Содержание:
- Создание виртуальной Wi-Fi точки доступа MikroTik
- Настройка пароля для подключения к Wi-Fi точке
- Назначение IP адреса виртуальной Wi-Fi сети
- Настройка DHCP сервера
- Настройка NAT
- Изоляция гостевой подсети
- Подключение к виртуальной Wi-Fi точке MikroTik
Перед системными администраторами часто стоит задача разделения Wi-Fi сети предприятия на сеть офиса и гостевую Wi-Fi сеть. Это необходимо для того, чтобы повысить безопасность сети организации, и дать по Wi-Fi доступ к интернету гостям. Независимые беспроводные сети часто используют в офисах, хотспотах (hotspot), кафе, гостиницах.
Wi-Fi роутеры MikroTik позволяют на базе одного устройства создать несколько виртуальных Wi-Fi сетей. Эту функцию называют Multi SSID (мультисид, multi sid).
В этой статье вы узнаете как настроить виртуальные Wi-Fi точки доступа MikroTik, чтобы предоставить гостевой доступ к интернету по Wi-Fi.
Создание виртуальной Wi-Fi точки доступа MikroTik
Подключаемся к роутеру MikroTik с помощью программы Winbox и добавляем виртуальную Wi-Fi точку доступа:
- Выбираем слева меню Wireless;
- На вкладке Interfaces нажимаем кнопку Add (красный крестик);
- В выпадающем списке выбираем VirtualAP;
- В новом окне на вкладке General вводим в поле Name: название виртуального Wi-Fi интерфейса, например wlan2;
- Переходим на вкладку Wireless;
- В поле SSID: указываем название виртуальной Wi-Fi точки доступа, например MikroTik2;
- В поле Master Interface: выбираем физический Wi-Fi интерфейс роутера wlan1;
- Нажимаем кнопку OK.
Теперь в списке беспроводных интерфейсов появится новый виртуальный Wi-Fi интерфейс MikroTik.
Настройка пароля для подключения к Wi-Fi точке
Установим пароль, который будет использоваться для подключения к виртуальной Wi-Fi точке:
- В окне Wireless Tables выбираем вкладку Security Profiles и нажимаем кнопку Add (красный крестик);
- На вкладке General в поле Name: вводим название профиля безопасности, например wifi2;
- В поле WPA Pre-Shared Key: вводим пароль. Это пароль для подключения к Wi-Fi точке доступа с использованием шифрования WPA;
- В поле WPA2 Pre-Shared Key: вводим аналогичный пароль. Это пароль для подключения к Wi-Fi точке доступа с использованием шифрования WPA2;
- Нажимаем кнопку OK;
- Переходим на вкладку Interfaces и делаем двойной щелчок мыши на виртуальном интерфейсе;
- Переходим на вкладку Wireless;
- В списке Security Profile: выбираем имя профиля безопасности, в котором мы настраивали пароль для доступа к виртуальной Wi-Fi точке;
- Нажимаем кнопку OK.
Назначение IP адреса виртуальной Wi-Fi сети
Назначим IP адрес виртуальной Wi-Fi сети MikroTik:
- Нажимаем слева меню IP;
- Выбираем Addresses;
- Нажимаем кнопку Add (красный крестик);
- В поле Address указываем адрес и маску виртуальной Wi-Fi сети, например 192.168.2.1/24;
- В списке Interface: выбираем виртуальный интерфейс Wi-Fi сети wlan2;
- Нажимаем кнопку OK.
Настройка DHCP сервера
Выполним настройку DHCP сервера MikroTik, чтобы пользователи, которые будут подключаться к виртуальной Wi-Fi точке, получали автоматически сетевые настройки:
- Слева открываем меню IP;
- Выбираем DHCP Server;
- Жмем кнопку DHCP Setup;
- В выпадающем списке DHCP Server Interface выбираем виртуальный Wi-Fi интерфейс wlan2;
- Нажимаем кнопку Next;
- Здесь указываем IP адрес виртуальной Wi-Fi сети и нажимаем кнопку Next;
- В этом окне прописывают адрес шлюза. Нажимаем кнопку Next;
- Вводим диапазон IP адресов, которые клиентам будет присваивать DHCP сервер. Жмем кнопку Next;
- Далее указываются адреса DNS серверов. Нажимаем кнопку Next;
- В этом окне прописывают время резервирования IP адресов. Нажимаем кнопку Next;
- Следующее окно говорит о том, что DHCP сервер успешно настроек. Нажимаем кнопку OK.
Настройка NAT
Чтобы гости получали доступ к интернету по Wi-Fi, необходимо настроить NAT. Откройте меню New Terminal для ввода команд.
Настройка NAT выполняется следующими командами:
ip firewall nat add chain=srcnat out-interface=интерфейс провайдера action=masquerade
, где интерфейс провайдера - это интерфейс, на который приходит интернет от провайдера, например ether1. Для PPPoE соединений указывается название PPPoE интерфейса. Настройки NAT достаточно, чтобы заработал интернет.
Изоляция гостевой подсети
Чтобы гости не смогли попасть в соседнюю подсеть офиса, нужно изолировать гостевую подсеть с помощью правила фаервола. Для этого выполните в терминале следующую команду:
ip firewall filter add chain=forward src-address=192.168.2.0/24 dst-address=192.168.0.0/16 action=drop
, где 192.168.2.0/24 - это адрес гостевой подсети.
192.168.0.0/16 - это адреса подсетей класса С.
После этого не забудьте в меню IP - Firewall - Filter Rules перетащить добавленное правило вверх выше запрещающих.
Подключение к виртуальной Wi-Fi точке MikroTik
Подключим ноутбук по Wi-Fi к виртуальной Wi-Fi сети.
В правом нижнем углу монитора открываем значок со списком беспроводных сетей, находим нашу виртуальную Wi-Fi сеть MikroTik2 и нажимаем кнопку Подключение.
В следующем окне вводим пароль для доступа к виртуальной Wi-Fi точке MikroTik.
После подключения на ноутбуке появится интернет.
Відгуки про статтю
Какой IP получит устройство в таком случае - из первого или из второго пула?
Что я сделал (делаю) не так?
Я немного по-другому настроил гостевую сеть wi-fi, но вопрос не в этом. Вопрос вот в чём - как мониторить сайты пользователей этой сети? Пользуюсь MikroTik'ом "RB951G-2HnD" 4 дня.
Программ, которые бы хорошо это делали, я не встречал. Вот более менее адекватная, которую пробовал http://www.pvsm.ru/proxy/33984
Как это сделать можно прочитать в этой статье http://www.technotrade.com.ua/Articles/how_to_limit_throughput_mikrotik.php
Смотри внизу раздел 'Привязка IP адреса к MAC адресу в MikroTik'.
У меня основной режим радио интерфейса бридж, из-за это не получается настроить virtual AP.
Подскажите возможно ли сохранить режим бридж и настроить virtual AP, или какую нибуть альтернативу.