Доброго дня! сразу скажу, это работает, но терзают сомнения что сделано как говорится Best practice. прошу проверку конфига и рекомендации. Правильно ли сделан роутинг на точке доступа, работает ли изоляция (пинг не приходит, проверил). Итак задача: сделать на ТД Mikrotik CAPs две wi-fi сети, с изоляцией друг от друга. Соответственно одна рабочая, находящаяся в одном адресном пространстве с основной локальной сетью предприятия, сеть 192.168.1.0/24 . И гостевая 10.1.1.0/24, которой нужен только инет. Схема: Интернет в сети через kerio, шлюз для всех 192.168.1.100. ДНС 192.168.1.50 Спойлер: Экспорт /interface bridge add arp=reply-only comment="" name=bridge1 add comment="" name="wifi to lan" /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk comment=\ "" eap-methods="" \ management-protection=allowed mode=dynamic-keys name=\ "only lan from office" supplicant-identity="" wpa2-pre-shared-key=\ 123456 add authentication-types=wpa2-psk comment="" \ eap-methods="" group-key-update=50m management-protection=allowed mode=\ dynamic-keys name="free wi-fi" supplicant-identity="" \ wpa2-pre-shared-key=123456 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no mode=ap-bridge mtu=1492 security-profile=\ "only lan from office" ssid="Only lan" wireless-protocol=unspecified \ wps-mode=disabled add disabled=no keepalive-frames=disabled mac-address= \ master-interface=wlan1 mtu=1492 multicast-buffering=disabled name=wlan2 \ security-profile="free wi-fi" ssid="Only quests" wds-cost-range=0 \ wds-default-cost=0 wps-mode=disabled /interface vlan add disabled=yes interface=wlan2 name=vlan101 vlan-id=101 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name="pool free-wifi" ranges=10.1.1.2-10.1.1.20 /ip dhcp-server add add-arp=yes address-pool="pool free-wifi" disabled=no interface=bridge1 \ lease-time=1d name="dhcp from free wifi" /queue simple add max-limit=2M/2M name="from guests" target=10.1.1.0/24 /interface bridge port add bridge="wifi to lan" interface=ether1 add bridge="wifi to lan" comment="" interface=wlan1 add bridge=bridge1 disabled=yes interface=vlan101 add bridge=bridge1 interface=wlan2 /interface l2tp-server server set caller-id-type=ip-address /ip address add address=192.168.1.6/24 disabled=yes interface="wifi to lan" network=\ 192.168.1.0 add address=10.1.1.1/24 comment="" \ interface=wlan2 network=10.1.1.0 add address=192.168.1.6/24 interface=ether1 network=192.168.1.0 add address=10.1.1.1/24 comment="" \ disabled=yes interface=bridge1 network=10.1.1.0 /ip dhcp-client add dhcp-options=hostname,clientid interface=ether1 add dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=10.1.1.0/24 dns-server=8.8.8.8,10.1.1.1 gateway=10.1.1.1 netmask=\ 24 /ip dns set allow-remote-requests=yes servers=192.168.1.50 /ip dns static add address=192.168.1.50 name=123456 /ip firewall filter add action=drop chain=forward disabled=yes dst-address=!192.168.1.100 \ src-address=10.1.1.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=!bridge1 /ip route add comment="" distance=1 gateway=\ 192.168.1.100 /ip route rule add action=unreachable disabled=yes dst-address=10.1.1.0/24 src-address=\ 192.168.1.0/24 add action=unreachable disabled=yes dst-address=192.168.1.0/24 src-address=\ 10.1.1.0/24 add action=unreachable dst-address=10.1.1.0/24 src-address=192.168.1.0/24 add action=unreachable dst-address=192.168.1.0/24 src-address=10.1.1.0/24 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-autodetect=no /system clock manual set time-zone=+05:00 /system identity set name=cAP1 /system ntp client set enabled=yes primary-ntp=192.168.1.50 secondary-ntp=85.21.78.8
CAP и не используется, CAP это просто название точки доступа, вот она: https://mikrotik.ru/katalog/katalog/hardware/wifi_routers/wireless_soho/mikrotik-cap-2nD