В этой чудной статейке я хочу описать как же настраивать на Микротиках гостевую точку доступа WiFi.
Что мы имеем? В наличии маршрутизатор MikroTik RoutBoard RB951Ui, и надо сделать гостевую точку, в которой будет только доступ в Интернет, и никуда более.
Казалось бы, достаточно создать еще один виртуальный тырфейс wifi, на нем поднять dhcp-сервак, добавить запрещающие правила, и все. Но тут затаилось одно большое волосатое НО! Но не работает dhcp-server на тырфейсах, которые в slave-режиме, а свежеиспеченный виртуальный тырфейс гостевого wifi как раз именно такой.
А чтобы решить эту проблему, нужно создать еще один мост, и добавить в него вирутальный тырфейс гостевой точки доступа.
в консоле создаем новый мост
Имя сети: My Guest SSID
Пароль: somepasshrase
Виртуальная точка находится в мосте bridge-guest
Интерфейс виртуальной точки называется wlan2, и он в slave с интерфейсом wlan1, за счет добавления в мост wlan2, мы можем поднимать dhcp-сервер, и раздавать отдельные адреса
Для начала зададим адрес для bridge-guest, и обозначим к какой сети он принадлежит
Теперь же надо создать правило маскардинга, чтобы мы имели доступ в Сеть
/ip firewall filter add action=drop chain=forward comment="Guest AP" dst-address=192.168.1.0/24 src-address=172.16.0.0/24
и еще разок efault/hotspot-default target=Guest-bridge \
/ip firewall filter add action=drop chain=forward comment="Guest AP" dst-address=172.16.0.0/24 src-address=192.168.1.0/24
Ограничиваем скорость для Guest_WiFi
http://zaraev.blogspot.ru/2015/08/mikrotik-auto-12-wifi-work-wifi-free.html
https://www.geleijn.nl/2014/guest-network-mikrotik-router/
http://serverfault.com/questions/738402/mikrotik-configuration-add-a-public-wireless-router-internet-only-to-office
Что мы имеем? В наличии маршрутизатор MikroTik RoutBoard RB951Ui, и надо сделать гостевую точку, в которой будет только доступ в Интернет, и никуда более.
Казалось бы, достаточно создать еще один виртуальный тырфейс wifi, на нем поднять dhcp-сервак, добавить запрещающие правила, и все. Но тут затаилось одно большое волосатое НО! Но не работает dhcp-server на тырфейсах, которые в slave-режиме, а свежеиспеченный виртуальный тырфейс гостевого wifi как раз именно такой.
А чтобы решить эту проблему, нужно создать еще один мост, и добавить в него вирутальный тырфейс гостевой точки доступа.
в консоле создаем новый мост
/interface bridge add name=bridge-guestНовенький мост создан, теперь переходим к созданию виртуального интерфейса для гостевой точки
/interface wireless security-profiles add authentication-types=wpa2-psk mode=dynamic-keys name=guest wpa2-pre-shared-key=somepassphrase /interface wireless add disabled=no mac-address=D6:CA:6D:8E:43:18 master-interface=wlan1 name=wlan2 security-profile=guest ssid="My Guest SSID" wds-default-bridge=bridge-guest /interface bridge port add bridge=bridge-guest interface=wlan2Стоит для справочки отметить, что у гостевой точки будут такие параметры:
Имя сети: My Guest SSID
Пароль: somepasshrase
Виртуальная точка находится в мосте bridge-guest
Интерфейс виртуальной точки называется wlan2, и он в slave с интерфейсом wlan1, за счет добавления в мост wlan2, мы можем поднимать dhcp-сервер, и раздавать отдельные адреса
Для начала зададим адрес для bridge-guest, и обозначим к какой сети он принадлежит
/ip address add address=172.16.0.1/24 interface=bridge-guest network=172.16.0.0 /ip pool add name=guest ranges=172.16.0.100-172.16.0.254 /ip dhcp-server add address-pool=guest disabled=no interface=bridge-guest name=guest /ip dhcp-server network add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1Данные команды также создают еще один dhcp на роутере, который выдает адреса в диапазоне от 172.16.0.100 до 172.16.0.254
Теперь же надо создать правило маскардинга, чтобы мы имели доступ в Сеть
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=172.16.0.0/24Также было бы неплохо запретить хождения трафик из гостевого тырфейса, в другие
/ip firewall filter add action=drop chain=forward in-interface=bridge-guest out-interface=!ether1А еще можно запретить хождения в другие подсети, если к ним есть доступ (на всякий случай)
/ip firewall filter add action=drop chain=forward comment="Guest AP" dst-address=192.168.1.0/24 src-address=172.16.0.0/24
и еще разок efault/hotspot-default target=Guest-bridge \
total-limit-at=1M total-max-limit=1M
/ip firewall filter add action=drop chain=forward comment="Guest AP" dst-address=172.16.0.0/24 src-address=192.168.1.0/24
Ограничиваем скорость для Guest_WiFi
/queue simple
add name=HotSpot queue=hotspot-default/hotspot-default target=bridge-guest \
total-limit-at=1M total-max-limit=1M
Инфу брал тут и там
https://www.geleijn.nl/2014/guest-network-mikrotik-router/
http://serverfault.com/questions/738402/mikrotik-configuration-add-a-public-wireless-router-internet-only-to-office
Комментариев нет:
Отправить комментарий