- Настройка виртуальной Wi-Fi точки доступа в MikroTik
- Создание виртуальной Wi-Fi точки доступа MikroTik
- Настройка пароля для подключения к Wi-Fi точке
- Назначение IP адреса виртуальной Wi-Fi сети
- Настройка DHCP сервера
- Настройка NAT
- Изоляция гостевой подсети
- Подключение к виртуальной Wi-Fi точке MikroTik
- Настройка гостевой сети WiFi на Mikrotik
- Создание гостевой сети
- Настройка IP-адресации
- Блокируем доступ к локальной сети
- Если в гостевой сети нет Интернета
- Ограничение и лимиты
- Скорость
- Время (расписание работы WiFi)
Настройка виртуальной Wi-Fi точки доступа в MikroTik
Перед системными администраторами часто стоит задача разделения Wi-Fi сети предприятия на сеть офиса и гостевую Wi-Fi сеть. Это необходимо для того, чтобы повысить безопасность сети организации, и дать по Wi-Fi доступ к интернету гостям. Независимые беспроводные сети часто используют в офисах, хотспотах (hotspot), кафе, гостиницах.
Wi-Fi роутеры MikroTik позволяют на базе одного устройства создать несколько виртуальных Wi-Fi сетей. Эту функцию называют Multi SSID (мультисид, multi sid).
В этой статье вы узнаете как настроить виртуальные Wi-Fi точки доступа MikroTik, чтобы предоставить гостевой доступ к интернету по Wi-Fi.
Создание виртуальной Wi-Fi точки доступа MikroTik
Подключаемся к роутеру MikroTik с помощью программы Winbox и добавляем виртуальную Wi-Fi точку доступа:
- Выбираем слева меню Wireless;
- На вкладке Interfaces нажимаем кнопку Add (красный крестик);
- В выпадающем списке выбираем VirtualAP;
Теперь в списке беспроводных интерфейсов появится новый виртуальный Wi-Fi интерфейс MikroTik.
Настройка пароля для подключения к Wi-Fi точке
Установим пароль, который будет использоваться для подключения к виртуальной Wi-Fi точке:
- В окне Wireless Tables выбираем вкладку Security Profiles и нажимаем кнопку Add (красный крестик);
- На вкладке General в поле Name: вводим название профиля безопасности, например wifi2;
- В поле WPA Pre-Shared Key: вводим пароль. Это пароль для подключения к Wi-Fi точке доступа с использованием шифрования WPA;
- В поле WPA2 Pre-Shared Key: вводим аналогичный пароль. Это пароль для подключения к Wi-Fi точке доступа с использованием шифрования WPA2;
- Нажимаем кнопку OK;
Назначение IP адреса виртуальной Wi-Fi сети
Назначим IP адрес виртуальной Wi-Fi сети MikroTik:
- Нажимаем слева меню IP;
- Выбираем Addresses;
- Нажимаем кнопку Add (красный крестик);
Настройка DHCP сервера
Выполним настройку DHCP сервера MikroTik, чтобы пользователи, которые будут подключаться к виртуальной Wi-Fi точке, получали автоматически сетевые настройки:
Настройка NAT
Чтобы гости получали доступ к интернету по Wi-Fi, необходимо настроить NAT. Откройте меню New Terminal для ввода команд.
Настройка NAT выполняется следующими командами:
, где интерфейс провайдера — это интерфейс, на который приходит интернет от провайдера, например ether1. Для PPPoE соединений указывается название PPPoE интерфейса. Настройки NAT достаточно, чтобы заработал интернет.
Изоляция гостевой подсети
Чтобы гости не смогли попасть в соседнюю подсеть офиса, нужно изолировать гостевую подсеть с помощью правила фаервола. Для этого выполните в терминале следующую команду:
ip firewall filter add chain=forward src-address=192.168.2.0/24 dst-address=192.168.0.0/16 action=drop
, где 192.168.2.0/24 — это адрес гостевой подсети.
192.168.0.0/16 — это адреса подсетей класса С.
После этого не забудьте в меню IP — Firewall — Filter Rules перетащить добавленное правило вверх выше запрещающих.
Подключение к виртуальной Wi-Fi точке MikroTik
Подключим ноутбук по Wi-Fi к виртуальной Wi-Fi сети.
В правом нижнем углу монитора открываем значок со списком беспроводных сетей, находим нашу виртуальную Wi-Fi сеть MikroTik2 и нажимаем кнопку Подключение.
В следующем окне вводим пароль для доступа к виртуальной Wi-Fi точке MikroTik.
После подключения на ноутбуке появится интернет.
Настройка гостевой сети WiFi на Mikrotik
Опубликовано: 03.06.2020
Используемые термины: Mikrotik, WiFi. Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.
Создание гостевой сети
Переходим к настройке WiFi интерфейсов: Переходим на вкладку Security Profiles — кликаем по плюсу для создания нового профиля — задаем имя для профиля и настраиваем безопасность: * в данном примере будет создан профиль с названием profile_wifi_guest; разрешаем только WPA2; задаем ключ безопасности (пароль для подключения к WiFi). На вкладке WiFi Interfaces создаем новый виртуальный интерфейс (Virtual): На вкладке General задаем имя для нашей гостевой беспроводной сети: Переходим на вкладку Wireless — задаем SSID — выбираем реальный беспроводной интерфейс (Master Interface) и профиль безопасности, который мы создали ранее:
Настройка IP-адресации
Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP. Переходим в раздел IP: . и Pool: На вкладке Pools создаем новый диапазон адресов: * в данном примере мы создали список адресов 172.16.10.2-172.16.10.254. Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка. Переходим в раздел IP — DHCP Server: На вкладке DHCP создаем новую настройку: * где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов. Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу: * где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google. Осталось назначить IP для самого микротика. Переходим в IP — Addresses: Создаем новый адрес: * мы создадим новый IP адрес 172.16.10.1, который будет назначен роутеру гостевому интерфейсу.
Блокируем доступ к локальной сети
Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра. Переходим в IP — Firewall: На вкладке Filter Rules создаем новое правило: * мы должны создать правило в Chain forward; запрещающее запросы из локальной сети (192.168.88.0/24) в гостевую (172.16.10.0/24). В вашем случае это могут быть другие подсети. . а на вкладке Action мы должны выбрать drop: Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную: Перенесем созданные правила повыше: Готово.
Если в гостевой сети нет Интернета
- Устройство, подключенное к WiFi получает IP-адрес автоматически, а не вручную.
- Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
- Нет специально созданных правил Firewall, которые запрещают весь трафик.
- Убедиться, что микротик, в принципе, раздает Интернет.
Ограничение и лимиты
Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.
Скорость
Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues:
На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:
- Name — имя нашего скоростного ограничения.
- Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
- Max Limit — максимальная скорость передачи данных.
- Burst Limit — скорость в режиме turbo.
- Burst Threshold — скорость, при превышении которой активируется режим ограничения.
- Burst Time — время в секундах для расчета средней скорости.
Нажимаем OK для завершения настройки.
Время (расписание работы WiFi)
Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:
/interface wireless set [ find name=»Guest WiFi» ] disabled=yes
/interface wireless set [ find name=»Guest WiFi» ] disabled=no
* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.
Переходим в раздел System:
. и Scheduler:
Создаем новую задачу по расписанию и указываем следующие настройки:
- Name — имя для задания.
- Start Time — время начала отработки. Предположим, в 8 утра.
- Interval — период отработки. В данном примере каждый день.
- On Event — что выполняем.
И следом создаем задание на выключение WiFi: