Вторая Wi-Fi сеть в режиме точки доступа: как дать доступ в интернет?

[-E-]

Помогите, пожалуйста, понять, что я не так делаю и что нужно поменять в настройках?

Дано:
- роутер (не Кинект), который подключен к провайдеру (сейчас это Asus, жду pfSense на его место)
- Keenetic Voyager Pro в режиме точки доступа
- основная Wi-Fi сеть с Кинетика работает отлично: подключаемые к ней устройства получают адрес в основном диапазоне моей локалки 192.168.1.1, на них работает интернет

Что нужно: еще один Wi-Fi (другой SSID). Пока просто без ограничений, чтобы в этом Wi-Fi работал интернет

Что уже сделал:
- пошел на кинетике в "Мои сети и Wi-Fi", создал там сегмент, назвал его, задал пароль для подключения

Проблема: SSID виден, но интернета при подключении к нему нет

В чем может быть проблема? Гуглил, что надо идти в настройки межсетевого экрана. Но, видимо, это про кинетики в режиме роутера - потому что в моем интерфейсе даже нет такого раздела

Edited March 16, 2024 by -E-

[Илья Картавенко]

26 минут назад, -E- сказал:

Помогите, пожалуйста, понять, что я не так делаю и что нужно поменять в настройках?

Дано:
- роутер (не Кинект), который подключен к провайдеру (сейчас это Asus, жду pfSense на его место)
- Keenetic Voyager Pro в режиме точки доступа
- основная Wi-Fi сеть с Кинетика работает отлично: подключаемые к ней устройства получают адрес в основном диапазоне моей локалки 192.168.1.1, на них работает интернет

Что нужно: еще один Wi-Fi (другой SSID). Пока просто без ограничений, чтобы в этом Wi-Fi работал интернет

Что уже сделал:
- пошел на кинетике в "Мои сети и Wi-Fi", создал там сегмент, назвал его, задал пароль для подключения

Проблема: SSID виден, но интернета при подключении к нему нет

В чем может быть проблема? Гуглил, что надо идти в настройки межсетевого экрана. Но, видимо, это про кинетики в режиме роутера - потому что в моем интерфейсе даже нет такого раздела

Если основной роутер умеет раздавать vlan-ы, на портыи может создать гостевую сеть, то попробуйте по этой статье, по аналогии

Edited March 16, 2024 by Илья Картавенко

[-E-]

7 minutes ago, Илья Картавенко said:

Если основной роутер умеет раздавать vlan-ы, на портыи может создать гостевую сеть, то попробуйте по этой статье, по аналогии

Спасибо! Такая реализация в планах, когда ко мне доедет из Китая pfSense девайс. Но пока основной роутер не умеет в vlan  Поэтому хочу Кинетику сказать: «устройства из второй сети должны ходить туда же, куда из основной, и пользоваться тем же интернетом». Или так совсем нельзя в режиме AP?

[Илья Картавенко]

17 минут назад, -E- сказал:

Спасибо! Такая реализация в планах, когда ко мне доедет из Китая pfSense девайс. Но пока основной роутер не умеет в vlan  Поэтому хочу Кинетику сказать: «устройства из второй сети должны ходить туда же, куда из основной, и пользоваться тем же интернетом». Или так совсем нельзя в режиме AP?

А гостевую сеть можно включить на основном?

[Илья Картавенко]

Или сегмент создать?

Есть вариант на асус openwrt накатить, если для этой модели он есть.

[-E-]

13 minutes ago, Илья Картавенко said:

А гостевую сеть можно включить на основном?

На Асусе есть функционал создания гостевого Wi-Fi. Но гостевой проводной сети (я так понял, она нужна, чтобы точка доступа к ней подключить) не видел. Сегментов там вроде не замечал

13 minutes ago, Илья Картавенко said:

Есть вариант на асус openwrt накатить, если для этой модели он есть.

К сожалению, нет. Модель RT-AC86U. Пишут, в ней чип неподходящий, чтобы openwrt сделать 

[Илья Картавенко]

Ясно, ну тогда проект откладывается.

[Илья Картавенко]

2 часа назад, -E- сказал:

На Асусе есть функционал создания гостевого Wi-Fi. Но гостевой проводной сети (я так понял, она нужна, чтобы точка доступа к ней подключить) не видел. Сегментов там вроде не замечал

К сожалению, нет. Модель RT-AC86U. Пишут, в ней чип неподходящий, чтобы openwrt сделать 

А зачем вам пфсенс, когда просто можно еще один кинетик взять, в котором все будет работать штатно?

[-E-]

27 minutes ago, Илья Картавенко said:

А зачем вам пфсенс

подумал, что будет весело освоить менеджмент домашней сети на максималках с возможностью реализовывать любые сценарии в будущем. А кинетики (пока один, в будущем несколько) оставлю в качестве точек доступа

[Илья Картавенко]

1 минуту назад, -E- сказал:

подумал, что будет весело освоить менеджмент домашней сети на максималках с возможностью реализовывать любые сценарии в будущем. А кинетики (пока один, в будущем несколько) оставлю в качестве точек доступа

Ну в целях образования и если хочется повозиться, то да.

 

Но и то, для пфсенса можно какой нибудь комп с несколькими сетевухами сорать, причем даже не надо ждать из китая.

[smirnov.tk]

Я так делал недавно.

1. Скачайте файл конфигурации "startup-config" из раздела "Параметры системы"
2. В нем найдите как называется интерфейс гостевой точки доступа (например WifiMaster0/AccessPoint1 для 2.4 ГГц и WifiMaster1/AccessPoint1 для 5 ГГц)
3. Далее по файлу найдите интерфейс бриджа, в которой включена основная точка доступа и физические порты (скорее всего Bridge0) и в этом интерфейсе добавьте строки с названиями интерфейсов из п.2:

include WifiMaster0/AccessPoint1
include WifiMaster1/AccessPoint1

Должно получиться что то вроде этого:

interface Bridge0
    rename Home
    description "MAIN NETWORK"
    inherit GigabitEthernet0/Vlan1
    include WifiMaster0/WifiStation0
    include WifiMaster1/WifiStation0
    include AccessPoint
    include AccessPoint_5G
    include GigabitEthernet1
    mac access-list type deny
    mac access-list address xx:xx:xx:xx:xx:xx
    security-level private
    ip address dhcp
    ip dhcp client fallback static
    ip dhcp client hostname Keenetic-1234
    ip dhcp client dns-routes
    ip name-servers
    ipv6 address auto
    ipv6 name-servers
    no band-steering
    iapp key ns3 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    up
!

4. Сохраните файл и загрузите его через "Параметры системы" в пункт "startup-config". После такой манипуляции лучше через веб-интерфейс никакие настройки не менять.

Edited March 27, 2024 by smirnov.tk

[Илья Картавенко]

5 минут назад, smirnov.tk сказал:

Я так делал недавно.

1. Скачайте файл конфигурации "startup-config" из раздела "Параметры системы"
2. В нем найдите как называется интерфейс гостевой точки доступа (например WifiMaster0/AccessPoint1 для 2.4 ГГц и WifiMaster1/AccessPoint1 для 5 ГГц)
3. Далее по файлу найдите интерфейс бриджа, в которой включена основная точка доступа и физические порты (скорее всего Bridge0) и в этом интерфейсе добавьте строки с названиями интерфейсов из п.2:

include WifiMaster0/AccessPoint1
include WifiMaster1/AccessPoint1

Должно получиться что то вроде этого:

interface Bridge0
    rename Home
    description "MAIN NETWORK"
    inherit GigabitEthernet0/Vlan1
    include WifiMaster0/WifiStation0
    include WifiMaster1/WifiStation0
    include AccessPoint
    include AccessPoint_5G
    include GigabitEthernet1
    mac access-list type deny
    mac access-list address xx:xx:xx:xx:xx:xx
    security-level private
    ip address dhcp
    ip dhcp client fallback static
    ip dhcp client hostname Keenetic-1234
    ip dhcp client dns-routes
    ip name-servers
    ipv6 address auto
    ipv6 name-servers
    no band-steering
    iapp key ns3 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    up
!

4. Сохраните файл и загрузите его через "Параметры системы" в пункт "startup-config". После такой манипуляции лучше через веб-интерфейс никакие настройки не менять.

Можно тоже самое сделать чере cli, посмотрите справочник команд

[smirnov.tk]

6 часов назад, Илья Картавенко сказал:

Можно тоже самое сделать чере cli, посмотрите справочник команд

Тем не менее подобного решения я не нашел (и даже в этой теме его нет).

Справочник команд оказался слишком муторным (для человека, у которого первый кинетик), а файл конфигурации довольно наглядным и понятным. Непонятно, почему такой простой функционал, как управление интерфейсами в бридже не реализован в веб-интерфейсе...

[AleksandrY]

Я вот буквально только что столкнулся с похожей проблемой, но в моем случае она усложнилась тем, что мне нужно было создать вторую точку доступа (SSID) с доступом в интернет и в другой подсети, изолированной от основной, на роутере в режиме extender (переключатель в положение B), который подключен к основному роутеру.

Интуитивно было понятно, что такие вещи сделать достаточно просто, но интерфейс, честно говоря, немного сбил с толку.

(В случае же с кейсом создателя топика достаточно:
- создать новый сегмент
- при создании поставить галочку "Use NAT".
- убедиться что включен DHCP сервер с пулом адресов в другой подсети (по умолчанию там все ок)

 

Собственно порядок действий для конфигурирования моей схемы:

На основном роутере:

Создаем новый сегмент на основном роутере. Называем его как угодно, указываем для него SSID, если основной роутер тоже должен его раздавать. Если нет - беспроводные модули можно просто отключить (как в моем случае). Note: не промахнитесь и не отключите модули в основном сегменте!

При создании сегмента (если вам нужен доступ в интернет для пользователей этого сегмента) обязательно указываем номер VLAN (например 10) и ставим галочку напротив "Use NAT" - ключевой параметр, от которого зависит доступ в интернет пользователей сегмента.

Маппинг портов и VLANs:

- Основной сегмент - (Belongs to segment) - все порты
- Новый сегмент - (Belongs with VLANs tag) - все порты (либо только тот, куда будете подключать extender роутер)

На втором роутере (extender):

1. Ставим переключатель в положение B (на самом деле это не обязательно, однако в ином случае потребует больше телодвижений, что нам не надо)

2. Подключаем extender-роутер (WAN порт) в основной роутер (LAN порт).

3. Смотрим на основном роутере IP адрес extender'а, используя его переходим в web-интерфейс.

4. В настройках основного сегмента, при необходимости, указываем свои параметры сети либо оставляем как есть - доступ к интеренту в этом сегменте (и стандартным SSID) уже должен быть.

5. Создаем новый сегмент - это будет вторая точка доступа (и по совместительности второй сегмент сети). Указываем у него SSID, и VLAN с тем же номером, который мы указывали при создании сегмента на основном роутере (в нашем примере VLAN ID = 10), параметры VLAN оставляем по умлочанию, но для уверености тоже продублирую:

- Основной сегмент - (Belongs to segment) - все порты
- Новый сегмент - (Belongs with VLANs tag) - все порты (либо только WAN порт, которым extender подключен к основному роутеру)

6. Сохраняем изменения

Пробуем подключиться к wifi точкам доступа (SSID), проверяем работу интернета.

На основном роутере в списке клиентов должны появляться устройства с названием нового сегмента - они подключены к extender-у.

Edited November 15 by AleksandrY