Содержание
- 1 Инструкция
- 2 СОЗДАЙТЕ ПРОФИЛЬ БЕЗОПАСНОСТИ И ВИРТУАЛЬНУЮ ТОЧКУ ДОСТУПА
- 3 СОЗДАЙТЕ ИНТЕРФЕЙС VLAN
- 4 СОЗДАТЬ НОВЫЙ МОСТ
- 5 НАЗНАЧИТЬ ПОДСЕТЬ ДЛЯ НОВОГО МОСТА
- 6 СОЗДАТЬ DHCP-СЕРВЕР
- 7 СОЗДАНИЕ И РАЗМЕЩЕНИЕ ПРАВИЛ ФИЛЬТРА БРАНДМАУЭРА
- 8 Предисловие
- 9 Приступаем к настройке
- 10 Повышаем безопасность внутренней сети
Всех приветствую на нашем портале! В статье я постараюсь как можно короче, но понятно рассказать про настройку гостевой WiFi сети в маршрутизаторе Mikrotik. При этом можно воспользоваться несколькими способами от VLAN до создания отдельного HotSpot. Но я решил показать вам ещё один вариант, который будет наиболее понятным и приемлемым.
Инструкция
- «Wireless» – «Security Profiles» – кликаем на плюсик для создания. Можете обозвать сеть как угодно. Устанавливаем нужный тип аутентификации. Я в качестве примера установил «Mode» как «dinamic keys», но можно выбрать «none», тогда гостевая сеть будет без пароля;
- Там же переходим на первую вкладку и опять нажимаем по плюсу, чтобы создать новый интерфейс. Нужно выбрать тип «Virtual AP». Теперь указываем наименования беспроводной сети в поле «SSID». А вот в поле «Security Profile» нужно выбрать именно тот профиль, который мы создали ранее на прошлом шаге;
- У вас должен создаться виртуальный интерфейс под основным. Выглядит это примерно так как на картинке выше;
- Чтобы пользователи в гостевой сети были отрезаны от других, нужно создать новый мост. Для этого переходим в «Bridge» и создаем новый. Просто впишите любое удобное для вас имя и нажимаем «ОК»;
- Теперь там же переходим во вторую вкладку и создаем новый порт. Указываем второй интерфейс, который мы ранее создали – «wlan2» и указываем для него ранее созданный мост;
- «IP» – «Adresses». Нажимаем по плюсику и выбираем наш Wlan2 в «Interface». В качестве параметров возьмите те же цифры, как и у меня – смотрим на картинку выше;
- «IP» – «DHCP Server» – «Networks». Создаем новую сеть. В качестве DNS у нас будет адрес нашего шлюза;
- Для того чтобы был определенный диапазон, нужно зайти «IP» – «Pool». Создаем диапазон. Как вы уже догадались первая цифра уже зарезервирована нашим шлюзом поэтому начнем отчет от 2. Пул можно создать любой – какой захотите я выбрал 49 адресов. Если этого не достаточно то можете выбрать больше.
Экономим на лицензиях Mikrotik CHR- «IP» – «DHCP Server» – «DHCP». Создаем новый и называем его как вам хочется. Но вот «interface» нужно выбрать тот, который мы задавали на шаге 4. В строке «Address Pool» указываем пул созданный на предыдущем шаге;
- Сеть уже работает и создается и к ней даже можно будет подключиться, но вот проблема в том, что у гостевых клиентов нет ограничение скорости. Вы догадываетесь к чему это может привести. Поэтому нужно ограничить им скорость. Для этого переходим во вкладку из левого меню «Queue» и создаем новое правило. А теперь по поводу правил. Сначала именуем правило. В следующей вкладке «Target» нужно выбрать нашу подсеть гостей. «Target Upload» и «Target Download» – это скорость загрузки и отправки данных. Нужно установить верхним предел или «Max Limit» – то есть первая строка. «Burst Limit» – скорость в режиме турбо. «Burst Threshold» – при какой скорости срабатывает режим турбо. «Burst Time» – период между которым идёт расчет скорости (указан в секундах).
- Теперь нужно запретить доступ к локальным машинам и устройствам по любым протоколам. «IP» – «Route». Теперь нам надо создать первое правило, которое запрещает доступ к локальной сети нашей гостевой. Для этого создаем правило в первой строке указываем локальную сеть, а во второй гостевую. В «Action» указываем «unreachable». То же самое делаем и наоборот, чтобы из гостевой не было доступа в локальную;
- Осталось совсем чуть-чуть. Теперь надо запретить установку статических IP адресов в гостевой сети. «IP» – «DHCP Server» – в первой вкладке нужно выбрать ранее созданную нами «DHCP» и установить галочку как на картинке выше.
- «Bridge» – выбираем наш мост и указываем в строке «ARP» – «reply-only».
- Осталось немного улучшить безопасность, чтобы из гостевой никто не смог зайти на сам «Микротик». «IP» – «Services» – оставляем только те порты, которыми вы пользуетесь. Но это ещё не все, нам надо нажать на открытые порты и указать доступ для какой сети будет открыт. Просто указываем нашу локальную сеть.
Теперь вы понимаете, что настроить гостевую виртуальную «ВиФи» сеть на базе Микротик, не так сложно как кажется на первый взгляд. Беспроводная сеть должна после этого правильно работать, а к ней можно спокойно подключиться гостям. Также пользователи не смогут превышать предельный допустимый предел скорости скачивания.
Это обычная практика безопасности для настройки беспроводной гостевой сети в отдельной VLAN. Это позволяет полностью изолировать трафик между вашей частной и гостевой сетями. В этом руководстве будет рассказано только о том, как реализовать эту конкретную настройку на маршрутизаторах MikroTik со встроенным WiFi, таким как RB951, RB962 и т. Д. Прежде чем продолжить, я предполагаю, что частная беспроводная сеть уже существует и полностью функционирует. Кроме того, все скриншоты и инструкции в этом руководстве сделаны с использованием программного обеспечения MikroTik WinBox.
СОЗДАЙТЕ ПРОФИЛЬ БЕЗОПАСНОСТИ И ВИРТУАЛЬНУЮ ТОЧКУ ДОСТУПА
В Winbox выберите Wireless слева и перейдите на вкладку «Профили безопасности». Нажмите кнопку + (плюс), чтобы создать новый профиль безопасности. Я отключил WPA PSK, оставив включенным только WPA2 PSK. Также убедитесь, что вы установили безопасный / сложный пароль. Смотрите скриншот для деталей:
PC360После этого перейдите на вкладку «Интерфейсы WiFi», нажмите кнопку «+» (плюс) и выберите «Виртуальный» в меню. На вкладке Общие установите Имя для Виртуальной точки доступа, что-то описательное, например, WiFi-Guest. После этого перейдите на вкладку «Беспроводная связь» и установите SSID, профиль безопасности, режим VLAN и идентификатор VLAN. Идентификатор VLAN будет соответствовать интерфейсу VLAN, который мы будем создавать на следующем шаге. Смотрите скриншоты для более подробной информации:
СОЗДАЙТЕ ИНТЕРФЕЙС VLAN
В Winbox выберите «Интерфейсы» слева и перейдите на вкладку «VLAN». Нажмите кнопку + (плюс), чтобы создать новый интерфейс VLAN. Идентификатор VLAN равен «10», а интерфейс — «WiFi-гость». Это значения, которые были установлены на предыдущем шаге при создании виртуальной точки доступа. Смотрите скриншот для деталей:
ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс> вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. В этом случае вы можете либо не использовать списки интерфейсов, а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN. Если MikroTik использует списки интерфейсов и вы не добавляете интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа к Интернету. В частности, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:
ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс> вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. В этом случае вы можете либо не использовать списки интерфейсов (требуются изменения правил фильтра брандмауэра), а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов ЛВС (без фильтра брандмауэра). изменения правил необходимы).
Если MikroTik использует списки интерфейсов и вы не добавляете интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа к Интернету. В частности, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:
/ip firewall filter addaction=drop chain=input comment=«defconf: drop all not coming from LAN»in-interface-list=!LAN
СОЗДАТЬ НОВЫЙ МОСТ
В Winbox выберите Bridge с левой стороны и перейдите на вкладку Bridge. Нажмите кнопку + (плюс), чтобы создать новый мост. Установите для имени моста значение «Bridge-VLAN10». Смотрите скриншот для деталей:
После этого перейдите на вкладку «Порты» и нажмите кнопку «+» (плюс), чтобы добавить интерфейс к мосту. Этот шаг необходимо будет выполнить дважды, по одному разу для каждого интерфейса, добавляемого к Bridge-VLAN10. Добавьте интерфейс «Wifi-Guest» и «VLAN10» к мосту «Bridge-VLAN10». Смотрите скриншоты для более подробной информации:
НАЗНАЧИТЬ ПОДСЕТЬ ДЛЯ НОВОГО МОСТА
В Winbox выберите IP слева и перейдите к Адресу. Нажмите кнопку + (плюс), чтобы создать назначение адреса / интерфейса. Установите Адрес на «10.10.10.1/24» и Интерфейс на «Bridge-VLAN10». Смотрите скриншот для деталей:
СОЗДАТЬ DHCP-СЕРВЕР
В Winbox выберите IP слева и перейдите к DHCP-серверу. На вкладке DHCP нажмите кнопку «DHCP Setup» и завершите работу мастера, чтобы создать DHCP-сервер для гостевого WiFi. Смотрите скриншот для деталей:
СОЗДАНИЕ И РАЗМЕЩЕНИЕ ПРАВИЛ ФИЛЬТРА БРАНДМАУЭРА
В Winbox выберите IP слева и перейдите к Firewall. На вкладке Правила фильтра нажмите кнопку + (плюс), чтобы создать новое правило фильтра. См. Снимок экрана ниже, который показывает, как создать правило фильтра брандмауэра, чтобы блокировать трафик гостевой VLAN ТОЛЬКО в частную сеть.
После создания нового правила фильтрации брандмауэра, поместите правило фильтра брандмауэра соответственно в список фильтров брандмауэра — порядок имеет значение. В обязанности вашего ИТ-отдела / провайдера входит проверка безопасности между двумя отдельными сетями, чтобы убедиться, что гостевая сеть VLAN10 (интерфейс Bridge-VLAN10) не может обмениваться данными с устройствами / клиентами в частной сети.
При необходимости можно добавить второе правило для блокировки трафика из частной сети в гостевую сеть VLAN. Для этого просто создайте другое правило, но поменяйте местами значения «In. Интерфейс »и« Out. Интерфейс». Как реализовать правило фильтрации брандмауэра, зависит от политик безопасности вашего ИТ-отдела / провайдера.
В этом примере используются сетевые интерфейсы, которые были созданы на MikroTik для разделения двух сетей, но с такой же легкостью можно создать IP-адрес с косой чертой (CIDR), если это необходимо. Опять же, это зависит от вашего ИТ-отдела / провайдера.
Все это руководство основано на графическом интерфейсе, но я решил включить следующие команды ниже, которые создадут оба правила фильтра брандмауэра для блокировки трафика от гостя к частному и от частного к гостевому. Вся команда может быть вставлена в терминал MirktoTik. Имейте в виду, что после создания правил фильтрации их все равно необходимо соответствующим образом разместить в списке правил фильтрации брандмауэра.
/ip firewall filter addaction=drop chain=forward disabled=yesin-interface=Bridge out-interface=Bridge-VLAN10 addaction=drop chain=forward disabled=yesin-interface=Bridge-VLAN10 out-interface=Bridge
Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.
Хотите научиться работать с MikroTik? В этом поможет видеокурс «Настройка оборудования MikroTik». Посмотрите 25 уроков из этого курса бесплатно.
Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.
Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.
И тут возникает вопрос – как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.
Предисловие
Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.
В качестве локальной сети выступает 192.168.106.0/24.
Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.
Приступаем к настройке
Шаг 1. Создаем профиль безопасности для Wi-Fi
Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).
Шаг 2. Создаем новый беспроводной интерфейс
Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.
После этих действий, под wlan1 добавится виртуальный интерфейс.
Шаг 3. Создаем новый бридж для гостевой сети
Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.
Шаг 4. Задаем адресное пространство гостевой сети
Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.
В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:
- 10.0.0.0 — 10.255.255.255
- 172.16.0.0 — 172.31.255.255
- 192.168.0.0 — 192.168.255.255
Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.
По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.
Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.
Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.
Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.
Шаг 5. Создаем новый сервер DHCP
В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.
Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? – о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.
Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue
И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.
Пример настройки VLAN в коммутаторах ZyXEL- Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
- Upload – скорость отправки данных;
- Download – скорость загрузки;
- Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.
При указании скорости можно использовать индексы k и M:
- k – скорость в кбит/сек;
- M – скорость в Мбит/сек;
Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.
- Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
- Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
- Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.
Как работает ограничение?
Давайте рассмотрим, как это работает на примере.
Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.
В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.
Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.
Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.
Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.
В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.
Повышаем безопасность внутренней сети
По-умолчанию, пинг во внутреннюю сеть из гостевой проходить не будет, но существуют варианты обхода этих ограничений. Поэтому рассмотрим варианты повышения безопасности.
Шаг 7. Запрещаем доступ в локальную сеть
Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил «Action: unreachable» создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.
Шаг 8. Запрещаем статические IP в гостевой сети
Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера.
Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».
Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».
Шаг 9. Запрещаем управление Mikrotik из гостевой сети
Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.
Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.
На этом все, надеемся эта инструкция будет вам полезной.
Хотите научиться работать с MikroTik? В этом поможет видеокурс «Настройка оборудования MikroTik». Посмотрите 25 уроков из этого курса бесплатно.
Используемые источники:
- https://wifigid.ru/mikrotik/gostevoj-wi-fi-na-mikrotik
- https://19216811.ru/mikrotik-nastroyka-gostevogo-dostupa-k-wifi
- https://xn——xlcfvffioc4g.xn--p1ai/articles/mikrotik/81-guest-wi-fi-wi-fi-mikrotik-routeros
Загрузка...
Настройка роутера MikroTik RB4011iGS, за 5 минут
Настройка PPPoE сервера на mikrotik
Простая настройка роутера Mikrotik - пошаговое руководство
Настройка PPPoE на Микротик