Настройка гостевой сети Wifi mikrotik zhitsoboy.ru

Настройка гостевой сети Wifi mikrotik

Виртуальная гостевая точка доступа на MikroTik RB951G

В материале описывается создание двух независимых WiFi-сетей, одна из которых используется персоналом организации, а другая — гостями. Это нужно для того, чтобы повысить безопасность внутренней локальной сети, предоставив одновременно доступ в интернет посетителям. Такие сети часто используются в кафе, магазинах, турагентствах, выставках, офисах и любых других организациях, постоянно работающих с клиентами.

Приступим к настройке роутера.
1. Для того, чтобы войти в интерфейс, нужно соединить патчкордом любой из портов микротика с Ethernet-портом компьютера, с которого будем настраивать роутер.
В интерфейс роутера заходим с помощью программы Winbox. В поле “Connect to” вводим mac-адрес, который указан на обратной стороне Микротика. По умолчанию логин – admin, а пароль пустой. Далее нажимаем кнопку “Connect”.

2. Прежде всего пропишем настройки на тот интерфейс, в который будет приходить кабель провайдера (в нашем случае это ether1-gateway). Если провайдер выдает сетевые настройки по dhcp, то мы пропускаем этот пункт.

3. Переходим к настройке wifi – в меню“Wireless” кликаем два раза по интерфейсу “wlan1”, меняем имя первой беспроводной сети (SSID), жмем ОК.

4. Во вкладке “Security Profiles” меняем настройки безопасности нашей основной беспроводной сети – ставим галочку WPA2 PSK в “Authentication Tipes” и вводим пароль (минимум 8 символов), жмем ОК.
В этой же вкладке создаем профиль безопасности для гостевой беспроводной сети, нажав на синий плюс, указываем имя профиля (Name), тип безопасности и пароль, отличный от первого (для гостей можно и попроще, например 12345432).

5. Возвращаемся во вкладку “Interfaces” и создаем гостевую виртуальную беспроводную сеть, нажав на синий плюс и выбрав строчку “Virtual AP”. Указываем имя сети (SSID), основной интерфейс (Master Interface) для виртуальной сети будет “wlan1” и в профиле безопасности (Security Profiles) выбираем созданный в предыдущем пункте профиль, жмем ОК.

Во вкладке “Interfaces” появилась строчка только что нами созданного виртуального интерфейса (wlan2) для гостевой беспроводной сети.

6. Теперь создадим для гостевой беспроводной сети ip-адреса, которые будут назначаться подключаемым устройствам: IP – Addresses – синий плюс. В поле “Address” указываем основной шлюз для устройств и размерность сетки ip-адресов как показано на рисунке, в поле “Network” будет адрес сети, в “Interface” выбираем созданный в 5 пункте статьи виртуальный интерфейс wlan2, жмем ОК.

7. Произведем настройку DHCP-сервера, чтобы подключаемые устройства могли получать автоматически сетевые настройки: IP – DHCP Server – DHCP Setup.

Далее следуем пунктам как показано на рисунке.

8. Ну и последнее, что нам осталось сделать – это ограничить скорость гостевой беспроводной сети, чтобы посетители не мешали работе офиса, например загрузкой торрентов или просмотром фильмов. В меню выбираем пункт “Queues”, во вкладке “General” жмем синий плюс, в поле “Name” пишем имя ограничения (очереди), в поле “Target” указываем для какой сети будет действовать это ограничение скорости (в нашем случае это 192.168.2.0/24), в поле “Max Limit” выбираем верхний порог отдачи (Upload) и загрузки (Download) информации, жмем ОК.

Роутер с виртуальной гостевой беспроводной сетью готов к работе

В завершение приведем видео с данной настройкой:

CAPsMAN с двумя SSID — гостевая и рабочая сеть

Внимание! Данная инструкция разработана для MikrotikOS v6.40
На других версиях может работать некорректно.

Рассмотрим случай, когда на микротике нужно настроить CAPsMAN с двумя сетями: рабочей и гостевой.
Для начала нужно настроить два бриджа на микротике с гостевой и рабочей сетью.
За основу возьмём инструкцию по настройке хотспота на микротике

Для будущего удобства рекомендуем заменить часть стандартного конфига:

на следующие строки:

Это нужно для того, чтобы рабочая сеть была настроена на отдельный inet-bridge, а не просто на отдельный порт в микротике.

После настройки у Вас получится полноценный хотспот с гостевой и рабочей сетью в разных бриджах (hs-bridge и inet-bridge).

Теперь настроим CAPsMAN.

Краткая инструкция

В терминал главного микротика вставляем следующий конфиг, не забыв заменить пароль рабочей сети с 12345678 на Ваш пароль.

В дополнительные роутеры и точки вставьте следующий конфиг:

Подробная инструкция

Если вы хотите настроить вручную каждый пункт, то воспользуйтесь инструкцией ниже.

Настройка главного микротика:

в меню Bridge создадим новый бридж bridgeCAP
name=bridgeCAP

1) Включим CAPsMan.

В меню выбираем CAPsMan-CAP Interface-Manager
Ставим галочку enabled=yes и нажимаем ОК

Читать еще:  Мало оперативной памяти что делать Windows 7?

2) Добавим channel.

band=2ghz-b/g/n
frequency=2457
name=hs-channel1
tx-power=20
control-channel-width=20

3) Добавим datapath для hs-bridge.

bridge=hs-bridge
name=hs-datapath1
client-to-client-forwarding=yes

4) Добавим datapath для inet-bridge.

bridge=inet-bridge
name=inet-datapath1
client-to-client-forwarding=yes

5) Добавим security профиль для рабочей сети.

authentication-types=wpa2-psk
encryption=aes-ccm
group-encryption=aes-ccm
name=inet-security
passphrase=12345678

6)Добавим конфигурацию для гостевой сети.

channel=hs-channel1
datapath=hs-datapath1
mode=ap
name=hs-cfg1
rx-chains=0,1,2
tx-chains=0,1,2
ssid=CAPs-free

7)Добавим конфигурацию для рабочей сети.

channel=hs-channel1
datapath=inet-datapath1
mode=ap
name=inet-cfg1
rx-chains=0,1,2
tx-chains=0,1,2
ssid=CAPs-work
security=inet-security

8) Настроим provisioning.

action=create-dynamic-enabled
master-configuration=inet-cfg1
slave-configuration=hs-cfg1

9) Активируем CAPsMAN на Wlan интерфейсах.
enabled=yes
interfaces=wlan1
discovery-interface=bridgeCAP
bridge=none

Настройка дополнительных точек и роутеров:

1) Создадим бридж.

name=hs-bridge

2) Добавим все Lan интерфейсы в него.

3) Настроим DHCP Client.

dhcp-options=hostname,clientid
disabled=no
interface=hs-bridge

allow-remote-requests=yes
servers=8.8.8.8,208.67.222.222

5) Активируем CAPsMAN.

discovery-interfaces=hs-bridge
enabled=yes
interfaces=wlan1

Настройка завершена — можно приступать к работе.

Настройка HotSpot в роутерах MikroTik

Что такое HotSpot?

Само по себе HotSpot – это просто точка доступа к Wi-Fi сети, созданная для подключения устройств к локальной сети без проводов. При этом часто возникает потребность организации раздельных HotSpot’ов, для рабочей и гостевой сети. Гостевая сеть должна быть отделенной от основной сети, позволяющей пользоваться беспроводным доступом к сети интернет без доступа к рабочей локальной сети и зачастую быть доступной без ввода паролей, тогда как локальная сеть напротив, должна быть защищена и недоступна посторонним.

Оборудование MikroTik RouterBOARD и ее RouterOS предоставляет широкие возможности настройки разделенных HotSpot’ов, помогая системным администраторам не только быстро создать разделенные точки доступа к сети, но и гибко настраивать их возможности и ограничения. Например для общественных мест можно настроить доступ к сети, только после просмотра рекламы.

Настройка локальной сети как правило не вызывает вопросов, по этому мы рассмотрим простое создание гостевого хотспота на MikroTik RouterOS с ограничениями и возможностью показа рекламы или перехода на сайт провайдера.

Подготовка к настройке

Пример настройки RouterBOARD будем рассматривать через интерфейс Winbox, который можно скачать с сайка производителя. Во многих случаях Winbox будет использовать нагляднее и удобнее чем Webfig или CLI-интерфейсы.

Сначала необходимо настроить новый Bridge-интерфейс, через который впоследствии мы будем работать с гостевой сетью. Потом привяжем к нему необходимые интерфейсы, и настроим основные серверы: DNS и DHCP.

Для начала надо убедиться что у вас разрешен доступ к интернет от других интерфейсов, для этого перейдите в настройки IP — DNS и проверьте наличие включенной опции Allow Remote Requests.

Если все настроено верно, то можно переходить к настройкам моста.

Настройка Bridge интерфейса для HotSpot

Для будущего Hotspot мы создадим отдельный Bridge-интерфейс, для этого нужно открыть в меню пункт Bridge на вкладке Bridge нажать +. Никаких дополнительных настроек нам не потребуется, сохраняем настройки по умолчанию.

После этого выберем интерфейс, который будет связывать наш Bridge и порт роутера через который будут осуществляться гостевые подключения. Для этого откроем вкладку Ports и нажимаем +. Добавляем необходимые интерфейсы к новому Bridge как показано на скриншоте.

После этого, присвоим данному бриджу подсеть адресов, что бы все гостевые подключения находились в отдельной подсети. Для этого в в меню IP — Address и добавим для нашего bridge1 пространство адресов, например 192.168.10.1/24.

После произведенных действий можно переходить к настройкам HotSpot.

Настройка MikroTik HotSpot

В Mikrotik RouterOS есть встроенный мастер создания хотспотов, воспользуемся им, для этого перейдем в меню IP – Hotspot и на вкладке Servers нажмем кнопку Hotspot Setup. Запустится мастер быстрой настройки, фактически в нем нет необходимости ничего настраивать, все настройки по умолчанию близки к оптимальным, плюс к этому RouterOS сама определит уже созданные нами параметры IP для будущей сети.

Из настроек которые необходимо указать вручную, можно выделить только Hotspot interface где выбираем наш bridge1, а так же DNS сервер, где можно указать любой общедоступный, например 8.8.8.8 от Google или 77.88.8.7 от Яндекс с фильтрами безопасности.

Поля SSL certificate, SMTP server, DNS name можно оставлять пустыми.

После создания Hotspot необходимо настроить ограничения для гостевой сети. Основными ограничениями будут скорость канала для клиентов и времени соединения. Что бы задать эти лимиты, перейдем на вкладку Server Profiles, выберем наш свежий хотспот для редактирования.

На вкладке Login снимем выбор с параметра Cookie, и поставим галочку Trial, после чего установим временные лимиты. Выбор ограничений сильно зависит от профиля использования сети. Trial Uptime Limit – это время, в течении которого клиенту разрешено пользоваться интернетом. Trial Uptime Reset — время, на которое клиент будет заблокирован после истечения разрешенного времени. Сохраняем и закрываем окно.

Читать еще:  Установка оснастки active directory в Windows 10

Что бы установить ограничения скорости для пользователей сети, перейдем на вкладку User Profiles и приступаем к редактированию профиля. Здесь будем редактировать следующие настройки: Keepalive Timeout установите 01:00:00, отключим опцию Shared Users, включим авторизацию через показ web-страницы, установив в поле Open Status PageHTTP Login. Ограничения скорости приема/передачи устанавливаются в поле Rate Limit (rx/tx – загрузка/отдача), выставим, например, 1m/1m, что означает 1Мбит на прием и передачу данных.

Во время создания гостевой сети автоматически был создан и DHCP-сервер, нужно отредактировать его настройки, что бы пользователи использовали DNS-cервер нашего Mikrotik. Переходим IP — DHCP Server, вкладка Networks, открываем свойства нашей подсети и прописываем DNS Server, 192.168.10.1.

Настройка Wi-Fi сети Hotspot’а в Mikrotik

После всех подготовительных работ, можно переходить к настройке беспроводных интерфейсов Miktotik, если они у вас есть. Если в вашем RouterBOARD нет Wi-Fi адаптера, то можно просто подключить в настроенный разъем точку доступа(предварительно настроенную) и все будет работать, а этот раздел пропускать. В случае если в вашем RouterBOARD беспроводные интерфейсы присутствуют, переходим к их настройке, которая достаточно проста.

Открываем меню Wireless, на вкладке General укажите имя, например Name: wlan_hotspot и нажмите кнопку Advanced Mode для доступа ко всем настройкам беспроводного адаптера. На вкладке Wireless настроиваем основные параметры подключения.

  • Modeap bridge — включаем работу в режиме точки доступа.
  • SSID — MAIN-Wi-Fi — имя беспроводной сети
  • Radio NameMAIN-RADIO — имя точки доступа, отображается при сканировании сети.
  • Scan List2400-2500 — диапазон сканирования сетей.
  • Wireless Protocol802.11 — работа в режиме стандартного Wi-Fi.
  • Frequency Modesuperchannel — включение всех доступных частот.
  • Default Authenticate — режим ограничения по минимальному уровню сигнала.
  • Default Forward — отключим для запрета обмена данными между клиентами беспроводной сети.

Вкладка — Data Rates, устанавливаем Rate Selection: advanced, параметр Rate как Configured и уберите все галочки со скоростей B режимов вверху и внизу.

Вкладка Advanced:

  • Distanceindoors — клиенты находятся рядом с точкой
  • Periodic Calibrationenabled — периодическая калибровка уровня шума
  • Calibration Interval00:00:10 — интервал калибровки уровня шума 10 секунд.
  • Hw. Protection ModeRTS/CTS — механизм, используемыйдля исключения коллизий кадров; способ решения проблем «скрытого узла».

Вкладка HT: можно активировать все переключатели, это включит режим MIMO, позволяющий повысить скорость передачи данных, хоть и в ущерб зоне покрытия

На Вкладке WDS убедимся что он отключен.

На вкладке Nstreme снимите галочку Enable Polling.

Вкладка Tx Power Можно менять параметр Tx Power Mode, для регулировки мощности выходного сигнала. Мобильные телефоны обычно имеют синал не выше 16dbm, по этому не стоит выставлять значение слишком высоким. Высокая мощность точки может заглушить слабые сигналы клиентов.

Необходимо изолировать клиентский трафик между точками, запретив клиентам обмениваться данными, это снизит зашумленность сети снизив общую нагрузку.

Изолировать клиентов можно проделав следующее:

  • Каждую точку подключать в отдельном VLAN;
  • Изолированные VLAN сети объелинить на едином общем Bridge.

Создадим новый фильтр в меню Bridge на вкладке Filters. Перейдите в GeneralBridges и установите In.Bridge и Out.Bridge наш интерфейс bridge_hotspot.

На вкладке Action, делаем drop

На этом настройку хотспота можно считать завершенной. Останется только довести некоторые индивидуальные параметры, например административную сеть или дополнительные сети со своими ограничениями и пользователями. Дополнительно есть возможность настройки отображение рекламы пользователям при подключении к сети.

Mikrotik RB2011UiAS-2HnD и гостевая сеть WiFi.

Nekit73rus

arastegaev

Nekit73rus

  • Автор темы
  • #3

arastegaev

вот так попробуйте:
/ip firewall nat add action=masquerade chain=srcnat out-interface=интерфейс_через_который_выход_в_интернет src-address-list=10.5.50.0/24

Где затык? до куда доходят пакеты и стопорятся?

Nekit73rus

  • Автор темы
  • #5

Сделано.
При попытке пинга он видит адрес:
C:Usersetc>ping www.ru

Обмен пакетами с www.ru [193.124.3.1] с 32 байтами данных:
А там: превышен интервал ожидания.

Опишу свои действия:
1) Сбросил микротик, зашёл на него. Добавил мост(bridge1), соединил wlan1,Eth1-Eth10 в этот мост.
2) IP -> Adresses добавил адрес на Eth1 — 192.168.0.19/24 подсеть 192.168.0.0 — подключил к основной сети.
3) IP -> DNS — прописал DNS. (192.168.0.250)
4) в настройках wlan1 в WDS выбрал dynamic и bridge1.
проверяем: проводами всё работает, основной wifi работает.
5) Создаю Virtual AP.
6) IP -> Adresses добавил адрес на wlan2 — 10.5.50.1/24 подсеть 10.5.50.0
7) Повесил на wlan2 DHCP IP > DHCP Server — DHCP Setup — вбил всё кроме DHCP Relay.
Проверяем. к гостевой сети подключается, IP 10.5.50.x маска и шлюз 10.5.50.1 — получает клиент.
А дальше как бы я не вертел IP — Firewall — NAT . ничего не выходит ((
И в гостевой сети пинга до 10.5.50.1 почему то нет.

Читать еще:  Что такое системный кэш?

созданы правила:
/ip firewall nat add action=masquerade chain=srcnat src-address=10.5.50.0/24 to-addresses=0.0.0.0
/ip route add distance=1 gateway=192.168.0.1
Так же пробовал создать bridge2, перевесить DHCP на него и wlan2 засовывал тоже в bridge2.

—————
Роутер подключен первым портом Eth1 в общую сеть. IP — 192.168.0.19.
Шлюз общей(основной) сети 192.168.0.1, ДНС — 192.168.0.250.
bridge1 — wlan1(wds: dynamic, bridge1), Eth1-Eth10;
bridge2(DHCP 10.5.50.1/24) — wlan2(wds: dynamic, bridge2);
/ip firewall nat add action=masquerade chain=srcnat src-address=10.5.50.0/24 to-addresses=0.0.0.0
/ip route add distance=1 gateway=192.168.0.1

arastegaev

Nekit73rus

  • Автор темы
  • #7

arastegaev

Nekit73rus

  • Автор темы
  • #9

arastegaev

arastegaev

arastegaev

Nekit73rus

  • Автор темы
  • #13

Nekit73rus

  • Автор темы
  • #14

Bridge1 — wlan1, Eth1-Eth10. Без DHCP, Eth1 портом подключен к основной сети. Eth1 присвоен адрес 192.168.0.19 (IP -> Adresses)
Если подключиться к wlan1, Eth1-Eth10 — всё работает норм — клиент получает адрес 192.168.0.x от DHCP основной сети.

wlan2 без моста, с DHCP на wlan2 10.5.50.0/24 — клиенты подключаются и получают IP 10.5.50.x gate&DNS — 10.5.50.1.
Но в wlan2 пинга до 10.5.50.1 почему то нет.

Хотя из консоли микротика любой IP из 192.168.0.0/24 и 10.5.50.0/24 пингуется.

arastegaev

Nekit73rus

  • Автор темы
  • #16

arastegaev

щас попробовал на 751 микротике, завелось с полпенка )))
прошивка 6.26

Уже была сеть 192.168.151.0/24
Сделал:
1. Wireless -> Добавил к физическому интерфейс wlan1 — Virtual AP, получилось: wlan1 + wlan2(Virtual AP, в wireless: master interface — wlan1, security как на wlan1)
2. IP -> Address -> интерфейсу wlan2 назначил 192.168.133.1/24
3. IP -> Firewall -> NAT -> правило для выхода
4. Подключил ноут, прописал ip: 192.168.133.12
пинг до 192.168.133.1 идет нормально, до ресурсов интернет тоже нормально, до другой сети 192.168.151.0/24 тоже нормально

Nekit73rus

  • Автор темы
  • #18

щас попробовал на 751 микротике, завелось с полпенка )))
прошивка 6.26

Уже была сеть 192.168.151.0/24
Сделал:
1. Wireless -> Добавил к физическому интерфейс wlan1 — Virtual AP, получилось: wlan1 + wlan2(Virtual AP, в wireless: master interface — wlan1, security как на wlan1)
2. IP -> Address -> интерфейсу wlan2 назначил 192.168.133.1/24
3. IP -> Firewall -> NAT -> правило для выхода
4. Подключил ноут, прописал ip: 192.168.133.12
пинг до 192.168.133.1 идет нормально, до ресурсов интернет тоже нормально, до другой сети 192.168.151.0/24 тоже нормально

arastegaev

arastegaev

RB751G-2HnD
export compact file=conf

# feb/09/2015 22:56:09 by RouterOS 6.26
#
/interface bridge
add mtu=1500 name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether5 mrru=1600 name=mts
password=password user=user
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods=»» group-ciphers=
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=
profile1 supplicant-identity=»» unicast-ciphers=tkip,aes-ccm
wpa-pre-shared-key=F12Bz32H wpa2-pre-shared-key=F12Bz32H
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2437
ht-supported-mcs=»mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mc
s-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15″ l2mtu=2290 mode=ap-bridge
security-profile=profile1 ssid=hawaii50-2 tx-power-mode=card-rates
add disabled=no l2mtu=2290 mac-address=D6:CA:6D:29:53:B3 master-interface=
wlan1 name=wlan2 security-profile=profile1 ssid=hophay wds-cost-range=0
wds-default-cost=0
/ip pool
add name=dhcp_pool1 ranges=192.168.151.2-192.168.151.254
add name=dhcp_pool2 ranges=192.168.133.2-192.168.133.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=3d name=
dhcp1
add address-pool=dhcp_pool2 disabled=no interface=wlan2 lease-time=3d name=
dhcp2
/system logging action
set 1 disk-file-name=»»
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=wlan1
/ip address
add address=192.168.151.1/24 interface=bridge1 network=192.168.151.0
add address=192.168.133.1/24 interface=wlan2 network=192.168.133.0
/ip dhcp-server network
add address=192.168.133.0/24 gateway=192.168.133.1
add address=192.168.151.0/24 dns-server=77.88.8.7,77.88.8.3 gateway=
192.168.151.1
/ip dns
set servers=77.88.8.7,77.88.8.3
/ip firewall filter
add action=drop chain=input comment=»drop brute forcers» src-address-list=
blacklist
add action=add-src-to-address-list address-list=blacklist
address-list-timeout=1w chain=input connection-state=new dst-port=
21,22,23,8291 in-interface=mts protocol=tcp src-address-list=
blacklist_stage2
add action=add-src-to-address-list address-list=blacklist_stage2
address-list-timeout=1m chain=input connection-state=new dst-port=
21,22,23,8291 in-interface=mts protocol=tcp src-address-list=
blacklist_stage1
add action=add-src-to-address-list address-list=blacklist_stage1
address-list-timeout=1m chain=input connection-state=new dst-port=
21,22,23,8291 in-interface=mts protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=mts src-address=
192.168.151.0/24
add action=masquerade chain=srcnat out-interface=mts src-address=
192.168.133.0/24
/system clock
set time-zone-name=Europe/Volgograd
/system leds
set 0 interface=wlan1

Ссылка на основную публикацию
Adblock
detector