Mikrotik создает гостевую сеть Wi-Fi

Обновлено: 21.11.2024

Одна из лучших функций Wi-Fi-маршрутизатора — создание виртуальной точки беспроводного доступа, чтобы не сообщать гостям основной пароль Wi-Fi. узнайте пошагово, как настроить гостевой WiFi в Mikrotik AP с виртуальными SSID, используя несколько имен WiFi.

Как настроить гостевой WiFi в Mikrotik AP

MikroTik — одна из надежных и моих любимых точек доступа Wi-Fi из-за отличной операционной системы маршрутизатора. Настройка гостевой сети Wi-Fi — это безопасный и умный способ защитить собственный Wi-Fi, избегая передачи основного пароля Wi-Fi гостю. В ОС маршрутизаторов MikroTik есть замечательная функция, позволяющая создавать несколько SSID с разделением VLAN.

Мы уже опубликовали информацию о настройке и настройке контроллера Mikrotik Capsman, который является отличным контроллером Wi-Fi. Вы можете создать более одного виртуального SSID, чтобы создать имя WIFi для разных отделов с функциями изоляции. В этом посте мы шаг за шагом опишем, как настроить гостевой WiFi в MikroTik AP.

Чтобы добавить второе имя WiFi в маршрутизатор Mikrotik, необходимо получить доступ к ОС маршрутизатора с помощью утилиты WInbox. Следуйте инструкциям по настройке нескольких виртуальных SSID в маршрутизаторе MikroTik.

Подключите маршрутизатор MikroTik и войдите в систему с помощью утилиты настройки Winbox.

Добавить виртуальную точку доступа в беспроводной маршрутизатор MikroTik для настройки гостевого Wi-Fi

Теперь создайте виртуальный SSID для разных сетей в офисе и дома.

Перейдите в раздел "Беспроводная связь" в меню слева.

Беспроводные столы: интерфейс

Нажмите кнопку (+) "Плюс" и выберите параметр "Виртуальный", как показано на изображении ниже.

Настроить имя WiFi для второй гостевой сети WiFi

Виртуальная точка доступа — это лучший способ сохранить конфиденциальность вашей личной сети Wi-Fi при совместном использовании Wi-Fi с гостем.

EXP: вы можете создавать виртуальные точки доступа для своего детского Wi-Fi с ограниченным временем и скоростью. В офисе вы можете создать несколько имен SSID, таких как «Управление WiFi», «Учетные записи WIFI», «Продажи WiFi». При настройке гостевого Wi-Fi в Mikrotik всегда изолируйте виртуальную точку доступа, чтобы защитить ваши личные данные.

Режим: мост приложений

SSID: гостевой WiFi (укажите имя WiFi для второй сети WiFi)

Если вы используете сеть VLAN для разделения сетей, используйте идентификатор VLAN, чтобы сделать гостевой Wi-Fi с помощью VLAN.

Нажмите кнопку «Применить» и «ОК», чтобы сохранить виртуальный SSID.

Настроить пароль для гостевой сети WiFi

Очень важно установить пароль Wi-Fi, чтобы создать другую защищенную сеть.

Чтобы установить пароль для нескольких SSID WiFi, выполните следующие действия.

Беспроводные столы — вкладка «Профили безопасности»

Нажмите кнопку +, чтобы создать новый профиль безопасности для Mikrotik Virtual AP.

Новый профиль безопасности

Общие:

Имя: Гость (введите имя профиля безопасности, которое вы идентифицируете при предоставлении виртуальной сети AP)

Режим: динамические клавиши

Тип аутентификации: WPA PSK / WPA2PSK (рекомендуется)

Шифры одноадресной рассылки: aes ccm.

Групповые шифры: aes ccm.

Предварительный общий ключ WPA: введите пароль WiFi для VAP.

Предварительно общий ключ WPA2: введите пароль еще раз.

Нажмите кнопку "Применить" и "ОК" для сохранения.

Выберите безопасность в виртуальной сети WiFi

Каждой виртуальной беспроводной сети, которую вы добавили в маршрутизатор, должен быть назначен новый профиль безопасности.

Следуйте картинке, показывающей два ssid в интерфейсе.

1: Перейти к беспроводному интерфейсу

Нажмите на список Multiple SSID, как показано на изображении ниже, чтобы назначить профиль безопасности Wi-Fi.

2. Дважды щелкните виртуальную точку доступа (Wlan2, Wlan3)

3: Профиль безопасности: выберите созданный профиль безопасности. Нажмите на стрелку, чтобы выбрать один из нескольких профилей безопасности.

Нажмите кнопку «Применить» и «ОК», чтобы сохранить настройки.

Теперь перейдите в раздел Wi-Fi для мобильных устройств/ноутбуков и проверьте сеть WiFi, показывающую более одной сети от одного маршрутизатора Mikrotik.

Если вы используете контроллер Capsman для управления всеми устройствами MikroTik, вы также можете настроить несколько SSID Mikrotik capsman непосредственно в контроллере, а не добавлять по одному в каждый Mikrotik WiFi.

В зависимости от настройки существуют различные способы настройки Wi-Fi MikroTik для гостевого доступа. В этом примере я буду использовать маршрутизатор MikroTik RB951G-2Hnd со встроенным WiFi. Я буду использовать функцию виртуальной точки доступа MikroTik для создания второго SSID для гостевого доступа. Гости, подключающиеся к этому SSID, будут иметь доступ в Интернет, но, что более важно, гости в сети Wi-Fi будут подключены к отдельной подсети, чем те, кто подключен к частной сети Wi-Fi. Чтобы уточнить, среда в этом примере уже имеет настройку WiFi для частного использования. Частный WiFi находится в той же подсети (192.168.100.0/24), что и частная сеть. Кроме того, мы настроим доступ в Интернет для гостей через Wi-Fi в другой подсети (10.10.10.0/24), при этом заблокировав доступ к устройствам в частной сети.

Шаг 01. Создайте виртуальную точку доступа

Создание виртуальной точки доступа фактически создаст новый SSID для гостевой сети, которому позже будет присвоено значение 10.10.10.0/24. Виртуальная точка доступа — это сетевой интерфейс, для которого потребуется настроить профиль безопасности, имя виртуальной точки доступа и параметры беспроводной сети (SSID, главный интерфейс, назначение профиля безопасности).

Шаг 02. Назначьте IP-адрес виртуальной точке доступа

Шаг 03. Настройте DHCP для гостевой сети

Настройка DHCP проста. DHCP-сервер должен быть назначен интерфейсу ap-guest вместе с областью IP-адресов, пространством IP-адресов, шлюзом, пулом IP-адресов (IP-адреса для выдачи гостям), DNS-серверами и временем аренды. Обратите внимание, что пул IP-адресов в этом примере начинается с 10.10.10.2, потому что 10.10.10.1 уже назначен интерфейсу виртуальной точки доступа.

Шаг 04. Настройте правила NAT

Правило NAT будет вашим основным правилом маскировки, чтобы разрешить подключенным гостям доступ в Интернет. В этом примере я просто использовал подсеть для гостевой сети (10.10.10.0/24). Однако при желании вы можете использовать список адресов для представления подсети.

Шаг 05. Настройте правила брандмауэра

Это правило брандмауэра будет блокировать только доступ гостевой сети к частной сети — это личные предпочтения.При желании можно добавить второе правило, чтобы заблокировать доступ частной сети к гостевой сети. Кроме того, если вы решите установить ограничения пропускной способности (очереди) для гостевой сети, убедитесь, что брандмауэр не использует FastPath/FastTrack для маршрутизации сетевого трафика для гостевой сети. Очереди будут игнорировать весь сетевой трафик от устройств, которые соответствуют правилам брандмауэра/фильтрации FastPath/FastTrack.

Об авторе

Мартур

11 мыслей о «MikroTik: настройка гостевого WiFi»

Привет! Отличный учебник!
Я пытаюсь создать гостевую сеть Wi-Fi на своем маршрутизаторе Mikrotik с адресом 10.10.10.0/24. Цель состоит в том, чтобы ограничить доступ гостей к моей домашней сети 192.168.1.0/24. Следуя этому руководству, все работает нормально, кроме одного. Гость не может получить доступ к моим серверам WEB/MAIL/VOIP и т. д., подключенным к домашней сети. Конечно, они пытаются связаться с ними через Интернет, а не через внутренний IP-адрес. Я думал, что masquerade справится с этим, но, очевидно, я что-то упускаю. Не могу понять, как роутер все-таки распознает гостей как гостей, когда они один раз выходят в интернет?
Спасибо!
С уважением Станко.

Masquerade предоставит вашим гостям доступ в Интернет. Когда вы подключитесь к Интернету, если ваш WEB / MAIL / VOIP открыт для публики, ваша гостевая сеть также сможет получить доступ к этим службам, как только гостевой трафик покинет порт WAN вашего маршрутизатора и вернется через порт WAN вашего маршрутизатора для доступа к вашему WEB. /ПОЧТА/VOIP. Однако вы можете добавить правила переадресации в свой брандмауэр, чтобы заблокировать доступ гостей к этим службам внутри вашей локальной сети.

Одна идея, но не проверенная, заключается в том, что если вы не хотите, чтобы гости имели доступ к вашим службам WEB/MAIL/VOIP в вашей локальной сети, и в зависимости от того, используете ли вы статический IP-адрес или DDNS для подключения к маршрутизатору/службам, вы можете заблокировать перенаправлять трафик из WAN в WEB/MAIL/VOIP с вашим IP-адресом через определенный порт, используемый этими службами, или заблокировать ваш DDNS-адрес (перенаправить на 127.0.0.1 и т. д.) для гостей, что было бы проще и, скорее всего, более надежным.

В более новых версиях ОС маршрутизатора (6.43) вы не можете назначить DHCP на виртуальный порт.
Я создал новый мост (например, BridgeGuest), назначил виртуальный порт WiFi для BridgeGuest и назначил DHCP для BridgeGuest.
Также я присвоил IP BridgeGuest не виртуальному порту WiFi

Спасибо, что указали на это. Недавно я попробовал это снова, и метод моста, который вы использовали, — это то, для чего я создам новое руководство.

В зависимости от настройки существуют различные способы настройки Wi-Fi MikroTik для гостевого доступа. В этом примере я буду использовать маршрутизатор MikroTik hAP ac2 со встроенным модулем Wi-Fi. Я буду использовать функцию виртуальной точки доступа MikroTik, чтобы создать второй SSID для гостевого доступа.

Гости, подключенные к этому SSID, будут иметь доступ в Интернет, но, что более важно, гости в сети Wi-Fi будут подключены к отдельной подсети, чем те, кто подключен к частной сети Wi-Fi.

Частный Wi-Fi находится в той же подсети (192.168.88.0/24), что и частная сеть. Дополнительно мы настроим доступ в Интернет для гостей через Wi-Fi в другой подсети (10.10.10.0/24), при этом заблокировав доступ к устройствам в частной сети.

Шаг 1. Создайте виртуальную точку доступа

Создание виртуальной точки доступа фактически создаст новый SSID для гостевой сети, которому позже будет присвоено значение 10.10.10.0/24. Виртуальная точка доступа — это сетевой интерфейс, для которого потребуется настроить профиль безопасности, имя виртуальной точки доступа и параметры беспроводной сети (SSID, главный интерфейс, назначение профиля безопасности).

Шаг 2. Назначьте IP-адрес виртуальной точке доступа

Шаг 3. Настройте DHCP для гостевой сети

Настройка DHCP проста. DHCP-сервер должен быть назначен интерфейсу ap-guest вместе с областью IP-адресов, пространством IP-адресов, шлюзом, пулом IP-адресов (IP-адреса для выдачи гостям), DNS-серверами и временем аренды. Обратите внимание, что пул IP-адресов в этом примере начинается с 10.10.10.2, потому что 10.10.10.1 уже назначен интерфейсу виртуальной точки доступа.

Шаг 4. Настройте правила NAT

Правило NAT будет вашим основным правилом маскировки, чтобы разрешить подключенным гостям доступ в Интернет. В этом примере я просто использовал подсеть для гостевой сети (10.10.10.0/24). Однако при желании вы можете использовать список адресов для представления подсети.

Шаг 5. Настройте правила брандмауэра

Это правило брандмауэра заблокирует доступ гостевой сети к частной сети. Второе правило заблокирует доступ частной сети к гостевой сети.

Недавно я восстановил новую маршрутизаторную плату MikroTik по почте; маршрутизатор серии RB2011U, если быть точным. Моя цель использования этого маршрутизатора — лучше управлять моей домашней сетью, VPN-подключениями и гостями, которые приходят в наш дом. Последний пункт очень важен для меня, так как я хочу создать гостевую сеть Wi-Fi, чтобы изолировать посетителей от остальной сети. В конце концов, BYOD — это аббревиатура от «Bring Your Own Disaster».

Это небольшое пошаговое руководство, возможно, несколько нехарактерно для моей работы, поскольку я использую приложение с графическим интерфейсом Winbox, а не настраиваю MikroTik через SSH. Другие уроки можно выполнять по SSH, так как это мой любимый способ работы.

Давайте начнем с описания того, что должна делать гостевая беспроводная сеть.

  1. Быть точкой доступа Wi-Fi, предоставляемой гостям.
  2. Предоставьте гостям доступ к Интернету.
  3. Размещение гостей в подсети, отличной от жилой.
  4. Изолируйте гостевые устройства от резидентных устройств (таких как NAS).

В этом руководстве предполагается, что маршрутизатор уже настроен. На моем маршрутизаторе у нас есть 10.0.0.0/16 в качестве нашей резидентной сети - WAN входит в ether1-шлюз. Wlan1 настроен как наша основная беспроводная точка доступа — SSID скрыт, поэтому гостевая сеть является единственной видимой беспроводной сетью.

Итак, начнем. Сначала загрузите winbox.exe. Здесь я использую Debian Linux, Winbox.exe запускает AOK в Wine. Подключитесь к вашему роутеру. Прежде всего, переведите роутер в безопасный режим (на всякий случай, если мы сделаем какую-нибудь глупость и потеряем связь с роутером).

Начнем с настройки нового моста. Это будет использоваться для подключения нашей изолированной гостевой сети к правильному порту Ethernet на маршрутизаторе.

Перейдите к Интерфейсам: Добавить > Мост.

Назовите свой мост соответствующим образом. Нажмите "ОК".

Теперь нам нужно настроить виртуальную точку доступа для нашей гостевой сети. Сначала нам нужен профиль безопасности (в основном настройки аутентификации для нашего WiFi).

Выберите Беспроводная связь > Профили безопасности > Добавить.

Назовите свой профиль безопасности соответствующим образом, используйте WPA2-PSK с использованием AES. Установите Pre-Shared Key на желаемый пароль для вашей гостевой сети Wi-Fi. Нажмите "ОК".

Теперь создайте интерфейс виртуальной точки доступа.

Выберите Интерфейсы > Добавить > VirtualAP > вкладка Общие

Назовите интерфейс как-нибудь осмысленно, например. «Гость-AP». Перейдите на вкладку «Беспроводная сеть».

На вкладке "Беспроводная связь" задайте SSID, главный интерфейс (wlan1) и привяжите свой профиль безопасности, созданный выше.

Перейдите на вкладку WDS.

На вкладке WDS выберите ранее созданный гостевой мост. Нажмите "ОК".

Продолжим создавать мостовой порт. Думайте об этом как о связывании интерфейса виртуальной точки доступа с созданным нами гостевым мостом.

Выберите IP > Мост > Порты > Добавить

Выберите интерфейс виртуальной точки доступа и гостевой мост. Нажмите "ОК".

Теперь нам нужно связать список IP-адресов с нашим гостевым мостом.

Выберите IP > Адреса > Добавить

Введите свой адрес подсети, которую вы свяжете с вашим гостевым мостом. В моем примере я использую CIDR 10.1.0.1/24 для своей гостевой сети. Для этого моя сеть настроена на 10.1.0.0, а мой интерфейс — гостевой мост.

Теперь мы хотим объединить эти IP-адреса для DHCP-сервера в нашей гостевой сети.

Выберите: IP > Пул > Добавить

Назовите свой пул и введите диапазон адресов. Например. 10.1.0.10–10.1.0.254

Теперь создадим наш DHCP-сервер для назначения этих IP-адресов нашим подключенным устройствам.

Выберите: IP > DHCP-сервер > Добавить

Назовите свой DHCP-сервер, свяжите свой гостевой мостовой интерфейс с DHCP-сервером, затем выберите гостевой пул IP-адресов для сервера. Нажмите "ОК".

На вкладке «Сеть» экрана конфигурации DHCP-сервера нажмите «Добавить». Эта часть отправляется на устройства, подключенные к нашей гостевой сети.

Добавьте наш адрес CIDR: 10.1.0.0/24, установите шлюз 10.1.0.1 с сетевой маской 24. Наш DNS-сервер находится на нашем маршрутизаторе 10.1.0.1. Нажмите "ОК".

Подходя к концу, нам нужно настроить правило NAT для нашей гостевой сети.

Выберите: IP > Брандмауэр > NAT

На вкладке «Общие» установите исходный адрес на CIDR нашей гостевой сети (например, 10.1.0.0/24) — установите исходящий интерфейс на ether1-gateway (наш WAN-порт).

На вкладке "Дополнительно" установите для параметра "Действие" значение "Маскарад".

Наконец, мы собираемся изолировать гостевую сеть от остальной сети.

Выберите: IP > Брандмауэр > Добавить

На вкладке «Общие» установите «Цепочка» на «вперед» — установите вход. Интерфейс для вашего гостевого моста. Вне. Интерфейс, поставьте галочку «Не», чтобы отключить интерфейс — установите этот интерфейс на ether1-gateway. (В принципе, выходной интерфейс не равен ether1-шлюзу).

Наконец, перейдите на вкладку "Действие" и установите действие "Удалить". Нажмите "ОК".

… и мы закончили.

Не забудьте отменить безопасный режим и сохранить. Наслаждайтесь новой гостевой сетью.

Читайте также: