Τελικά αυτά τα δύο μπορούν να συνδυαστούν; Απενεργοποιώντας τα 15 mangles rules που έχουν σχέση με το PCC (υπάρχουν 3 WAN συνδέσεις), μπορώ να κάνω σύνδεση και σε PPTP και σε L2TP από το WAN1 interface. Με το που τα ξαναενεργοποιώ, σταματάει να δουλεύει το VPN. Κάπου διάβασα πως θα πρέπει να μαρκαριστούν τα VPN πακέτα από πριν, για να γίνει η σωστή δρομολόγηση, αλλά μην έχοντας κάποιο παράδειγμα και σαν νέος στο χώρο του mikrotik, δεν κατάφερα να το κάνω να δουλέψει.

Υπάρχει λύση ή το ξεχνάω το VPN;

Ναι ετσι ειναι, πρεπει να μαρκαρεις τα πακετα πριν απο το pcc για να μπορεσεις να συνδεθεις και για να το επιτυχεις αυτο θα το κανεις me routing mark.

Εγω π.χ. για να στειλω τα https στη μια γραμμη για να μην εχω θεμα με τραπεζικα sites κ.λ.π. που εχουν αυξημενο security χρησιμοποιω το παρακατω κανονα.


/ip firewall mangle
add action=mark-routing chain=prerouting comment=______HTTPS_TO_ETHER3 new-routing-mark=to_ether3 passthrough=no port=443 protocol=tcp src-address=192.168.16.0/24

Σου εβαλα σε bold τις αλλαγες που πρεπει να κανεις για τις δικες σου αναγκες.


Αυτο μπορεις να το κανεις και απευθειας με route κανονες, αλλα εμενα με βολεψε το παραπανω.

Καταρχήν σε ευχαριστώ για την απάντησή σου.

Υποθέτω ότι θα πρέπει αυτός ο κανόνας να μπει στην πρώτη θέση με port το 1723, μαζί με έναν δεύτερο σχεδόν πανομοιότυπο, που αντί για το tcp πρωτόκολλο θα έχει στη θέση του το gre.

Υποθέτω πως αντί για το μαρκάρισμα "to_ether3" θα πρέπει να βάλω το μαρκάρισμα που δουλεύω ήδη στα rules του PCC και στο Route, δηλαδή "to_WAN1" μιας και από το 1o gateway θέλω να κάνω την VPN σύνδεση.

Μια ακόμα ερώτηση, το 192.168.16.0/24 είναι το subnet στο ether3, στην δική σου περίπτωση;

Για τα 2 πρωτα ειναι ετσι οπως τα κατανοησες, δε γνωριζω βεβαια αν πρεπει να μπει το gre. Υποθετω πως εσυ ξερεις καλυτερα. Πιστευω πως οχι.... με tcp 1723 νομιζω θα κανεις τη δουλεια σου. Δοκιμασε το.

Και wan1 οπως σωστα ειπες αν θες να βγαινει απο εκει το vpn σου και ναι πρωτος κανονας θα ειναι, ή τουλαχιστον πανω απο το pcc αν εχεις μερικους τετοιους κανονες. Επειδη εγω εχω καμια 10ρια, για αυτο το λεω.


Το 192.168.16.0/24 ειναι το τοπικο LAN, εκει θα βαλεις το αντιστοιχο δικο σου. Αν εχεις π.χ. λαν 192.168.1.χ , θα βαλεις 192.168.1.0/24 που σημαινει οτι ο κανονας αυτος θα καλυπτει ολο το λαν σου.

Σχετικά με το 192.168.16.0/24 και το τοπικό LAN, δεν κατανοώ το τι σχέση έχει με το VPN. Δεν θέλω να στήσω VPN Server στο τοπικό δίκτυο, αλλά να αναλάβει το ίδιο το mikrotik το ρόλο του VPN Server, που θα μου δίνει πρόσβαση για να συνδέομαι από το Internet, όπου θα μου κάνει bridge στο Hotspot δίκτυο. Στην δική μου περίπτωση, υπάρχουν στο mikrotik 3 WAN subnets, 1 LAN, 1 Hotspot και 1 για το VPN που έχει το δικό του subnet.

Το balance του traffic ανάμεσα στα 3 gateway με χρήση του PCC, γίνεται μόνο στο Hotspot δίκτυο και μάλιστα μόνο σε αυτούς που έχουν κάνει authentication. Όλα τα υπόλοιπα connections γίνονται στο default gateway, που λόγο ρύθμισης είναι το WAN1, μέχρι να πέσει και να πάει στο επόμενο.

- - - Updated - - -

Τελικά με 2 απλά mangle rules στην κορυφή, κατάφερα να κάνω σύνδεση vpn και να μπορώ να δω ολόκληρο το hotspot subnet.


/ip firewall mangle
add chain=prerouting dst-address=10.20.0.1 protocol=tcp dst-port=1723 action=accept
add chain=prerouting dst-address=10.20.0.1 protocol=gre action=accept

Το 10.20.0.1 είναι το gateway του vpn.

Μου παρουσιάστηκε όμως ένα κουφό πρόβλημα. Από λειτουργικά που τρέχουν windows server 2003 όλα είναι άψογα, αλλά από windows 7 έχω error 807 και καμία καταγραφή στο log του mikrotik! Σαν να μην φτάνει καν σε αυτό κανένα πακέτο. Όμως αν βγεί εκτός το load balancing, τότε συνδέονται και τα seven.

Καμιά καλή ιδέα για το τι συμβαίνει;

Σχετικά με το 192.168.16.0/24 και το τοπικό LAN, δεν κατανοώ το τι σχέση έχει με το VPN. Δεν θέλω να στήσω VPN Server στο τοπικό δίκτυο, αλλά να αναλάβει το ίδιο το mikrotik το ρόλο του VPN Server, που θα μου δίνει πρόσβαση για να συνδέομαι από το Internet, όπου θα μου κάνει bridge στο Hotspot δίκτυο.

Προσωπικά, μου ακούγεται λίγο μπερδεμένο αυτό. Μπορείς να εξηγήσεις πιο απλοϊκά τι _ακριβώς_ προσπαθείς να επιτύχεις?




Το balance του traffic ανάμεσα στα 3 gateway με χρήση του PCC, γίνεται μόνο στο Hotspot δίκτυο και μάλιστα μόνο σε αυτούς που έχουν κάνει authentication.
Όλα τα υπόλοιπα connections γίνονται στο default gateway, που λόγο ρύθμισης είναι το WAN1, μέχρι να πέσει και να πάει στο επόμενο.
Και γιατί δεν τα βάζεις όλα με όλα να γίνει ωραίο blending? Υποθέτω ότι έχεις βάλει firewall filter να μην επικοινωνούν τα δύο υποδίκτυα μεταξύ τους, σωστα?




Τελικά με 2 απλά mangle rules στην κορυφή, κατάφερα να κάνω σύνδεση vpn και να μπορώ να δω ολόκληρο το hotspot subnet.


/ip firewall mangle
add chain=prerouting dst-address=10.20.0.1 protocol=tcp dst-port=1723 action=accept
add chain=prerouting dst-address=10.20.0.1 protocol=gre action=accept


O λόγος που έπαιξε αυτό είναι ότι στα pptp το gre πρωτόκολλο και το control port του πάνε δυο δυο σαν τους Χιώτες.
Αν το gre βγαίνει από την 2.2.2.2 wan ip και το control port από την 3.3.3.3 wan ip, θα έχεις broken connection.
O Κανόνας που έβαλες επάνω επάνω με accept, είναι να ΜΗΝ προχωρήσει στην αλυσίδα του mangle η περαιτέρω επεξεργασία, άρα να βγεις από το default route.

To pcc τι το έχεις βάλει? both destination ip and ports ίσως?

Στοο κανονα που σου εβαλα πιο πανω εσυ θα βαλεις 10.20.0.0/24 και θα βγαινει απο τη wan1. Και δε θα εχεις κανενα προβλημα το πιθανοτερο.

Αυτό που προσπαθώ να πετύχω, είναι να μπορώ μέσω απομακρυσμένης σύνδεσης vpn, να μπορώ να συνδεθώ σε οποιαδήποτε συσκευή είναι συνδεδεμένη, είτε στο Hotspot δίκτυο είτε στο LAN και φυσικά να μπορώ να πάρω τον έλεγχο των 3 modems μέσω μπρόσορα. Το κακό είναι με τα τελευταία modems-boosters του ΟΤΕ Huawei HA35 έχω θέματα, όπως σε κάποιο από αυτά θέλει διαφορετική ip διεύθυνση για να συνδεθώ στο WebUI του modem, από την διεύθυνση wan που μπορώ να την ξέρω μέσω του noip και με την βοήθεια του mikrotik. Και την διεύθυνση αυτή που είναι στο bonding tunnel, την ξέρει μόνο το ίδιο το modem.

Όσο για το PCC είναι όντως στο both address & ports, μιας που προς το παρόν έχω δει καλύτερες επιδώσεις με αυτή την επιλογή, ιδιαίτερα όταν ανοίγω βαριές σελίδες με πολλαπλές συνδέσεις.

Το πρόβλημα όμως παραμένει με τα seven. Και με τρίτο μηχάνημα που τρέχει Win2K3 μπαίνω κανονικά, αλλά με seven ούτε με σφαίρες. Ένα μόνο προβληματάκι αντιμετωπίζω με την πρόσβαση στα subnets των wan, είναι ότι κάθε φορά θα πρέπει να τρέχω ένα script στο τοπικό μηχάνημα και να προσθέτω το route 192.168.0.0/22 ώστε να βγαίνει από την διεύθυνση που έχω πάρει από το vpn. Το κακό είναι ότι η διεύθυνση αυτή είναι δυναμική και αλλάζει κάθε φορά, οπότε θα πρέπει να δουλέψω static διευθύνσεις στο vpn. Αυτό διορθώνεται. Αυτό που δεν ξέρω πως θα διορθώσω είναι το πώς θα κάνω πρόσβαση vpn από το φορητό μου που τρέχει seven. Μένει να προσθέσω στο mangle και rules για L2TP μπας και με αυτή την σύνδεση καταφέρει να περάσει.

- - - Updated - - -

Υπάρχουν νεότερα σχετικά με το πρόβλημα των seven και με L2TP/IPSec VPN συνδέσεις. Μετά από αρκετό ψάξιμο σε πολλά sites, βρήκα πως το πρόβλημα έχει να κάνει με τις μεταγενέστερες εκδόσεις των windows, από τα seven και μετά. Για άγνωστο λόγο, ίσως για περισσότερη ασφάλεια, η Microsoft έκοψε την δυνατότητα πρόσβασης σε L2TP server, όταν ο server είναι πίσω από NAT-T. Υπάρχει όμως η λύση να ξεπεραστεί το πρόβλημα, φτιάχνοντας μια εγγραφή στη registry.


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Μετά θέλει επανεκκίνηση. Υποθέτω πως κάτι αντίστοιχο παίζει και με το PPTP και τα seven, αλλά ακόμα δεν έχω βρει την λύση του.

Εγώ με αυτούς τους κανόνες στο Mangle για PCC και φυσικά τα αντίστοιχα routes έχω κανονικά vpn



add action=accept chain=prerouting dst-address=192.168.1.0/24 \
src-address=192.168.1.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark \
in-interface=OTE1 new-connection-mark=OTE1-conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
in-interface=OTE2 new-connection-mark=OTE2-conn passthrough=yes
add action=jump chain=prerouting connection-mark=no-mark in-interface=\
Management jump-target=policy_route
add action=mark-routing chain=prerouting connection-mark=OTE1_conn \
new-routing-mark=OTE1_route passthrough=yes src-address=192.168.1.0/24
add action=mark-routing chain=prerouting connection-mark=OTE2_conn \
new-routing-mark=OTE2_route passthrough=yes src-address=192.168.1.0/24
add action=mark-routing chain=output connection-mark=OTE1-conn \
new-routing-mark=OTE1_route passthrough=yes
add action=mark-routing chain=output connection-mark=OTE2-conn \
new-routing-mark=OTE2_route passthrough=yes
add action=mark-connection chain=policy_route dst-address-type=!local \
new-connection-mark=OTE1_conn passthrough=yes per-connection-classifier=\
both-addresses-and-ports:2/0
add action=mark-connection chain=policy_route dst-address-type=!local \
new-connection-mark=OTE2_conn passthrough=yes per-connection-classifier=\
both-addresses-and-ports:2/1

Μετά θέλει επανεκκίνηση. Υποθέτω πως κάτι αντίστοιχο παίζει και με το PPTP και τα seven, αλλά ακόμα δεν έχω βρει την λύση του.

Κανε ενα export compact hide-sensitive
και ποσταρε το εδω.

Από την στιγμή που μπαίνω στα seven με L2TP, λίγο με νοιάζει που δεν μου δουλεύει το PPTP στα seven παρά μόνο στα 2003. Πάντως απ' ότι δοκίμασα έχω πρόσβαση και από το 2ο WAN. Υποθέτω ότι όταν θα συνδεθεί και η τρίτη γραμμή, θα μπορώ να μπω και από εκεί χωρίς καμία άλλη ρύθμιση. Ευτυχώς που τα booster του ΟΤΕ δουλεύουνε εντάξει σε αυτό τον τομέα και περνάνε από το NAT με επιτυχία τα vpn πακέτα.

Από την στιγμή που μπαίνω στα seven με L2TP, λίγο με νοιάζει που δεν μου δουλεύει το PPTP στα seven παρά μόνο στα 2003. Πάντως απ' ότι δοκίμασα έχω πρόσβαση και από το 2ο WAN. Υποθέτω ότι όταν θα συνδεθεί και η τρίτη γραμμή, θα μπορώ να μπω και από εκεί χωρίς καμία άλλη ρύθμιση. Ευτυχώς που τα booster του ΟΤΕ δουλεύουνε εντάξει σε αυτό τον τομέα και περνάνε από το NAT με επιτυχία τα vpn πακέτα.

Πασο. Your router,your packets,your decision. :P

Αλλα μου κανει εντυπωση που δεν σου παιζει το ππτπ στα 7αρια. Δεν το εχω συναντησει ποτε σε καμια απο τις υλοποιησεις μου. Μαλλον το εχω συναντησει οταν κατι ειναι misconfigured. Εξακολουθω να πιστευω οτι ειναι θεμα mangle και comnection mark.

Ναι αλλά σε αυτή την περίπτωση θα είχα θέμα και με τα Win2K3 αλλά δεν έχω. Υποθέτω (δεν έχω δοκιμάσει) ότι θα πρέπει να μην υπάρχει πρόβλημα ούτε και με τα XP, γιατί αυτά τα δύο λειτουργικά πάνε μαζί.

Όσο για τις ρυθμίσεις στο mangle είναι παρόμοιες με αυτές του L2TP.


/ip firewall mangle
add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 \
dst-port=1723 protocol=tcp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=\
10.20.0.0/24 port=500,1701,4500 protocol=udp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=\
ipsec-esp

Για να μην ανοίγω νέο θέμα. Μου ήρθε για δοκιμές ένα 750Gr3 το οποίο δίπλα στο usb βύσμα έχει ένα button. Ξέρει κανείς τι κάνει αυτό;

Για να μην ανοίγω νέο θέμα. Μου ήρθε για δοκιμές ένα 750Gr3 το οποίο δίπλα στο usb βύσμα έχει ένα button. Ξέρει κανείς τι κάνει αυτό;


"RB750Gr3 Mode button currently does nothing, it is added for future use. There is no specific functionality decided yet."



Ναι αλλά σε αυτή την περίπτωση θα είχα θέμα και με τα Win2K3 αλλά δεν έχω. Υποθέτω (δεν έχω δοκιμάσει) ότι θα πρέπει να μην υπάρχει πρόβλημα ούτε και με τα XP, γιατί αυτά τα δύο λειτουργικά πάνε μαζί (....) Δυστυχώς, παραθέτεις ένα μικρό τμήμα από το mangle ενώ ένα export θα βοηθούσε πολύ καλύτερα για να υπάρχει η ευρύτερη εικόνα.

Υπάρχουν και κάποια rules που έχουν προστεθεί (filter & nat) για να πετύχω πρόσβαση στα modems μέσω του mikrotik, αλλά δεν βλέπω να δουλεύουν, με εξαίρεση την πρόσβαση από το WAN1 στο modem1, αλλά παραδόξως όταν επιχειρώ πρόσβαση από WAN1 στο modem2, ο μπρόσορας μου δείχνει ότι από το https://domain.ddns.net:53342 έχει γίνει ανακατεύθυνση στο https://192.168.2.1 και φυσικά είναι αδύνατη η σύνδεση. Από WAN2 δεν δουλεύει κανένα από τα δύο, αλλά μάλλον ευθύνεται το PCC, γιατί όλες οι default συνδέσεις γίνονται μόνο από το WAN1.



/ip address
add address=192.168.0.1/24 comment=LAN interface=lan-bridge network=\
192.168.0.0
add address=10.10.0.1/22 comment=Hotspot interface=hot-bridge network=\
10.10.0.0
add address=192.168.1.2/24 comment=WAN1 interface=ether1-WAN1 network=\
192.168.1.0
add address=192.168.2.2/24 comment=WAN2 interface=ether6-WAN2 network=\
192.168.2.0
add address=192.168.3.2/24 comment=WAN3 disabled=yes interface=ether7-WAN3 \
network=192.168.3.0

/queue type
add kind=pcq name=pcq-download pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-rate=8M pcq-src-address6-mask=64
add kind=pcq name=pcq-upload pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-rate=800k pcq-src-address6-mask=64
add kind=pcq name=pcq_down pcq-classifier=dst-address
add kind=pcq name=pcq_up pcq-classifier=src-address
set 9 pcq-burst-time=15s

/queue simple
add disabled=yes name=hs-qos queue=pcq-upload/pcq-download target=hot-bridge

/queue tree
add name=DOWLOAD packet-mark=equal-mark-pack parent=hot-bridge queue=pcq_down
add name=UPLOAD1 packet-mark=equal-mark-pack parent=ether1-WAN1 queue=pcq_up
add name=UPLOAD2 packet-mark=equal-mark-pack parent=ether6-WAN2 queue=pcq_up
add name=UPLOAD3 packet-mark=equal-mark-pack parent=ether7-WAN3 queue=pcq_up

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="VPN PPTP" dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="VPN L2TP/IPSEC" port=500,1701,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Router Access" dst-port=8291 protocol=\
tcp
add action=accept chain=input dst-port=21 protocol=tcp
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=input comment="Wireless Devices Access" dst-port=\
53354-53360 in-interface-list="WAN Ports" protocol=tcp
add action=accept chain=input comment="Modems Access" dst-port=53341-53342 \
in-interface-list="WAN Ports" protocol=tcp
add action=drop chain=forward comment="P2P: torrentsites" disabled=yes \
layer7-protocol=torrentsites
add action=drop chain=forward comment="P2P: dropDNS" disabled=yes dst-port=53 \
layer7-protocol=torrentsites protocol=udp
add action=drop chain=forward comment="P2P: keyword_drop" content=torrent \
disabled=yes
add action=drop chain=forward comment="P2P: trackers_drop" content=tracker \
disabled=yes
add action=drop chain=forward comment="P2P: get_peers_drop" content=getpeers \
disabled=yes
add action=drop chain=forward comment="P2P: info_hash_drop" content=info_hash \
disabled=yes
add action=drop chain=forward comment="P2P: announce_peers_drop" content=\
announce_peers disabled=yes
add action=drop chain=input comment="defconf: drop all from WANs" disabled=\
yes in-interface-list="WAN Ports"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list="WAN Ports"

/ip firewall mangle
add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 \
dst-port=1723 protocol=tcp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=\
10.20.0.0/24 port=500,1701,4500 protocol=udp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=\
ipsec-esp
add action=mark-connection chain=forward comment=PCQ new-connection-mark=\
equal-mark-con passthrough=yes src-address=10.10.0.0/22
add action=mark-packet chain=forward connection-mark=equal-mark-con \
new-packet-mark=equal-mark-pack passthrough=yes
add action=mark-connection chain=input comment=PCC in-interface=ether1-WAN1 \
new-connection-mark=WAN1_conn passthrough=yes
add action=mark-connection chain=input in-interface=ether6-WAN2 \
new-connection-mark=WAN2_conn passthrough=yes
add action=mark-connection chain=input disabled=yes in-interface=ether7-WAN3 \
new-connection-mark=WAN3_conn passthrough=yes
add action=mark-routing chain=output connection-mark=WAN1_conn \
new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN2_conn \
new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=output connection-mark=WAN3_conn disabled=yes \
new-routing-mark=to_WAN3 passthrough=yes
add action=accept chain=prerouting dst-address=192.168.1.0/24 in-interface=\
hot-bridge
add action=accept chain=prerouting dst-address=192.168.2.0/24 in-interface=\
hot-bridge
add action=accept chain=prerouting disabled=yes dst-address=192.168.3.0/24 \
in-interface=hot-bridge
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
auth in-interface=hot-bridge new-connection-mark=WAN1_conn passthrough=\
yes per-connection-classifier=both-addresses-and-ports:3/0
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
auth in-interface=hot-bridge new-connection-mark=WAN2_conn passthrough=\
yes per-connection-classifier=both-addresses-and-ports:3/1
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
auth in-interface=hot-bridge new-connection-mark=WAN2_conn passthrough=\
yes per-connection-classifier=both-addresses-and-ports:3/2
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
in-interface=hot-bridge new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
in-interface=hot-bridge new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=WAN3_conn disabled=\
yes in-interface=hot-bridge new-routing-mark=to_WAN3 passthrough=yes

/ip firewall nat
add action=dst-nat chain=dstnat comment="Modems Access" dst-address=\
192.168.1.2 dst-port=53341 protocol=tcp to-addresses=192.168.1.1 \
to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.1.2 dst-port=53342 \
protocol=tcp to-addresses=192.168.2.1 to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.2.2 dst-port=53341 \
protocol=tcp to-addresses=192.168.1.1 to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.2.2 dst-port=53342 \
protocol=tcp to-addresses=192.168.2.1 to-ports=443
add action=dst-nat chain=dstnat comment="Wireless Devices Access" dst-port=\
53354 in-interface-list="WAN Ports" protocol=tcp to-addresses=10.10.0.16 \
to-ports=443
add action=dst-nat chain=dstnat dst-port=53355 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.17 to-ports=443
add action=dst-nat chain=dstnat dst-port=53356 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.18 to-ports=443
add action=dst-nat chain=dstnat dst-port=53357 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.19 to-ports=443
add action=dst-nat chain=dstnat dst-port=53358 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.8 to-ports=80
add action=dst-nat chain=dstnat dst-port=53359 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.9 to-ports=80
add action=dst-nat chain=dstnat dst-port=53360 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=53361 in-interface-list="WAN Ports" \
protocol=tcp to-addresses=10.10.0.7 to-ports=80
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="LAN: masquerade" src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat comment="WAN1: masquerade" out-interface=\
ether1-WAN1
add action=masquerade chain=srcnat comment="WAN2: masquerade" out-interface=\
ether6-WAN2
add action=masquerade chain=srcnat comment="WAN3: masquerade" disabled=yes \
out-interface=ether7-WAN3
add action=masquerade chain=srcnat comment="Horspot: masquerade" src-address=\
10.10.0.0/22

/ip route
add check-gateway=ping distance=1 gateway=192.168.1.1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=192.168.2.1 routing-mark=to_WAN2
add check-gateway=ping disabled=yes distance=1 gateway=192.168.3.1 \
routing-mark=to_WAN3
add check-gateway=ping distance=1 gateway=192.168.1.1
add check-gateway=ping distance=2 gateway=192.168.2.1
add check-gateway=ping disabled=yes distance=3 gateway=192.168.3.1
add check-gateway=ping comment="For check WAN2 IP" distance=1 dst-address=\
64.182.x.x/32 gateway=192.168.2.1

Υπάρχουν και κάποια rules που έχουν προστεθεί (filter & nat) για να πετύχω πρόσβαση στα modems μέσω του mikrotik, αλλά δεν βλέπω να δουλεύουν, με εξαίρεση την πρόσβαση από το WAN1 στο modem1, αλλά παραδόξως όταν επιχειρώ πρόσβαση από WAN1 στο modem2, ο μπρόσορας μου δείχνει ότι από το https://domain.ddns.net:53342 έχει γίνει ανακατεύθυνση στο https://192.168.2.1 και φυσικά είναι αδύνατη η σύνδεση. Από WAN2 δεν δουλεύει κανένα από τα δύο, αλλά μάλλον ευθύνεται το PCC, γιατί όλες οι default συνδέσεις γίνονται μόνο από το WAN1.


Χωρίς διάθεση ειρωνίας, έχεις κάνει καλή δουλίτσα. Πραγματικά. Μακάρι όσοι αγόραζαν mk's να κάνανε έστω το 1/10 από αυτά.

Μερικές σημειώσεις.


0α. (σορρυ αλλά πρέπει να ρωτήσω) Έχεις κάνει DMZ τα booster προς τις εσωτερικές ΙΡ των τικίων?
Δεν σε κόβει η οτενετ με τίποτα "security protection"? VPN passthrough κατιτίς? (Δυστυχώς δεν έχω τέτοιο ρούτερ να το παλέψω και εγώ)
0β. Συνήθως το error 807 στο pptp είναι connection dropped/connection corrupted/connection filtered.

1. Ένα drop all στο input κάτω κάτω στα wan interfaces σου, θα ήταν καλό (ip/firewall/filter) αν ισχύει το #1

2. Αν τρέχεις dns στο mk (allow remote requests στο IP-->DNS) τότε βάλε και 2 κανόνες drop στην wan list σου τόσο για udp/53 όσο και για tcp/53 (αν είναι μεγάλο το request γυρνάει σε tcp).

3. Υποθέτω από τα συμφραζόμενα ότι το subnet που δίνεις στα vpn clients είναι 10.20.0.0/24

4. Για λόγους "τακτοποίησης" καλό είναι οι ομαδικοί κανόνες στο mangle να έχουν την μορφή input-prerouting-output.

5. Οι 4 πρώτοι κανόνες, όπως τους έκανες export


/ip firewall mangle
add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 dst-port=1723 protocol=tcp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=10.20.0.0/24 port=500,1701,4500 protocol=udp
add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=ipsec-esp


δεν χρειάζονται. Κάντους disabled προς το παρών.

προσθεσε τα κάτωθι πάνω πάνω:



/ip firewall mangle
add action=accept chain=prerouting comment="Accept traffic from VPN subnet" dst-address=10.20.0.0/24


Ο λόγος είναι ότι το pptp σου αλλά και το L2TP/Ipsec πάνε ΠΡΟΣ το ρούτερ (=input). Οι κανόνες που έγραψες
θυμίζουν λίγο "ip firewall filter" τμήμα :)
Από εκεί και πέρα το πώς θα διαχειριστεί το ρούτερ τις συνδέσεις είναι θέμα pre-routing και post-routing κτλ κτλ

Δες εικόνα για packet flow.

http://i.imgur.com/RHHffc9.png

5β. Θα έβαζα και αυτά εγώ



/ip firewall address-list
add address=192.168.1.1 list=otenet_modems
add address=192.168.2.1 list=otenet_modems
add address=192.168.3.1 list=otenet_modems
/ip firewall nat
add action=masquerade chain=srcnat comment="VPN:masquerade to OTENET modems" dst-address-list=otenet_modems src-address=10.20.0.0/24



6. Από εκεί και πέρα για περισσότερη ασφάλεια, μπορείς να βάλεις ένα src/dst list στο firewall filter για τα περαιτέρω μεταξύ των δικτύων.

7. Ο κανόνας


/ip route
add check-gateway=ping comment="For check WAN2 IP" distance=1 dst-address=64.182.X.X/32 gateway=192.168.2.1

που αποσκοπεί? Σε κάποιο σκριπτ για να ανακαλύπτεις την 2η wan ip? :whistle:

Κατά αρχάς σε ευχαριστώ που μπήκες στο κόπο για όλες αυτές τις χρήσιμες πληροφορίες. Γενικά είμαι αρχάριος στο θέμα του routing οπότε ζητάω επιείκεια. Πριν από 40 με 50 ημέρες άρχισα να ασχολούμαι για πρώτη φορά με mikrotik και πριν από 2 με 2,5 χρόνια "αναγκάστηκα" να ασχοληθώ με router συσκευή και μάλιστα της ubiquiti, γιατί το modem-router που είχα της zyxel στην γραμμή μου, τουλάχιστον στο θέμα του routing ήταν αισχρό.

0α) Δεν δουλεύω DMZ γιατί δεν χρειάστηκε αφού μου περνάει όλες τις πόρτες που χρειάζομαι. Φυσικά έγινε απενεργοποίηση από το πάνελ του ΟΤΕ της default προστασίας που έχει ενεργοποιημένη. Δυστυχώς όμως εχτές διαπίστωσα πως μετά από διακοπή ρεύματος, το ένα modem έχασε όλα τα ports forward και ήθελε πάλι από την αρχή να τα ξαναπεράσω. Αλλά από κινεζιές τι άλλο να περιμένεις.

0β) Σε δοκιμές που έκανα σε 3 virtual windows seven στα 32 και 64 bit, είχα ακριβώς το ίδιο πρόβλημα με τις L2TP συνδέσεις. Όταν πρόσθεσα όμως την συγκεκριμένη εγγραφή στην registry, τότε συνδεόμουν κανονικά. Φυσικά σε PPTP υπήρχε πρόβλημα. Από την άλλη όμως σε 5 λειτουργικά Win2K3, 2 κανονικά και 3 virtual, δεν υπήρχε κανένα απολύτως πρόβλημα, για αυτό υποψιάζομαι ότι κάτι παίζει με τα seven. Όταν κάνω σύνδεση όμως από το εσωτερικό δίκτυο του mikrotik και δεν παρεμβάλετε το modem-router, σ' αυτή την περίπτωση τα seven δεν έχουν κανένα απολύτως πρόβλημα ούτε με το L2TP ούτε με το PPTP.

1) Υποθέτω πως εννοείς για λόγους ασφάλειας, μετά τις πόρτες που χρειάζομαι να έρχονται από τα WAN interfaces, να μπλοκάρω όλες τις υπόλοιπες. Θα το εφαρμόσω σαν έξτρα προστασία.

2) Από τα modems κάνω forward μόνο τις πόρτες που χρειάζομαι, οπότε δεν έχω καμία σύνδεση από έξω στην DNS πόρτα 53, γι' αυτό και νομίζω ότι δεν χρειάζεται. Πάνω σε αυτό όμως, έχω μια πρόσφατη εμπειρία. Αυτές τις μέρες σετάρω ένα mikrotik στο χώρο μου, και το 3ο gateway το παίρνω από το ubiquiti router, με όλο το traffic να έρχεται από δική του static ip χωρίς κανένα έλεγχο. Κάποια στιγμή όμως αργά την νύκτα, διαπίστωσα υπερβολική κίνηση στην γραμμή μου. Μετά από γενικό έλεγχο βρήκα ότι γινόντουσαν πολλαπλές συνδέσεις στην γραμμή αυτή, από DNS flood και στο tcp και στο udp. Οπότε αναγκαστικά σε αυτή την περίπτωση έπρεπε να βάλω το απαιτούμενο rule.

3) Ναι αυτό είναι το subnet του VPN από όπου από εκεί μπορώ να έχω πρόσβαση και στα υπόλοιπα subnets.

4) Εδώ είχα μια απορία αν παίζει ρόλο η σειρά των PCC rules. Αφού δεν παίζει θα το διορθώσω.

5) Είναι μια πολύ καλή ιδέα, να ελαχιστοποιήσω τον έλεγχο και να περάσω όλο το traffic που είναι προς το vpn subnet με ένα μόνο rule.

5β) Δηλαδή να γίνει ένα masquerade στο traffic από το VPN subnet προς τις διευθύνσεις των gateways ή προς τα WAN interfaces που έχω έτοιμη λίστα; Αλήθεια, υπάρχει διαφορά το αν δηλώνουμε σε αυτές τις περιπτώσεις, ip address ή το αντίστοιχο interface;

6) Δυστυχώς και να βάλω rules υπάρχει ένα μεγάλο πρόβλημα ασφάλειας που δεν μπορεί να λυθεί με το firewall. Επειδή ο ιδιοκτήτης του συγκεκριμένου hotspot, δεν ήθελε να περάσει καλώδια ανάμεσα στο 2ο gateway και στο mikrotik (μιλάμε για 20 με 30 μέτρα), αναγκαστικά γίνεται η σύνδεση με ένα wireless bridge, και το χειρότερο είναι ότι περνάνε στο ίδιο φυσικό δίκτυο και το hotspot αλλά και το WAN2 (φυσικά με διαφορετικά subnets), οπότε κάποιος γνώστης μπορεί εύκολα να παρακάμψει το hotspot και να συνδεθεί απ' ευθείας στο 2ο gateway, αρκεί να βάλει μια static ip στο subnet του WAN2.

7) Όντως για αυτό υπάρχει ο κανόνας για να βρίσκω την WAN2 IP. Στην αρχή που ασχολήθηκα με το mikrotik και με την εντολή ping, πίστευα πως μπορούσα να δηλώσω από ποιο gateway θα περάσει, αλλά μετά έμαθα πως αυτό είναι μόνο για το IPv6, οπότε η μόνη λύση είναι μέσω routing.

0α) Δεν δουλεύω DMZ γιατί δεν χρειάστηκε αφού μου περνάει όλες τις πόρτες που χρειάζομαι. Φυσικά έγινε απενεργοποίηση από το πάνελ του ΟΤΕ της default προστασίας που έχει ενεργοποιημένη. Δυστυχώς όμως εχτές διαπίστωσα πως μετά από διακοπή ρεύματος, το ένα modem έχασε όλα τα ports forward και ήθελε πάλι από την αρχή να τα ξαναπεράσω. Αλλά από κινεζιές τι άλλο να περιμένεις. se


DMZ =! port forward.
Δεν υπάρχουν μόνο τα tcp και udp protocols, υπάρχει το gre,to esp, icmp και τόσα άλλα. Μήπως εκεί βρίσκεται το culprit? Ότι δεν σου περνάει το protocol 47 (GRE) Προς τα μέσα?



0β) Σε δοκιμές που έκανα σε 3 virtual windows seven στα 32 και 64 bit, είχα ακριβώς το ίδιο πρόβλημα με τις L2TP συνδέσεις. Όταν πρόσθεσα όμως την συγκεκριμένη εγγραφή στην registry, τότε συνδεόμουν κανονικά. Φυσικά σε PPTP υπήρχε πρόβλημα. Από την άλλη όμως σε 5 λειτουργικά Win2K3, 2 κανονικά και 3 virtual, δεν υπήρχε κανένα απολύτως πρόβλημα, για αυτό υποψιάζομαι ότι κάτι παίζει με τα seven. Όταν κάνω σύνδεση όμως από το εσωτερικό δίκτυο του mikrotik και δεν παρεμβάλετε το modem-router, σ' αυτή την περίπτωση τα seven δεν έχουν κανένα απολύτως πρόβλημα ούτε με το L2TP ούτε με το PPTP.

Τα L2TP έχουν θέμα πίσω από double nat. To pptp όχι. Το γεγονός όμως ότι μέσα από το δίκτυο συνδέεσαι κανονικά με pptp υποδηλώνει connection broken. Κατά την διάρκεια του connection απέξω, δες στο ip-->firewall --> connections και ψάξε για το gre και την αντίστοιχη πόρτα αν είναι από το ίδιο wan interaface καθώς και σε τι state είναι (established,syn sent Κτλ).

Όπως λένε και οι αγγλοσάξωνες αυτό το θέμα has been beaten to death. Καλό είναι να μην το χρησιμοποιείς.




1) Υποθέτω πως εννοείς για λόγους ασφάλειας, μετά τις πόρτες που χρειάζομαι να έρχονται από τα WAN interfaces, να μπλοκάρω όλες τις υπόλοιπες. Θα το εφαρμόσω σαν έξτρα προστασία.

Σωστά.



2) Από τα modems κάνω forward μόνο τις πόρτες που χρειάζομαι, οπότε δεν έχω καμία σύνδεση από έξω στην DNS πόρτα 53, γι' αυτό και νομίζω ότι δεν χρειάζεται. Πάνω σε αυτό όμως, έχω μια πρόσφατη εμπειρία. Αυτές τις μέρες σετάρω ένα mikrotik στο χώρο μου, και το 3ο gateway το παίρνω από το ubiquiti router, με όλο το traffic να έρχεται από δική του static ip χωρίς κανένα έλεγχο. Κάποια στιγμή όμως αργά την νύκτα, διαπίστωσα υπερβολική κίνηση στην γραμμή μου. Μετά από γενικό έλεγχο βρήκα ότι γινόντουσαν πολλαπλές συνδέσεις στην γραμμή αυτή, από DNS flood και στο tcp και στο udp. Οπότε αναγκαστικά σε αυτή την περίπτωση έπρεπε να βάλω το απαιτούμενο rule.

Το λεγόμενο dns amplification. Το amplify είναι της τάξης 28 εως 54. Δηλαδή για κάθε 1mbit δικό μου, σου κάνω ζημιά επί 28 εως επί 54 στο upload σου. Έτσι λέει τουλάχιστον κάποια whitepapers που έχω. Για περισσότερα εδώ https://www.us-cert.gov/ncas/alerts/TA13-088A



3) Ναι αυτό είναι το subnet του VPN από όπου από εκεί μπορώ να έχω πρόσβαση και στα υπόλοιπα subnets.

Πλην των συσκευών εντός του hotspot αν ΔΕΝ είναι authenticated φυσικά.



4) Εδώ είχα μια απορία αν παίζει ρόλο η σειρά των PCC rules. Αφού δεν παίζει θα το διορθώσω.

Ναι παίζει ρόλο. Ειδικά αν έχεις το passthrough=yes ή όχι. Αν γίνει match ένα πακέτο, και έχει passthrough=no τότε σταματά εκεί η επεξεργασία του.
Είναι ολόκληρο κεφάλαιο.
Σε κάθε περίπτωση το ανέφερα για το ευανάγνωστο του πράγματος. Όλα σε ένα , νοικουρεμένα, έτσι ώστε κάποιος άλλος να μπορεί να δει ευκολα το configuration.



5) Είναι μια πολύ καλή ιδέα, να ελαχιστοποιήσω τον έλεγχο και να περάσω όλο το traffic που είναι προς το vpn subnet με ένα μόνο rule.
5β) Δηλαδή να γίνει ένα masquerade στο traffic από το VPN subnet προς τις διευθύνσεις των gateways ή προς τα WAN interfaces που έχω έτοιμη λίστα; Αλήθεια, υπάρχει διαφορά το αν δηλώνουμε σε αυτές τις περιπτώσεις, ip address ή το αντίστοιχο interface;

Είμαι φαν των lists γενικώς, όπως αντιλαμβάνεσαι. Ναι είναι ακριβώς το ίδιο ανεξάρτητα αν θα χρησιμοποιήσεις interface lists ή address lists. Έχεις και το bonus ότι αν αλλάξεις subnet είναι πιο εύκολη και αναίμακτη η αλλαγή.



6) Δυστυχώς και να βάλω rules υπάρχει ένα μεγάλο πρόβλημα ασφάλειας που δεν μπορεί να λυθεί με το firewall. Επειδή ο ιδιοκτήτης του συγκεκριμένου hotspot, δεν ήθελε να περάσει καλώδια ανάμεσα στο 2ο gateway και στο mikrotik (μιλάμε για 20 με 30 μέτρα), αναγκαστικά γίνεται η σύνδεση με ένα wireless bridge, και το χειρότερο είναι ότι περνάνε στο ίδιο φυσικό δίκτυο και το hotspot αλλά και το WAN2 (φυσικά με διαφορετικά subnets), οπότε κάποιος γνώστης μπορεί εύκολα να παρακάμψει το hotspot και να συνδεθεί απ' ευθείας στο 2ο gateway, αρκεί να βάλει μια static ip στο subnet του WAN2.

Μετά πλήρους γνώσεως, αποκλείεται. Αν τα γεγονότα δεν επιβεβαιώνουν την θεωρία, πρέπει να αλλάξουν τα γεγονότα.
Τα 2 τικια στα άκρα έχουν παραπάνω από ένα ethernet interface? Αν ναι, τότε με δύο vlan και wds πάνω από το ασύρματο φτιάχνεις
ένα μεγάλο μακρύ καλώδιο και έχεις πλήρη διαχωρισμό αλλά και firewall μεταξύ των.



7) Όντως για αυτό υπάρχει ο κανόνας για να βρίσκω την WAN2 IP. Στην αρχή που ασχολήθηκα με το mikrotik και με την εντολή ping, πίστευα πως μπορούσα να δηλώσω από ποιο gateway θα περάσει, αλλά μετά έμαθα πως αυτό είναι μόνο για το IPv6, οπότε η μόνη λύση είναι μέσω routing.

Θύμισε λίγο recursive routing.
Μπορείς με ένα script να κάνεις το εξής :


:global currentIP [:resolve myip.opendns.com server=208.67.222.222];

αφού όμως ορίσεις μέσω mangle ή καρφωτά ότι τα πακέτα προς 208.67.222.222 θα φεύγουν από το wan2 (ή 3 αντίστοιχα)
και να την ρεπορτάρεις στο log, σαν comment κάπου ή να στο στέλνει σε ένα emaii. Το "πως" ακριβώς, το αφήνω σαν άσκηση στον αναγνώστη.

Σχετικά με το PPTP που δεν περνάει από τα seven, πολύ λίγο με νοιάζει. Έτσι και αλλιώς το L2TP είναι πιο ασφαλές με την έξτρα προστασία του secret key.

Η μόνη πρόσβαση που με ενδιαφέρει να έχω στο subnet του hotspot, είναι τα access points και τα wireless bridges (κάνουν bypass το authentication μέσω bindings), και αυτό για να μπορώ να κάνω αλλαγές στο setup τους. Ευτυχώς τα unifi φεύγουν σε εξωτερικό controller και έτσι λιγοστεύουν σημαντικά οι συσκευές που είναι για έλεγχο.

Τώρα σε σχέση με το WAN2 και το δεύτερο modem, στην άλλη άκρη υπάρχει μόνο ένα απλό switch όπου έχει το hotspot δίκτυο και επίσης επάνω του κουμπώνει και το modem. Υπάρχει μόνο το κεντρικό mikrotik που είναι στην πλευρά του WAN2. Και όσο για vlan δίκτυα, προς το παρόν έχω πλήρη άγνοια γιατί δούλευα πάντα, απλά δίκτυα σε L2, οπότε ποτέ δεν χρειάστηκε να ασχοληθώ με αυτά. Ίσως ήρθε η ώρα...

Παρεμπιπτόντως, μπορούν να περάσουν πάνω από 1 vlan από wireless συσκευές της ubiquiti; Για bridges δουλεύουμε τα nanobeam.

Παρεμπιπτόντως, μπορούν να περάσουν πάνω από 1 vlan από wireless συσκευές της ubiquiti; Για bridges δουλεύουμε τα nanobeam.
Μέχρι 4095 την τελευταία φορά που κοίταξα :p

Για να μην ανοίγω νέο θέμα έχω μια ερώτηση σχετικά με το hotspot.

Γνωρίζει κανείς γιατί το hotspot στο mikrotik, καταλαμβάνει μια έξτρα διεύθυνση από το hotspot-pool, σε συσκευές που έχουν static ip εκτός hotspot-pool, έχουν δηλωθεί στη λίστα ip bindings και είναι bypassed;

Για να μην ανοίγω νέο θέμα έχω μια ερώτηση σχετικά με το hotspot.

Γνωρίζει κανείς γιατί το hotspot στο mikrotik, καταλαμβάνει μια έξτρα διεύθυνση από το hotspot-pool, σε συσκευές που έχουν static ip εκτός hotspot-pool, έχουν δηλωθεί στη λίστα ip bindings και είναι bypassed;

Γιατί αναγκαστικά για να μπορέσει να δρομολογηθεί η κίνηση ενός client από το συγκεκριμένο interface πρέπει ο client να έχει ip από το ίδιο subnet.
Το ότι σου δίνει ip ενώ εσύ έχεις καρφωτή ip στη συσκευή σου στην ουσία είναι πλεονέκτημα σε περιβάλλον πχ ξενοδοχείου όπου μπορεί ο πελάτης να πάει με το laptop της εταιρείας του στο οποίο υπάρχουν περασμένες static ip και να παίξει κατευθείαν. σε αντίθετη περίπτωση δεν θα έπαιρνε ποτέ ίντερνετ αν δεν πείραζε την κάρτα δικτύου του.
Το bypassed είναι απλά για να μην σου ζητάει authentication.

Δεν εννοούσα αυτό. Φυσικά στις περιπτώσεις των clients που έχουν δικές τους διευθύνσεις, θα πρέπει το hotspot να εκδώσει μία μέσα από το hotspot subnet range. Η ερώτησή μου όμως έχει να κάνει με τα access points, που ενώ έχουν static ip στο ίδιο φυσικά subnet αλλά εκτός pool range, το hotspot κρατούσε και μία έξτρα ip, με την ίδια mac address.

Αν κα βλέπω σιγά-σιγά να λιγοστεύει αυτό το πρόβλημα. Ενώ στις πρώτες βδομάδες και τα 15 access points, είχαν κρατημένη και μια δεύτερη ip, έχουν μείνει μόνο 3 από αυτά.

Δεν ξέρω την εγκατάσταση αλλά σε στη θέση σου θα έβαζα τα access point σε ένα management interface και πάνω σε αυτό ένα vlan για το Hotspot. Αν φυσικά τα access points υποστηρίζουν vlan.