Исходные Роутер MikroTik hAP ac2 ether1 <> WAN (по DHCP от вышестоящего роутера Huawei) ether2 <> switch Zyxel GS1100-16-EU0101F <> офисные проводные компы ether3 <> switch DLink <> проводные IP-камеры наблюдения (все IP статические) ether4 - не используется ether5 - не используется Конфигурация, соответствующая исходной (удалил про WiFi): /interface bridge add name=bridge-office /interface ethernet set [ find default-name=ether1 ] name=ether1-wan set [ find default-name=ether2 ] name=ether2-office set [ find default-name=ether3 ] name=ether3-video set [ find default-name=ether4 ] name=ether4-notused set [ find default-name=ether5 ] name=ether5-notused /ip pool add name=dhcp_pool_office ranges=192.168.33.2-192.168.33.254 /ip dhcp-server add address-pool=dhcp_pool_office disabled=no interface=bridge-office name=\ dhcp-office /interface bridge port add bridge=bridge-office interface=ether2-office add bridge=bridge-office interface=wlan2.4 add bridge=bridge-office interface=wlan5 /ip address add address=192.168.33.1/24 interface=bridge-office network=192.168.33.0 add address=192.168.1.1/24 interface=ether3-video network=192.168.1.0 /ip dhcp-client add comment="WAN (to Huawei)" dhcp-options=hostname,clientid disabled=no \ interface=ether1-wan /ip dhcp-server lease add address=192.168.33.100 client-id=1:b8:88:e3:60:15:a3 mac-address=\ B8:88:E3:60:15:A3 server=dhcp-office /ip dhcp-server network add address=192.168.33.0/24 dns-server=192.168.100.1 gateway=192.168.33.1 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-wan Что хочу сделать 1. Всех известных сотрудников загнать по MAC-адресам в 192.168.33.0/24 (в конфигурации виден один) и запретить на их DHCP-сервере динамические адреса 2. Всех гостей (проводных) загнать в 192.168.10.0/24. Гости могут подключиться только к Zyxel'у. Ну я там много чего ещё хочу, но споткнулся о гостевой VLAN. Как грамотно настроить VLAN для гостей? Проблемы две: 1. Не получается посадить гостевой бридж на интерфейс ether2-office, т.к. он уже задействован в бридже bridge-office. Но ведь физически гости будут подключены именно к ether2-office 2. Как грамотно настроить DHCP? Если dhcp-office вместо пула адресов дать static, а рядом создать ещё один сервер dhcp-guest, то гостевые клиенты не получают никакого адреса, т.к. см. п.1. Замкнутый круг.
Определись сначала, как ты настроишь свитч Zyxel GS1100-16-EU0101F ? Если он вообще управляемый, то можешь на нем настроить 2 VLAN, одну для офиса, другую для гостей, выделить специальные гостевые порты, включить их в гостевой VLAN и включать гостей только туда. Можно наоборот, зафиксировать порты для сотрудников, а все остальные сделать гостевыми. Потом оба VLAN пробрасываешь в MikroTik и включаешь в два бриджа. А разговор о VLAN на тупом свитче вообще смысла не имеет. Можно раскидать клиентов на две разные подсети и какой-нибудь файрвол настроить, но тогда одну подсеть строго статикой, а DHCP только на другую подсеть.
Тогда, боюсь, будет много проблем. В теории, конечно, можно каждому сетевому адаптеру офисного компа задать вручную VLAN, и пусть Zyxel их пропускает, но конфигурация получается управляемой только вручную, и к каждому компу бегать придется. Раздели просто по подсетям в одном VLAN, хоть какая-то, но изоляция получится.
Да, я тоже так думаю, спасибо за комменты ) Я тут занимался другими делами, на днях пойду доделывать это - именно так и попробую, отпишусь )