Гостевой Wifi vlan

  1. Создаем гостевой профиль безопасности Имя guest,Пароль 987654321 
    /interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=987654321
  2. Добавить новый виртуальный интерфейс wlan1-guest

    Указать MAC-адрес, который следует взять у физического беспроводного интерфейса.

    Указываем гостевой vlan 20 

    /interface wireless add disabled=no keepalive-frames=disabled mac-address=DE:2C:6E:2D:B8:A6 master-interface=wlan1 \
multicast-buffering=disabled name=wlan1_guest security-profile=guest ssid=Sli_guest_2.4GHz vlan-id=20 wds-default-cost=1 wps-mode=disabled

    Если у вас двухдиапазоvнная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер. Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная. 

    /interface wireless add disabled=no keepalive-frames=disabled mac-address=DC:2C:6E:2D:B8:A7 master-interface=wlan2 \
multicast-buffering=disabled name=wlan2_guest security-profile=guest ssid=Sli_guest_5Ghz vlan-id=20 wds-default-cost=1 wps-mode=disabled
  3. Изоляция клиентов в гостевом Wi-Fi

    /interface wireless set wlan1_guest default-forwarding=no

    /interface wireless set wlan2_guest default-forwarding=no

  4. Создаем bridge для гостевого vlan с именем bridge_guest

    /interface bridge add name=bridge_guest vlan-filtering=yes

  5. Добавляем интерфейс в список LAN

    add interface=bridge_guest list=LAN

  6. Создать VLAN интерфейс Создадим VLAN 20 интерфейс c именем bridge_guest.20 в bridge_guest

    /interface vlan add interface=bridge_guest name=bridge_guest.20 vlan-id=20

  7. Настроить порт для VLAN

    Назначаем виртуальным портам wlan1_guest, wlan2_guest метку VLAN номер 20

    И добавляем этот физический порт в мост bridge_guest

    Эти порты не должны входить в другие мосты 

    8. /interface bridge  port
add bridge=bridge_guest interface=wlan1_guest pvid=20
add bridge=bridge_guest interface=wlan2_guest pvid=20
  8. Определим тегированные и нетегированне порты Определяем wlan1_guest, wlan2_guest как нетегированные порты
    А bridge_lan – тегированный

    /interface bridge vlan add bridge=bridge_guest tagged=bridge_guest untagged=wlan1_guest,wlan2_guest vlan-ids=20

    То есть, если на bridge_lan придет кадр, помеченный vlan 10, он его примет. Трафик из любого другого VLAN будет отброшен

  9. Назначить IP адрес

    /ip address add address=192.168.20.1/24 interface=bridge_guest.20 network=192.168.20.0

  10. Создаем pool

    /ip/ pool/ add name="pool20" ranges="192.168.20.20-192.168.20.250"

  11. Создаем DHCP

    /ip dhcp-server add address-pool=pool20 disabled=no interface=bridge_guest.20 name=dhcp20

    /ip dhcp-server network add address=192.168.20.0/24 dns-server=8.8.8.8 gateway=192.168.20.1

  12. Закрыть досуп из vlan 20 во vlan 10

    /ip firewall address-list add address=192.168.10.0/24 list=Vlan10

    /ip firewall address-list add address=192.168.20.0/24 list=Vlan20

    /ip firewall firewall add action=drop chain=forward dst-address-list=Vlan10 src-address-list=Vlan20

    Поднимаем правило