MikroTik + OPNsense - База должна жить
✅ Шаг 1 — «База должна жить»
OPNsense становится центром, MikroTik — аккуратным “радио-мостом”, а сеть перестаёт быть мифическим существом.
Цель шага: получить стабильную базу, гдеOPNsense = единственный gateway + DHCP + DNS,а MikroTik = чистый AP/Bridge (без маршрутизации, NAT и DHCP).
Если на этом шаге всё ок — дальше VLAN/RADIUS зайдут спокойно, без истерик и “почему не пингуется” 😄
1) OPNsense: WAN поднят, интернет работает
Что значит “WAN поднят”
WAN — это внешний интерфейс OPNsense, который смотрит в сторону провайдера/модема/ONT.
У “WAN поднят” есть 3 признака:
- Интерфейс UP (линк есть)
- Есть адрес на WAN (DHCP/PPPoE/Static — как у тебя)
- Есть маршрут по умолчанию (default route) в интернет
💡 Сноска (термин):
Default route / маршрут по умолчанию — правило “всё, что не локальное → отправляй туда-то”, обычно в сторону провайдера.
Мини-чек OPNsense (WAN)
Открываем WebGUI → Interfaces → WAN:
- Enable Interface ✅
- IPv4 Configuration Type:DHCP (чаще всего если провайдер даёт адрес автоматически)или PPPoE (если логин/пароль от провайдера)или Static IPv4 (если у тебя фикс)
- Нажимаем Save → Apply
Дальше: System → Routes → Status
- должен быть default route 0.0.0.0/0 через WAN gateway
Быстрый тест “интернет реально есть”
В OPNsense (WebGUI):
Interfaces → Diagnostics → Ping
- Host: 1.1.1.1 (или 8.8.8.8)
- Source: WAN
Если пинг идёт — отлично.
Если не идёт:
- адрес на WAN есть?
- gateway появился?
- кабель/линк?
- провайдерский модем не в “режиме роутера” с конфликтом? (пока без углубления, просто держим в голове)
😄 Шутка:
Если WAN не поднят — дальше можно настраивать только… настроение.
2) OPNsense: LAN настроен, DHCP + DNS включены на OPNsense
Что значит “LAN настроен”
LAN — внутренний интерфейс OPNsense, который раздаёт сеть клиентам.
На этом шаге нам нужно:
- LAN имеет статический IP (например 192.168.1.1/24)
- DHCP выдаёт адреса в этой сети
- DNS раздаётся клиентам через DHCP (обычно это сам OPNsense)
2.1 Настроить IP на LAN (и не выстрелить себе в ногу)
WebGUI → Interfaces → LAN
- IPv4 Configuration Type: Static IPv4
- IPv4 Address: например 192.168.1.1/24
- Save → Apply
⚠ Важная штука:
Если ты меняешь LAN-сеть — твоя текущая сессия WebGUI может отвалиться.Это нормально. Потом заходишь уже по новому IP LAN.
2.2 Включить DHCP на LAN
WebGUI → Services → DHCPv4 → LAN
- Enable DHCP server on the LAN interface ✅
- Range: например:From: 192.168.10.100To: 192.168.10.199
- DNS servers:обычно пусто (тогда клиентам выдастся сам OPNsense)или явно указать 192.168.10.1
Save → Apply
💡 Сноска (термин):
DHCP range / пул — диапазон IP, который сервер раздаёт клиентам автоматически.
🌐 В чём вообще суть различия
dnsmasq и ISC DHCPv4 решают похожую задачу (выдача IP),
но они из разных миров по философии и масштабу.
🧩 dnsmasq (DNS + DHCP «всё-в-одном»)
dnsmasq — это лёгкий комбинированный сервис:
- 📡 DNS (кэширующий резолвер)
- 📬 DHCP (IPv4/IPv6)
- 🔗 PXE / TFTP (в простых сценариях)
🔹 Ключевые особенности
- 🪶 Очень лёгкий (минимум ресурсов)
- ⚡ Быстро поднимается
- 🧠 Минимальная конфигурация
- 🤝 DNS и DHCP работают в связке
- 🏠 Идеален для:роутеровдомашних сетейsmall officeembedded-устройств
🔧 Пример, где он живёт
- OPNsense / OpenWRT
- MikroTik (аналог по идее)
- Домашние и SOHO-роутеры
❗ Ограничения
- ❌ Нет сложных политик
- ❌ Нет DHCP Failover
- ❌ Плохо масштабируется
- ❌ Не подходит для AD / enterprise
dnsmasq — это «аккуратный швейцарский нож»,но не сервер для дата-центра.
🏢 ISC DHCPv4 (классический DHCP-сервер)
ISC DHCPv4 — это чистый, специализированный DHCP-сервер.
🔹 Ключевые особенности
- 🧱 Только DHCP — и делает это очень серьёзно
- 🧩 Поддержка:классов клиентовuser/vendor optionsrelayfailoverсложной логики
- 📊 Отлично подходит для:корпоративных сетейVLANAD-инфраструктурыбольших пулов адресов
🔧 Где используется
- Linux-сервера в enterprise
- Связка с AD / FreeIPA
- Большие офисы и дата-центры
❗ Минусы
- ⚙ Конфигурация сложнее
- 🧠 Требует понимания DHCP на глубоком уровне
- 🧩 DNS нужно настраивать отдельно (Bind, PowerDNS и т.д.)
ISC DHCP — это «рабочая лошадь продакшна» 🐎
🆚 Короткое сравнение
КритерийdnsmasqISC DHCPv4МасштабМалый / SOHOEnterpriseDHCP✅✅DNS✅ встроенный❌ отдельноFailover❌✅VLAN / Relay⚠ ограничено✅Простота⭐⭐⭐⭐⭐⭐⭐Гибкость⭐⭐⭐⭐⭐⭐⭐
🧠 Как это ложится на лабораторию
🔥 В реальной enterprise-схеме:
- dnsmasq →✔ edge / perimeter✔ OPNsense✔ initial lab
- ISC DHCP / Windows DHCP →✔ AD✔ VLAN✔ политики✔ «как в проде»
💡 Поэтому:
- dnsmasq — идеален для старта и понимания
- ISC DHCPv4 — обязателен для роста и карьеры
2.3 DNS на OPNsense (что включено “по умолчанию”)
По умолчанию в OPNsense чаще всего используется Unbound DNS как локальный резолвер.
Проверяем:
WebGUI → Services → Unbound DNS → General
- Enable Unbound DNS ✅
На этом шаге мы не делаем фильтрацию, не подключаем блоклисты, не усложняем.
Наша цель — чтобы клиент получил DNS и интернет.
💡 Сноска (термин):
DNS resolver — сервис, который принимает запрос “домен → IP” и находит ответ (либо в кеше, либо через интернет).
3) MikroTik: переводим в режим AP/Bridge
(без DHCP / NAT / маршрутизации)
Вот здесь главная идея:
MikroTik должен перестать быть “роутером”и стать “радио-удлинителем LAN”.
Что такое AP/Bridge в нашей архитектуре
- AP (Access Point) — точка доступа Wi-Fi, которая просто подключает клиентов в сеть
- Bridge — режим, где порты и Wi-Fi интерфейсы объединяются на L2, как свитч
💡 Сноска (термин):
L2 / канальный уровень — уровень, где работает bridge/switch: MAC-адреса, кадры, коммутация.Мы не маршрутизируем (это L3), мы “прокидываем” сеть как провод.
Что на MikroTik должно быть в итоге
✅ DHCP server — OFF✅ NAT masquerade — OFF✅ default route / интернет через MikroTik — неважно (он не gateway)✅ Wi-Fi WPA3 остаётся✅ Bridge объединяет LAN-порты + Wi-Fi✅ MikroTik имеет management IP (статический) в LAN сети OPNsense (для управления)
Практический “минимальный чек” MikroTik (идея, без команд)
- Выключить DHCP server на MikroTik
- Удалить/отключить NAT masquerade
- Убедиться, что Wi-Fi и LAN-порты в одном bridge
- Задать IP MikroTik для управления, например:192.168.1.2/24gateway: 192.168.1.1 (OPNsense)DNS: 192.168.1.1
😄 Шутка-предупреждение:
Оставить DHCP на MikroTik — это как оставить бывшего жить у тебя “чисто на недельку”.Он всё равно начнёт принимать решения.
4) Проверка: сеть действительно под контролем OPNsense
Теперь самое приятное — проверяем, что “одна точка контроля” не теория, а реальность.
4.1 Клиент получает IP от OPNsense
Подключи клиент (ноут/ПК) к:
- кабелю (через MikroTik/switch) или
- Wi-Fi MikroTik
Проверяем на клиенте:
- IP-адрес из LAN подсети OPNsense (например 192.168.1.x)
- DHCP сервер = OPNsense
- DNS = OPNsense
💡 Если на Windows: ipconfig /all
Если на macOS/Linux: ifconfig / ip a, и отдельно scutil --dns (macOS) при желании.
4.2 Gateway = OPNsense
Gateway (шлюз по умолчанию) должен быть:
- 192.168.1.1 (LAN IP OPNsense)
Если gateway показывает MikroTik — значит MikroTik всё ещё “играет в роутер”.
4.3 Интернет есть по кабелю и по Wi-Fi
Тестируем в порядке “быстро и точно”:
- Ping IP в интернет: 8.8.8.8
- Проверка DNS: открыть сайт или nslookup google.com
- Пинг gateway: 192.168.1.1
- Проверка, что WebGUI OPNsense доступен
📌 Итог шага 1
“Одна точка контроля” реально работает
Если всё выполнено, то у нас железобетонная база:
- ✅ OPNsense — gateway
- ✅ OPNsense — DHCP
- ✅ OPNsense — DNS
- ✅ MikroTik — AP/Bridge
- ✅ Клиенты получают правильные параметры и выходят в интернет
🎯 Это тот самый момент, когда сеть перестаёт быть “домашней”
и начинает быть архитектурой.
Что дальше
Следующий блок логически:
Шаг 2 — “Wi-Fi как транспорт, управление как система”
- management IP для MikroTik
- аккуратная схема доступа
- фиксируем адресный план и точки управления