Wi-Fi:Настройка гостевой беспроводной сети Wi-Fi
Введение
В статьей разбирается настройка гостевой беспроводной сети с защитой WPA2 PSK. Пользователи которые подключаться к этой сети не будут иметь доступа в локальную сеть - им будет доступен только Интернет. Предполагается, что адресация и маршрутизация настроены, мы зададим лишь те настройки которые касаются гостевой сети. В этом примере предполагается, что гостевая сеть создается на том же маршрутизаторе который отвечает за выход в Интернет.
Полезные материалы по MikroTik
Через графический интерфейс
На "шаге 1" мы создаем конфигурацию безопасности гостевой сети и присваиваем ей имя profile_guest_wi-fi. Пароль задается в поле №6 WPA2 Pre-Shared Key. Пароль должен быть не менее 8 символов.
На "шаге 2" мы создаем виртуальный интерфейс, задаем ему имя (поле №4), далее нужно нажать кнопку Advanced Mode (поле №5) и перейти на вкладку Wireless (поле №6), в ней мы задаем имя беспроводной сети (поле №7), а также оптимальные параметры безопасности и производительности под цифрами 8 и 9.
На "шаге 3" мы создаем пул (массив) адресов для гостевой сети. Адресация в гостевой сети должна быть отличной от локальной.
На "шаге 4" и "шаге 5" показана настройка DHCP сервера под гостевую сеть. Адресация в гостевой сети должна быть отличной от локальной.
На "шаге 6" мы присваиваем адрес виртуальному интерфейсу беспроводной сети. Адресация в гостевой сети должна быть отличной от локальной.
При настройке файервола надо учитывать, что правила взаимосвязаны друг с другом. Это значит, что надо учитывать, что бы выше правил для блокировки трафика гостевой сети не оказалось правил, которые их разрешают.
На "шаге 7" мы создаем правила которые блокируют соединения между участниками локальной сети и гостевой сети. Должны быть созданы 2 правила в которых в полях Src.Address и Dst.Address (поля №4 и №6) должны быть зеркально (в первом правиле на месте Src.Address-адрес локальной сети, на месте Dst.Address - адрес гостевой сети, во втором правиле наоборот) прописаны адреса локальной и гостевой сетей. Для обоих правил должно быть выбрано действие drop (поля №8 и №10)
Через консоль
/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
profile_guest_wi-fi supplicant-identity="" wpa2-pre-shared-key=Pass55word!
/interface wireless
add disabled=no mac-address=00:00:00:00:00:00 master-interface=\
wlan1 name="Guest Wi-Fi" security-profile=profile_guest_wi-fi ssid=\
client wds-cost-range=0 wds-default-cost=0 wmm-support=enabled wps-mode=disabled
/ip pool
add name=dhcp_pool_guest ranges=10.11.12.101-10.11.12.150
/ip dhcp-server
add address-pool=dhcp_pool_guest disabled=no interface="Guest Wi-Fi" \
lease-time=12h name=dhcp_guest
/ip address
add address=10.11.12.1/24 interface="Guest Wi-Fi" network=10.11.12.0
/ip dhcp-server network
add address=10.11.12.0/24 dns-server=10.11.12.1,8.8.8.8 gateway=10.11.12.1
/ip firewall filter
add action=drop chain=forward comment="Deny guest requests" dst-address=172.16.18.0/24 src-address=10.11.12.0/24
add action=drop chain=forward comment="Deny guest requests" dst-address=10.11.12.0/24 src-address=172.16.18.0/24
Проверка
Вы должны подключиться к беспроводной сети и у вас должен быть доступ в сеть Интернет и не должно быть доступа в локальную сеть.
Полезные материалы по MikroTik