Присутствие гостевой сети в IT инфраструктуре решает две задачи:

  • Можно не беспокоиться о передачи пароля от WiFi. Участник гостевой сети будет иметь только выход в интернет;
  • Изобилие подключенных смартфонов не смогут “положить” сеть, но и также не будут источником нового вируса.

Настройка гостевой WiFi в MikroTik, Guest сеть

Это незначительные модификации настроек доступа к WiFi, но в корпоративном сегменте могут обладать большей ролью в защите коммерческой информации и работы сети. WiFi устройств в стандартной сети превышает количество проводных, поэтому не лишним будет наделить локальную сеть ещё одним методом для защиты данных.

В рамках стать будут рассмотрены такие настройки:

  1. Настройка гостевой сети для отдельной точки доступа;
  2. Настройка гостевой WiFi на контроллере CAPsMAN;
  3. Настройка Firewall для гостевой сети;
  4. Ограничение скорости для гостевой WiFi.

Чтобы рекламировать сайт через WiFi сеть нужно воспользоваться службой Hotspot, описанной в статье «Настройка MikroTik Hotspot, гостевая(free) сеть WiFi с рекламой »

Как известно, устройства MikroTik поддерживают два метода конфигурирования WiFi:

  • Через закладку Wireless. Точка доступа WiFi или роутер будут выступать в роли единственного источника WiFi(пример настройки );
  • Контроллер “бесшовного” роуминга CAPsMAN. Все точки доступа будут подключать к контроллеру CAPsMAN и принимать параметры WiFi, которые описаны в его конфигурации(пример настройки ).

1. Пример настройки гостевой(guest) WiFi сети на роутере MikroTik hAP ac2

В исходной конфигурации имеем полностью настроенный роутер(пример настройки MikroTik hAP ac2 ), на базе которого нужно добавить гостевую WiFi сеть для посетителей или смартфонов.

Этапы настройки гостевой(guest) WiFi в MikroTik, для отдельной точки доступа:

Создание отдельного Bridge

Настройка находится в Bridge→Bridge

Настройка гостевой WiFi в MikroTik, создание отдельного Bridge

/interface bridge
add admin-mac=32:BC:CF:2D:96:CE arp=reply-only auto-mac=no name=Bridge-Guest

ARP=reply-only запретит ручное конфигурирование сетевых параметров со стороны клиента, т.е. на WiFi устройство нельзя установить САМОСТОЯТЕЛЬНО статический IP адрес.

Добавление отдельного пароля для гостевой сети

Настройка находится в Wireless→Security Profiles

Настройка гостевой WiFi в MikroTik, добавление пароля для guest сети

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" group-key-update=1h \
management-protection=allowed mode=dynamic-keys name=\
Security-Profile-Guest supplicant-identity="" wpa2-pre-shared-key=\
050WWWXXYY

Настройка виртуальных интерфейсов

Для каждого модуля WiFi нужно добавить Virtual интерфейс, который будет определен как гостевой WiFi.

Настройка находится в Wireless→WiFi Interfaces

Настройка гостевой WiFi в MikroTik, добавление виртуальных интерфейсов

Настройка гостевой WiFi в MikroTik, настройка virtual интерфейса для 2.4ГГц

Настройка гостевой WiFi в MikroTik, настройка virtual интерфейса для 5ГГц

/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
76:4D:28:24:35:C5 master-interface=wlan1 multicast-buffering=disabled \
name=wlan3 security-profile=Security-Profile-Guest ssid=Guest-WiFI \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
76:4D:28:24:35:C5 master-interface=wlan2 multicast-buffering=disabled \
name=wlan4 security-profile=Security-Profile-Guest ssid=Guest-WiFI \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

Default Forward=no WiFi устройства не будут видеть друг друга.

Вот так должны выглядеть вновь созданные виртуальные интерфейсы для гостевой WiFi сети:

Настройка гостевой WiFi в MikroTik, список WiFi интерфейсов

Добавление виртуальных интерфейсов в Bridge

Настройка находится в Bridge→Ports

Настройка гостевой WiFi в MikroTik, добавление виртуальных интерфейсов в Bridge

/interface bridge port
add bridge=Bridge-Guest interface=wlan3
add bridge=Bridge-Guest interface=wlan4

Настройка IP адресации и DHCP сервера

Настройка находится в IP→Addresses

Настройка гостевой WiFi в MikroTik, настройка IP адреса

/ip address
add address=10.10.10.1/24 interface=Bridge-Guest network=10.10.10.0

Производим стандартные настройки DHCP сервера

Настройка находится в IP→DHCP Server→DHCP→DHCP Setup

Настройка гостевой WiFi в MikroTik, настройка DHCP сервера

Настройка гостевой WiFi в MikroTik, настройка DHCP сервера для guest сети

Настройка гостевой WiFi в MikroTik, определение подсети для DHCP сервера

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка гостевой WiFi в MikroTik, определение шлюза для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение диапазона IP для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение DNS сервера для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение время выдачи IP для DHCP сервера

Настройка гостевой WiFi в MikroTik, завершение установки DHCP сервера

А далее в вновь созданному DHCP серверу указываем параметр Add ARP For Leases = yes, чтобы запретить использование статических IP адресов вне ARP таблицы роутера.

Настройка гостевой WiFi в MikroTik, помещать выданные IP в ARP таблицу

/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1
/ip pool
add name=dhcp_pool2 ranges=10.10.10.2-10.10.10.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=Bridge-Guest \
lease-time=4h name=dhcp1

Как работает блокировка по ARP записям «Настройка MikroTik ARP, запрет использования статического IP адреса »


2. Пример настройки гостевой(guest) WiFi сети в CAPsMAN MikroTik

За основу настроек будет выбран полностью сконфигурированный контроллер “бесшовного” роуминга CAPsMAN.

Этапы настройки гостевой(guest) WiFi в MikroTik, для контроллера CAPsMAN:

Создание отдельного Bridge для CAPsMAN

Настройка находится в Bridge→Bridge

Настройка гостевой WiFi в MikroTik, создание отдельного Bridge

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

/interface bridge
add admin-mac=32:BC:CF:2D:96:CE arp=reply-only auto-mac=no name=Bridge-Guest

ARP=reply-only запретит ручное конфигурирование сетевых параметров со стороны клиента, т.е. на WiFi устройство нельзя установить САМОСТОЯТЕЛЬНО статический IP адрес.

Добавление отдельного пароля для гостевой сети в CAPsMAN

Настройка находится в CAPsMAN→Security Cfg.

Настройка гостевой WiFi в MikroTik, добавление отдельного пароля для guest сети в CAPsMAN

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
group-key-update=1h name=Security-Profile-Guest passphrase=050617XXYY

Добавление нового Datapath в CAPsMAN

Настройка находится в CAPsMAN→Datapaths

Настройка гостевой WiFi в MikroTik, добавление отдельного datapath для guest сети в CAPsMAN

/caps-man datapath
add bridge=Bridge-Guest name=Datapath-Guest

Настройка конфигурации для гостевой сети в CAPsMAN

Настройка находится в CAPsMAN→Configurations

Настройка гостевой WiFi в MikroTik, создание конфигурации для guest сети 2.4Ггц в CAPsMAN

Настройка гостевой WiFi в MikroTik, указать channel для guest сети 2.4Ггц в CAPsMAN

Настройка гостевой WiFi в MikroTik, указать datapath для guest сети 2.4Ггц в CAPsMAN

Настройка гостевой WiFi в MikroTik, указать пароль для guest сети 2.4Ггц в CAPsMAN

/caps-man configuration
add channel=channel-24 datapath=Datapath-Guest mode=ap name=Cfg-2.4-Guest \
security=Security-Profile-Guest ssid=Guest-WiFi
add channel=channel-5 datapath=Datapath-Guest mode=ap name=Cfg-5-Guest \
security=Security-Profile-Guest ssid=Guest-WiFi

Аналогичные действия нужно произвести для канала 5ГГц, в качестве параметра Channel выбрать соответствующую частоту. По итогам настройки раздел конфигурации будет иметь вид:

Настройка гостевой WiFi в MikroTik, список конфигарации после добавиления guest WiFi в CAPsMAN

Добавление конфигурации в раздел “Provisioning” в CAPsMAN

Настройка находится в CAPsMAN→Provisioning

Настройка гостевой WiFi в MikroTik, обновление provisioning для guest сети 2.4Ггц в CAPsMAN

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка гостевой WiFi в MikroTik, обновление provisioning для guest сети 5Ггц в CAPsMAN

/caps-man provisioning
add action=create-enabled hw-supported-modes=b,gn master-configuration=cfg-24 \
name-format=identity slave-configurations=Cfg-2.4-Guest
add action=create-enabled hw-supported-modes=an,ac master-configuration=cfg5 \
name-format=identity slave-configurations=Cfg-5-Guest

Обновление конфигурации для точек доступа CAPsMAN

Настройка находится в CAPsMAN→Remote CAP→Provision

Настройка гостевой WiFi в MikroTik, обновление конфигурации точек доступа в CAPsMAN

Вся описанные настройки приведут к изменениям на всех подключенных точках доступа и раздел с интерфейсами CAPsMAN будет иметь вид:

Настройка гостевой WiFi в MikroTik, вид CAPsMAN после добавление гостевой сети

Настройка IP адресации и DHCP для CAPsMAN

Настройка находится в IP→Addresses

Настройка гостевой WiFi в MikroTik, настройка IP адреса

/ip address
add address=10.10.10.1/24 interface=Bridge-Guest network=10.10.10.0

Производим стандартные настройки DHCP сервера

Настройка находится в IP→DHCP Server→DHCP→DHCP Setup

Настройка гостевой WiFi в MikroTik, настройка DHCP сервера

Настройка гостевой WiFi в MikroTik, настройка DHCP сервера для guest сети

Настройка гостевой WiFi в MikroTik, определение подсети для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение шлюза для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение диапазона IP для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение DNS сервера для DHCP сервера

Настройка гостевой WiFi в MikroTik, определение время выдачи IP для DHCP сервера

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка гостевой WiFi в MikroTik, завершение установки DHCP сервера

А далее в вновь созданному DHCP серверу указываем параметр Add ARP For Leases = yes, чтобы запретить использование статических IP адресов вне ARP таблицы роутера.

Настройка гостевой WiFi в MikroTik, помещать выданные IP в ARP таблицу

/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1
/ip pool
add name=dhcp_pool2 ranges=10.10.10.2-10.10.10.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=Bridge-Guest \
lease-time=4h name=dhcp1

3. Настройка Firewall для гостевой(guest) WiFi сети в MikroTik

Данные правила будут являться общими, независимо какой тип конфигурирования настроен на точке доступа.

Настройка находится в IP→Firewall→Filter Rules

Исходная конфигурация Firewall следующая:

Настройка гостевой WiFi в MikroTik, вид Firewall до добавления правил guest

/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=accept chain=input in-interface=Bridge-LAN
add action=accept chain=forward in-interface=Bridge-LAN
add action=accept chain=input in-interface=pppoe-out1 protocol=icmp
add action=drop chain=input in-interface=pppoe-out1 src-address-list=\
!Remote-Access
add action=drop chain=forward connection-nat-state=!dstnat in-interface=\
pppoe-out1 src-address-list=!Remote-Access
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid

И для гостевой сети нужно добавить 4-ре правила, которые разрешать пользоваться только интернет интерфейсом и запретят любые другие действия.

Настройка гостевой WiFi в MikroTik, разрешить выход в интернет

Настройка MikroTik VPN IpSec, создать правило с цепочкой srсnat accept

Настройка гостевой WiFi в MikroTik, разрешить использовать DNS сервер роутера

Настройка MikroTik VPN IpSec, создать правило с цепочкой srсnat accept

Настройка гостевой WiFi в MikroTik, запретить любой входящий трафик в Firewall

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка Mikrotik winbox, правило firewall drop

Настройка гостевой WiFi в MikroTik, запретить любой проходящий трафик в Firewall

Настройка Mikrotik winbox, правило firewall drop

Настройка гостевой WiFi в MikroTik, вид Firewall после созданий правил для guest сети

/ip firewall filter
add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
out-interface=pppoe-out1
add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=\
udp
add action=drop chain=input in-interface=Bridge-Guest
add action=drop chain=forward in-interface=Bridge-Guest

Ограничение скорости для гостевой(guest) WiFi сети в MikroTik

Настройка находится в Queueses→Firewall→Filter Rules

Без ограничений для доступа к интернету

Настройка гостевой WiFi в MikroTik, равномерное распределение скорости интернета для guest сети

/queue simple
add dst=pppoe-out1 max-limit=95M/95M name=Queue-Guest target=\
10.10.10.0/24,192.168.0.0/24

Все участники сети будут с равными правами на деление скорости интернет канала.

Гостевой сети будет выделено 10Мб\с

Настройка гостевой WiFi в MikroTik, ограничение скорости интернета для guest сети

/queue simple
add dst=pppoe-out1 max-limit=10M/10M name=Queue-Guest target=\
10.10.10.0/24

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Есть вопросы или предложения по настройке гостевой(Guest) WiFi в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий