MikroTik настройка гостевой сети Wi-Fi

В этой статье мы поговорим о том, как настраивается на MikroTik гостевая сеть Wi-Fi, для чего это нужно и как изолировать ее от основной сети.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

С помощью правильно настроенной гостевой сети Wi-Fi мы можем предоставить возможность доступа к интернет сторонним пользователям, при этом они будут изолированы от основной сети компании и не смогут нарушить ее безопасность, получить доступ к внутренним ресурсам и т.п.

Настройка гостевой сети на MikroTik

В нашем примере мы пошагово выполним настройку гостевой сети на MikroTik hAP ac2, который настроен следующим образом:

  • Подсеть: 192.168.12.0/24;
  • WAN: ether1;
  • Остальные порты объединены в бридж.

Так как гостевая сеть имеет свое имя и пароль, то первым шагом мы создадим новый профиль безопасности.

Создать профиль безопасности

Чтобы создать профиль безопасности запустим фирменную утилиту Winbox и выполним переход по меню:

  • Wireless => Security Profiles => «+».

Здесь мы указываем имя профиля, тип шифрования (WPA2 PSK) и пароль.

Профиль создан, приступаем к следующему шагу.

Создать виртуальные точки доступа

Создадим виртуальные интерфейсы для wlan 2.4Ghz и 5Ghz. Для этого откроем:

  • WiFi Interface => «+» => Virtual.

Откроется окно «New Interface», где мы укажем имя (SSID), интерфейс для которого создается виртуальная точка и ранее созданный профиль.

MikroTik гостевая сеть 2.4 Ghz

Отключим параметр «Default Forward», чтобы устройства гостевой сети Wi-Fi не видели друг друга.

Проделаем аналогичную операцию для интерфейса 5Ghz:

MikroTik wifi гостевая сеть 5Ghz

Итог:

Теперь объединим созданные виртуальные интерфейсы мостовым соединением (Bridge). Для этого перейдем:

  • Bridge => «+».

Создали новое соединение Bridge, добавим в него виртуальные точки:

Назначить IP-адрес интерфейсу

Назначим IP-адрес для созданного мостового соединения, а также пул адресов для DHCP сервера гостевой сети.

  • IP => Addresses => «+».

Для следующего этапа настройки добавим пул гостевой сети, назначив ему имя и диапазон адресов:

Создать DHCP-сервер для гостевой сети

На этом этапе конфигурирования RouterOS мы настроим DHCP Server, чтобы клиенты смогли получить сетевые настройки от MikroTik. Сделаем это как показано на рисунках ниже:

Укажем имя, ранее созданный интерфейс (bridge2), пул адресов (guest-wifi-dhcp-pool) и время аренды.

После этого перейдем на вкладку «Networks», задав сетевые настройки:

Изолировать сети

В заключительном этапе конфигурирования мы настроим правила firewall, которые будут фильтровать трафик между гостевой сетью и локальной.

Откроем в Winbox:

  • IP => Firewall => Filter Rules => «+».

Вкладка «Action»:

Этим правилом мы запретили прохождение трафика из локальной в гостевую сеть.

Аналогичным образом создадим еще одно правило (зеркальное), запрещающее прохождение пакетов данных из гостевой в локальную сеть:

С более подробной настройкой firewall вы можете ознакомиться в статье MikroTik настройка Firewall.

На этом настройка закончена. На MikroTik гостевая сеть предоставляет доступ в интернет клиентам, при этом изолирована от основной сети компании.

Надеюсь, данная статья будет вам полезна.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Оцените статью
Smartadm.ru
Добавить комментарий

  1. Дмитрий

    при этом изолирована от основной сети компании

    Вы оставили доступ к роутеру из гостевой сети. Правила на инпут drop тоже необходимо. Клиентам нужно оставить только 67 порт UDP для DHCP.

    Ответить