Что такое гостевая сеть в роутере? zhitsoboy.ru

Что такое гостевая сеть в роутере?

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Настраиваем гостевой доступ через Wi-Fi (MultiSSID + VLAN).

Настраиваем гостевой доступ через Wi-Fi (MultiSSID + VLAN).

  • Автор: Уваров А.С.
  • 06.03.2013

Развернув Wi-Fi сеть администраторы все чаще сталкиваются с необходимостью организовать гостевой доступ для клиентов фирмы и партнеров. При этом, используя единую физическую инфраструктуру, следует решить две прямо противоположные задачи: обеспечить наиболее простой и понятный доступ для гостей, поддерживая при этом высокий уровень безопасности внутренней сети.

Да, задача не столь проста, как может показаться на первый взгляд. Как правило сетевая инфраструктура давно создана и для решения задачи нужно использовать существующие каналы связи. Вот здесь и встает вопрос: как надежно разделить данные гостевой сети, от данных сети предприятия передавая их по одним и тем же каналам. Как сочетать защищенную Wi-Fi сеть предприятия с открытой гостевой сетью?

Самое время вспомнить о VLAN (Virtual Local Area Network) и стандарте IEEE 802.1Q, VLAN позволяет создавать виртуальные сети поверх физической инфраструктуры, что позволяет создавать полностью изолированные на канальном уровне сети при использовании одних и тех же каналов связи и коммутационного оборудования.

Сегодня широко применяется два типа VLAN:

  • на базе портов, когда конечные хосты не догадываются реальной сетевой структуре и разделение на виртуальные сети происходит на уровне коммутатора;
  • на базе тегов, когда в каждый сетевой кадр встраивается специальная метка, показывающая на его принадлежность к определенному VLAN, но при этом все сетевое оборудование должно иметь поддержку стандарта IEEE 802.1Q.

На практике эти два типа VLAN успешно совмещаются, VLAN на базе портов позволяет использовать любое сетевое оборудование без каких либо дополнительных настроек, VLAN на базе тегов позволяет передавать информацию из разных сетей между устройствами с поддержкой IEEE 802.1Q используя единственный канал связи.

Для реализации поставленной задачи нам потребуется оборудование с поддержкой VLAN и IEEE 802.1Q, а так как различные производители имеют свои особенности, то мы будем рассматривать решения на базе популярной продукции марки TP-LINK.

Точка доступа должна поддерживать режим MultiSSID, который позволяет создать виртуальные Wi-Fi сети, каждая из которых будет относиться к своему VLAN и пакеты которой будут помечены специальны тегом. В качестве примера такой точки можно использовать TL-WA701ND.

Для работы с такой точкой доступа нам потребуется коммутатор с поддержкой IEEE 802.1Q, например TL-SG2216. Каждый порт такого коммутатора может работать в одном из трех режимов:

  • ACCESS — нетегированый порт, принадлежит одному VLAN, взаимодействовать с другими VLAN не может.
  • GENERAL — может принадлежать нескольким VLAN, по умолчанию нетегирован, но может быть переключен в тегированый режим.
  • TRUNK — тегированый порт, служит для передачи данных сразу нескольких VLAN.

В зависимости от инфраструктуры сети может быть несколько способов решить данную задачу. В самом простом варианте нам нужно организовать гостевой доступ в интернет, которой может раздаваться как роутером, так и недорогим аппаратным маршрутизатором.

В этом случае нам потребуется создать три VLAN, данные настройки производятся в коммутаторе SW1:

  • VLAN 101 — гостевая сеть — в который включаем порты 1 и 3 (слева направо на коммутаторе);
  • VLAN 102 — корпоративная сеть — порты 3 и 4;
  • VLAN 103 — общие ресурсы — порты 1, 3 и 4.

Затем следует настроить порты SW1:

  • Порт 1 — GENERAL — UNTAG — PVID 103 (соответствие порта VLAN)
  • Порт 3 — TRUNK
  • Порт 4 — GENERAL — UNTAG — PVID 102

На точке доступа AP1 включаем режим MultiSSID и вводим следующие настройки:

  • SSID1 — гостевая сеть — открытая сеть — VLAN 101
  • SSID2 — корпоративная сеть — WPA2 — VLAN 102

Таким образом точка доступа будет иметь две беспроводные сети на одном канале, одну открытую SSID1 для гостей и защищенную SSID2 для сотрудников. Пакеты передаваемые точкой в локальную сеть будут промаркированы VLAN-тегами и работать с ними сможет только оборудование с поддержкой IEEE 802.1Q, проще говоря, если между AP1 и SW1 окажется обычный свитч, то тегированые пакеты окажутся отброшены и схема работать не будет.

Коммутатор SW1 приняв на порт 3 тегированые пакеты убирает теги и отправляет их на порты соответствующие указанным VLAN. Пакеты направленные к роутеру будут переданы в VLAN 103, так как к нему относятся все порты коммутатора. Однако роутер не будет иметь доступа к иным VLAN, так как PVID 103 имеет только порт 1.

Если гостям требуется доступ не только к интернету, но и к иным службам роутера (SMB, почта и т.п.) или необходимы различные настройки для гостевой и корпоративной сети, то имеет смысл добавить в сервер вторую сетевую карту и настроить ее на работу с гостевым VLAN. В этом случае наша схема примет вид:

На SW1 создаем следующие VLAN:

  • VLAN 101 — гостевая сеть — в который включаем порты 1 и 3 (слева направо на коммутаторе);
  • VLAN 102 — корпоративная сеть — порты 2,3 и 4;

Затем настраиваем порты:

  • Порт 1 — ACCESS- PVID 101
  • Порт 2 — ACCESS- PVID 102
  • Порт 3 — TRUNK
  • Порт 4 — ACCESS- PVID 102

Логически данная схема еще проще, каждый порт, кроме магистрального (TRUNK) закреплен за своим VLAN и получает только предназначенные ему пакеты.

Если сетевая карта сервера поддерживает IEEE 802.1Q, то схему можно упростить:

Настраиваем SW1 следующим образом:

  • VLAN 101 — гостевая сеть — в который включаем порты 1 и 3 (слева направо на коммутаторе);
  • VLAN 102 — корпоративная сеть — порты 1,3 и 4;
  • Порт 1 — TRUNK
  • Порт 3 — TRUNK
  • Порт 4 — ACCESS- PVID 102

В этом варианте логически (и физически) все еще проще, SW1 выделяет только пакеты VLAN2 c адресом назначения принадлжащим корпоративной сети и, сняв тег, отправляет их на порт 4. Остальные пакеты остаются тегироваными и передаются сетевой карте LAN1 роутера, которая имеет поддержку IEEE 802.1Q, поэтому разделение VLAN будет происходить на самом роутере. Однако данная схема самая сложная в настройке и требует достаточно глубоких сетевых знаний, поэтому если вы чувствуете пробелы в данном вопросе, то лучше реализовать одну из предыдущих схем.

Как видим, VLAN и MultiSSID дают нам в руки богатый инструментарий для создания логической сетевой инфраструктуры, которая будет полностью соответствовать вашим нуждам.

Ограничение и контроль интернет трафика на роутере

итайте о функции контроля Интернет трафика на роутере. А также, как ограничить пропускную способность Интернета на Wi-Fi роутере , на примере TP-LINK. Рассмотрим способы ограничения трафика как для всех устройств, так и для какого-то отдельного.

Читать еще:  Где находится жесткий диск в системном блоке?

Нередко бывают ситуации, когда нужно ограничить скорость интернета на роутере. И в этом видео я подробно покажу, как ограничить скорость подключения к Интернет на примере роутера TP-LINK Archer C20. Рассмотрим два случая: ограничение скорости подключения абсолютно для всех устройств, и ограничение скорости для отдельного или нескольких устройств. Например, для нескольких компьютеров, телефона, планшета и т. д.

Контроль пропускной способности

Итак, прежде чем перейти к настройке пропускной способности роутера, необходимо включить функцию контроля пропускной способности, и задать исходящую и входящую скорость, которую предоставляет интернет-провайдер.

  • Перейдите в настройки роутера. Как это сделать я детально рассказывал в одной из предыдущих статей о базовых настройках роутера.
  • В настройках роутера перейдите на вкладку “Контроль пропускной способности” и поставьте галочку возле пункта «Включить контроль пропускной способности» .
  • Задайте Исходящую пропускную способность и Входящую пропускную способность. Это та скорость, которую вам даёт интернет-провайдер. Например, если провайдер дает 100 Мбит/с на загрузку и на выгрузку, то нам нужно эти 100 Мбит/с перевести в Кбит/с, и указать в соответствующих полях. Перевести очень просто: 100 Мбит/с умножаем на 1024 Кбит/с = 102 400 Кбит/с. Эти данные и вносим.
  • Нажмите «Сохранить» , для фиксирования внесённых изменений.

Теперь осталось только задать настройки ограничения скорости, которые нам необходимы. Как я говорил, мы рассмотрим настройки ограничения для всех устройств, которые подключены к роутеру, и способ ограничения только для определенных устройств.

Ограничение скорости передачи по Wi-Fi сети

Чтобы ограничить скорость по Wi-Fi сети для всех устройств:

  • Зайдите в настройки роутера. Перейдите на вкладку “DHCP”, и посмотрите, какой диапазон IP адресов там задан. Нас интересуют поля «Начальный IP-адрес» и «Конечный IP-адрес» . Можете их запомнить или скопировать.
  • После этого, перейдите на вкладку «Контроль пропускной способности» . Здесь нужно создать новое правило контроля пропускной способности. Для этого нажмите кнопку «Добавить» .
  • Отметьте галочкой «Включить» . И укажите диапазон IP-адресов, которые мы смотрели на вкладке “DHCP”, в соответствующем поле.
  • Поле Диапазон портов оставляем пустым.
  • Протокол – выбираем “ВСЕ”.
  • Приоритет. По умолчанию стоит 5, можно так и оставить.
  • Укажите максимальную исходящую и входящую пропускную способность. Минимальное значение, обычно ставиться минимально допустимое – 1. Максимальное, я поставлю 10 Мегабит. То есть – 10 240 Килобит в секунду.
  • Такой же устанавливаю и Входящую пропускную способность. Это та скорость, с которой устройство будет получать информацию с интернета. Но можно указать как большее, так и меньшее значение.
  • Сохраняем правило.

Теперь, ко ВСЕМ подключаемым к роутеру устройствам будет применено правило, которое мы создали в настройках управления пропускной способностью. А именно входящая и исходящая скорость будет ограничена 10 (десятью) мегабитами.

Ограничение скорости интернета для отдельных устройств

Этот способ более сложный. Но, в настройках роутера можно установить максимальную скорость для каждого устройства. Привязываются эти настройки по IP-адресу.

Поэтому, сначала нам нужно привязать выдаваемый роутером IP-адрес к MAC-адресу устройства, для которого мы хотим огранить скорость. Это нужно для того, чтобы определенное устройство всегда получало один и тот же IP-адрес, для которого будут заданы настройки пропускной способности.

Как привязать IP-адрес к MAC-адресу устройства?

Чтобы привязать IP-адрес к MAC-адресу устройства, нужно перейти в настройки роутера, на вкладку «DHCP» / «Список клиентов DHCP» .

Здесь вы увидите список устройств, которые сейчас подключены к роутеру. Нам нужно посмотреть и скопировать MAC-адрес нужного устройства. Также, можете обратить внимание на IP-адрес, который в данный момент присвоен устройству.

Если устройство, для которого нужно задать настройки пропускной способности на данный момент не подключено к роутеру, то его MAC-адрес можно посмотреть в настройках, где-то в разделе “Об устройстве” (если это мобильное устройство).

Как узнать MAC-адрес Android устройства?

Например, в Андроид смартфоне перейдите в Настройки / О телефоне / Статус. MAC-адрес устройства указан в пункте MAC-адрес.

Как узнать MAC-адрес Windows ПК?

В Windows, перейдите в Параметры сети и Интернет / Настройки параметров адаптера.

Кликните правой кнопкой мыши на сетевом адаптере с помощью которого осуществляется подключение, и выберите Состояние / Сведения.

Физический адрес – это и будет MAC-адрес сетевого адаптера компьютера.

Как зарезервировать за устройством IP-адрес по его MAC-адресу?

MAC-адрес нужного устройства мы уже знаем. Теперь:

  • Переходим на вкладку «DHCP» / «Резервирование адресов» . На данной странице указывается статический IP-адрес, назначенный DHCP-сервером. Внизу можно настроить соответствующие параметры резервирования IP-адресов.
  • Нажимаем «Добавить» и вводим MAC-адрес нашего устройства.
  • Затем, указываем IP-адрес, который будет закреплен за этим устройством (можно использовать адрес со страницы «Список клиентов DHCP» ), или, например, указать 192.168.1.120 (если у вас IP-адрес роутера 192.168.0.1, то адрес будет 192.168.0.120).
  • Ставим состояние «Включено» и сохраняем настройки.

Таким способом можно привязать необходимое количество устройств. Или удалить/отредактировать созданное правило. Главное, запомните IP-адрес, который мы задали. По нему мы будем задавать максимальную скорость для этого устройства.

Как ограничить скорость Интернета для отдельного устройства?

Теперь, зададим настройки пропускной способности для устройства по IP-адресу. Для этого:

  • Перейдите на вкладку «Контроль пропускной способности» .
  • И для того, чтобы создать новое правило, нажмите на кнопку «Добавить» . Откроется окно, в котором нужно задать параметры ограничивающие пропускную способность.
  • Ставим галочку возле «Включить» .
  • В поле «Диапазон IP-адресов» прописываем IP-адрес, который мы зарезервировали для устройства.
  • Поле «Диапазон портов» оставляем пустым.
  • Протокол – выбираем «ВСЕ» .
  • Приоритет. По умолчанию стоит 5, можно так и оставить.
  • Укажите максимальную исходящую и входящую пропускную способность. Минимальное значение, обычно ставиться минимально допустимое – 1. Максимальное, я поставлю, например, 5 Мегабит. То есть – 5 120 Килобит в секунду.
  • Такой же устанавливаю и Входящую пропускную способность. Это та скорость, с которой устройство будет получать информацию с интернета. Но можно указать как большее, так и меньшее значение.
  • Сохраняем правило.

Вы увидите созданное правило. Его можно изменить, выделить и удалить, или создать еще одно правило. Например, для ограничения скорости подключения других устройств.

Если у вас какая-то общественная Wi-Fi сеть, возможно даже не защищённая паролем, для которой нужно установить ограничение максимальной скорости, то лучше всего использовать функцию «Гостевой сети» .

Дело в том, что помимо основной сети можно запустить гостевую сеть, которая будет полностью изолирована от основной сети. И для гостевой сети задать ограничение по скорости. И это ограничение будет действовать для всех устройств, которые будут подключены к гостевому Wi-Fi.

Читать еще:  Как узнать частоту оперативной памяти Windows 7?

Как это сделать? Зайдите в настройки роутера, меню «Гостевая сеть» .

На этой странице можно:

  • Разрешить гостевым пользователям доступ к моей локальной сети. Если эта функция включена, пользователи смогут подключаться к устройствам в локальной сети роутера.
  • Разрешить гостевым пользователям доступ к USB-хранилищу. Если эта функция включена, пользователи смогут подключиться к USB-хранилищу. Но данная функция доступна только на роутерах с USB-портом.
  • Изоляция гостевой сети. Если эта функция включена, пользователи не смогут взаимодействовать между собой.
  • Контроль пропускной способности гостевой сети. Это именно то, что нам нужно. Если эта функция включена, будут применяться правила контроля пропускной способности гостевой сети. То есть, можно задать уже описанным мною способом Исходящую и Входящую пропускную способность для устройств, подключенных к Гостевой сети.
    Укажу, например, минимальное значение Единицу. А максимальное – 2048 Килобит в секунду, то есть 2 мегабита.

Укажу, например, минимальное значение Единицу. А максимальное – 2048 Килобит в секунду, то есть 2 мегабита.

  • Вы можете указать частоту, на которой будет работать гостевая сеть: 2,4 или 5 ГГц. Но это только если у вас двухдиапазонный роутер, как у меня.
  • Гостевая сеть. Включить или выключить функцию гостевой сети.
  • Имя сети – это имя самой гостевой сети. Введите значение длиной до 32 символов. Именно так её будут видеть гостевые пользователи.
  • Максимальное количество гостевых пользователей. До 32-х. Установите желаемое количество.
  • Защита. Здесь можно отключить или настроить защиту гостевой сети. Её можно отключить – тогда гостевые пользователи смогут подключаться к Wi-Fi без пароля.

Или включить и настроить WPA/WPA2 защиту, как в защите беспроводного режима основной сети.

Что такое гостевая сеть в роутере?

Содержание статьи:

В прошлой статье мы рассмотрели вопросы создания Wi-Fi сети дома и в офисе. Сегодня речь пойдёт о том, как разграничить основной и гостевой доступ в беспроводной домашней или корпоративной сети.

Появление Wi-Fi сетей если и не совершило революции в мире высоких технологий, совершенно точно расширило диапазон возможностей каждого из нас. Сегодня модуль беспроводной связи есть в каждом смартфоне или планшетном компьютере, в нетбуках, ноутбуках и множестве других устройств — от игровых приставок до телевизоров. В условиях городской среды доступные для подключения Wi-Fi сети часто становятся реальной альтернативой медленному 3G/4G Интернету. Но сам процесс подключения к беспроводной сети далеко не всегда удобен для тех, кому она могла бы быть полезна. Выйдите на улицы города и установите смартфон в режим поиска точек доступа. Во время всего одной прогулки вы обнаружите странную закономерность — 99% Wi-Fi сетей закрыты для свободного доступа. А ведь эти точки, при наличии доступа моли бы обеспечить полноценное покрытие сетью большей части города.

Обслуживание компьютеров организаций

Обслуживание компьютеров организаций от БитПрофи — профессиональное решение технических проблем Узнать больше>>>

Основной и гостевой доступ в Wi-Fi сети: теория

Именно эта идея когда-то посетила Стива Джобса, искавшего возможности разделить основной и гостевой доступ в Wi-Fi сети без ущерба для безопасности передачи данных. В чём же заключалась идея одного из самых известных в высокотехнологичном мире людей? На самом деле всё просто: Джобс планировал убедить пользователей, владельцев «домашних» и «корпоративных» роутеров выделить для всех желающих доступ к изолированному сегменту сети, отличному от домашней и имеющему другое имя. То есть предполагалось, что на базе имеющегося в распоряжении владельца точки доступа источника интернет-соединения, будет создана не одна сеть, а две — защищённая основная и свободная для доступа гостевая.

Идея всеобщего Wi-Fi братства так и не получила своего развития. Но у неё всё же появились последователи. Так, некоторые производители маршрутизаторов (включая компанию Apple) выпустили роутеры, обладающие возможностью создания гостевой сети помимо основной. И, если верить статистике, эта опция оказалась вполне востребованной — её задействуют около 15% пользователей.

Почему же до сих пор идея всеобщей доступности Wi-Fi сетей не стала массовой? Всё очень просто: внятного технологического решения нет до сих пор. И даже имея в своём распоряжении роутер с возможностью дополнительного создания открытой сети, пользователь сталкивается с проблемами чисто технологического свойства — настройкой и обеспечением защиты основной сети. А сам процесс развертывания сети в этом случае сравним с движением по минному полю — одно неосторожное движение и доступ в Интернет будет потерян для роутера навсегда. Впрочем, вовсе не обязательно пытаться настроить сеть самостоятельно — эту проблему помогут решить профессионалы своего дела, специалисты компании «БитПрофи».

Основной и гостевой Wi-Fi доступ: практика

С гостевым доступом в сети Wi-Fi мы сталкиваемся ежедневно — в кафе, ресторанах, парках. Свободный вариант подключения позволяет быстро и просто решать проблему подключения к обнаруженной точке доступа. Но защищено ли такое соединение? И всегда ли необходимо оставлять сеть свободной для подключения?

Если говорить о Wi-Fi в офисе, здесь чаще востребован вариант временного доступа в дополнение к основному. Он предоставляется при вводе особого временного пароля и локализован от основной сети, обеспечивая надёжную защиту внутрикорпоративного обмена информацией.

А как организовывается Wi-Fi доступ на больших объёмах площади? Например, на территории базы отдыха, спорткомплекса, санатория или торгового центра. Ведь наличие возможности подключения к беспроводной сети привлекает гораздо большее число посетителей, служит своего рода знаком качества, а для многих представителей современного поколения пользователей — и гарантией комфортного времяпрепровождения.

Кому может быть полезен гостевой доступ в Интернет через Wi-Fi сети?

1) Представителям бизнеса — в офисах, представительствах крупных корпораций, на территории предприятий. Для обеспечения свободного использования сети в гостевом режиме посетителями, партнерами, подрядчиками и клиентами.

2) Государственным организациям — для упрощения документооборота и обеспечения необходимого уровня комфорта для посетителей.

3) Поставщикам товаров и услуг — для привлечения внимания потребительской аудитории, в качестве дополнительного маркетингового преимущества.

Конечно, самый простой способ решения проблемы — предоставление открытого доступа к основной сети для всех желающих. Но этот вариант подвергает опасности защиту самой сети. Если вы всё же решились на создание гостевой сети — позаботьтесь для начала о том, чтобы данные основной были защищены максимально надёжно. Как это сделать? Воспользуйтесь технологиями защиты WPAD-Enterprise Security, предполагающей подключение пользователей через доступ к серверу с использованием специальных разрешений (мандатов).

Читать еще:  Оперативная система dos что это?

Организация гостевого доступа к Wi-Fi: технические моменты

Проще всего организовать гостевой доступ в сети при наличии соответствующего оборудования. Если роутер, обеспечивающий раздачу Wi-Fi для корпоративной сети оснащён функционалом гостевого доступа — достаточно будет активировать её, чтобы получить изолированную беспроводную сеть в дополнение к основной.

Существуют и более совершенные в технологическом плане решения — высокотехнологичные роутеры и точки доступа позволяют создавать множество SSID с различной степенью защищённости, благодаря использованию функций LAN. Таким образом можно настроить даже уровни доступа пользователей, не говоря уже о том, что безопасность соединения в этом случае однозначно будет на высоте.

Ещё один вариант технологического разделения сетей на гостевую и основную предполагает использование hotspot-оборудования. В этом случае гостевой доступ будет происходит на ваших условиях — со вводом подтверждения согласия пользователя с условиями использования сети либо с внесением платы за вход в сеть. Также hotspot позволяет регулировать пропускную способность сети либо ограничивать продолжительность одного сеанса подключения.

Для обеспечения масштабного покрытия Wi-Fi сети, позволяющей предоставлять гостевой доступ, можно задействовать точки-шлюзы, оснащённые hotspot-функционалом и позволяющие исключить доступ сторонних пользователей не ограничивая при этом тех, которые имеют право на гостевой доступ (например, проживающих в гостинице туристов).

Основная сеть Wi-Fi: почему её необходимо изолировать от гостевой?

Домашняя или локальная офисная Wi-Fi сеть — это удобно, практично и безопасно. Но для того чтобы она функционировала без лишних проблем, необходимо позаботиться о том, чтобы исключить возможность несанкционированного подключения.

Первое и самое простое, что можно посоветовать — соизмеряйте диапазон сигнала точки доступа/роутера и подключаемых к нему устройств. Иногда выбор менее мощного оборудования (соизмеримого с мощностью сигнала устройств) позволяет не только стабилизировать связь, но и исключить возможность случайного или намеренного взлома сети. К примеру, если зона покрытия Wi-Fi сети превышает пределы вашей квартиры/офиса/загородного участка — вероятность того, что к ней попробует подключиться кто-то ещё довольно высока.

Ещё один немаловажный момент — установление пароля для основной Wi-Fi сети. Если верить рекомендациям производителей, безопасной для взлома считается комбинация, состоящая из 20 и более символов. Соответственно, создавая изолированную основную сеть, важно позаботиться о том, чтобы её практически невозможно было взломать простыми методами, вроде взлома паролей.

Использование дополнительных механизмов шифрования — ещё один важный момент в обеспечении безопасности Wi-Fi соединения. Особенно актуальны они для внутрикорпоративных сетей, где утечка информации может нанести прямой вред и даже материальный ущерб бизнесу.

Изначально развитие технологии шифрования основывалось на технологии WEP — не самой надёжной в плане безопасности. Затем ей на смену пришли более совершенные WPA и WPA2. Методы шифрования тоже эволюционировали — сегодня основными считаются AES, RC2, TKIP. Если говорить о локализации доступа к основной сети, лучше выбрать вариант защиты, предполагающий использование «связки» WPA2/AES. Именно эти параметра должны быть установлены в настройках роутера, через который производится распределение Wi-Fi сигнала.

Важно учесть, что стандарт WPA предполагает и возможность упрощённого доступа к закрытой Wi-Fi сети — в режиме WPA/WPA2 — PSK, через ввод заданного в маршрутизаторе пароля. Этот способ достаточно удобен для домашнего подключения, но мало пригоден для корпоративного, поскольку в этом случае безопасность данных будет опять же зависеть от устойчивости пароля ко взлому.

В этой статье мы рассмотрели вопросы обеспечения основного и гостевого доступа в Wi-Fi сети, бесспорно, важные для каждого владельца домашней или корпоративной беспроводной сети. А в следующей статье вы узнаете о проблемах взлома и защиты Wi-Fi сетей от несанкционированного доступа, позволяющие по новому взглянуть на обеспечение безопасности домашних и корпоративных точек доступа и маршрутизаторов, транслирующих беспроводной сигнал.

Обслуживание компьютеров в Москве

Обслуживание компьютеров в Москве от БитПрофи — профессиональное решение технических проблем Узнать больше>>>

Что такое гостевая сеть в роутере?

Настройка гостевой сети Wi-Fi на MikroTik это задача которую нужно иногда решать сисадминам в средних и крупных компаниях. В MikroTik как раз есть для этого все инструменты. В самом простом случае надо создать VirtualAP навесить на неё IP адрес и настроить DHCP. Но мы ведь простых путей не ищем? Что нужно ещё сделать? Об этом данная статья.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Для примера будем рассматривать MikroTik с настройками по умолчанию: сеть 192.168.88.0/24, локальные интерфейсы входят в bridge, ether1 служит wan.

Идём в Wireless/WiFi Interfaces/Virtual:

Выбираем название сети: Guest

  • Security Profile можно выбрать из имеющихся: default — без пароля вообще в новых версиях Router OS
  • Default Forward — галочку можно снять. Это запретит обмен данными между гостевыми Wi-Fi клиентами

Аналогично создаём и настраиваем Virtual AP на 5 гГц сети:

Более подробно о настройке Wi-Fi интерфейсов на MikroTik можно почитать здесь

Теперь надо обьединить два виртуальных беспроводных интерфейса в бридж.

Добавляем два виртуальных беспроводных интерфейса в bridge1-guest:

Осталось прописать IP и настроить DHCP сервер на интерфейсе bridge1-guest:

Настроим DHCP сервер на интерфейсе bridge1-guest:

Настройка для малой сети завершена! Если вы хотите настроить ещё защиту от ручного назначения IP адресов пользователями читаем далее:

Отредактируем настройки полученого DHCP сервера:

Ставим галочку Add ARP For Leases, что позволит автоматически добавлять IP адрес в ARP таблицу роутера при получении IP.

На интерфейсе bridge1-guest надо выбрать reply-only в протоколе ARP:

Теперь даже если пользователь вручную назначит IP доступа к интернету у него не будет

Защитим основную сеть от проникновения из гостевой:

Идём IP/Firewall/Filter Rule:

В цепочке forward создаём правило запрещающее прохождение трафика из гостевой сети 192.168.89.0/24 в локальную 192.168.88.0/24

Перетаскиваем правило мышью на 1 место:

Осталось настроить ограничение скорости пользователям, но это уже описано в старой статье: настройка динамического шейпинга на MikroTik

Настраивать ограничения для доступа к MikroTik из гостевой сети в нашем случае не имеет смысл так как новый bridge1-guest не входит в список локальных в Interface List и доступа к нему и так нет.

Настройка завершена! Если вам не удалось настроить вы можете обратиться к нам за платной помощью Обратиться

Ссылка на основную публикацию
Adblock
detector