozhrania v bridge co sa vola Guest.

Ale to su len eth5 a virtual wifi, to bezi v pohode.
Problem je s tym, co je pripojene do internej siete.
Apropo, mozno pre niekoho voditko, pripojim sa, dostanem IP z interneho rozsahu od niekoho, 10.6.0.190, s touto IP zalozim sipmple queue, obmedzim rychlost, ale nic sa nedeje, fici to naplno, a total up/down stale sama 0 . . .
Pre MK mam vyhradenu jednu IP z interneho rozsahu, tym ze MK pre interne adresy nefunguje ako router, s tym neviem na internom rozsahu nic robit?

Tak pridaj forward pre LAN. Inak sledovat MB na firewalle mi pride divne. Pridaj si queues cely rozsah a mozes sa pozerat kolko prenasaju a kolko preniesli dat.

v LAN neforwarduje, protože to je jeden velký bridge, sakva, náčelníku! Jediný, kde by to viděl by byly ebtables.

http://ebtables.netfilter.org/

Vo vypise ho sice nevidim, ale MT pridava fasttrack forward do default pravidiel na fw a ked mas zapnuty fasttrack forward tak ti samozrejme queues nefunguju.

O tom viem, to mam vyhodene . . . a uz je to ok, vid posledna odpoved, dik za snahu.

Takze uz to nacitava aj z internej siete vo fw . . . v Bridge - settings povolit Use IP firewall . . .

a víš, že sis povolením ebtables snížil výkon o desítky procent?

No to neviem, ale MKT sa vyuziva len nahodne na pripadne skolenia - od toho wifi a guest . . . aj tak obsluhuje max 10 ludi . . . takze podla mna vykonu na rozdavanie
VEd ak bde nejaka akcia, budem to sledovat, ale myslim ze to bude aj tak OK
Dik

omg. na to se nedá víc říct.