Всех приветствую на нашем портале! В статье я постараюсь как можно короче, но понятно рассказать про настройку гостевой WiFi сети в маршрутизаторе Mikrotik. При этом можно воспользоваться несколькими способами от VLAN до создания отдельного HotSpot. Но я решил показать вам ещё один вариант, который будет наиболее понятным и приемлемым.
Содержание
- Инструкция
- Задать вопрос автору статьи
Инструкция
- «Wireless» – «Security Profiles» – кликаем на плюсик для создания. Можете обозвать сеть как угодно. Устанавливаем нужный тип аутентификации. Я в качестве примера установил «Mode» как «dinamic keys», но можно выбрать «none», тогда гостевая сеть будет без пароля.
- Там же переходим на первую вкладку и опять нажимаем по плюсу, чтобы создать новый интерфейс. Нужно выбрать тип «Virtual AP». Теперь указываем наименования беспроводной сети в поле «SSID». А вот в поле «Security Profile» нужно выбрать именно тот профиль, который мы создали ранее на прошлом шаге.
- У вас должен создаться виртуальный интерфейс под основным. Выглядит это примерно так как на картинке выше.
- Чтобы пользователи в гостевой сети были отрезаны от других, нужно создать новый мост. Для этого переходим в «Bridge» и создаем новый. Просто впишите любое удобное для вас имя и нажимаем «ОК».
- Теперь там же переходим во вторую вкладку и создаем новый порт. Указываем второй интерфейс, который мы ранее создали – «wlan2» и указываем для него ранее созданный мост.
- «IP» – «Adresses». Нажимаем по плюсику и выбираем наш Wlan2 в «Interface». В качестве параметров возьмите те же цифры, как и у меня – смотрим на картинку выше.
- «IP» – «DHCP Server» – «Networks». Создаем новую сеть. В качестве DNS у нас будет адрес нашего шлюза.
- Для того чтобы был определенный диапазон, нужно зайти «IP» – «Pool». Создаем диапазон. Как вы уже догадались первая цифра уже зарезервирована нашим шлюзом поэтому начнем отчет от 2. Пул можно создать любой – какой захотите я выбрал 49 адресов. Если этого не достаточно то можете выбрать больше.
- «IP» – «DHCP Server» – «DHCP». Создаем новый и называем его как вам хочется. Но вот «interface» нужно выбрать тот, который мы задавали на шаге 4. В строке «Address Pool» указываем пул созданный на предыдущем шаге.
- Сеть уже работает и создается и к ней даже можно будет подключиться, но вот проблема в том, что у гостевых клиентов нет ограничение скорости. Вы догадываетесь к чему это может привести. Поэтому нужно ограничить им скорость. Для этого переходим во вкладку из левого меню «Queue» и создаем новое правило. А теперь по поводу правил. Сначала именуем правило. В следующей вкладке «Target» нужно выбрать нашу подсеть гостей. «Target Upload» и «Target Download» – это скорость загрузки и отправки данных. Нужно установить верхним предел или «Max Limit» – то есть первая строка. «Burst Limit» – скорость в режиме турбо. «Burst Threshold» – при какой скорости срабатывает режим турбо. «Burst Time» – период между которым идёт расчет скорости (указан в секундах).
- Теперь нужно запретить доступ к локальным машинам и устройствам по любым протоколам. «IP» – «Route». Теперь нам надо создать первое правило, которое запрещает доступ к локальной сети нашей гостевой. Для этого создаем правило в первой строке указываем локальную сеть, а во второй гостевую. В «Action» указываем «unreachable». То же самое делаем и наоборот, чтобы из гостевой не было доступа в локальную.
- Осталось совсем чуть-чуть. Теперь надо запретить установку статических IP адресов в гостевой сети. «IP» – «DHCP Server» – в первой вкладке нужно выбрать ранее созданную нами «DHCP» и установить галочку как на картинке выше.
- «Bridge» – выбираем наш мост и указываем в строке «ARP» – «reply-only».
- Осталось немного улучшить безопасность, чтобы из гостевой никто не смог зайти на сам «Микротик». «IP» – «Services» – оставляем только те порты, которыми вы пользуетесь. Но это ещё не все, нам надо нажать на открытые порты и указать доступ для какой сети будет открыт. Просто указываем нашу локальную сеть.
Теперь вы понимаете, что настроить гостевую виртуальную «ВиФи» сеть на базе Микротик, не так сложно как кажется на первый взгляд. Беспроводная сеть должна после этого правильно работать, а к ней можно спокойно подключиться гостям. Также пользователи не смогут превышать предельный допустимый предел скорости скачивания.
Wi-Fi сегодня для многих стал практически синонимом слова «интернет», беспроводной доступ воспринимается как нечто само собой разумеющееся, а его отсутствие вызывает недоумение и удивление. Мы привыкли к тому, что Wi-Fi есть на работе, в гостях, в публичных местах и т.д. и т.п. Но то, что хорошо обычному пользователю доставляет массу забот системному администратору — неконтролируемые пользовательские устройства в периметре локальной сети. Выход здесь один — создание гостевой Wi-Fi сети и изоляция ее от сети предприятия.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
В данной статье мы рассмотрим самый простой вариант — организацию гостевой Wi-Fi сети для одиночного роутера. Это может быть полезно для небольших предприятий и домашних сетей. Предприятиям полезно вынести в гостевую сеть как посетителей, так и личные устройства сотрудников. В домашних сетях тоже не следует раздавать доступ направо и налево всем друзьям и знакомым, ведь все что они хотят — это выйти в интернет, гостевая сеть прекрасный вариант сделать это не создавая угроз безопасности.
Далее подразумевается, что у вас уже есть настроенный роутер Mikrotik с основной Wi-Fi сетью, если это не так, то воспользуйтесь нашей статьей: Базовая настройка роутера MikroTik.
Настройка виртуального беспроводного интерфейса
Самым первым шагом создадим новый профиль безопасности, так как делать открытую гостевую сеть — это очень плохая идея, а для организаций еще и нарушение закона, требующего обязательную идентификацию пользователей. Для этого откроем Wireless — Security Profiles и добавим новый профиль. Настройки просты: Mode — dynamic keys, Authentication Types — WPA PSK2, WPA2 Pre-Shared Key — пароль доступа к сети, от 8 символов, Name — произвольное имя профиля, в нашем случае guest.
Команда для терминала, в качестве пароля мы задали 987654321:
/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=987654321Теперь перейдем в Wireless — WiFi Interfaces и добавим новый виртуальный интерфейс, нажав на кнопку с плюсом и выбрав в выпадающем меню Virtual.
В открывшемся окне указываем режим работы интерфейса Mode — ap bridge, выбираем основной физический радиоинтерфейс Master Interface — wlan1, указываем желаемый SSID и выбираем созданный нами ранее для гостевой сети профиль безопасности в Security Profiles. Также снимаем флаг Default Forward что исключит общение гостевых устройств между собой. Остальные параметры оставляем по умолчанию.
В терминале настроек побольше, вам также потребуется указать MAC-адрес, который следует взять у физического беспроводного интерфейса.
/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=AA:BB:CC:DD:EE:FF \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 security-profile=guest ssid=GUEST \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabledЕсли у вас двухдиапазонная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер. Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная.
После чего перейдем в Bridge и создадим новый сетевой мост, в параметре ARP укажем reply-only, что заставит роутер отвечать на канальном уровне только известным устройствам, что значительно ограничит самодеятельность в гостевой сети, так гости смогут работать только с настройками, полученными от роутера, самостоятельно настроить сетевые параметры не получится.
В командной строке это же действие:
/interface bridge
add arp=reply-only name=bridge2Затем добавим в этот мост созданные нами виртуальные беспроводные интерфейсы, с помощью графического интерфейса в разделе Bridge — Ports или в консоли:
/interface bridge port
add bridge=bridge2 interface=wlan2После чего назначим ему IP-адрес, для гостевой сети следует выбрать отдельный диапазон адресов, не пересекающийся с вашими сетями, в нашем примере это будет 192.168.134.0/24, адресом роутера в этом случае будет 192.168.134.1. Откроем IP — Addresses и добавим новый адрес, его следует указать в формате 192.168.134.1/24 (что соответствует маске 255.255.255.0), в поле Interface выберите интерфейс созданного на предыдущем шаге сетевого моста, у нас это bridge2.
Или выполните в терминале:
/ip address
add address=192.168.134.1/24 interface=bridge2 network=192.168.134.0Если вам нужно несколько гостевых сетей с разным уровнем доступа, то создайте нужное количество виртуальных сетевых интерфейсов и мостов (по одному для каждой сети), а также присвойте каждой сети свой диапазон адресов.
Настройка базовых сетевых служб: DHCP, DNS, NAT
Для настройки DHCP-сервера воспользуемся мастером, для этого перейдем в IP — DHCP Server — DHCP и нажмем кнопку DHCP Setup, в открывшемся мастере выберем интерфейс — bridge2 и последовательно ответим на ряд вопросов, задав сеть, пул адресов, адрес шлюза и т.д.
А вот при указании DNS-сервера следует подумать, мы можем указать адрес роутера и использовать уже имеющуюся на нем службу, но в ряде случаев это может быть нежелательно, например, у вас имеются записи для внутренних служб, и вы не хотите их утечки во внешнюю сеть. Либо вам нужно дополнительно фильтровать содержимое, отдаваемое гостевым пользователям. В этом случае в качестве DNS-сервера можно указать адрес любого публичного сервиса, который подходит под ваши требования.
С другой стороны собственный DNS сервер позволяет самостоятельно блокировать некоторые ресурсы, более подробно вы можете прочитать об этом здесь.
После завершения работы мастера откройте созданную запись в IP — DHCP Server — DHCP и установите флаг Add ARP For Leases, теперь сервер будет динамически добавлять MAC-адреса клиентов, получивших аренду в ARP-таблицу, чтобы они могли работать в гостевой сети. По окончании аренды такая запись будет удалена и даже если клиент перенастроил свое устройство на статический адрес через некоторое время он потеряет доступ к сети. В связи с этим обратите внимание на параметр Lease Time, который задает время аренды адреса, по умолчанию это 10 минут, вполне разумный интервал, но вы можете как увеличить его (если это сеть для личных устройств сотрудников) или уменьшить, чтобы ускорить освобождение адресов.
Чтобы настроить DHCP-сервер в терминале выполните:
/ip pool
add name=dhcp_pool2 ranges=192.168.134.100-192.168.134.199
/ip dhcp-server network
add address=192.168.134.0/24 dns-server=192.168.134.1 gateway=192.168.134.1
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=bridge2 name=dhcp2Для того, чтобы клиенты гостевой сети могли выходить в интернет, следует настроить NAT, перейдем в IP — Firewall — NAT и создадим новое правило: Chain — srcnat, Src. Address — 192.168.134.0/24 — диапазон гостевой сети, Out. Interface — внешний интерфейс, через который осуществляется выход в интернет, в нашем случае ether5. На закладке Action ставим действие masquerade.
Или в терминале:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether5 src-address=192.168.134.0/24Теперь самое время сделать небольшую паузу и попробовать подключиться к нашей гостевой Wi-Fi сети, убедитесь, что устройство получает адрес и у него есть доступ в интернет.
Если вы нигде не ошиблись — все должно работать.
Изолируем гостевую сеть при помощи брандмауэра
Гостевая Wi-Fi сеть работает — и это хорошо, теперь самое время принять кое-какие меры безопасности. Прежде всего изолируем ее от основной сети. Открываем IP — Firewall — Filtres и создаем следующее правило: Chain — Forward, In. Interface — bridge2, Out. Interface — bridge1, на закладке Action ставим действие drop, тем самым полностью запретив транзитный трафик из гостевой сети в основную (bridge1).
В терминале:
/ip firewall filter
add action=drop chain=forward in-interface=bridge2 out-interface=bridge1Теперь изолируем от гостевой сети сам роутер, все что нужно от него клиентам — это получение IP-адреса по DHCP и доступ к DNS-серверу устройства, ничего больше видеть они не должны. Ок, разрешаем доступ к DHCP-серверу, создаем еще одно правило: Chain — input, Protocol — udp, Dst. port — 67, In. Interface — bridge2, так как действие по умолчанию accept — просто сохраняем правило.
Если вы предоставляете гостям собственный DNS, то добавьте еще одно такое-же правило, но измените номер порта на 53 UDP, на котором работает служба имен, если же раздаете адреса внешних DNS-серверов, то открывать доступ к созданному не нужно. Затем создадим запрещающее правило, оно очень простое: Chain — input, In. Interface — bridge2, на закладке Action ставим действие drop. Теперь все остальные запросы к роутеру будут отклоняться.
Этот же набор правил в терминале:
/ip firewall filter
add action=accept chain=input dst-port=67 in-interface=bridge2 protocol=udp
add action=accept chain=input dst-port=53 in-interface=bridge2 protocol=udp
add action=drop chain=input in-interface=bridge2Это минимальный набор правил для типовой конфигурации, в случае наличия дополнительных сетей и интерфейсов вам может потребоваться создать дополнительные правила с учетом особенностей вашей конфигурации. Общие принципы должны быть понятны из этого раздела: блокируем транзитный трафик из гостевой сети к остальным сетям и изолируем сам роутер.
Ограничение скорости в гостевой сети
Гостей может быть много, а исходящий канал не резиновый, тем более что современные мобильные устройства позволяют просматривать видео в высоких разрешениях, что может привести к повышенной нагрузке на сеть. Поэтому мы поступим просто — ограничим скорость гостевой сети, никаких сложных настроек производить не будем, просто сделаем одно ограничение на всех, как оно будет делиться между клиентами нас особо не волнует.
Для ограничения трафика используются очереди — Queues, обратите внимание, что для работы очередей должен быть отключен Fasttack. Перейдем в Queues — Simple Queues и создадим простую очередь. В поле Target укажем интерфейс гостевой сети — bridge2, Dst — интерфейс выхода в интернет, в нашем случае ether5. В Max Limit укажем ограничения для входящего и исходящего трафика, мы поставили по 10 Мбит/с.
В терминале:
/queue simple
add dst=ether5 max-limit=10M/10M name=queue1 target=bridge2Теперь еще раз подключимся и проверим работу ограничений, несложно убедиться, что все работает так, как задумывалось:
Как видим, настроить гостевую Wi-Fi сеть на оборудовании Mikrotik совсем несложно, а широкие возможности RouterOS позволяют существенно повысить уровень ее безопасности, максимально ограничив гостям сетевые возможности.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Настройка гостевой сети WiFi на Mikrotik
Опубликовано:
Используемые термины: Mikrotik, WiFi.
Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.
Добавляем новую конфигурацию для гостевой WiFi
Создаем пул IP-адресов для гостевой сети
Создаем правила для изоляции гостевой сети от локальной
Если в гостевой сети нет доступа в Интернет
Задаем лимиты для гостевой сети
Ограничиваем скорость
Запускаем сеть по расписанию
Прежде чем начать, необходимо, чтобы была выполнена базовая настройка роутера.
Создание гостевой сети
Переходим к настройке WiFi интерфейсов:
Переходим на вкладку Security Profiles — кликаем по плюсу для создания нового профиля — задаем имя для профиля и настраиваем безопасность:
* в данном примере будет создан профиль с названием profile_wifi_guest; разрешаем только WPA2; задаем ключ безопасности (пароль для подключения к WiFi).
На вкладке WiFi Interfaces создаем новый виртуальный интерфейс (Virtual):
На вкладке General задаем имя для нашей гостевой беспроводной сети:
Переходим на вкладку Wireless — задаем SSID — выбираем реальный беспроводной интерфейс (Master Interface) и профиль безопасности, который мы создали ранее:
Настройка IP-адресации
Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP.
Переходим в раздел IP:
… и Pool:
На вкладке Pools создаем новый диапазон адресов:
* в данном примере мы создали список адресов 172.16.10.2-172.16.10.254. Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка.
Переходим в раздел IP — DHCP Server:
На вкладке DHCP создаем новую настройку:
* где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов.
Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу:
* где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google.
Осталось назначить IP для самого микротика. Переходим в IP — Addresses:
Создаем новый адрес:
* мы создадим новый IP адрес 172.16.10.1, который будет назначен роутеру гостевому интерфейсу.
Блокируем доступ к локальной сети
Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра.
Переходим в IP — Firewall:
На вкладке Filter Rules создаем новое правило:
* мы должны создать правило в Chain forward; запрещающее запросы из локальной сети (192.168.88.0/24) в гостевую (172.16.10.0/24). В вашем случае это могут быть другие подсети.
… а на вкладке Action мы должны выбрать drop:
Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную:
Перенесем созданные правила повыше:
Готово.
Если в гостевой сети нет Интернета
Проверяем следующее:
- Устройство, подключенное к WiFi получает IP-адрес автоматически, а не вручную.
- Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
- Нет специально созданных правил Firewall, которые запрещают весь трафик.
- Убедиться, что микротик, в принципе, раздает Интернет.
Ограничение и лимиты
Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.
Скорость
Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues:
На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:
* где:
- Name — имя нашего скоростного ограничения.
- Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
- Max Limit — максимальная скорость передачи данных.
- Burst Limit — скорость в режиме turbo.
- Burst Threshold — скорость, при превышении которой активируется режим ограничения.
- Burst Time — время в секундах для расчета средней скорости.
Нажимаем OK для завершения настройки.
Время (расписание работы WiFi)
Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:
/interface wireless set [ find name=»Guest WiFi» ] disabled=yes
/interface wireless set [ find name=»Guest WiFi» ] disabled=no
* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.
Переходим в раздел System:
… и Scheduler:
Создаем новую задачу по расписанию и указываем следующие настройки:
* где:
- Name — имя для задания.
- Start Time — время начала отработки. Предположим, в 8 утра.
- Interval — период отработки. В данном примере каждый день.
- On Event — что выполняем.
И следом создаем задание на выключение WiFi:
Готово.
Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.
Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.
Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.
И тут возникает вопрос — как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.
Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.
В качестве локальной сети выступает 192.168.106.0/24.
Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.
Шаг 1. Создаем профиль безопасности для Wi-Fi
Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).
Шаг 2. Создаем новый беспроводной интерфейс
Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.
После этих действий, под wlan1 добавится виртуальный интерфейс.
Шаг 3. Создаем новый бридж для гостевой сети
Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.
Шаг 4. Задаем адресное пространство гостевой сети
Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.
В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:
- 10.0.0.0 — 10.255.255.255
- 172.16.0.0 — 172.31.255.255
- 192.168.0.0 — 192.168.255.255
Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.
По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.
Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.
Далее переходим в раздел IP — DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.
Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP — Pool и создаем пул с диапазоном 10.1.1.2−10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.
Шаг 5. Создаем новый сервер DHCP
В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP — DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.
Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? — о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.
Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue
И тут на помощь приходят встроенные возможности RouterOS, называемые очередями — «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.
- Target — источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
- Upload — скорость отправки данных;
- Download — скорость загрузки;
- Max. Limit — верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.
При указании скорости можно использовать индексы k и M:
- k — скорость в кбит/сек;
- M — скорость в Мбит/сек;
Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.
- Burst Limit — максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
- Burst Threshold — порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
- Burst Time — период времени в секундах, в течении которого производится расчет средней скорости.
Как работает ограничение?
Давайте рассмотрим, как это работает на примере.
Target Download: Max. Limit у нас установлен 5 М, т. е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.
В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек — Burst отключается.
Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.
Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.
Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.
В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.
Повышаем безопасность внутренней сети
По-умолчанию, пинг во внутреннюю сеть из гостевой проходить не будет, но существуют варианты обхода этих ограничений. Поэтому рассмотрим варианты повышения безопасности.
Шаг 7. Запрещаем доступ в локальную сеть
Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил «Action: unreachable» создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.
Шаг 8. Запрещаем статические IP в гостевой сети
Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера.
Открываем IP — DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».
Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».
Шаг 9. Запрещаем управление Mikrotik из гостевой сети
Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.
Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.
На этом все, надеемся эта инструкция будет вам полезной.
Материал из MikroTik Wiki
Введение
В статьей разбирается настройка гостевой беспроводной сети с защитой WPA2 PSK. Пользователи которые подключаться к этой сети не будут иметь доступа в локальную сеть — им будет доступен только Интернет. Предполагается, что адресация и маршрутизация настроены, мы зададим лишь те настройки которые касаются гостевой сети. В этом примере предполагается, что гостевая сеть создается на том же маршрутизаторе который отвечает за выход в Интернет.
Полезные материалы по MikroTik
Через графический интерфейс
На «шаге 1» мы создаем конфигурацию безопасности гостевой сети и присваиваем ей имя profile_guest_wi-fi. Пароль задается в поле №6 WPA2 Pre-Shared Key. Пароль должен быть не менее 8 символов.
На «шаге 2» мы создаем виртуальный интерфейс, задаем ему имя (поле №4), далее нужно нажать кнопку Advanced Mode (поле №5) и перейти на вкладку Wireless (поле №6), в ней мы задаем имя беспроводной сети (поле №7), а также оптимальные параметры безопасности и производительности под цифрами 8 и 9.
На «шаге 3» мы создаем пул (массив) адресов для гостевой сети. Адресация в гостевой сети должна быть отличной от локальной.
На «шаге 4» и «шаге 5» показана настройка DHCP сервера под гостевую сеть. Адресация в гостевой сети должна быть отличной от локальной.
На «шаге 6» мы присваиваем адрес виртуальному интерфейсу беспроводной сети. Адресация в гостевой сети должна быть отличной от локальной.
При настройке файервола надо учитывать, что правила взаимосвязаны друг с другом. Это значит, что надо учитывать, что бы выше правил для блокировки трафика гостевой сети не оказалось правил, которые их разрешают.
На «шаге 7» мы создаем правила которые блокируют соединения между участниками локальной сети и гостевой сети. Должны быть созданы 2 правила в которых в полях Src.Address и Dst.Address (поля №4 и №6) должны быть зеркально (в первом правиле на месте Src.Address-адрес локальной сети, на месте Dst.Address — адрес гостевой сети, во втором правиле наоборот) прописаны адреса локальной и гостевой сетей. Для обоих правил должно быть выбрано действие drop (поля №8 и №10)
Через консоль
/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
profile_guest_wi-fi supplicant-identity="" wpa2-pre-shared-key=Pass55word!
/interface wireless
add disabled=no mac-address=00:00:00:00:00:00 master-interface=\
wlan1 name="Guest Wi-Fi" security-profile=profile_guest_wi-fi ssid=\
client wds-cost-range=0 wds-default-cost=0 wmm-support=enabled wps-mode=disabled
/ip pool
add name=dhcp_pool_guest ranges=10.11.12.101-10.11.12.150
/ip dhcp-server
add address-pool=dhcp_pool_guest disabled=no interface="Guest Wi-Fi" \
lease-time=12h name=dhcp_guest
/ip address
add address=10.11.12.1/24 interface="Guest Wi-Fi" network=10.11.12.0
/ip dhcp-server network
add address=10.11.12.0/24 dns-server=10.11.12.1,8.8.8.8 gateway=10.11.12.1
/ip firewall filter
add action=drop chain=forward comment="Deny guest requests" dst-address=172.16.18.0/24 src-address=10.11.12.0/24
add action=drop chain=forward comment="Deny guest requests" dst-address=10.11.12.0/24 src-address=172.16.18.0/24
Проверка
Вы должны подключиться к беспроводной сети и у вас должен быть доступ в сеть Интернет и не должно быть доступа в локальную сеть.