Tři sítě, jedno AP

nofu · 2021-04-27T20:00:12+00:00

Ahoj, opět prosím o radu. Původně byla v prostorech jedna firma, ale covid, takže se smrsknuli a chtějí pronajmout. Požadavek je, že v prostorách budou tři f...

jchudoba

Jinak si to celé koleduje o jeden jediný switch(nebo CRS, dle zátěže) a na něm 802.1X.

Nastuduj si jak 802.1X funguje a zapomeneš na fyzické oddělování.

nofu

jchudoba
Děkuji, s přesným nastavením pomoci doufám nepotřebuji, jen potřebuji nakopnout, jak na to, děsně jsem se zamotal. Konfigurace:

# apr/27/2021 22:44:42 by RouterOS 6.48.1

# model = RouterBOARD 3011UiAS
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz name=2G reselect-interval=30m
add band=5ghz-a/n/ac control-channel-width=20mhz name=5G reselect-interval=\
    30m skip-dfs-channels=yes
/caps-man datapath
add local-forwarding=yes name=lan
add local-forwarding=yes name=guest vlan-id=2 vlan-mode=use-tag
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX arp=proxy-arp auto-mac=no name=br1_1Patro
add name=br2_2Patro
add name=br3_Sklep
/interface ethernet
set [ find default-name=ether1 ] name=eth1_WAN speed=100Mbps
set [ find default-name=ether2 ] name=eth2_LAN_1Patro speed=100Mbps
set [ find default-name=ether3 ] name=eth3_LAN_2Patro speed=100Mbps
set [ find default-name=ether4 ] name=eth4_LAN_Sklep speed=100Mbps
set [ find default-name=ether5 ] name=eth5_LAN_slave speed=100Mbps
set [ find default-name=ether6 ] name=eth6_LAN_slave speed=100Mbps
set [ find default-name=ether7 ] name=eth7_LAN_slave speed=100Mbps
set [ find default-name=ether8 ] name=eth8_LAN_slave speed=100Mbps
set [ find default-name=ether9 ] name=eth9_LAN_slave speed=100Mbps
set [ find default-name=ether10 ] name=eth10_LAN_AP speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface pppoe-client
add add-default-route=yes disabled=no interface=eth1_WAN name=pppoe-out1 \
    use-peer-dns=yes user=VF
/interface vlan
add interface=br1_1Patro name=vlan2_GUEST vlan-id=2
add interface=br2_2Patro name=vlan_2Patro vlan-id=30
add interface=br3_Sklep name=vlan_Sklep vlan-id=40
/caps-man rates
add basic=12Mbps name=min_12mbps supported=\
    12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=1Patro-guest
add authentication-types=wpa2-psk encryption=aes-ccm name=1Patro
/caps-man configuration
add channel=2G country="czech republic" datapath=lan disconnect-timeout=10s \
    distance=indoors installation=indoor max-sta-count=20 mode=ap name=lan2G \
    rates=min_12mbps security=1Patro ssid=1Patro
add channel=5G country="czech republic" datapath=lan disconnect-timeout=10s \
    distance=indoors installation=indoor max-sta-count=20 mode=ap name=lan5G \
    rates=min_12mbps security=1Patro ssid=1Patro
add datapath=guest mode=ap name=guest rates=min_12mbps security=1Patro-guest \
    ssid="1Patro Guest"
/interface list
add name=wan
add name=lan
add name=discover
add name=macserver
add name=vpn
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=l2tp
/ip ipsec profile
add enc-algorithm=aes-256,aes-192,aes-128 lifetime=8h name=l2tp
/ip ipsec peer
add name=l2tp passive=yes profile=l2tp send-initial-contact=no
/ip ipsec proposal
add name=l2tp pfs-group=modp2048
/ip pool
add name=dhcp ranges=192.168.123.101-192.168.123.199
add name=pool_GUEST ranges=192.168.124.101-192.168.124.199
add name=pool_2Patro ranges=192.168.130.100-192.168.130.199
add name=pool_Sklep ranges=192.168.140.100-192.168.140.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=br1_1Patro name=dhcp_LAN
add address-pool=pool_GUEST disabled=no interface=vlan2_GUEST name=dhcp_GUEST
add address-pool=pool_2Patro disabled=no interface=br2_2Patro name=\
    dhcp_2Patro
add address-pool=pool_Sklep disabled=no interface=br3_Sklep name=dhcp_Sklep
/ppp profile
add address-list=vpn_ip interface-list=vpn local-address=192.168.123.1 name=\
    vpn remote-address=dhcp use-encryption=required
/system logging action
add disk-file-count=20 disk-file-name=ipsec.log name=ipsec target=disk
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=br1_1Patro
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    lan2G name-format=prefix-identity name-prefix=2G slave-configurations=\
    guest
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    lan5G name-format=prefix-identity name-prefix=5G slave-configurations=\
    guest
/interface bridge port
add bridge=br1_1Patro comment=defconf interface=eth2_LAN_1Patro
add bridge=br1_1Patro comment=defconf interface=eth5_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth6_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth7_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth8_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth9_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth10_LAN_AP
add bridge=br1_1Patro comment=defconf interface=sfp1
add bridge=br3_Sklep comment=defconf interface=eth4_LAN_Sklep
add bridge=br2_2Patro comment=defconf interface=eth3_LAN_2Patro
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap2 default-profile=vpn enabled=\
    yes keepalive-timeout=10
/interface list member
add interface=eth1_WAN list=wan
add interface=br1_1Patro list=discover
add interface=br1_1Patro list=macserver
add interface=pppoe-out1 list=lan
/interface pptp-server server
set authentication=mschap2 default-profile=vpn
/ip address
add address=192.168.123.1/24 interface=eth2_LAN_1Patro network=192.168.123.0
add address=192.168.124.1/24 interface=vlan2_GUEST network=192.168.124.0
/ip dhcp-client
add interface=eth1_WAN
/ip dhcp-server lease
add address=192.168.123.2 client-id=1:74:4d:28:86:b7:11 comment=AP \
    mac-address=74:4D:28:86:B7:11 server=dhcp_LAN
add address=192.168.123.193 client-id=1:f0:92:1c:60:11:c comment=\
    "HP Color Laser Jet CP5225" mac-address=F0:92:1C:60:11:0C server=dhcp_LAN
add address=192.168.123.167 client-id=1:0:bb:c1:76:27:7e comment=\
    "Canon MF443dw" mac-address=00:BB:C1:76:27:7E server=dhcp_LAN
add address=192.168.123.5 client-id=1:cc:32:e5:29:c:6 comment=\
    "tp-link T2600G-28TS (TL-SG3424)" mac-address=CC:32:E5:29:0C:06 server=\
    dhcp_LAN
/ip dhcp-server network
add address=192.168.123.0/24 dns-server=192.168.123.1 gateway=192.168.123.1 \
    ntp-server=192.168.123.1
add address=192.168.124.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.124.1
add address=192.168.130.0/24 gateway=192.168.130.1
add address=192.168.140.0/24 gateway=192.168.140.1
/ip dns
set allow-remote-requests=yes servers=10.0.1.2,10.0.1.6
/ip firewall address-list
add address=office.itprofik.cz list=wan_itp
add address=old-office.itprofik.cz list=wan_itp
/ip firewall filter
add action=accept chain=input comment="Povolit z ALL navazane a souvisejici" \
    connection-state=established,related,untracked
add action=accept chain=input comment="Povolit z WAN vse z ITP" \
    connection-state=new disabled=yes in-interface=eth1_WAN src-address-list=\
    wan_itp
add action=accept chain=input comment="Povolit z ALL ipsec (ike, nat-t)" \
    connection-state=new dst-port=500,4500 protocol=udp
add action=accept chain=input comment="Povolit z ALL-IPSEC l2tp vpn" \
    connection-state=new dst-port=1701 protocol=udp
add action=accept chain=input comment="Povolit z LAN vse" connection-state=\
    new in-interface=br1_1Patro src-address=192.168.123.0/24
add action=accept chain=input comment="Povolit z VPN vse" connection-state=\
    new in-interface-list=vpn src-address=192.168.123.0/24 src-address-list=\
    vpn_ip
add action=fasttrack-connection chain=forward comment=\
    "Povolit ALL->ALL navazane a souvisejici - fasttrack" connection-state=\
    established,related
add action=accept chain=forward comment=\
    "Povolit ALL->ALL navazane a souvisejici" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="Povolit LAN->ALL nove" \
    connection-state=new in-interface=br1_1Patro src-address=192.168.123.0/24
add action=accept chain=forward comment="Povolit VPN->ALL nove" \
    connection-state=new in-interface-list=vpn src-address=192.168.123.0/24 \
    src-address-list=vpn_ip
add action=accept chain=forward comment="Povolit GUEST->WAN nove" \
    connection-state=new in-interface=vlan2_GUEST out-interface=pppoe-out1 \
    src-address=192.168.124.0/24
add action=accept chain=forward comment="Povolit WAN->LAN pouze DNATovane" \
    connection-nat-state=dstnat connection-state=new dst-address=\
    192.168.123.0/24 in-interface=eth1_WAN out-interface=br1_1Patro
add action=accept chain=forward comment="Povolit GUEST->LAN pouze DNATovane" \
    connection-nat-state=dstnat connection-state=new dst-address=\
    192.168.123.0/24 in-interface=vlan2_GUEST out-interface=br1_1Patro \
    src-address=192.168.124.0/24
add action=reject chain=forward comment="Zakazat ALL->ALL vse ostatni" \
    reject-with=icmp-network-unreachable
add action=accept chain=input comment="Povolit z GUEST dhcp" \
    connection-state=new dst-port=67 in-interface=vlan2_GUEST protocol=udp
add action=drop chain=input comment="Zakazat z ALL vse ostatni krome icmp" \
    protocol=!icmp
/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "Vytvo\F8eno 1.10.2020 - zm\ECna internetu" out-interface=pppoe-out1
/ip ipsec identity
add generate-policy=port-strict peer=l2tp policy-template-group=l2tp
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 group=l2tp proposal=l2tp protocol=udp src-address=\
    10.201.3.19/32 template=yes
/ip route
add disabled=yes distance=1 gateway=10.201.3.17
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set winbox address=192.168.123.0/24
set api-ssl disabled=yes
/lcd
set backlight-timeout=never default-screen=stats read-only-mode=yes \
    touch-screen=disabled
/lcd interface
set eth2_LAN_1Patro disabled=yes
set eth3_LAN_2Patro disabled=yes
set eth4_LAN_Sklep disabled=yes
set eth5_LAN_slave disabled=yes
set sfp1 disabled=yes
set eth6_LAN_slave disabled=yes
set eth7_LAN_slave disabled=yes
set eth8_LAN_slave disabled=yes
set eth9_LAN_slave disabled=yes
set eth10_LAN_AP disabled=yes
/lcd interface pages
add interfaces=eth1_WAN
/lcd screen
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
set 4 disabled=yes
set 5 disabled=yes
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=GW-1Patro
/system logging
add action=ipsec disabled=yes topics=debug,ipsec,!packet
/system ntp client
set enabled=yes primary-ntp=195.113.144.201 secondary-ntp=195.113.144.238
/system ntp server
set enabled=yes
/system routerboard settings
set auto-upgrade=yes
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=macserver
/tool mac-server mac-winbox
set allowed-interface-list=macserver

nosek_tomas2004
Jestli to chápu dobře, pak jsem si původně také říkal, že by to takto mohlo jít, ale pak jsem znejistěl. Kontrolně se tedy radši zeptám, netuším totiž přesně, jak se s VLANy pracuje. Můžu si na každém portu udělat jednu/více VLANů, a s těmito pak pracovat jako s porty? Může tedy být VLAN v jiném Bridge než fyzický port?

EDIT:
jchudoba Jsou to patra, takže to tak hrozné nebude. Proto právě chci tři fyzické switche, aby to bylo easy.

jchudoba

nosek_tomas2004 To by rámcově šlo, ale když si nastuduješ 802.1X ověřování, napadne tě jak to udělat elegantněji. Bude to víc bolet na přemýšlení, ale ušetří dva switche, nebude tam muset jezdit pokaždé když si dva nájemci prohodí kancl, přibude nájemce...

hapi

použij capsmana, v něm lehce nastavíš VLAN pro každý SSID. Vše co vleze na jedno SSID vyleze na ethernetu pod vlanou. Tunelům v capsmanu se vyhni co to jde.

martas

Budeš mít 3 bridge (Firma1, Firma2 a Firma3). Fyzické porty si rozřadíš do bridge jak potřebuješ. Vlany na ether2-ether9 řešit nemusíš, když s něma pracovat nepotřebuješ. Ether10 můžeš nechat v bridge s Firmou1 (v případě že bys nechtěl mng nějak oddělovat) a na ether10 vytvořiš 2 vlany (vlan 20 - pro Firmu 2 a vlan 30 - pro Firmu 30). V Capsmanu pak v konfiguraci akrutát u té virtualní wifi vlanu odtaguješ.

nofu

martas Předpokládám správně, že VLAN20 dám do Bridge pro Firmu2 a VLAN30 dám do bridge pro Firmu3?

nofu

martas Bezva, díky! Alespoň tohle tedy chápu správně. Co ale nechápu, tak je:

martas V Capsmanu pak v konfiguraci akrutát u té virtualní wifi vlanu odtaguješ.

Co přesně znamená odtaguješ? Tzn., že musím těm paketům odstranit VLAN tag, než je pošlu do Bridge?

martas

nofu Jasné, abys měl stejné rozsahy a stejné DHCP servery. Jinak v případě pro hosty bych řešil další VLANu, s dalším rozsahem a dhcp serverem, který by byl od všeho izolovaný i v rámci zařízení v tom rozsahu.

martas

nofu Stačí když v tom Mikrotik capAC dáš porty do bridge (jak ether, tak wifi) a potom v capsman manageru nastavíš v konfiguraci v záložce Datapath VLAN Mode - use tag a VLAN ID na ID dané vlany.

nofu

martas Tohle je jasný, tak to mám nyní udělané pro hostovskou wifi, není problém nadělat další wifi. Co mi ale není jasné, tak když dám do Bridge Ether3 a VLAN20, tak z té VLAN mi polezou pakety s tagem 20 a z Etheru3 mi polezou netagované pakety. Není tedy možná komunikace mezi zařízeními na wifi a na kabelu. Nebo mi něco uniká?

martas

nofu Když ta VLAN20 bude na tom ether10, kde je ten capAC, tak si to pomocí toho postupu výše ta Wi-Fi odtaguje. Takže dostaneš jak na kabelu z ether3, tak na vlan20 na mobilu IP ze stejného rozsahu. Takže v případě přístupu zařízení z wi-fi na kabel to půjde jenom přes ten bridge. IP adresa, DHCP server je pouze na tom bridge pro tu Firmu, kde je VLAN20 a ether3.

nofu

martas Že dostanu IP ze stejného rozsahu, tj jasné, to chápu. Co mi ale není jasné, tak už když jsou popisované základy VLAN, tak se všude píše, že spolu zařízení v různých VLAN nemůžou komunikovat. No a tady mám zařízení na wifi, které jsou ve VLAN20 a zařízení na Ether3, které nemají definovánu VLAN, takže jsou vlastně ve VLAN1, něměli by mít možnost spolu komunikovat. Nikde se mi ale nedaří najít, jak těm paketům ten VLAN tag sebrat, tohle jsem našel jen na úrovni switche, kde je možnost VLAN Header - always strip, jenže to nejde udělat ani na wifi, ani na té VLAN, která se přidává do bridge. Ještě mne napadá na to jít obráceně, a to tak, že naopak přidat VLAN tag 20 na ty pakety co jdou z Ether3, ale to zas nevím, jestli by nenadělalo nějakou další rotyku.

martas

nofu Nevidím důvod, proč by ty zařízení nemohli spolu komunikovat. Když jde paket na ten mobil, tak se zabalí do té VLANy a na tom AP se rozbalí.

nofu

martas A druhý směr? Odchází paket z mobilu, jelikož je připojen k wifi pro Firmu2, tak dostane tag 20. A co dál, jak mu ten tag seberu, aby mohl komunikovat se zařízeními co jsou připojeny na Ether3? Nebo se ten tag někde odebere automaticky, či s ním MikroTik už pak nepracuje? Tohle mi není jasné a nejspíš mi to mate 🙁

martas

nofu Když to jde zpátky do toho interfacu vlan20 na ether10, tak se to automaticky odebere, takže do bridge jde "čistý" odtagovaný provoz.

nofu

martas Áha, tak to je pak jasný, proč v tom plavu, teď už je to úplně easy. Zítra to nastavím a vyzkouším. Díky!

Btw. není někde popsáno, při jaký příležitosti ten MikroTik ty VLAN tagy odebírá a při jaký přidává? Tj celkem důležitá věc, ležím v tom 4 dny a zatím jsem na tuhle informaci nenarazil.

nofu

Mnohý dík všem zůčastněným, hlavně @martas, nastaveno dle instrukcí, funguje jak má.

martas

nofu Jasné, není zač. Jenom k té tvé předchozí otázce, tak ten VLAN tunel funguje skoro stejně jak "fyzický" interface, ale udělá si to tunel. Uděláš ho na obou stranách (jedna strana router, druhá klient), v případě té Wi-Fi stačí jen na straně routeru, a pokud je druhá strana bridge, pomůže si to už samo. Tagování a odtagování si řídí už Mikrotik sám.

mirmo80

nofu Prosim, postol by si konfig ako si to nakoniec nastavil? Planujem nieco podobne, tak by mi to pomohlo 🙂
Dakujem
m

nofu

martas Stále to studuji, takže doplním - v jednom videu říkali, že bridge zpracuje každý paket nezávisle na tagu. Tohle vědět hnedle na začátku, tak jsem si ušetřil spoustu přemýšlení. Nakonec je to velice jednoduché.

mirmo80 Jasné, rád pomůžu. Kdyby jsi měl dotazy, klidně se ptej. Osekal jsem o nepotřebná nastavení, nechal jsem tam CAPsMANa:

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz name=2G reselect-interval=30m
add band=5ghz-a/n/ac control-channel-width=20mhz name=5G reselect-interval=\
    30m skip-dfs-channels=yes
/caps-man datapath
add local-forwarding=yes name=lan
add local-forwarding=yes name=guest vlan-id=2 vlan-mode=use-tag
add client-to-client-forwarding=yes local-forwarding=yes name=2Patro vlan-id=\
    30 vlan-mode=use-tag
add client-to-client-forwarding=yes local-forwarding=yes name=Sklep vlan-id=\
    40 vlan-mode=use-tag
/interface bridge
add admin-mac=74:4D:28:A1:3B:A5 arp=proxy-arp auto-mac=no name=br1_1Patro
add name=br2_2Patro
add name=br3_Sklep
/interface ethernet
set [ find default-name=ether1 ] name=eth1_WAN speed=100Mbps
set [ find default-name=ether2 ] name=eth2_LAN_1Patro speed=100Mbps
set [ find default-name=ether3 ] name=eth3_LAN_2Patro speed=100Mbps
set [ find default-name=ether4 ] name=eth4_LAN_Sklep speed=100Mbps
set [ find default-name=ether5 ] name=eth5_LAN_slave speed=100Mbps
set [ find default-name=ether6 ] name=eth6_LAN_slave speed=100Mbps
set [ find default-name=ether7 ] name=eth7_LAN_slave speed=100Mbps
set [ find default-name=ether8 ] name=eth8_LAN_slave speed=100Mbps
set [ find default-name=ether9 ] name=eth9_LAN_slave speed=100Mbps
set [ find default-name=ether10 ] name=eth10_LAN_AP speed=100Mbps
set [ find default-name=sfp1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface vlan
add interface=br1_1Patro name=vlan2_GUEST vlan-id=2
add interface=br1_1Patro name=vlan30_2Patro vlan-id=30
add interface=br1_1Patro name=vlan40_Sklep vlan-id=40
/caps-man rates
add basic=12Mbps name=min_12mbps supported=\
    12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=1Patro-guest
add authentication-types=wpa2-psk encryption=aes-ccm name=1Patro
add authentication-types=wpa2-psk encryption=aes-ccm name=2Patro
add authentication-types=wpa2-psk encryption=aes-ccm name=Sklep
/caps-man configuration
add channel=2G country="czech republic" datapath=lan disconnect-timeout=10s \
    distance=indoors installation=indoor max-sta-count=20 mode=ap name=lan2G \
    rates=min_12mbps security=1Patro ssid=1Patro
add channel=5G country="czech republic" datapath=lan disconnect-timeout=10s \
    distance=indoors installation=indoor max-sta-count=20 mode=ap name=lan5G \
    rates=min_12mbps security=1Patro ssid=1Patro
add datapath=guest mode=ap name=guest rates=min_12mbps security=1Patro-guest \
    ssid="1Patro Guest"
add datapath=2Patro mode=ap name=2Patro rates=min_12mbps security=2Patro \
    ssid=Kresla
add datapath=Sklep mode=ap name=Sklep rates=min_12mbps security=Sklep ssid=\
    Sklep
/ip pool
add name=dhcp ranges=192.168.123.101-192.168.123.199
add name=pool_GUEST ranges=192.168.124.101-192.168.124.199
add name=pool_2Patro ranges=192.168.130.100-192.168.130.199
add name=pool_Sklep ranges=192.168.140.100-192.168.140.199
/ip dhcp-server
add address-pool=dhcp disabled=no interface=br1_1Patro name=dhcp_LAN
add address-pool=pool_GUEST disabled=no interface=vlan2_GUEST name=dhcp_GUEST
add address-pool=pool_2Patro disabled=no interface=br2_2Patro name=\
    dhcp_2Patro
add address-pool=pool_Sklep disabled=no interface=br3_Sklep name=dhcp_Sklep
/caps-man manager
set enabled=yes upgrade-policy=require-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=br1_1Patro
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    lan2G name-format=prefix-identity name-prefix=2G slave-configurations=\
    guest,2Patro,Sklep
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    lan5G name-format=prefix-identity name-prefix=5G slave-configurations=\
    guest,2Patro,Sklep
/interface bridge port
add bridge=br1_1Patro comment=defconf interface=eth2_LAN_1Patro
add bridge=br1_1Patro comment=defconf interface=eth5_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth6_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth7_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth8_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth9_LAN_slave
add bridge=br1_1Patro comment=defconf interface=eth10_LAN_AP
add bridge=br1_1Patro comment=defconf interface=sfp1
add bridge=br3_Sklep comment=defconf interface=eth4_LAN_Sklep
add bridge=br2_2Patro comment=defconf interface=eth3_LAN_2Patro
add bridge=br2_2Patro interface=vlan30_2Patro
add bridge=br3_Sklep interface=vlan40_Sklep
/ip address
add address=192.168.123.1/24 interface=eth2_LAN_1Patro network=192.168.123.0
add address=192.168.124.1/24 interface=vlan2_GUEST network=192.168.124.0
add address=192.168.130.1/24 interface=br2_2Patro network=192.168.130.0
add address=192.168.140.1/24 interface=br3_Sklep network=192.168.140.0
/ip dhcp-server network
add address=192.168.123.0/24 dns-server=192.168.123.1 gateway=192.168.123.1 \
    ntp-server=192.168.123.1
add address=192.168.124.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.124.1
add address=192.168.130.0/24 gateway=192.168.130.1
add address=192.168.140.0/24 gateway=192.168.140.1

Další stránka »