Настройка гостевой сети WiFi на Mikrotik
Опубликовано:
Используемые термины: Mikrotik, WiFi.
Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.
Добавляем новую конфигурацию для гостевой WiFi
Создаем пул IP-адресов для гостевой сети
Создаем правила для изоляции гостевой сети от локальной
Если в гостевой сети нет доступа в Интернет
Задаем лимиты для гостевой сети
Ограничиваем скорость
Запускаем сеть по расписанию
Прежде чем начать, необходимо, чтобы была выполнена базовая настройка роутера.
Создание гостевой сети
Переходим к настройке WiFi интерфейсов:
Переходим на вкладку Security Profiles - кликаем по плюсу для создания нового профиля - задаем имя для профиля и настраиваем безопасность:
* в данном примере будет создан профиль с названием profile_wifi_guest; разрешаем только WPA2; задаем ключ безопасности (пароль для подключения к WiFi).
На вкладке WiFi Interfaces создаем новый виртуальный интерфейс (Virtual):
На вкладке General задаем имя для нашей гостевой беспроводной сети:
Переходим на вкладку Wireless - задаем SSID - выбираем реальный беспроводной интерфейс (Master Interface) и профиль безопасности, который мы создали ранее:
Настройка IP-адресации
Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP.
Переходим в раздел IP:
... и Pool:
На вкладке Pools создаем новый диапазон адресов:
* в данном примере мы создали список адресов 172.16.10.2-172.16.10.254. Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка.
Переходим в раздел IP - DHCP Server:
На вкладке DHCP создаем новую настройку:
* где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов.
Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу:
* где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google.
Осталось назначить IP для самого микротика. Переходим в IP - Addresses:
Создаем новый адрес:
* мы создадим новый IP адрес 172.16.10.1, который будет назначен роутеру гостевому интерфейсу.
Блокируем доступ к локальной сети
Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра.
Переходим в IP - Firewall:
На вкладке Filter Rules создаем новое правило:
* мы должны создать правило в Chain forward; запрещающее запросы из локальной сети (192.168.88.0/24) в гостевую (172.16.10.0/24). В вашем случае это могут быть другие подсети.
... а на вкладке Action мы должны выбрать drop:
Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную:
Перенесем созданные правила повыше:
Готово.
Если в гостевой сети нет Интернета
Проверяем следующее:
- Устройство, подключенное к WiFi получает IP-адрес автоматически, а не вручную.
- Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
- Нет специально созданных правил Firewall, которые запрещают весь трафик.
- Убедиться, что микротик, в принципе, раздает Интернет.
Ограничение и лимиты
Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.
Скорость
Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues:
На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:
* где:
- Name — имя нашего скоростного ограничения.
- Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
- Max Limit — максимальная скорость передачи данных.
- Burst Limit — скорость в режиме turbo.
- Burst Threshold — скорость, при превышении которой активируется режим ограничения.
- Burst Time — время в секундах для расчета средней скорости.
Нажимаем OK для завершения настройки.
Время (расписание работы WiFi)
Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:
/interface wireless set [ find name="Guest WiFi" ] disabled=yes
/interface wireless set [ find name="Guest WiFi" ] disabled=no
* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.
Переходим в раздел System:
... и Scheduler:
Создаем новую задачу по расписанию и указываем следующие настройки:
* где:
- Name — имя для задания.
- Start Time — время начала отработки. Предположим, в 8 утра.
- Interval — период отработки. В данном примере каждый день.
- On Event — что выполняем.
И следом создаем задание на выключение WiFi:
Готово.
