Всех приветствую на нашем портале! В статье я постараюсь как можно короче, но понятно рассказать про настройку гостевой WiFi сети в маршрутизаторе Mikrotik. При этом можно воспользоваться несколькими способами от VLAN до создания отдельного HotSpot. Но я решил показать вам ещё один вариант, который будет наиболее понятным и приемлемым.
Содержание
Инструкция
- «Wireless» – «Security Profiles» – кликаем на плюсик для создания. Можете обозвать сеть как угодно. Устанавливаем нужный тип аутентификации. Я в качестве примера установил «Mode» как «dinamic keys», но можно выбрать «none», тогда гостевая сеть будет без пароля.
- Там же переходим на первую вкладку и опять нажимаем по плюсу, чтобы создать новый интерфейс. Нужно выбрать тип «Virtual AP». Теперь указываем наименования беспроводной сети в поле «SSID». А вот в поле «Security Profile» нужно выбрать именно тот профиль, который мы создали ранее на прошлом шаге.
- У вас должен создаться виртуальный интерфейс под основным. Выглядит это примерно так как на картинке выше.
- Чтобы пользователи в гостевой сети были отрезаны от других, нужно создать новый мост. Для этого переходим в «Bridge» и создаем новый. Просто впишите любое удобное для вас имя и нажимаем «ОК».
- Теперь там же переходим во вторую вкладку и создаем новый порт. Указываем второй интерфейс, который мы ранее создали – «wlan2» и указываем для него ранее созданный мост.
- «IP» – «Adresses». Нажимаем по плюсику и выбираем наш Wlan2 в «Interface». В качестве параметров возьмите те же цифры, как и у меня – смотрим на картинку выше.
- «IP» – «DHCP Server» – «Networks». Создаем новую сеть. В качестве DNS у нас будет адрес нашего шлюза.
- Для того чтобы был определенный диапазон, нужно зайти «IP» – «Pool». Создаем диапазон. Как вы уже догадались первая цифра уже зарезервирована нашим шлюзом поэтому начнем отчет от 2. Пул можно создать любой – какой захотите я выбрал 49 адресов. Если этого не достаточно то можете выбрать больше.
- «IP» – «DHCP Server» – «DHCP». Создаем новый и называем его как вам хочется. Но вот «interface» нужно выбрать тот, который мы задавали на шаге 4. В строке «Address Pool» указываем пул созданный на предыдущем шаге.
- Сеть уже работает и создается и к ней даже можно будет подключиться, но вот проблема в том, что у гостевых клиентов нет ограничение скорости. Вы догадываетесь к чему это может привести. Поэтому нужно ограничить им скорость. Для этого переходим во вкладку из левого меню «Queue» и создаем новое правило. А теперь по поводу правил. Сначала именуем правило. В следующей вкладке «Target» нужно выбрать нашу подсеть гостей. «Target Upload» и «Target Download» – это скорость загрузки и отправки данных. Нужно установить верхним предел или «Max Limit» – то есть первая строка. «Burst Limit» – скорость в режиме турбо. «Burst Threshold» – при какой скорости срабатывает режим турбо. «Burst Time» – период между которым идёт расчет скорости (указан в секундах).
- Теперь нужно запретить доступ к локальным машинам и устройствам по любым протоколам. «IP» – «Route». Теперь нам надо создать первое правило, которое запрещает доступ к локальной сети нашей гостевой. Для этого создаем правило в первой строке указываем локальную сеть, а во второй гостевую. В «Action» указываем «unreachable». То же самое делаем и наоборот, чтобы из гостевой не было доступа в локальную.
- Осталось совсем чуть-чуть. Теперь надо запретить установку статических IP адресов в гостевой сети. «IP» – «DHCP Server» – в первой вкладке нужно выбрать ранее созданную нами «DHCP» и установить галочку как на картинке выше.
- «Bridge» – выбираем наш мост и указываем в строке «ARP» – «reply-only».
- Осталось немного улучшить безопасность, чтобы из гостевой никто не смог зайти на сам «Микротик». «IP» – «Services» – оставляем только те порты, которыми вы пользуетесь. Но это ещё не все, нам надо нажать на открытые порты и указать доступ для какой сети будет открыт. Просто указываем нашу локальную сеть.
Теперь вы понимаете, что настроить гостевую виртуальную «ВиФи» сеть на базе Микротик, не так сложно как кажется на первый взгляд. Беспроводная сеть должна после этого правильно работать, а к ней можно спокойно подключиться гостям. Также пользователи не смогут превышать предельный допустимый предел скорости скачивания.
Всё настроилось. Автору спасибо)
Не мог понять, почему не получается. А я главу одну пропустил, аха)))
Воу, полная инструкция, даже как-то странно. Молодец автор. Много времени сэкономил)
Переписывают друг друга. Только ничего не работает
Кто бы там чего ни переписывали – можно ведь было постараться написать более развернутый комментарий с описанием всех действий и возникших проблем на каждом этапе? А там бы уже и не переписыватели подключились)
Вопрос, а Firewall настраивать под гостевую сеть не требуется?
Можно, но зачем? В гостевая сеть будет отрезана от всего, а они там пусть творят что хотят…
А если Микротик в режиме bridge что делать ? В сети уже есть роутер и DHCP-сервер. Сделал все по интсрукции, гостевая сеть появилась, шлюз пингуется, но инета на ней нет.
Явно же где-то работа DHCP поломана или вообще выбиты в разные подсети.
1. Начните с конечного узла. Какие получены IP, шлюз, DNS, маска? Сравнить с адресами Микротика. Точно шлюз первичного роутера выдан? Точно подсеть одна? Точно ДНС правильные?
2. Если на первом этапе все правильно (вряд ли) – сверяйте так же попарно Микротик и центральный роутер.
Народ у меня гостевая сеть итак к локальной доступа не имеет. Надо без роутинга. И не должна по идее у них же свои адреса и свой мост. А как сделать чтоб наоборот у меня к гостевой сети доступ был?
Тож столкнулся с тем, что в гостевой сети не было интернета. А ошибся из за невнимательности, на 7 этапе «IP» – «DHCP Server» – «Networks» DNS 8.8.8.8 случайно указал в графе Domain
Удобнее на файерволе создать правило в цепочке “Input” запрещающее доступ из гостевой сети, чем перечислять несколько в “Services”. Через год уже не вспомните, что там есть ограничение и будет сюрприз при смене провайдера или IP-адреса на внешнем интерфейсе, например, легко потерять доступ из дома или другого сегмента сети.
Инструкция хорошая, в свое время когда не было знаний, но была необходимость очень бы помогла такая. Единственно есть замечание: те у кого хватит сил дойти до ограничения скорости – ничего не получиться, так как автор забыл похоже упомянуть начинающим, что дефолтно в IP-Firewall имеется forward fasttrack – штука временами хорошая и нужная, но очереди, которыми в статье произведено ограничение скорости не работают при включенном fasttrack
Плюсик за дополнение
Доброго времени суток.
Как сделать чтоб гости работали не более 20 минут (аренда IP ту поможет) и следующие 5 часов не могли подключиться повторно (а как ЭТО воплотить) ?
Спасибо.
Насколько я знаю, там можно только настроить расписание работы сети.
Пожалуйста, расширьте инструкцию до двух- и трёхдиапазонных MikroTik’ов
Забыли добавить, что в новый созданный мост нужно еще добавить физический интерфейс. откуда приходит канал… Ну или не создавать новый мост.
Подскажите, как настроить гостевую сеть на Mikrotik, который подключен к другому Mikrotik в режиме Bridge по кабелю? Основная сеть Wi-Fi работает нормально, переключается бесшовно с первым роутером. Создал в добавок к ней виртуальную сеть на втором, но на ней нет инета. Как грамотно сделать?