我有以下网络配置:
- Comtrend 5813 FTTH 路由器,连接到 WAN,假设为 192.168.50.x(即 .1 路由器的地址)并且 DHCP 服务器处于活动状态,提供从 .150 到 .200 的地址
- Mikrotik 951G-2HnD 连接到 Comtrend 路由器,地址为 .2
此配置适用于以太网;我的意思是,我可以将一台计算机插入 Mikrotik,然后该机器将获得自己的 IP 地址并能够浏览互联网。
我需要设置 2 个不同的 WLAN,每个都在不同的子网中,192.168.60.0/24 和 192.168.70.0/24 为此,我在 Mikrotik 中设置了 2 个不同的 DHCP 服务器,分配给每个虚拟 AP,并且两者上的 Mikrotiks 地址均为 .2(192.168.60.2 和 192.168.70.2)。
当我将一个设备连接到这些 WLAN 时,我获得了正确的 IP,但无法让流量通过路由器传输到互联网。
我尝试使用不同的路由选项,但似乎我对 Mikrotik 的架构掌握不够。
有人可以指导我完成这项工作吗?
谢谢!
答案1
听起来您可能需要配置防火墙以通过 Mikrotik 上的 NAT 流量。这是“伪装”。
当您启用 NAT 时,默认情况下 Mikrotik 不会启用伪装,因此不会通过已建立的流量。您必须专门启用防火墙规则。IPTABLES 中的等效规则是基本的“允许所有已建立”规则。
/ip firewall nat add chain=srcnat action=masquerade out-interface=Public
其中 Public 是您的 WAN 端口上的接口名称(在您的示例中为 192.168.50.1 IP)。
答案2
默认情况下,Mikrotik 没有防火墙转发规则,并且会转发所有流量(默认策略是接受)。
Mikrotik 需要知道将无线客户端的流量转发到哪里。通过 FTTH 路由器添加默认路由。在 Mikrotik 上运行此命令:
/ip route
add gateway=192.168.50.1
FTTH 路由器需要知道如何回复无线客户端 IP 子网,因此您可以通过 192.168.50.2(最好)在 FTTH 路由器中添加静态路由。
- 192.168.60.0/24 通过 192.168.50.2
- 192.168.70.0/24 通过 192.168.50.2
如果无法向 FTTH 添加静态路由,您可以告诉 Mikrotik 对无线客户端进行 NAT,以便 FTTH 路由器可以看到所有源自 192.168.50.2 的流量(不是首选,双重 NAT 不太理想)。
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
其中 ether1 是您为 192.168.50.2 地址分配的端口。提示:/ip 地址导出