Гостевой доступ на wifi роутере

Современный мир настолько плотно завязан на онлайн-сервисы, что, принимая гостей, после «Привет» уже привычно слышать «А какой у тебя пароль от Wi-Fi?» Но, сообщая пароль от домашней сети, радушный хозяин при этом не всегда понимает, что друзья могут невольно нарушить безопасность его сети.

Например, они могут случайно скачать вредоносную программу или подключить к сети уже зараженный телефон или ноутбук. Многие зловреды умеют распространяться по локальной сети, и если к вашему Wi-Fi подключился компьютер или смартфон с таким зловредом, то он постарается заразить все устройства, работающие в той же сети.

Зачем нужна гостевая Wi-Fi-сеть?

Впрочем, можно совместить и гостеприимство, и безопасность — для этого есть гостевой Wi-Fi. По сути, это отдельная точка доступа на вашем роутере. Все ваши домашние устройства подключены к одной точке и объединены в сеть, а гостевая сеть — это другая точка, из которой можно получить доступ к Интернету, но невозможно попасть в вашу домашнюю сеть. Гостям можно предложить подключиться именно к ней.

В результате друзья и знакомые не потеряют связь с внешним миром и при этом не поставят под угрозу ваши данные. Зловред, каким-либо образом оказавшийся на смартфоне гостя, не сможет добраться до семейного фотоархива и других важных файлов.

Как включить и настроить гостевой Wi-Fi

Сделать отдельную гостевую сеть проще, чем кажется. Для этого вовсе не нужно проводить в квартиру дополнительный интернет-канал или платить провайдеру дважды. Скорее всего, создать дополнительную, гостевую сеть позволяет ваш Wi-Fi-роутер — надо просто зайти в настройки и ее активировать. Для того чтобы это сделать, в адресной строке интернет-браузера надо вбить IP-адрес вашего роутера — чаще всего это 192.168.1.1 или 192.168.0.1, но может быть и другой вариант. Правильный адрес должен быть написан в инструкции к вашему роутеру.

В открывшемся окне наберите логин и пароль администратора. Если вы их никогда не меняли, то обычно их можно найти в договоре с провайдером или в той же самой инструкции. Для безопасности их неплохо бы менять, а чтобы они не забылись, сохранить их в менеджере паролей.

Среди настроек роутера вам нужно найти пункт «Разрешить гостевой доступ» или «Гостевая сеть». Обычно он прячется в разделе «Wi-Fi», а если с интуитивным поиском возникли трудности, на помощь снова придет инструкция или Google. Если у вас старая или бюджетная модель роутера, то такого пункта там может и не быть — и в этом случае гостевую сеть настроить не получится. Но в более-менее современных моделях он обычно есть.

Поставив нужную галочку, добавьте название гостевой сети (в панели управления некоторых роутеров его называют SSID) — это имя, которое ваши друзья увидят в списке доступных подключений.

В некоторых роутерах гостевой доступ к Wi-Fi сразу после этого и заработает, в других потребуется настроить еще кое-что, но мы в любом случае рекомендуем озаботиться правильной настройкой, даже если гостевая сеть уже активна:

• Задайте пароль доступа к новой сети. Обычно это можно сделать тут же, под ее названием. Теперь пользоваться вашим гостевым подключением смогут только те, кому вы сообщили секретную комбинацию.
• Установите тип шифрования, чтобы информацию, передаваемую по Wi-Fi, нельзя было перехватить. Из предложенных вариантов выбирайте WPA2 (может также значиться в настройках как WPA2-PSK или WPA2-Personal) — это надежный алгоритм, который поддерживают все современные беспроводные устройства.
• Проверьте, снята ли галочка «Разрешить гостям доступ к ресурсам локальной сети» или ей подобные. Такой галочки в настройках может и не быть, но если она есть, то ее лучше снять — тогда гости не смогут увидеть ваши файлы и другую информацию, сохраненную на компьютерах. А в этом, собственно, и смысл гостевой сети. Иногда в настройках может быть другая галка — «Изолировать». У нее ровно обратный смысл — она изолирует гостевую сеть от вашей локальной, и, соответственно, ее нужно поставить.
• Снимите галочку «Разрешить доступ к настройкам» или аналогичную, если она есть. Когда такая галочка поставлена, это означает, что пользователи из гостевой сети могут получить доступ к настройкам роутера и перенастроить там что-то, в том числе свои же права доступа. Вам это ни к чему.

Готово: вы настроили гостевую Wi-Fi-сеть, которая, с одной стороны, обеспечивает безопасный доступ в Интернет, а с другой — не позволяет подобраться к вашим локальным устройствам.

Почему IoT-устройства лучше подключать к гостевой сети

К слову, такая гостевая Wi-Fi-сеть пригодится не только тем, к кому часто ходят гости, а еще и тем, у кого дома много «умных» устройств. Дело в том, что смарт-телевизорам, «умным» чайникам, игровым приставкам и другим домашним устройствам тоже нужно подключение к Сети. Однако они в среднем намного более уязвимы, чем компьютеры с вовремя установленными обновлениями. И если они подключены к основной сети, то, взломав их, злоумышленники могут добраться до других ваших устройств.

Многие эксперты при упоминании «умных» устройств говорят не просто о вероятности атаки, а о том, что их ну просто наверняка атакуют. И если превращение «умной» лампочки в часть ботнета еще можно пережить, то компьютер, превратившийся в зомби — это куда хуже. Через ботнет распространяются самые разные зловреды, и если ваш компьютер уже превращен в зомби, то им, по сути, открыта прямая дорога в его память.

Если же подключать все IoT-устройства не к основной сети, а к правильно настроенной гостевой, то вы обеспечиваете дополнительную защиту от таких атак. Даже если кто-то взломает какое-то из IoT-устройств, он не сможет проникнуть в вашу основную сеть и скомпрометировать компьютеры и смартфоны в ней.

Да, «умная» стиральная машина, подключенная гостевой сети, все равно станет частью ботнета и будет участвовать в DDoS-атаках или майнить криптовалюту (к этому в целом надо быть готовым, когда покупаешь «умные» вещи). Но зато компьютер со всеми банковскими данными и прочей чувствительной информацией будет в безопасности.

Напоследок еще совет: одна из типичных целей создателей ботнетов — собственно роутеры. Поэтому не забывайте периодически обновлять прошивку своего домашнего роутера — в свежих версиях производители обычно закрывают уязвимости, которые могли бы привести ко взлому.

Эта статья подходит для: 

Archer C2300( V1 V2 ) , Archer C59( V2 V3 ) , Archer C1200( V2 V3 ) , Archer C58( V2 ) , Archer C3200( V2 ) , Archer C3150 V2 , Archer A10( V1 ) , Archer A64 , Archer C1900( V2 ) , Archer C60( V2 V3 ) , Archer A2300( V1 ) , Archer C80( V1 ) , Archer C90( V6 ) , Archer A6( V2 ) , Archer C8( V3 V4 ) , Archer C3150( V2 ) , Archer C9( V4 V5 ) , Archer A7( V5 ) , Archer C6( V2 ) , Archer C7( V4 V5 ) , Archer A9( V6 )

1. Войдите в веб-интерфейс роутера. Если вы не знаете, как это сделать, обратитесь к следующим статьям FAQ:

а. Как войти в веб-интерфейс Wi-Fi роутера (новый логотип)?

б. Как войти в веб-интерфейс Wi-Fi роутера (новый логотип)?

2. Перейдите в раздел Дополнительные настройки > Гостевая сеть. Найдите раздел Беспроводной режим.

3. Создайте гостевую сеть.

1) Выберите сеть 2,4 ГГц или 5 ГГц и установите флажок Включить гостевую сеть.

2) Настройте Имя беспроводной сети (SSID). Не выбирайте Скрыть SSID, если вы не хотите, чтобы ваши гости вручную вводили SSID для доступа к гостевой сети.

3) Установите Защита на WPA/WPA2 Personal, сохраните значения Версии и Шифрования по умолчанию и укажите свой собственный пароль.

4. Нажмите Сохранить. Теперь ваши гости могут получить доступ к гостевой сети, используя SSID и пароль, которые вы установили.

Советы:

Чтобы просмотреть информацию о гостевой сети, перейдите в раздел Дополнительные настройки > Состояние и найдите раздел Гостевая сеть.

Чтобы получить подробную информацию о каждой функции и настройке оборудования, перейдите на страницу Загрузки для загрузки руководства пользователя к Вашей модели устройства.

Wi-Fi сегодня для многих стал практически синонимом слова «интернет», беспроводной доступ воспринимается как нечто само собой разумеющееся, а его отсутствие вызывает недоумение и удивление. Мы привыкли к тому, что Wi-Fi есть на работе, в гостях, в публичных местах и т.д. и т.п. Но то, что хорошо обычному пользователю доставляет массу забот системному администратору — неконтролируемые пользовательские устройства в периметре локальной сети. Выход здесь один — создание гостевой Wi-Fi сети и изоляция ее от сети предприятия.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

В данной статье мы рассмотрим самый простой вариант — организацию гостевой Wi-Fi сети для одиночного роутера. Это может быть полезно для небольших предприятий и домашних сетей. Предприятиям полезно вынести в гостевую сеть как посетителей, так и личные устройства сотрудников. В домашних сетях тоже не следует раздавать доступ направо и налево всем друзьям и знакомым, ведь все что они хотят — это выйти в интернет, гостевая сеть прекрасный вариант сделать это не создавая угроз безопасности.

Далее подразумевается, что у вас уже есть настроенный роутер Mikrotik с основной Wi-Fi сетью, если это не так, то воспользуйтесь нашей статьей: Базовая настройка роутера MikroTik.

Настройка виртуального беспроводного интерфейса

Самым первым шагом создадим новый профиль безопасности, так как делать открытую гостевую сеть — это очень плохая идея, а для организаций еще и нарушение закона, требующего обязательную идентификацию пользователей. Для этого откроем Wireless — Security Profiles и добавим новый профиль. Настройки просты: Mode — dynamic keys, Authentication Types — WPA PSK2, WPA2 Pre-Shared Key — пароль доступа к сети, от 8 символов, Name — произвольное имя профиля, в нашем случае guest.

Команда для терминала, в качестве пароля мы задали 987654321:

/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=987654321

Теперь перейдем в Wireless — WiFi Interfaces и добавим новый виртуальный интерфейс, нажав на кнопку с плюсом и выбрав в выпадающем меню Virtual.

В открывшемся окне указываем режим работы интерфейса Mode — ap bridge, выбираем основной физический радиоинтерфейс Master Interface — wlan1, указываем желаемый SSID и выбираем созданный нами ранее для гостевой сети профиль безопасности в Security Profiles. Также снимаем флаг Default Forward что исключит общение гостевых устройств между собой. Остальные параметры оставляем по умолчанию.

В терминале настроек побольше, вам также потребуется указать MAC-адрес, который следует взять у физического беспроводного интерфейса.

/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=AA:BB:CC:DD:EE:FF \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 security-profile=guest ssid=GUEST \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

Если у вас двухдиапазонная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер. Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная.

После чего перейдем в Bridge и создадим новый сетевой мост, в параметре ARP укажем reply-only, что заставит роутер отвечать на канальном уровне только известным устройствам, что значительно ограничит самодеятельность в гостевой сети, так гости смогут работать только с настройками, полученными от роутера, самостоятельно настроить сетевые параметры не получится.

В командной строке это же действие:

/interface bridge
add arp=reply-only name=bridge2

Затем добавим в этот мост созданные нами виртуальные беспроводные интерфейсы, с помощью графического интерфейса в разделе Bridge — Ports или в консоли:

/interface bridge port
add bridge=bridge2 interface=wlan2

После чего назначим ему IP-адрес, для гостевой сети следует выбрать отдельный диапазон адресов, не пересекающийся с вашими сетями, в нашем примере это будет 192.168.134.0/24, адресом роутера в этом случае будет 192.168.134.1. Откроем IP — Addresses и добавим новый адрес, его следует указать в формате 192.168.134.1/24 (что соответствует маске 255.255.255.0), в поле Interface выберите интерфейс созданного на предыдущем шаге сетевого моста, у нас это bridge2.

Или выполните в терминале:

/ip address
add address=192.168.134.1/24 interface=bridge2 network=192.168.134.0

Если вам нужно несколько гостевых сетей с разным уровнем доступа, то создайте нужное количество виртуальных сетевых интерфейсов и мостов (по одному для каждой сети), а также присвойте каждой сети свой диапазон адресов.

Настройка базовых сетевых служб: DHCP, DNS, NAT

Для настройки DHCP-сервера воспользуемся мастером, для этого перейдем в IP — DHCP Server — DHCP и нажмем кнопку DHCP Setup, в открывшемся мастере выберем интерфейс — bridge2 и последовательно ответим на ряд вопросов, задав сеть, пул адресов, адрес шлюза и т.д.

А вот при указании DNS-сервера следует подумать, мы можем указать адрес роутера и использовать уже имеющуюся на нем службу, но в ряде случаев это может быть нежелательно, например, у вас имеются записи для внутренних служб, и вы не хотите их утечки во внешнюю сеть. Либо вам нужно дополнительно фильтровать содержимое, отдаваемое гостевым пользователям. В этом случае в качестве DNS-сервера можно указать адрес любого публичного сервиса, который подходит под ваши требования.

С другой стороны собственный DNS сервер позволяет самостоятельно блокировать некоторые ресурсы, более подробно вы можете прочитать об этом здесь.

После завершения работы мастера откройте созданную запись в IP — DHCP Server — DHCP и установите флаг Add ARP For Leases, теперь сервер будет динамически добавлять MAC-адреса клиентов, получивших аренду в ARP-таблицу, чтобы они могли работать в гостевой сети. По окончании аренды такая запись будет удалена и даже если клиент перенастроил свое устройство на статический адрес через некоторое время он потеряет доступ к сети. В связи с этим обратите внимание на параметр Lease Time, который задает время аренды адреса, по умолчанию это 10 минут, вполне разумный интервал, но вы можете как увеличить его (если это сеть для личных устройств сотрудников) или уменьшить, чтобы ускорить освобождение адресов.

Чтобы настроить DHCP-сервер в терминале выполните:

/ip pool
add name=dhcp_pool2 ranges=192.168.134.100-192.168.134.199
/ip dhcp-server network
add address=192.168.134.0/24 dns-server=192.168.134.1 gateway=192.168.134.1
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=bridge2 name=dhcp2

Для того, чтобы клиенты гостевой сети могли выходить в интернет, следует настроить NAT, перейдем в IP — Firewall — NAT и создадим новое правило: Chain — srcnat, Src. Address — 192.168.134.0/24 — диапазон гостевой сети, Out. Interface — внешний интерфейс, через который осуществляется выход в интернет, в нашем случае ether5. На закладке Action ставим действие masquerade.

Или в терминале:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether5 src-address=192.168.134.0/24

Теперь самое время сделать небольшую паузу и попробовать подключиться к нашей гостевой Wi-Fi сети, убедитесь, что устройство получает адрес и у него есть доступ в интернет.

Если вы нигде не ошиблись — все должно работать.

Изолируем гостевую сеть при помощи брандмауэра

Гостевая Wi-Fi сеть работает — и это хорошо, теперь самое время принять кое-какие меры безопасности. Прежде всего изолируем ее от основной сети. Открываем IP — Firewall — Filtres и создаем следующее правило: Chain — Forward, In. Interface — bridge2, Out. Interface — bridge1, на закладке Action ставим действие drop, тем самым полностью запретив транзитный трафик из гостевой сети в основную (bridge1).

В терминале:

/ip firewall filter
add action=drop chain=forward in-interface=bridge2 out-interface=bridge1

Теперь изолируем от гостевой сети сам роутер, все что нужно от него клиентам — это получение IP-адреса по DHCP и доступ к DNS-серверу устройства, ничего больше видеть они не должны. Ок, разрешаем доступ к DHCP-серверу, создаем еще одно правило: Chain — input, Protocol — udp, Dst. port — 67, In. Interface — bridge2, так как действие по умолчанию accept — просто сохраняем правило.

Если вы предоставляете гостям собственный DNS, то добавьте еще одно такое-же правило, но измените номер порта на 53 UDP, на котором работает служба имен, если же раздаете адреса внешних DNS-серверов, то открывать доступ к созданному не нужно. Затем создадим запрещающее правило, оно очень простое: Chain — input, In. Interface — bridge2, на закладке Action ставим действие drop. Теперь все остальные запросы к роутеру будут отклоняться.

Этот же набор правил в терминале:

/ip firewall filter
add action=accept chain=input dst-port=67 in-interface=bridge2 protocol=udp
add action=accept chain=input dst-port=53 in-interface=bridge2 protocol=udp
add action=drop chain=input in-interface=bridge2

Это минимальный набор правил для типовой конфигурации, в случае наличия дополнительных сетей и интерфейсов вам может потребоваться создать дополнительные правила с учетом особенностей вашей конфигурации. Общие принципы должны быть понятны из этого раздела: блокируем транзитный трафик из гостевой сети к остальным сетям и изолируем сам роутер.

Ограничение скорости в гостевой сети

Гостей может быть много, а исходящий канал не резиновый, тем более что современные мобильные устройства позволяют просматривать видео в высоких разрешениях, что может привести к повышенной нагрузке на сеть. Поэтому мы поступим просто — ограничим скорость гостевой сети, никаких сложных настроек производить не будем, просто сделаем одно ограничение на всех, как оно будет делиться между клиентами нас особо не волнует.

Для ограничения трафика используются очереди — Queues, обратите внимание, что для работы очередей должен быть отключен Fasttack. Перейдем в Queues — Simple Queues и создадим простую очередь. В поле Target укажем интерфейс гостевой сети — bridge2, Dst — интерфейс выхода в интернет, в нашем случае ether5. В Max Limit укажем ограничения для входящего и исходящего трафика, мы поставили по 10 Мбит/с.

В терминале:

/queue simple
add dst=ether5 max-limit=10M/10M name=queue1 target=bridge2

Теперь еще раз подключимся и проверим работу ограничений, несложно убедиться, что все работает так, как задумывалось:

Как видим, настроить гостевую Wi-Fi сеть на оборудовании Mikrotik совсем несложно, а широкие возможности RouterOS позволяют существенно повысить уровень ее безопасности, максимально ограничив гостям сетевые возможности.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.