Гостевой Wifi vlan

  1. Создаем гостевой профиль безопасности Имя guest,Пароль 987654321

    /interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=987654321

  2. Добавить новый виртуальный интерфейс wlan1-guest

    Указать MAC-адрес, который следует взять у физического беспроводного интерфейса.

    Указываем гостевой vlan 20 

    /interface wireless add disabled=no keepalive-frames=disabled mac-address=DE:2C:6E:2D:B8:A6 master-interface=wlan1 multicast-buffering=disabled name=wlan1_guest security-profile=guest ssid=Sli_guest_2.4GHz vlan-id=20 wds-default-cost=1 wps-mode=disabled

    Если у вас двухдиапазоvнная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер. Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная. 

    /interface wireless add disabled=no keepalive-frames=disabled mac-address=DC:2C:6E:2D:B8:A7 master-interface=wlan2 multicast-buffering=disabled name=wlan2_guest security-profile=guest ssid=Sli_guest_5Ghz vlan-id=20 wds-default-cost=1 wps-mode=disabled
  3. Изоляция клиентов в гостевом Wi-Fi

    /interface wireless set wlan1_guest default-forwarding=no

    /interface wireless set wlan2_guest default-forwarding=no

  4. Создаем bridge для гостевого vlan с именем bridge_guest

    /interface bridge add name=bridge_guest vlan-filtering=yes

  5. Добавляем интерфейс в список GUEST_LAN 
    /interface list
add comment=defconf name=GUEST_LAN
/interface list member
add interface=bridge_guest list=GUEST_LAN
  6. Создать VLAN интерфейс Создадим VLAN 20 интерфейс c именем bridge_guest.20 в bridge_guest

    /interface vlan add interface=bridge_guest name=bridge_guest.20 vlan-id=20

  7. Настроить порт для VLAN

    Назначаем виртуальным портам wlan1_guest, wlan2_guest метку VLAN номер 20

    И добавляем этот физический порт в мост bridge_guest

    Эти порты не должны входить в другие мосты 

    /interface bridge  port
add bridge=bridge_guest interface=wlan1_guest pvid=20
add bridge=bridge_guest interface=wlan2_guest pvid=20
  8. Определим тегированные и нетегированне порты Определяем wlan1_guest, wlan2_guest как нетегированные порты
    А bridge_lan – тегированный

    /interface bridge vlan add bridge=bridge_guest tagged=bridge_guest untagged=wlan1_guest,wlan2_guest vlan-ids=20

    То есть, если на bridge_lan придет кадр, помеченный vlan 10, он его примет. Трафик из любого другого VLAN будет отброшен

  9. Назначить IP адрес

    /ip address add address=192.168.20.1/24 interface=bridge_guest.20 network=192.168.20.0

  10. Создаем pool

    /ip/ pool/ add name="pool20" ranges="192.168.20.20-192.168.20.250"

  11. Создаем DHCP 
    /ip dhcp-server add  address-pool=pool20 disabled=no  interface=bridge_guest.20 name=dhcp20
/ip dhcp-server network add address=192.168.20.0/24 dns-server=8.8.8.8 gateway=192.168.20.1
  12. Закрыть досуп из vlan 20 в Lan_Home

    /ip firewall filter add action=drop chain=forward in-interface-list=GUEST_LAN dst-address-list=Lan_Home comment="Block Guest to Home"

    Поднимаем правило

  13. Разрешить доступ в WAN 
    /ip firewall address-list add address=192.168.20.0/24 list=Guest_Vlan_20  comment=GuestVlan
/ip firewall filter add action=accept chain=forward src-address-list=Guest_Vlan_20

    Поднимаем правило

    или

    /ip firewall filter add action=accept chain=forward src-address=192.168.20.0/24