Настройка vlan wifi микротика

Обновлено: 09.05.2024

Недавно я взял Mikrotik RB951G-2hnd в качестве дополнительной точки доступа, чтобы поэкспериментировать с ней в лаборатории и заменить устаревший маршрутизатор/точку доступа Netgear SOHO, который в настоящее время обрабатывает только трафик беспроводного доступа и не выполняет никакой маршрутизации. Я использовал точки доступа Mikrotik, и мне очень нравятся мощность и настраиваемые параметры программного обеспечения RouterOS. Вы просто не найдете более настраиваемый маршрутизатор/точку доступа, отвечающий вашим потребностям, если вы любите настраивать и возиться. Документация Mikrotik улучшается, но знание того, как что-то сделать с оборудованием Mikrotik, всегда было проблемой для их продуктов. Однако в большинстве случаев вы можете найти то, что вам нужно, на форумах и т.п.

Вы видите, что многие задают вопрос о том, как настроить несколько виртуальных точек доступа и VLAN. Если ваша топология состоит из общедоступной сети Wi-Fi, а также частной сети/сети администратора, имеет смысл настроить несколько точек доступа с тегами VLAN. Позвольте мне предварить это руководство по настройке следующим утверждением — есть много способов достичь одной и той же цели. Благодаря гибкости RouterOS и множеству вариантов конфигурации существует множество решений. Конечно, всегда есть лучшие практики, но я покажу несколько способов настройки RouterOS для потока трафика с несколькими виртуальными точками доступа и тегами VLAN.

Для этого поста мы настраиваем RB951G только как точку доступа. Маршрутизация и DHCP выполняются в восходящем направлении. Кроме того, предполагается, что вы подключаете точку доступа Mikrotik к восходящему коммутатору с соответствующими нетегированными/тегированными сетями VLAN.

Настройка VLAN как отдельного интерфейса

NAKIVO

Первый вариант настройки нескольких виртуальных точек доступа и сетей VLAN – это создание сетей VLAN в качестве их собственных интерфейсов, а затем использование мостов для связывания интерфейсов VLAN с соответствующим интерфейсом виртуальной точки доступа/локальной сети. Таким образом, тегирование выполняется через интерфейсы VLAN, а не через виртуальную точку доступа. Давайте посмотрим, как это выглядит в Winbox.

Итак, позвольте мне объяснить, что я видел как ошибку при передаче VLAN от точки доступа Mikrotik. Для простоты в нашем примере у нас есть «частная» VLAN и «общедоступная» VLAN. Вы можете подумать, что вам нужно создать (2) интерфейса VLAN в RouterOS для обработки обеих VLAN, и мы бы сделали это, если «нетегированный» идентификатор VLAN восходящего коммутатора отличается от любого из двух. Однако в большинстве простых сетевых топологий идентификатор VLAN администратора является непомеченным идентификатором вышестоящего коммутатора, поэтому мы можем просто оставить непомеченными эти кадры, поступающие от Mikrotik. Для многих этой конфигурацией нетегированной VLAN на большинстве коммутаторов является VLAN 1, что не является лучшей практикой для обеспечения безопасности, однако во многих сетях мы обнаруживаем, что VLAN 1 обычно остается в качестве VLAN администратора по умолчанию. Таким образом, в этом случае нетегированные кадры фактически находятся в сети VLAN 1.

Таким образом, в RouterOS, если мы используем нетегированную VLAN для подключения к частной/административной стороне, нам нужно только создать один интерфейс VLAN, чтобы пометить только общедоступный трафик для правильной сети. Частная виртуальная точка доступа без тегов получит свое членство в VLAN из нетегированной VLAN на восходящем коммутаторе. На самом деле, если бы мы взяли на себя двойную функцию и попытались бы пометить кадры от Mikrotik, а затем восходящий коммутатор также попытался бы пометить исходящий трафик, мы бы все сломали — это не сработало бы, и трафик не прошел бы.

Перейдите к Интерфейсам в Winbox и создайте новый интерфейс VLAN. В приведенном ниже примере мы создали новый интерфейс VLAN 60, привязанный к интерфейсу Ether1 на Mikrotik RB951G, поскольку это порт «WAN» или магистральный порт, который будет подключаться к восходящему коммутатору.

mikrotik_vlan01

Настройка виртуальной точки доступа

На стороне виртуальной точки доступа у нас есть стандартная точка доступа или wlan1 по умолчанию, а затем мы настроим одну виртуальную точку доступа для общедоступной стороны. Обратите внимание, что ниже у нас установлен режим VLAN без тега. Конфигурация VLAN частной стороны wlan1_Admin выглядит так же без тега, установленного в качестве параметра режима VLAN.

mikrotik_vlan02

Для настройки моста нам нужны (2) моста для передачи трафика из обеих сетей VLAN. Назовите свои мосты как можно более интуитивно, так как это облегчает определение вещей в будущем. Ниже у нас есть:

  • lan_bridge — передает трафик администратора
  • vlan60_bridge — передает общедоступный трафик.

mikrotik_vlan03

Теперь нам нужно добавить наши порты к мостам, созданным выше:

  • ether1 и wlan1_Admin добавляются к lan_bridge для их соединения
  • vlan60 и wlan_vlan60 добавляются к vlan60_bridge для их соединения.


mikrotik_vlan04

На этом этапе вы должны быть в состоянии правильно получить адрес DHCP, назначенный при подключении к стороне wlan1_Admin, а также к общедоступной стороне. Имейте в виду, что вся остальная инфраструктура, используемая для передачи DHCP-трафика, должна быть на месте

  • Области должны быть установлены для обеих сетей.
  • Необходимо настроить параметры маршрутизатора, чтобы соответствующий адрес выдавался из правильного пула.
  • Switchport, к которому подключена ваша точка доступа Mikrotik, должен быть помечен всеми VLAN, для которых вы хотите передавать трафик

Упрощенная настройка

Итак, выше есть несколько движущихся частей, чтобы убедиться, что трафик VLAN, который мы хотим пометить на правильной виртуальной точке доступа, настроен правильно. Давайте рассмотрим упрощенный подход к выполнению того же самого действия, которое позволяет нам отказаться от одного из мостов в пользу того, чтобы виртуальная точка доступа помечала сам трафик, что имеет больше смысла.

Настройка виртуальной точки доступа

В более простой конфигурации у нас нет созданного нами автономного интерфейса VLAN. Маркировка VLAN будет выполняться виртуальной точкой доступа.

Итак, мы можем увидеть разницу уже ниже. Виртуальная точка доступа сама позаботится о маркировке VLAN.

mikrotik_vlan05

Используя один lan_bridge и не используя vlan60_bridge, мы можем соединить все вместе на одном мосту — wlan1, vlan60_wlan и ether1. Теперь наша настройка моста проста, один lan_bridge.

mikrotik_vlan06

Теперь мы можем соединить ether1, wlan1_Admin и wlan_vlan60 вместе на вкладке портов


mikrotik_vlan07

Трафик, помеченный общедоступной сетью WLAN, будет передаваться на ether1, который подключен к порту, помеченному общедоступной сетью VLAN вместе с частной/административной сетью VLAN. Кадры без тегов от нашего wlan1_Admin помечаются портом восходящей связи. Таким образом, трафик направляется правильно.

Заключительные мысли

После того, как вы научитесь настраивать Mikrotik с помощью Winbox или даже из командной строки, вы сможете легко начать работу с вашими конфигурациями. Надеюсь, приведенная выше информация укажет вам правильное направление при разработке конфигурации VLAN/виртуальной точки доступа.

Виртуальные локальные сети позволяют изолировать устройства по разным сегментам 2-го уровня, используя при этом одну и ту же среду 1-го уровня. Это очень полезно в установках, где вы хотите разделить разные типы устройств пользователей. Эта функция также очень полезна для настройки беспроводной сети, поскольку вы можете изолировать различные виртуальные точки доступа и ограничить доступ к определенным службам или сетям с помощью брандмауэра. Ниже приведен пример установки с двумя точками доступа на одном устройстве, который изолирует их в отдельные VLAN. Такой сценарий очень распространен, когда у вас есть гостевая точка доступа и рабочая точка доступа.

Замещающий текст

Фильтрация моста VLAN, поскольку RouterOS v6.41 обеспечивает переадресацию уровня 2 с учетом VLAN и модификацию тегов VLAN внутри моста.

  • Добавьте необходимые интерфейсы VLAN на интерфейс Ethernet, чтобы сделать его магистральным портом VLAN. Добавьте IP-адреса на интерфейсы VLAN.
  • Добавьте VirtualAP в интерфейс wlan1 и создайте профили безопасности беспроводной сети для wlan1 и wlan2

Примечание. Важно установить для wlan1,wlan2 vlan-mode значение "use-tag".

  • Создайте мост с vlan-filtering=yes
  • Добавьте необходимые порты моста
  • Добавить тегированные интерфейсы в раздел interface bridge vlan с правильными vlan-id

Предупреждение. Некоторые устройства имеют встроенную микросхему коммутатора, которая может переключать пакеты между портами Ethernet со скоростью проводной сети. Фильтрация Bridge VLAN отключает аппаратную разгрузку (за исключением коммутаторов серии CRS3xx), что предотвращает коммутацию пакетов. Это не влияет на беспроводные интерфейсы, поскольку трафик через них не может быть разгружен на микросхему коммутатора в любом случае.

Примечание. В этой настройке фильтрация VLAN не требуется, но настоятельно рекомендуется из соображений безопасности. Без фильтрации VLAN в определенных сценариях можно пересылать неизвестные идентификаторы VLAN. Отключение фильтрации VLAN повышает производительность.

Общей практикой безопасности является настройка беспроводной гостевой сети в отдельной VLAN. Это позволяет полностью изолировать трафик между вашей частной и гостевой сетями. В этом руководстве будет рассказано только о том, как реализовать эту конкретную настройку на маршрутизаторах MikroTik со встроенным Wi-Fi, таких как RB951, RB962 и т. д. Прежде чем идти дальше, я предполагаю, что частная беспроводная сеть уже существует и полностью функциональна. Кроме того, все снимки экрана и инструкции в этом руководстве сделаны с использованием программного обеспечения MikroTik WinBox.

Создайте профиль безопасности и виртуальную точку доступа

В Winbox выберите «Беспроводная сеть» слева и перейдите на вкладку «Профили безопасности». Нажмите кнопку + (плюс), чтобы создать новый профиль безопасности. Я отключил WPA PSK, оставив включенным только WPA2 PSK. Кроме того, убедитесь, что вы установили безопасный/сложный пароль. Подробности смотрите на скриншоте:


После этого перейдите на вкладку «Интерфейсы WiFi», нажмите кнопку «+» (плюс) и выберите «Виртуальный» в меню. На вкладке «Общие» задайте имя виртуальной точки доступа, что-нибудь описательное, например WiFi-Guest. После этого перейдите на вкладку «Беспроводная сеть» и установите SSID, профиль безопасности, режим VLAN и идентификатор VLAN. Идентификатор VLAN будет соответствовать интерфейсу VLAN, который мы создадим на следующем шаге. Дополнительные сведения см. на скриншотах:



Создать интерфейс VLAN

В Winbox выберите Интерфейсы слева и перейдите на вкладку VLAN. Нажмите кнопку + (плюс), чтобы создать новый интерфейс VLAN. Идентификатор VLAN — «10», а интерфейс — «WiFi-Guest», значения, которые были установлены на предыдущем шаге при создании виртуальной точки доступа. Подробности смотрите на скриншоте:

ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс > вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. Если это так, вам нужно либо не использовать списки интерфейсов, а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN. Если MikroTik использует списки интерфейсов и вы не добавите интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа в Интернет. Чтобы быть точным, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:


ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс > вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. Если это так, вы можете либо не использовать списки интерфейсов (требуются изменения правил фильтра брандмауэра), а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN (без фильтра брандмауэра). необходимы изменения правил). Если MikroTik использует списки интерфейсов и вы не добавите интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа в Интернет. Чтобы быть точным, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:

Создать новый мост

В Winbox выберите «Мост» слева и перейдите на вкладку «Мост». Нажмите кнопку + (плюс), чтобы создать новый мост. Установите имя моста на «Bridge-VLAN10». Подробности смотрите на скриншоте:


После этого перейдите на вкладку "Порты" и нажмите кнопку + (плюс), чтобы добавить интерфейс к мосту. Этот шаг необходимо будет выполнить дважды, по одному разу для каждого интерфейса, добавляемого в Bridge-VLAN10. Добавьте интерфейс «Wifi-Guest» и «VLAN10» в мост «Bridge-VLAN10». Дополнительные сведения см. на скриншотах:



Назначить подсеть новому мосту

В Winbox выберите IP слева и перейдите к Адресам.Нажмите кнопку + (плюс), чтобы создать назначение адреса/интерфейса. Установите адрес на «10.10.10.1/24» и интерфейс на «Bridge-VLAN10». Подробности смотрите на скриншоте:


Создать DHCP-сервер

В Winbox выберите IP слева и перейдите к DHCP-серверу. На вкладке DHCP нажмите кнопку «Настройка DHCP» и завершите работу мастера, чтобы создать DHCP-сервер для гостевого WiFi. Подробности смотрите на скриншоте:







Создайте и разместите правила фильтрации брандмауэра

В Winbox выберите IP слева и перейдите к пункту Брандмауэр. На вкладке «Правила фильтрации» нажмите кнопку «+» (плюс), чтобы создать новое правило фильтрации. См. снимок экрана ниже, на котором показано, как создать правило фильтрации брандмауэра для блокировки трафика гостевой VLAN ТОЛЬКО в частную сеть. После создания нового правила фильтрации брандмауэра поместите правило фильтрации брандмауэра в список фильтров брандмауэра — порядок имеет значение. В обязанности вашего ИТ-отдела/провайдера входит проверка безопасности между двумя отдельными сетями, чтобы убедиться, что гостевая сеть в VLAN10 (интерфейс Bridge-VLAN10) не может обмениваться данными с устройствами/клиентами в частной сети.

При необходимости можно добавить второе правило для блокировки трафика из частной сети в гостевую сеть VLAN. Для этого просто создайте другое правило, но поменяйте местами значения для «In. Интерфейс» и «Выход. Интерфейс". Реализация правила фильтрации брандмауэра зависит от политик безопасности вашего ИТ-отдела/поставщика. В этом примере используются сетевые интерфейсы, созданные в MikroTik, для разделения двух сетей, но при необходимости можно также легко указать IP-адрес с косой чертой (нотация CIDR). Опять же, это зависит от вашего ИТ-отдела/провайдера.



Все это руководство основано на графическом интерфейсе, но я решил включить следующие команды ниже, которые создадут правила фильтрации брандмауэра для блокировки трафика от гостевого к частному и от частного к гостевому. Всю команду можно вставить в терминал MirktoTik. Имейте в виду, что после того, как правила фильтрации созданы, их все еще необходимо соответствующим образом разместить в списке правил фильтрации брандмауэра.

Об авторе

Мартур

14 мыслей о «MikroTik: настройка гостевой (VLAN) WiFi»

Спасибо, что поделились своим признанием!
Это руководство сработало отлично!

Большое спасибо за то, что поделились своими знаниями.
Отлично работает.

Можете ли вы мне помочь?
Я застрял в том, что у меня нет сети в моей гостевой сети.

Установите отдельную точку доступа с изолированными сетями.

Фон

Несколько лет назад (в 2014 году) я присоединился к компании Mikrotik благодаря маршрутизатору серии RB2011. В частности, RB2011UiAS-2HnD-IN, который имеет 5 гигабитных портов Ethernet, 5 быстрых портов Ethernet и 2 канала WiFi 2,4 ГГц.

В то время у меня было только одно устройство с поддержкой Wi-Fi на частоте 5 ГГц, поэтому отсутствие поддержки 802.11ac на частоте 5 ГГц не было проблемой. Перенесемся в 2017 г., когда поддержка 5 ГГц на клиентских устройствах, таких как телефоны и ноутбуки, стала повсеместной (каждое новое устройство, которое мы приобрели в 2017 г., поддерживало 5 ГГц 802.11ac). Еще более показательным является то, что Acer Spin 15 моей жены вообще не имеет проводного порта Ethernet; это Wi-Fi на всем пути (или USB-адаптер Ethernet), поэтому наличие точки доступа 5 ГГц сейчас весьма желательно.

Поэтому, когда мои родители спросили меня, что они могут купить мне на Рождество, я попросил Mikrotik wAP ac. Это точка доступа Wi-Fi с одним гигабитным портом Ethernet, 2-канальным 2,4 ГГц и 3-канальным 5-ГГц WiFi. Большое им спасибо!

В установке точки доступа обычно нет ничего сложного. Но я запускаю в общей сложности 4 виртуальные точки доступа Wi-Fi для различных изолированных сетей.

Чтобы сохранить эту изоляцию, нам нужно использовать виртуальные локальные сети для создания… ну… виртуальных локальных сетей для моей виртуальной точки доступа.Таким образом, цель этого упражнения — установить и настроить мою новую точку доступа wAP, а также изолировать мои 4 отдельные сети Wi-Fi.

0. Распаковка и базовая конфигурация

Сначала основное. Распакуйте wAP и подключите его, чтобы настроить основные параметры локальной сети.

Питание wAP осуществляется через сеть Ethernet с помощью волшебного инжектора и штепсельной вилки. Это означает, что мне не нужна точка питания рядом с самой точкой доступа, только рядом с моим маршрутизатором. Здорово!

Я настроил статический адрес IPv4 и установил DNS и маршрут по умолчанию для своего маршрутизатора. Затем заставил точку доступа проверить наличие обновлений (подтвердив, что ее сетевая конфигурация в порядке) и установил указанное обновление.

Наконец, я изменил точки доступа по умолчанию на Grant-New24 и Grant-New5 и дал им обеим пароль — в рамках подготовки к последующим тестам.

1. Физическая установка

После того, как я подтвердил, что могу использовать WinBox для доступа к устройству, пришло время физической установки. В основном это включает в себя сверление отверстий в потолке и карнизе и протягивание кабеля Ethernet через потолочную полость. Не особенно весело в моей книге. Но это нужно сделать только один раз.

Точка доступа имеет различные варианты монтажа: от настольной подставки до крепления на стене и мачте. Я использовал двухсторонний скотч для крепления к стене и установил его вверх ногами. И я думаю, что конечный результат довольно дискретен. Он также установлен в более центральном месте, чем RB2011, который находится в дальнем конце нашей гостиной. (см. карту ниже).

Кабель без точки доступа
Установленная точка доступа
Точка доступа под другим углом< бр />

2. Проверить диапазон точек доступа

На данный момент я готов настроить точку доступа для реального использования. Но меня мучает вопрос: какие сети должны размещаться на каких устройствах?

То есть у меня есть два радиомодуля 2,4 ГГц на двух устройствах (каждое из которых может занимать 2 полезных канала из трех возможных) и четыре сети, которые я хочу запустить. Какая комбинация будет работать лучше всего?

Ситуация с частотой 5 ГГц менее сложна, поскольку у меня есть только одна радиостанция с частотой 5 ГГц. Но остается вопрос: должны ли все сети работать на частоте 5 ГГц или только некоторые?

Важная часть теории на данный момент: Wi-Fi использует общую среду для отправки и получения данных, называемых "радиоспектр" (он же "эфир"). Я выделил ключевые слова общий носитель, потому что это означает, что только одно устройство может отправлять данные на другое устройство в любой момент времени. Если два устройства пытаются отправить одновременно, их пакеты буквально сталкиваются в воздухе (ну ладно, они сталкиваются в радиоцепи приемников) и должны быть отправлены повторно. Кроме того, это полудуплекс, что означает, что вы не можете отправлять и получать одновременно: одно устройство отправляет, а другое принимает, затем роли меняются местами. Это похоже на Ethernet 10BASE2, использующий старый коаксиальный кабель, который я помню с середины и конца 1990-х годов на вечеринках по локальной сети — есть только один провод, общий для всех устройств, поэтому только одно устройство может отправлять данные в любой момент времени.

Это означает, что для получения максимальной отдачи от Wi-Fi необходимо использовать отдельные сети с отдельными радиомодулями и разными частотами (это похоже на использование отдельных проводов для разных сетей). Об этом подробно рассказывается в статье на Ars Technica.

(Кроме того, Gigabit Ethernet не страдает от этой проблемы благодаря высокопроизводительным сетевым коммутаторам, которые волшебным образом гарантируют, что пакеты, входящие и исходящие от каждого устройства, никогда не конфликтуют).

В любом случае, вернемся к моей проблеме: какие сети, какие устройства, какие каналы? Да, и еще одно: следует ли создать разные SSID для сетей 2,4 ГГц и 5 ГГц или просто разрешить моим устройствам перемещаться между ними по своему усмотрению?

Я решил создать несколько тепловых карт мощности сигнала для моей старой и новой точки доступа, чтобы посмотреть, поможет ли это ответить на эти вопросы. (Обычно я использую Nirsoft WiFi Information View в Windows для довольно низкоуровневой информации о точках доступа, но она не создает тепловые карты. Поэтому я создаю тепловые карты на своем Nexus 5X с помощью приложения
Wifi Heat Map - Survey) .

Я живу в таунхаусе, который представляет собой одноэтажное жилище, имеющее общую стену с соседом (6 квартир в нашей общей собственности). Интерьер нашего подразделения находится в левом нижнем углу тепловых карт, около двух третей площади находится на открытом воздухе. Это довольно мало, если говорить о покрытии Wi-Fi. Да и устройства Mikrotik для моего дома слабоваты.

(Под «мощным» я подразумеваю, что мой сосед в блоке 3 говорит, что у RB2011 более сильный сигнал, чем у его домашнего маршрутизатора; а мой должен пройти через 2 двойные кирпичные стены и ~ 20 м пространства)!

(Под «мощным» я подразумеваю, что RB2011 виден моему телефону на расстоянии около 50 м по моей улице в приложении Wigle Wardriving)!

Тепловая карта RB2011 2,4 ГГц — точка доступа фиолетового цвета
Тепловая карта wAP 2,4 ГГц — точка доступа синего цвета
< img class="lazyload" data-src="https://blog.ligos.net/images/Mikrotik-WiFi-Access-Point-With-VLAN/heatmap-wap-5ghz.jpg" alt="Тепловая карта wAP 5 Гц - Точка доступа синего цвета" width="300" height="300" />

Ну, количество зелени не очень удивило!

Главное, что я усвоил из этого упражнения, это то, что сеть 5 ГГц имеет меньший радиус действия, поэтому в телефонах должна быть опция 2,4 ГГц.

В конце концов я остановился на следующей конфигурации 2,4 ГГц, используя одинаковые SSID для 2,4 ГГц и 5 ГГц:

В целом я надеюсь, что это позволит использовать спектр как можно шире (например, телефоны и дети не используют перекрывающиеся каналы, а ноутбуки в основной локальной сети предпочтут 5 ГГц). У этого также есть приятное преимущество: я могу отключить детскую сеть, не затрагивая телефоны или ноутбуки взрослых!

До сих пор (после недели использования) мои устройства довольно разумно перемещались между 2,4 и 5 ГГц, в зависимости от уровня сигнала и близости к точке доступа.

3. Виртуальные точки доступа и VLAN

Хорошо, теперь радиомодули на точке доступа настроены, пришло время воспроизвести изоляцию на сетевом уровне моей предыдущей настройки. Раньше у меня было одно устройство, несколько виртуальных точек доступа и отдельная сеть для каждой точки доступа. С моей новой точкой доступа я хотел бы, чтобы маршрутизатор обрабатывал как можно больше конфигураций (например, брандмауэр, DHCP и т. д.), а точка доступа… просто была точкой доступа (только с паролями SSID и WPA2). ). То есть 90 % конфигурации находится в маршрутизаторе, но сети остаются отдельными и изолированными (за исключением случаев, разрешенных брандмауэром маршрутизатора).

Что означает, что я должен победить свой страх перед сетями VLAN.

В моей голове Mikrotik делает VLAN примерно так:

  • Создавайте интерфейсы VLAN как дочерние элементы порта Ethernet, я считаю их виртуальными проводами Ethernet.
  • Создайте мост, который соединяет «провод» VLAN с другими портами или интерфейсами (например, точками доступа WiFi). Я думаю об этом как о сетевом коммутаторе, к которому вы подключаете «провода» VLAN.
  • Наконец, назначьте IP-адрес (и IPv6-адрес) интерфейсу моста, после чего вы сможете выполнять все обычные действия с брандмауэром и DHCP.

Я понятия не имею, является ли это «правильным» способом работы или нет, но он работает (по крайней мере, в моей среде).

Кроме того, все это было сделано с версией RouterOS 6.40. В версии 6.41 реализована новая реализация моста, которая, по-видимому, рассматривает мост как коммутатор при работе с виртуальными локальными сетями.

3а. Конфигурация точки доступа

На точке доступа создайте следующее:

  • Создайте интерфейс виртуальной точки доступа (называемый просто виртуальный в раскрывающемся меню «Новый интерфейс») с соответствующим SSID, каналом WiFi и профилем безопасности. Не назначайте ему идентификатор VLAN. Документ о беспроводных интерфейсах.
    • (Вы также можете просто использовать основную точку доступа Wi-Fi, а не виртуальную. У меня есть один реальный беспроводной интерфейс и один виртуальный на моей точке доступа).

    Вот конфигурация моего wAP:

    Конфигурация интерфейса точки доступа
    Конфигурация моста точки доступа

    3б. Конфигурация маршрутизатора

    На маршрутизаторе мы реплицируем аналогичные сети VLAN и мосты, а затем выполняем настройку на уровне IP:

    • Создавайте VLAN как дочерние интерфейсы порта Ethernet, к которому подключена ваша точка доступа. Используйте те же идентификаторы VLAN, что и на точке доступа.
      • Если вы хотите, чтобы одна из этих сетей VLAN была частью вашей основной локальной сети, добавьте ее в мост вашей локальной сети.
      • В противном случае просто оставьте интерфейс VLAN как есть.
      • Это предполагает, что ваш основной интерфейс моста локальной сети уже имеет IP-адрес.
      • Опять же, это предполагает, что на вашем основном интерфейсе моста локальной сети уже запущен DHCP.
      • У меня есть правила, запрещающие доступ к моей основной локальной сети из других сетей (например, детей, гостей, телефонов), если нет явных правил, разрешающих доступ.

      Как правило, после того как интерфейсы VLAN созданы и соединены мостами, как требуется, необходимо настроить IP и DHCP так же, как и для любой дополнительной сети. Таким образом, все настройки DCHP, DNS, брандмауэра и т. д. выполняются только на маршрутизаторе.

      Вот соответствующие части конфигурации моего маршрутизатора для основной локальной сети и телефонных сетей, которые теперь размещены на моем устройстве wAP:

      Конфигурация интерфейса маршрутизатора
      Конфигурация моста маршрутизатора

      3с. Конфигурация маршрутизатора для гостевой сети

      У меня есть гостевая сеть Wi-Fi, работающая от маршрутизатора, но я также включаю порт Ethernet как часть этой гостевой сети. Итак, я создал отдельный гостевой мост, который включает в себя гостевой WiFi-интерфейс и гостевой порт Ethernet. Здесь не задействованы виртуальные локальные сети, просто порты соединены мостом с отдельной сетью.

      Заключение

      Использование VLAN и мостов на устройствах Mikrotik позволяет добавить в сеть новую физическую точку доступа. Оттуда вы можете прозрачно добавлять новые сети Wi-Fi либо в свою основную локальную сеть, либо в отдельные изолированные сети. И тогда это просто вопрос правил брандмауэра, чтобы разрешить или запретить доступ между сетями.

      Читайте также: