routeros 路由 + openwrt ap 实现无线设备接入不同SSID间网络隔离

FanXasy

需求说明
现网环境
主路由为 MikroTik RouterOS 7.x。LAN 桥接口 bridge-lan（端口 Ether1-Ether7），LAN 网段 10.10.10.0/24，网关 10.10.10.1，DHCP 地址池 10.10.10.100-10.10.10.200。WAN 侧 Ether8 通过 PPPoE 拨号上网。
无线 AP 运行 OpenWrt 24.x。上联口 eth0 连接主路由 Ether1；eth0-eth6 与 SSID “HomeWiFi” 桥接成 br-lan，静态 IP 10.10.10.2。

目标
在 AP 新增 SSID “GuestWiFi” 并绑定 VLAN 20。访客设备应获得独立子网 10.20.20.0/24（DHCP 池 10.20.20.100-10.20.20.200），彼此互访并可上网，但不得访问主网 10.10.10.0/24，也不得访问主路由管理端口。主网可按需访问访客网。访客 DHCP 中的 DNS 需指向 10.20.20.1 并正常解析。

解决方案
一、网络规划
主网使用 VLAN 1（子网 10.10.10.0/24，网关 10.10.10.1）。访客使用 VLAN 20（子网 10.20.20.0/24，网关 10.20.20.1）。上联口 Ether1⇄eth0 同时传输未打标签的 VLAN 1 与打标签的 VLAN 20。

二、主路由 RouterOS 配置

在 Bridge→VLANs 中添加 VLAN 20，并将 bridge-lan 与 Ether1 设为 Tagged 端口。

在 Interfaces→VLAN 新建 vlan20-guest (ID 20，接口 bridge-lan)。

在 IP→Addresses 中给 vlan20-guest 分配 10.20.20.1/24。

建立地址池 guest_pool 10.20.20.100-10.20.20.200。

新建 DHCP Server，接口选择 vlan20-guest，地址池选 guest_pool，并在 Networks 页将 Gateway 与 DNS 均设为 10.20.20.1。

在 Bridge 设置中启用 VLAN Filtering。

防火墙：

在 forward 链添加规则，源 10.20.20.0/24 目的 10.10.10.0/24，状态 new，动作 drop，位置放在 “accept established, related” 之后、“drop invalid” 之前。

在 input 链添加两条规则，源 10.20.20.0/24 目的端口 53，协议分别 UDP 与 TCP，动作 accept，位置放在 “drop all not coming from LAN” 之前。

在 IP→DNS 勾选 Allow Remote Requests，并将 Allow From 设置为 10.10.10.0/24,10.20.20.0/24。

默认 masquerade NAT 已涵盖 VLAN 20，无需额外修改。

三、OpenWrt AP 配置

创建 VLAN 子接口 eth0.20，并在接口页添加名为 Guest 的桥接接口（协议未管理，仅包含 eth0.20）。

在无线页添加新接入点，SSID 设为 GuestWiFi，网络选 Guest，配置 WPA2/WPA3-PSK 密码。

确认 Guest 接口未启用 DHCP、NAT 或防火墙转发，使流量直接交由主路由处理。

四、验证
访客连接 GuestWiFi 后应获取 10.20.20.x，网关和 DNS 为 10.20.20.1；能够正常访问互联网并成功解析域名；无法访问主网 10.10.10.0/24 或主路由管理端口；主网可按需访问访客网。

常见问题
访客 DNS 若不通，检查 input 链 53 端口放行规则及 DNS 远程请求开关。若 VLAN 过滤配置错误导致掉线，可使用 WinBox MAC 连接或串口恢复。未来若需增加 IoT 或孩童网络，可重复“新 VLAN + 新 SSID + 防火墙策略”流程即可。