Настройка гостевой сети WiFi на Mikrotik

Используемые термины: Mikrotik , WiFi .

Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.

Прежде чем начать, необходимо, чтобы была выполнена базовая настройка роутера.

Создание гостевой сети

Переходим к настройке WiFi интерфейсов:

Переходим на вкладку Security Profiles — кликаем по плюсу для создания нового профиля — задаем имя для профиля и настраиваем безопасность:

* в данном примере будет создан профиль с названием profile_wifi_guest ; разрешаем только WPA2 ; задаем ключ безопасности (пароль для подключения к WiFi).

На вкладке WiFi Interfaces создаем новый виртуальный интерфейс ( Virtual ):

На вкладке General задаем имя для нашей гостевой беспроводной сети:

Переходим на вкладку Wireless — задаем SSID — выбираем реальный беспроводной интерфейс ( Master Interface ) и профиль безопасности, который мы создали ранее:

Настройка IP-адресации

Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP.

Переходим в раздел IP :

… и Pool :

На вкладке Pools создаем новый диапазон адресов:

* в данном примере мы создали список адресов 172.16.10.2-172.16.10.254 . Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка.

Переходим в раздел IP — DHCP Server :

На вкладке DHCP создаем новую настройку:

* где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов.

Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу:

* где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google.

Осталось назначить IP для самого микротика. Переходим в IP — Addresses :

Создаем новый адрес:

* мы создадим новый IP адрес 172.16.10.1 , который будет назначен роутеру гостевому интерфейсу.

Блокируем доступ к локальной сети

Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра.

Переходим в IP — Firewall :

На вкладке Filter Rules создаем новое правило:

* мы должны создать правило в Chain forward; запрещающее запросы из локальной сети ( 192.168.88.0/24 ) в гостевую ( 172.16.10.0/24 ). В вашем случае это могут быть другие подсети.

… а на вкладке Action мы должны выбрать drop :

Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную:

Перенесем созданные правила повыше:

Готово.

Если в гостевой сети нет Интернета

Проверяем следующее:

1. Устройство, подключенное к WiFi получает IP-адрес автоматически , а не вручную.
2. Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
3. Нет специально созданных правил Firewall, которые запрещают весь трафик.
4. Убедиться, что микротик, в принципе, раздает Интернет.

Ограничение и лимиты

Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.

Скорость

Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues :

На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:

* где:

• Name — имя нашего скоростного ограничения.
• Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
• Max Limit — максимальная скорость передачи данных.
• Burst Limit — скорость в режиме turbo.
• Burst Threshold — скорость, при превышении которой активируется режим ограничения.
• Burst Time — время в секундах для расчета средней скорости.

Нажимаем OK для завершения настройки.

Время (расписание работы WiFi)

Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:

* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.

Переходим в раздел System :

… и Scheduler :

Создаем новую задачу по расписанию и указываем следующие настройки:

* где:

• Name — имя для задания.
• Start Time — время начала отработки. Предположим, в 8 утра.
• Interval — период отработки. В данном примере каждый день.
• On Event — что выполняем.

И следом создаем задание на выключение WiFi:

Готово.