Гостевые и прочие виртуальные сети на Микротике
nponeccop — 28.09.2025
Я тут наконец добрался до роутеров, и всё засетапил. Ну почти, там можно сетапить до бесконечности.
Собственно задача стоит так:
1. есть большой дом/офис, который одна точка доступа не покрывает
2. нужен роуминг — при перемещении по дому ты бесшовно переподключаешься к другой точке
3. говнороутеры с говномешами не нужны — считается что все рабочие зоны покрыты сигналом 5ггц от точек подключенных по проводному GbE или через розетки/PLC.
4. Нужно несколько изолированных вайфай-сетей в которых можно творить любую дичь (устанавливать непатченные телефоны с пылесосами и ТВ), не мешая ультрасекурной активности в соседней сети, работающей на том же физическом оборудовании.
Наш сетап такой:
1. роутер с 3 интерфейсами:
— ether1 с WAN
— ether2 и ether3 подключенные кабелями к двухдиапазонным точкам доступа 2/5 GHz.
2. две одинаковых точки доступа, бриджи с 5 портами:
— ether1 с транком до роутера
— wifi1 wifi2 — SSID10 2 и 5 ГГц
— wifi3 wifi4 — SSID20 2 и 5 ГГц
Основное открытие: вайфай-интерфейсы -- это обычные интерфейсы, ничем не отличающиеся от портов роутера, в которые втыкается свич. И что можно беспроводные алиас-интерфейсы с отдельными ключами доступа до бесконечности плодить на одном и том же физическом интерфейсе. То есть что вайфай от проводной сети не отличается аж никак.
То есть, наш сетап ничем не отличается от полностью проводного сетапа из 3 управляемых свичей и роутера с 3 интерфейсами.
Ну то есть аналогичная картина: VLAN10 и VLAN20. На главном свиче делаем три транк-порта. На каждом из младших свичей делаем 2 акцесс-порта с pvid=10 и два с pvid=20, и один транк-порт.
В роутере создаем по виртуальному интерфейсу с pvid=10 и pvid=20, лепим на эти интерфейсы DHCP-сервера с разными пулами адресов, 10.0.10/24 и 10.0.20/24
Ну и всё, полная иллюзия роутера где eth0 это WAN, eth1 это бухгалтеры а eth2 это программисты. И вирусне с компа бухгалтера никак к программистам не проникнуть, если форвардинг между eth1 и eth2 перекрыт iptables :D
На птичьем языке mikrotik terminal с учетом того, что вместо свичей у нас софт-бриджи и главный свич слеплен с роутером, выглядит так:
- Лепите на точке доступа на два имеющиеся там wifi-интерфейса одинаковые SSID и секьюрити (я делал через winbox ui)
- Объединяете их с ether1 в бридж:
/interface bridge add name=bridge vlan-filtering=no
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3 - Говорите какой порт в каком VLAN
/interface bridge port
set [find interface=wifi1] pvid=10
set [find interface=wifi2] pvid=10 - Говорите что бридж такой внутренний транк, и что ether1 это
тоже транк, а wifi1 и wifi2 — access-порты:
/interface bridge vlan
add bridge=bridge vlan-ids=10 tagged=bridge,ether1 untagged=wifi1,wifi2 - Ввиду того, что точка доступа — это L2 бридж, ей IP не нужен,
но чтобы менеджить ее по IP делайте так:
/interface vlan add name=mgmt-vlan10 vlan-id=10 interface=bridge
/ip address add address=10.0.10.2/24 interface=mgmt-vlan10 - Включаете VLAN-фильтрацию (в этот момент у вас все падает если
что-то сделали не так):
/interface bridge set bridge vlan-filtering=yes
Теперь роутер:
- Лепите наш главный свич — он будет свичировать между
программистами или между бухгалтерами, не затрагивая роутера, если
они сидят на разных точках доступа
/interface bridge add name=bridge vlan-filtering=no
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3 - Добавляете будущий шлюз по умолчанию для нашего виртуального
сегмента:
/interface vlan add name=vlan10 vlan-id=10 interface=bridge
/ip address add address=10.0.10.1/24 interface=vlan10 - Лепите туда DHCP-сервер:
/ip pool add name=pool10 ranges=10.0.10.200-10.0.10.254
/ip dhcp-server add name=dhcp10 interface=vlan10 address-pool=pool10
/ip dhcp-server network add address=10.0.10.0/24 gateway=10.0.10.1 - Говорите, что аccess-портов для VLAN 10 на роутере нету,
одни транки
/interface bridge vlan
add bridge=bridge vlan-ids=10 tagged=bridge,ether2,ether3 - Включаете VLAN-фильтрацию (в этот момент у вас все падает если
что-то сделали не так):
/interface bridge set bridge vlan-filtering=yes
Теперь если заработало — добавляете wifi3 wifi4 и проделываете то же самое для VLAN 20. PROFIT!!!!1111
Замечания:
- При добавлении второго VLAN вторые бриджи создавать не надо. Добавляйте порты в уже имеющийся бридж что на роутере что на точке только с другими vlan id.
- Эта идея легко обобщается на другие топологии и смеси проводных и беспроводных портов.
- Смех в том что Safe Mode может ошибочно откатить рабочую конфигурацию в пункте 6 для точки доступа. И вы будете думать что все поломали и он откатил хотя всё сделали правильно. Бекапьте и рискуйте без Safe Mode в этом месте.
- Второй смех в том что помимо pvid в /interface bridge, есть datapath.pvid в Wi-Fi. Его трогать не надо, если по ошибке поставили -- надо удалить.
- Настройка роутера «тривиальна» и не описана.
- vlan id 1 и 0 использовать низя.
Гибридные концертные форматы: синтез живого исполнения и иммерсивных мультимедийных технологий как новый жанр 
