Как настроить гостевую беспроводную сеть на роутере Mikrotik

Обновлено и опубликовано Опубликовано:

Используемые термины: MikrotikWiFi.

Оборудование Mikrotik поддерживает возможность создания гостевой беспроводной сети, подключившись к которой пользователь будет изолирован от локальной сети — он получит доступ только к Интернет. Настройку выполним в несколько этапов.

Прежде чем начать, необходимо, чтобы была выполнена базовая настройка роутера.

Создание гостевой сети

Переходим к настройке WiFi интерфейсов:

Переходим к беспроводным сетям

Переходим на вкладку Security Profiles — кликаем по плюсу для создания нового профиля — задаем имя для профиля и настраиваем безопасность:

Настойка профиля безопасности для WiFi

* в данном примере будет создан профиль с названием profile_wifi_guest; разрешаем только WPA2; задаем ключ безопасности (пароль для подключения к WiFi).

На вкладке WiFi Interfaces создаем новый виртуальный интерфейс (Virtual):

Переходим к созданию виртуальной WiFi

На вкладке General задаем имя для нашей гостевой беспроводной сети:

Заполняем поля для создания виртуальной WiFi

Переходим на вкладку Wireless — задаем SSID — выбираем реальный беспроводной интерфейс (Master Interface) и профиль безопасности, который мы создали ранее:

Настройка для гостевой беспроводной сети

Настройка IP-адресации

Приступим к настройке гостевой подсети. Мы назначим WiFi интерфейсу отдельный IP-адрес и зададим настройки для DHCP.

Переходим в раздел IP:

Переходим к настройкам IP

… и Pool:

Переходим к настройкам Pool

На вкладке Pools создаем новый диапазон адресов:

Настройка пула для назначения беспроводной сети

* в данном примере мы создали список адресов 172.16.10.2-172.16.10.254. Это диапазон для гостевых клиентов — при подключении компьютер будет получать один адрес из данного списка.

Переходим в раздел IPDHCP Server:

Переходим к настройке DHCP Server

На вкладке DHCP создаем новую настройку:

Заполняем поля для настройки DHCP беспроводной сети

* где Name — имя для настройки; Interface — сетевой интерфейс, на котором будет работать данная настройка DHCP; Address Pool — выбираем созданный нами пул адресов.

Теперь переходим на вкладку Networks и создаем новую подсеть, которая соответствует нашему пулу:

Настройка сети для WiFi

* где 172.16.10.0/24 — подсеть для клиентов гостевой WiFi; 172.16.10.1 — шлюз (это будет наш Mikrotik); 77.88.8.8 и 8.8.8.8 — публичные DNS от Яндекса и Google.

Осталось назначить IP для самого микротика. Переходим в IPAddresses:

Переходим к IP - Addresses

Создаем новый адрес:

Задаем настройки для IP адреса на сетевом интерфейсе WiFi

* мы создадим новый IP адрес 172.16.10.1, который будет назначен роутеру гостевому интерфейсу.

Блокируем доступ к локальной сети

Гостевая сеть настроена, но пока, ее клиенты могут получить доступ к ресурсам основной сети. Для запрета настроим правила брандмауэра.

Переходим в IPFirewall:

Переходим к настройке Firewall

На вкладке Filter Rules создаем новое правило:

Запрещаем трафик между локальной сетью и гостевой

* мы должны создать правило в Chain forward; запрещающее запросы из локальной сети (192.168.88.0/24) в гостевую (172.16.10.0/24). В вашем случае это могут быть другие подсети.

… а на вкладке Action мы должны выбрать drop:

Запрещаем трафик между локальной сетью и гостевой

Теперь создаем еще одно аналогичное правило, только запрещающее запросы из гостевой сети в локальную:

Запрещаем трафик между локальной сетью и гостевой

Запрещаем трафик между локальной сетью и гостевой

Перенесем созданные правила повыше:

Перемещаем созданные правила выше

Готово.

Если в гостевой сети нет Интернета

Проверяем следующее:

  1. Устройство, подключенное к WiFi получает IP-адрес автоматически, а не вручную.
  2. Корректно заданы настройки для сервера DHCP — адрес шлюза, DNS, назначен правильный интерфейс, на котором будет раздача адресов.
  3. Нет специально созданных правил Firewall, которые запрещают весь трафик.
  4. Убедиться, что микротик, в принципе, раздает Интернет.

Ограничение и лимиты

Рассмотрим некоторые ограничения, которые можно наложить на гостевую сеть.

Скорость

Чтобы уменьшить пропускную способность нашей гостевой WiFi, переходим в раздел Queues:

Переходим в раздел Queues

На вкладке Simple Queues добавляем новую очередь и на вкладке General задаем имя для настройки и выбираем интерфейс, для которого вводим ограничения, также задаем лимиты на скорость:

Настраиваем ограничение скорости для гостевой сети

* где:

  • Name — имя нашего скоростного ограничения.
  • Target — для чего задается ограничение. Можно выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
  • Max Limit — максимальная скорость передачи данных.
  • Burst Limit — скорость в режиме turbo.
  • Burst Threshold — скорость, при превышении которой активируется режим ограничения.
  • Burst Time — время в секундах для расчета средней скорости.

Нажимаем OK для завершения настройки.

Время (расписание работы WiFi)

Для включения и выключения гостевой сети мы воспользуемся встроенным планировщиком и командами:

/interface wireless set [ find name=»Guest WiFi» ] disabled=yes

/interface wireless set [ find name=»Guest WiFi» ] disabled=no

* где Guest WiFi — имя нашей беспроводной сети; disabled=yes — выключаем WiFi-интерфейс; disabled=no — включает.

Переходим в раздел System:

Переходим в раздел System

… и Scheduler:

Переходим в раздел Scheduler

Создаем новую задачу по расписанию и указываем следующие настройки:

Настройка правила по расписанию для включения гостевой WiFi

* где:

  • Name — имя для задания.
  • Start Time — время начала отработки. Предположим, в 8 утра.
  • Interval — период отработки. В данном примере каждый день.
  • On Event — что выполняем.

И следом создаем задание на выключение WiFi:

Настройка правила по расписанию для выключения гостевой WiFi

Готово.