Всех приветствую на нашем портале! В статье я постараюсь как можно короче, но понятно рассказать про настройку гостевой Wi-Fi сети в маршрутизаторе MikroTik. При этом можно воспользоваться несколькими способами: через VLAN, отдельный HotSpot, CAPsMAN, отдельный мост или отдельную подсеть на виртуальной точке доступа. Но я решил показать вам вариант, который будет наиболее понятным и приемлемым для обычного пользователя.
Сразу уточню важный момент. Инструкция ниже больше подходит для классического меню «Wireless» в RouterOS 6 и части устройств на RouterOS 7 со старым wireless-пакетом. На новых MikroTik с RouterOS 7.13 и новее может использоваться другое меню – «WiFi», а не «Wireless». Логика остается той же: создаем отдельную гостевую Wi-Fi сеть, даем ей свою подсеть, DHCP, доступ в интернет и запрещаем доступ к домашней локальной сети.
ВАЖНО! Перед настройкой гостевой сети сделайте резервную копию конфигурации. В WinBox зайдите в «Files» – «Backup» или выполните экспорт через терминал. MikroTik – гибкая штука, но если случайно ошибиться в firewall или bridge, можно потерять доступ к роутеру. Если вы только начинаете работать с MikroTik, сначала посмотрите базовую настройку роутера в этой инструкции.
Что мы будем делать
Смысл гостевой сети простой: гости получают интернет, но не видят ваши домашние устройства. То есть они не должны иметь доступ к компьютерам, NAS, принтерам, камерам, умному дому и самому роутеру. Для этого мы создадим отдельную Wi-Fi сеть, отдельный bridge, отдельный IP-адрес, DHCP-сервер и firewall-правила.
Примерно схема будет такая:
- основная сеть – например,
192.168.88.0/24; - гостевая сеть – например,
192.168.50.0/24; - шлюз гостевой сети –
192.168.50.1; - пул адресов для гостей –
192.168.50.2-192.168.50.254; - гости выходят в интернет через NAT;
- доступ из гостевой сети в локальную сеть запрещен firewall-правилом.
Если вам нужно именно несколько изолированных сетей на одном Wi-Fi модуле, можно отдельно почитать про саму идею нескольких SSID и MBSSID в этой статье. В MikroTik это чаще реализуется через Virtual AP, VLAN или отдельные datapath-настройки в новом WiFi-меню.
Инструкция
- «Wireless» – «Security Profiles» – кликаем на плюсик для создания. Можете назвать профиль как угодно, например
guest-profile. Устанавливаем нужный тип аутентификации. Я в качестве примера установил «Mode» как «dynamic keys». Для обычной гостевой сети лучше использовать WPA2-PSK с AES и нормальный пароль. Можно выбрать «none», тогда гостевая сеть будет без пароля, но я бы так делал только для публичного хотспота с отдельной авторизацией.
Открытая сеть без пароля – не лучший вариант для дома или офиса. Любой человек рядом сможет подключиться и использовать ваш интернет. Если нужна сеть для гостей, проще поставить отдельный пароль и менять его по необходимости. WEP и старый WPA с TKIP использовать не советую – это устаревшие варианты защиты. Если хотите подробнее разобраться в типах безопасности Wi-Fi, посмотрите статью про WPA, WPA2 и WPA3.
- Там же переходим на первую вкладку и опять нажимаем по плюсу, чтобы создать новый интерфейс. Нужно выбрать тип «Virtual AP». Теперь указываем наименование беспроводной сети в поле «SSID». А вот в поле «Security Profile» нужно выбрать именно тот профиль, который мы создали ранее на прошлом шаге.
Virtual AP работает как дополнительная Wi-Fi сеть поверх основного беспроводного интерфейса. Важно, чтобы основной интерфейс был включен и работал в режиме точки доступа. Если основной Wi-Fi отключен или настроен не как AP, виртуальная сеть может не подняться. На новых прошивках и новых Wi-Fi пакетах меню может называться «WiFi», а сама настройка делается через configuration и datapath. Но общий смысл тот же – создаем отдельный SSID для гостей.
- У вас должен создаться виртуальный интерфейс под основным. Выглядит это примерно так, как на картинке выше.
Если виртуальный интерфейс сразу красный или неактивный, проверьте основной wlan-интерфейс. Он должен быть включен, не должен быть disabled, и у него должен быть корректный wireless mode. Также проверьте страну, частоту, канал и безопасность. Если сама основная Wi-Fi сеть не работает, гостевая сеть тоже нормально не поднимется. По базовой настройке Wi-Fi на MikroTik можно отдельно посмотреть материал про настройку MikroTik hAP Lite – там многие базовые принципы такие же.
- Чтобы пользователи в гостевой сети были отделены от основной сети, нужно создать новый мост. Для этого переходим в «Bridge» и создаем новый bridge. Просто впишите любое удобное для вас имя, например
bridge-guest, и нажимаем «ОК».
Отдельный bridge нужен для того, чтобы не смешивать гостевые устройства с домашней сетью на втором уровне. Если добавить гостевой Virtual AP в основной bridge, гости окажутся в той же локальной сети, что и ваши компьютеры. Это как раз то, чего мы не хотим. Поэтому гостевой Wi-Fi интерфейс отправляем в отдельный мост, а уже на этот мост вешаем отдельный IP-адрес и DHCP.
- Теперь там же переходим во вторую вкладку «Ports» и создаем новый порт. Указываем второй интерфейс, который мы ранее создали, например
wlan2или ваш Virtual AP, и указываем для него ранее созданный мостbridge-guest.
На этом шаге мы как бы подключаем виртуальную Wi-Fi сеть к отдельному гостевому коммутатору внутри роутера. Если этот шаг пропустить, клиенты могут видеть SSID и даже пытаться подключаться, но нормальной сети и адресов у них не будет. После добавления порта убедитесь, что интерфейс не disabled и нет ошибки в названии.
- «IP» – «Addresses». Нажимаем по плюсику и выбираем в «Interface» не сам
wlan2, а наш гостевой мостbridge-guest. В качестве адреса можно взять, например,192.168.50.1/24. Это будет шлюз для гостевой сети.
В старых инструкциях часто можно встретить добавление IP-адреса прямо на wlan2. Для простой схемы иногда это может сработать, но если мы уже создали отдельный bridge и добавили Virtual AP в этот bridge, правильнее вешать IP-адрес именно на bridge. Так схема получается понятнее и стабильнее: интерфейс Wi-Fi является портом моста, а сам bridge выступает шлюзом для гостевой сети.
- «IP» – «DHCP Server» – «Networks». Создаем новую сеть. В поле «Address» указываем нашу гостевую сеть, например
192.168.50.0/24. В «Gateway» указываем192.168.50.1. В качестве DNS можно указать адрес нашего шлюза192.168.50.1или внешние DNS, если вы их используете.
Если вы указываете DNS как адрес самого MikroTik, проверьте «IP» – «DNS» и включите «Allow Remote Requests». Тогда роутер сможет отвечать гостям как DNS-сервер. Если этот пункт выключен, клиенты могут получить адрес, но сайты по именам открываться не будут. При этом сам интернет по IP может работать, и это часто сбивает с толку новичков.
- Для того чтобы был определенный диапазон адресов, нужно зайти «IP» – «Pool». Создаем диапазон. Как вы уже догадались, первая цифра уже зарезервирована нашим шлюзом, поэтому начнем отсчет от 2. Например, можно указать
192.168.50.2-192.168.50.254. Пул можно создать любой – сколько адресов вам нужно, столько и задаем.
Для квартиры или небольшого офиса обычно хватает 20-50 адресов. Если сеть используется в кафе, офисе или месте, где гостей много, можно сделать пул больше. Главное, чтобы адреса не пересекались с основной сетью. Например, если основная сеть у вас 192.168.88.0/24, гостевую можно сделать 192.168.50.0/24. Не делайте две сети одинаковыми, иначе потом firewall и маршрутизация будут работать непредсказуемо.
- «IP» – «DHCP Server» – «DHCP». Создаем новый DHCP-сервер и называем его как вам хочется, например
dhcp-guest. В строке «Interface» нужно выбрать нашbridge-guest. В строке «Address Pool» указываем пул, созданный на предыдущем шаге.
После этого подключите телефон к гостевой сети и проверьте, получает ли он IP-адрес. Если адрес начинается с 192.168.50., DHCP работает правильно. Если телефон получает адрес из основной сети или вообще не получает адрес, значит ошибка в bridge, DHCP Server, Pool или Network. На этом этапе не переходите дальше, пока клиент не получит правильный адрес.
ПРОВЕРКА! После подключения к гостевой сети откройте на телефоне свойства Wi-Fi и посмотрите IP-адрес. Он должен быть из гостевой подсети. Потом попробуйте открыть любой сайт. Если адрес есть, но сайта нет, проверьте NAT и DNS. Если адреса нет, проверяйте DHCP и bridge.
- Сеть уже создается и к ней даже можно будет подключиться, но гостевым клиентам еще нужно дать выход в интернет и при необходимости ограничить скорость. Сначала проверьте NAT: «IP» – «Firewall» – «NAT». Если у вас уже есть общее правило
masqueradeна WAN-интерфейс, гостевая сеть может сразу выйти в интернет. Если нет, создайте правило:chain=srcnat,src-address=192.168.50.0/24,out-interface– ваш WAN,action=masquerade.
Без NAT гости могут получить IP-адрес, но интернет у них не появится. Это частая ошибка: Wi-Fi подключается, DHCP работает, а сайты не открываются. NAT нужен для того, чтобы устройства из гостевой подсети выходили в интернет через внешний адрес роутера. Если у вас WAN не один, а несколько, указывайте тот интерфейс, через который действительно идет интернет. Подробнее про NAT на MikroTik можно посмотреть в общей инструкции по настройке MikroTik.
Теперь можно ограничить скорость. Для этого переходим во вкладку из левого меню «Queue» и создаем новое правило. Сначала именуем правило. В следующей вкладке «Target» нужно выбрать нашу подсеть гостей, например 192.168.50.0/24. «Target Upload» и «Target Download» – это скорость отправки и загрузки данных. Нужно установить верхний предел или «Max Limit». «Burst Limit» – скорость в режиме турбо. «Burst Threshold» – при какой скорости срабатывает режим турбо. «Burst Time» – период, за который идет расчет скорости, указан в секундах.
Для новичка я бы сначала не трогал Burst вообще. Поставьте обычный Max Limit, например 10M/30M, где первое значение – upload, второе – download. Потом проверьте скорость на телефоне. Если все работает, уже можно экспериментировать с Burst. Для гостевой сети ограничение полезно: один гость не сможет забить весь канал скачиванием тяжелого файла.
- Теперь нужно запретить доступ к локальным машинам и устройствам по любым протоколам. Делать это правильнее не через «IP» – «Route», а через «IP» – «Firewall» – «Filter Rules». Создаем правило в цепочке
forward:src-address=192.168.50.0/24,dst-address=192.168.88.0/24,action=drop. Вместо192.168.88.0/24укажите вашу основную локальную сеть.
Это один из самых важных пунктов. Route с unreachable для такой задачи часто только путает, а иногда ломает маршрутизацию не так, как вы ожидаете. Firewall Filter – более понятный и правильный инструмент: мы прямо говорим роутеру, что из гостевой подсети в домашнюю локальную сеть ходить нельзя. При этом выход в интернет остается, потому что интернет – это не ваша локальная подсеть.
Если у вас не одна локальная сеть, а несколько, например
192.168.88.0/24,192.168.10.0/24и сеть камер, нужно закрыть доступ ко всем таким подсетям. Удобнее создать «Address List» с названиемlocal-netsи добавить туда все внутренние сети. Потом сделать одно правило: из192.168.50.0/24вlocal-nets– drop. Если хотите глубже понять логику удаленного и локального доступа, посмотрите статью про доступ к MikroTik из интернета – там хорошо видна сама идея ограничения доступа.
Также нужно запретить гостям доступ к самому MikroTik. Для этого создаем правило в цепочке input: src-address=192.168.50.0/24, action=drop. Но перед этим должны быть разрешены нужные сервисы для гостей, например DNS и DHCP, если роутер их обслуживает. Обычно DHCP работает до IP firewall, а DNS идет на сам роутер, поэтому для DNS можно добавить разрешающее правило на UDP/TCP 53 от гостевой подсети, а уже ниже поставить drop на остальной input.
ВАЖНО! Порядок firewall-правил в MikroTik имеет значение. Разрешающие правила должны стоять выше запрещающих. Если поставить общий drop для гостевой сети слишком высоко, у гостей может пропасть DNS или вообще интернет. Если боитесь потерять доступ к роутеру, работайте через WinBox в Safe Mode.
- Осталось совсем чуть-чуть. Теперь можно запретить установку статических IP-адресов в гостевой сети. «IP» – «DHCP Server» – в первой вкладке нужно выбрать ранее созданный нами DHCP и включить добавление ARP-записей для выданных адресов, если такая настройка есть в вашей версии RouterOS.
Этот пункт не обязателен для всех. Он нужен, если вы хотите, чтобы гости не могли вручную прописать себе IP-адрес и обойти выдачу DHCP. Но для обычной домашней гостевой сети чаще достаточно отдельной подсети и firewall-правил. Если вы не уверены, как работает ARP reply-only, можно сначала пропустить этот пункт и вернуться к нему позже.
- «Bridge» – выбираем наш гостевой мост и указываем в строке «ARP» – «reply-only». Это будет работать вместе с добавлением ARP-записей из DHCP. Если после этого клиенты перестали получать интернет, временно верните ARP в обычный режим и проверьте DHCP.
Смысл такой: роутер будет отвечать только тем устройствам, которые получили адрес через DHCP и попали в ARP-таблицу. Если гость вручную поставит себе левый статический IP, связь может не заработать. Но настройка требовательная: если DHCP или ARP настроены неаккуратно, можно получить ситуацию, когда гости подключены, но интернета нет.
- Осталось немного улучшить безопасность, чтобы из гостевой сети никто не смог зайти на сам «Микротик». «IP» – «Services» – оставляем только те сервисы, которыми вы пользуетесь. Но это еще не все: нажимаем на открытые сервисы и указываем, для какой сети будет открыт доступ. Просто указываем нашу локальную сеть администратора, а не гостевую.
Я бы оставил доступ к WinBox, WebFig, SSH или другим сервисам только из основной локальной сети. Telnet и FTP лучше отключить, если вы ими не пользуетесь. API тоже не нужен большинству домашних пользователей. Чем меньше открытых сервисов, тем меньше шансов, что гость или случайное устройство попытается зайти в управление роутером. Если вы не знаете пароль администратора или используете стандартный логин, обязательно проверьте отдельный материал про пароль по умолчанию MikroTik.
Проверка после настройки
После настройки обязательно проверьте все руками. Подключитесь к гостевой сети с телефона или ноутбука. Убедитесь, что устройство получило IP-адрес из гостевой подсети. Откройте несколько сайтов. Затем попробуйте зайти на IP-адрес основного роутера, NAS, принтера или домашнего компьютера. Доступа быть не должно.
Минимальная проверка:
- гость получает адрес из своей подсети;
- интернет у гостя работает;
- локальные устройства основной сети не открываются;
- админка MikroTik из гостевой сети не открывается;
- скорость ограничена, если вы создавали Queue;
- основная Wi-Fi сеть продолжает работать как раньше.
Если после настройки перестал работать интернет у всех, значит вы задели общие правила NAT или firewall. Если интернет пропал только у гостей, проверяйте NAT, DNS, DHCP и firewall forward. Если гости видят домашние устройства, значит правило drop в forward не сработало или стоит ниже разрешающего правила. В MikroTik порядок правил – это половина успеха.
Для новых RouterOS с меню WiFi
На новых устройствах MikroTik и свежих версиях RouterOS вместо «Wireless» может быть меню «WiFi». Там логика другая: создается security profile, configuration и datapath. Гостевой SSID можно привязать к отдельному bridge или VLAN через datapath. Если у вас именно такое меню, не ищите один в один пункты со скриншотов – они относятся к старому wireless-интерфейсу.
В новом варианте схема все равно та же:
- создаем отдельную Wi-Fi конфигурацию для гостевого SSID;
- делаем отдельный datapath или bridge/VLAN;
- назначаем гостевой подсети IP-адрес;
- создаем DHCP-сервер;
- добавляем NAT;
- закрываем доступ к локальной сети через firewall.
Если у вас несколько точек MikroTik и нужен нормальный роуминг, лучше смотреть в сторону CAPsMAN и VLAN. Для простой квартиры или одного роутера Virtual AP с отдельным bridge проще. Если же сеть большая, с несколькими точками доступа, коммутаторами и разными сегментами, VLAN будет правильнее, чем отдельные мосты на каждом устройстве.
FAQ – частые вопросы
Можно ли сделать гостевую сеть MikroTik без VLAN?
Да, можно. В этой инструкции как раз показан вариант с Virtual AP, отдельным bridge, отдельной подсетью, DHCP, NAT и firewall-изоляцией. Для одного роутера дома или в маленьком офисе этого обычно достаточно.
Почему гостевая сеть видна, но интернет не работает?
Чаще всего нет NAT для гостевой подсети, неправильно настроен DNS или DHCP выдает не тот шлюз. Проверьте, получает ли клиент IP-адрес, какой у него шлюз и есть ли masquerade для гостевой сети.
Почему гости видят мои домашние компьютеры?
Значит, гостевая сеть не изолирована. Проверьте, не добавили ли вы Virtual AP в основной bridge. Также проверьте firewall rule в chainforward, который должен запрещать доступ из гостевой подсети в основную локальную сеть.
Нужно ли включать ARP reply-only?
Не обязательно. Это дополнительная защита от ручной установки статического IP. Для домашней сети чаще достаточно DHCP и firewall-правил. Если включаете ARP reply-only, убедитесь, что DHCP добавляет ARP-записи, иначе клиенты могут потерять связь.
Какой пароль поставить на гостевую сеть?
Лучше использовать WPA2-PSK AES и пароль от 10-12 символов. Открытую сеть без пароля я бы делал только для публичного хотспота с отдельной авторизацией и ограничениями.
Где ограничивать скорость гостям?
Самый простой способ – Simple Queue с Target на гостевую подсеть, например192.168.50.0/24. Сначала задайте обычный Max Limit, а Burst настраивайте уже после проверки.
Почему в моей RouterOS нет меню Wireless?
На новых версиях и новых устройствах может использоваться меню «WiFi» вместо «Wireless». Скриншоты из этой инструкции относятся к классическому wireless-пакету. В новом меню принцип тот же, но названия разделов отличаются.
Теперь вы понимаете, что настроить гостевую виртуальную Wi-Fi сеть на базе MikroTik не так сложно, как кажется на первый взгляд. Главное – не просто создать второй SSID, а правильно отделить его от основной сети: отдельный bridge, отдельная подсеть, DHCP, NAT и firewall. После этого гости смогут пользоваться интернетом, но не смогут спокойно лазить по вашим локальным устройствам и превышать заданный предел скорости скачивания.
















Всё настроилось. Автору спасибо)
Не мог понять, почему не получается. А я главу одну пропустил, аха)))
Воу, полная инструкция, даже как-то странно. Молодец автор. Много времени сэкономил)
Переписывают друг друга. Только ничего не работает
Кто бы там чего ни переписывали – можно ведь было постараться написать более развернутый комментарий с описанием всех действий и возникших проблем на каждом этапе? А там бы уже и не переписыватели подключились)
Вопрос, а Firewall настраивать под гостевую сеть не требуется?
Можно, но зачем? В гостевая сеть будет отрезана от всего, а они там пусть творят что хотят…
А если Микротик в режиме bridge что делать ? В сети уже есть роутер и DHCP-сервер. Сделал все по интсрукции, гостевая сеть появилась, шлюз пингуется, но инета на ней нет.
Явно же где-то работа DHCP поломана или вообще выбиты в разные подсети.
1. Начните с конечного узла. Какие получены IP, шлюз, DNS, маска? Сравнить с адресами Микротика. Точно шлюз первичного роутера выдан? Точно подсеть одна? Точно ДНС правильные?
2. Если на первом этапе все правильно (вряд ли) – сверяйте так же попарно Микротик и центральный роутер.
Народ у меня гостевая сеть итак к локальной доступа не имеет. Надо без роутинга. И не должна по идее у них же свои адреса и свой мост. А как сделать чтоб наоборот у меня к гостевой сети доступ был?
Тож столкнулся с тем, что в гостевой сети не было интернета. А ошибся из за невнимательности, на 7 этапе «IP» – «DHCP Server» – «Networks» DNS 8.8.8.8 случайно указал в графе Domain
Удобнее на файерволе создать правило в цепочке “Input” запрещающее доступ из гостевой сети, чем перечислять несколько в “Services”. Через год уже не вспомните, что там есть ограничение и будет сюрприз при смене провайдера или IP-адреса на внешнем интерфейсе, например, легко потерять доступ из дома или другого сегмента сети.
Инструкция хорошая, в свое время когда не было знаний, но была необходимость очень бы помогла такая. Единственно есть замечание: те у кого хватит сил дойти до ограничения скорости – ничего не получиться, так как автор забыл похоже упомянуть начинающим, что дефолтно в IP-Firewall имеется forward fasttrack – штука временами хорошая и нужная, но очереди, которыми в статье произведено ограничение скорости не работают при включенном fasttrack
Плюсик за дополнение
Доброго времени суток.
Как сделать чтоб гости работали не более 20 минут (аренда IP ту поможет) и следующие 5 часов не могли подключиться повторно (а как ЭТО воплотить) ?
Спасибо.
Насколько я знаю, там можно только настроить расписание работы сети.
Пожалуйста, расширьте инструкцию до двух- и трёхдиапазонных MikroTik’ов
Забыли добавить, что в новый созданный мост нужно еще добавить физический интерфейс. откуда приходит канал… Ну или не создавать новый мост.
Подскажите, как настроить гостевую сеть на Mikrotik, который подключен к другому Mikrotik в режиме Bridge по кабелю? Основная сеть Wi-Fi работает нормально, переключается бесшовно с первым роутером. Создал в добавок к ней виртуальную сеть на втором, но на ней нет инета. Как грамотно сделать?
Подскажите пожалуйста, как делать чтобы SSID отображалась в смартфоне не ромбики с вопросами, а кириллица? Мне надо кириллицу. В Router OS в винбоксе русские символы вбиваются. Был в другом месте – там была кириллица в SSID, я точно помню.
Впервые слышу, чтобы в качестве SSID использовали русские названия. Я бы от греха подальше переименовал, использовав английские буквы