6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка HotSpot в роутерах MikroTik

Содержание

Настройка HotSpot в роутерах MikroTik

Что такое HotSpot?

Само по себе HotSpot – это просто точка доступа к Wi-Fi сети, созданная для подключения устройств к локальной сети без проводов. При этом часто возникает потребность организации раздельных HotSpot’ов, для рабочей и гостевой сети. Гостевая сеть должна быть отделенной от основной сети, позволяющей пользоваться беспроводным доступом к сети интернет без доступа к рабочей локальной сети и зачастую быть доступной без ввода паролей, тогда как локальная сеть напротив, должна быть защищена и недоступна посторонним.

Оборудование MikroTik RouterBOARD и ее RouterOS предоставляет широкие возможности настройки разделенных HotSpot’ов, помогая системным администраторам не только быстро создать разделенные точки доступа к сети, но и гибко настраивать их возможности и ограничения. Например для общественных мест можно настроить доступ к сети, только после просмотра рекламы.

Настройка локальной сети как правило не вызывает вопросов, по этому мы рассмотрим простое создание гостевого хотспота на MikroTik RouterOS с ограничениями и возможностью показа рекламы или перехода на сайт провайдера.

Подготовка к настройке

Пример настройки RouterBOARD будем рассматривать через интерфейс Winbox, который можно скачать с сайка производителя. Во многих случаях Winbox будет использовать нагляднее и удобнее чем Webfig или CLI-интерфейсы.

Сначала необходимо настроить новый Bridge-интерфейс, через который впоследствии мы будем работать с гостевой сетью. Потом привяжем к нему необходимые интерфейсы, и настроим основные серверы: DNS и DHCP.

Для начала надо убедиться что у вас разрешен доступ к интернет от других интерфейсов, для этого перейдите в настройки IP — DNS и проверьте наличие включенной опции Allow Remote Requests.

Если все настроено верно, то можно переходить к настройкам моста.

Настройка Bridge интерфейса для HotSpot

Для будущего Hotspot мы создадим отдельный Bridge-интерфейс, для этого нужно открыть в меню пункт Bridge на вкладке Bridge нажать +. Никаких дополнительных настроек нам не потребуется, сохраняем настройки по умолчанию.

После этого выберем интерфейс, который будет связывать наш Bridge и порт роутера через который будут осуществляться гостевые подключения. Для этого откроем вкладку Ports и нажимаем +. Добавляем необходимые интерфейсы к новому Bridge как показано на скриншоте.

После этого, присвоим данному бриджу подсеть адресов, что бы все гостевые подключения находились в отдельной подсети. Для этого в в меню IP — Address и добавим для нашего bridge1 пространство адресов, например 192.168.10.1/24.

После произведенных действий можно переходить к настройкам HotSpot.

Настройка MikroTik HotSpot

В Mikrotik RouterOS есть встроенный мастер создания хотспотов, воспользуемся им, для этого перейдем в меню IP – Hotspot и на вкладке Servers нажмем кнопку Hotspot Setup. Запустится мастер быстрой настройки, фактически в нем нет необходимости ничего настраивать, все настройки по умолчанию близки к оптимальным, плюс к этому RouterOS сама определит уже созданные нами параметры IP для будущей сети.

Из настроек которые необходимо указать вручную, можно выделить только Hotspot interface где выбираем наш bridge1, а так же DNS сервер, где можно указать любой общедоступный, например 8.8.8.8 от Google или 77.88.8.7 от Яндекс с фильтрами безопасности.

Поля SSL certificate, SMTP server, DNS name можно оставлять пустыми.

После создания Hotspot необходимо настроить ограничения для гостевой сети. Основными ограничениями будут скорость канала для клиентов и времени соединения. Что бы задать эти лимиты, перейдем на вкладку Server Profiles, выберем наш свежий хотспот для редактирования.

На вкладке Login снимем выбор с параметра Cookie, и поставим галочку Trial, после чего установим временные лимиты. Выбор ограничений сильно зависит от профиля использования сети. Trial Uptime Limit – это время, в течении которого клиенту разрешено пользоваться интернетом. Trial Uptime Reset — время, на которое клиент будет заблокирован после истечения разрешенного времени. Сохраняем и закрываем окно.

Что бы установить ограничения скорости для пользователей сети, перейдем на вкладку User Profiles и приступаем к редактированию профиля. Здесь будем редактировать следующие настройки: Keepalive Timeout установите 01:00:00, отключим опцию Shared Users, включим авторизацию через показ web-страницы, установив в поле Open Status PageHTTP Login. Ограничения скорости приема/передачи устанавливаются в поле Rate Limit (rx/tx – загрузка/отдача), выставим, например, 1m/1m, что означает 1Мбит на прием и передачу данных.

Во время создания гостевой сети автоматически был создан и DHCP-сервер, нужно отредактировать его настройки, что бы пользователи использовали DNS-cервер нашего Mikrotik. Переходим IP — DHCP Server, вкладка Networks, открываем свойства нашей подсети и прописываем DNS Server, 192.168.10.1.

Настройка Wi-Fi сети Hotspot’а в Mikrotik

После всех подготовительных работ, можно переходить к настройке беспроводных интерфейсов Miktotik, если они у вас есть. Если в вашем RouterBOARD нет Wi-Fi адаптера, то можно просто подключить в настроенный разъем точку доступа(предварительно настроенную) и все будет работать, а этот раздел пропускать. В случае если в вашем RouterBOARD беспроводные интерфейсы присутствуют, переходим к их настройке, которая достаточно проста.

Открываем меню Wireless, на вкладке General укажите имя, например Name: wlan_hotspot и нажмите кнопку Advanced Mode для доступа ко всем настройкам беспроводного адаптера. На вкладке Wireless настроиваем основные параметры подключения.

  • Modeap bridge — включаем работу в режиме точки доступа.
  • SSID — MAIN-Wi-Fi — имя беспроводной сети
  • Radio NameMAIN-RADIO — имя точки доступа, отображается при сканировании сети.
  • Scan List2400-2500 — диапазон сканирования сетей.
  • Wireless Protocol802.11 — работа в режиме стандартного Wi-Fi.
  • Frequency Modesuperchannel — включение всех доступных частот.
  • Default Authenticate — режим ограничения по минимальному уровню сигнала.
  • Default Forward — отключим для запрета обмена данными между клиентами беспроводной сети.

Вкладка — Data Rates, устанавливаем Rate Selection: advanced, параметр Rate как Configured и уберите все галочки со скоростей B режимов вверху и внизу.

Вкладка Advanced:

  • Distanceindoors — клиенты находятся рядом с точкой
  • Periodic Calibrationenabled — периодическая калибровка уровня шума
  • Calibration Interval00:00:10 — интервал калибровки уровня шума 10 секунд.
  • Hw. Protection ModeRTS/CTS — механизм, используемыйдля исключения коллизий кадров; способ решения проблем «скрытого узла».

Вкладка HT: можно активировать все переключатели, это включит режим MIMO, позволяющий повысить скорость передачи данных, хоть и в ущерб зоне покрытия

На Вкладке WDS убедимся что он отключен.

На вкладке Nstreme снимите галочку Enable Polling.

Вкладка Tx Power Можно менять параметр Tx Power Mode, для регулировки мощности выходного сигнала. Мобильные телефоны обычно имеют синал не выше 16dbm, по этому не стоит выставлять значение слишком высоким. Высокая мощность точки может заглушить слабые сигналы клиентов.

Необходимо изолировать клиентский трафик между точками, запретив клиентам обмениваться данными, это снизит зашумленность сети снизив общую нагрузку.

Изолировать клиентов можно проделав следующее:

  • Каждую точку подключать в отдельном VLAN;
  • Изолированные VLAN сети объелинить на едином общем Bridge.

Создадим новый фильтр в меню Bridge на вкладке Filters. Перейдите в GeneralBridges и установите In.Bridge и Out.Bridge наш интерфейс bridge_hotspot.

На вкладке Action, делаем drop

На этом настройку хотспота можно считать завершенной. Останется только довести некоторые индивидуальные параметры, например административную сеть или дополнительные сети со своими ограничениями и пользователями. Дополнительно есть возможность настройки отображение рекламы пользователям при подключении к сети.

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Читать еще:  Установка программ через групповые политики

Как настроить гостевую Wi-Fi сеть на Mikrotik RB2011UiAS-2HnD-IN

В данной статье я расскажу как настроить гостевую Wi-Fi сеть на Mikrotik RB2011UiAS-2HnD-IN. При этом гостевая Wi-Fi сеть будет иметь ограничение скорости интернет и изолирована от имеющийся локальной сети.

Довольно часто встает задача предоставить доступ к беспроводной сети в вашей организации посторонним лицам. Давать доступ к рабочей Wi-Fi сети опасно, ведь вы автоматически даете доступ ко всем устройствам и серверам в локальной сети.

С помощью оборудования Mikrotik можно не только организовать рабочую Wi-Fi сеть, но и настроить гостевую Wi-Fi сеть без дополнительного оборудования.

Допустим у вас уже есть роутер Mikrotik RB2011UiAS-2HnD-IN и на нем настроена локальная сеть и рабочий Wi-Fi. Сегодня мы на этом же оборудовании дополнительно настроим гостевую Wi-Fi сеть, ограничим скорость интернета в ней и изолируем от нашей локальной сети.

Создание профиля безопасности Wi-Fi

Заходим в раздел «Wireless» (беспроводная сеть) и переходим во вкладку «Security Profiles». Создаем новый профиль безопасности для гостевой сети. Заполняем название профиля guest, систему защиты WPA2 PSK, тип шифрования AES и пароль для подключения WPA2 Pre-Shared Key.

Создание виртуальной Wi-Fi сети

После создания профиля безопасности приступаем к созданию виртуальной точки доступа. Переходим во вкладку «WiFi Interfaces», нажимаем правой кнопкой мыши на существующей Wi-Fi сети — Add — Virtual.

Дальше переходим во вкладку «Wireless» и заполняем параметры для нашей гостевой Wi-Fi сети.

  • Mode — ap bridge;
  • SSID — имя Wi-Fi сети;
  • Master Inteface — wlan1 (основной интерфейс Wi-Fi);
  • Security Profile — guest (его мы создавали до этого);
  • WMM Support — enabled.

Создание Bridge для гостевой сети

В связи с тем, что нам необходимо изолировать гостевую Wi-Fi сеть от нашей существующей локальной сети, нам необходимо создать для нее отдельный Bridge.

Открываем раздел Bridge и создаем новый Bridge с название «bridge-guest» и оставляя все настройки по умолчанию. Затем на вкладке Ports добавляем нашу виртуальную Wi-Fi сеть в созданный Bridge.

Создание адресного пространства

Настало время назначить адресное пространство для нашей гостевой сети. Переходим в раздел IP — Addresses и создаем новое адресное пространство. В нашем случае для гостевой сети мы назначаем IP пространство 10.10.11.1-10.10.11.254 (10.10.11.1/24). Интерфейс выбирайте wlan2 или bridge-guest.

Продолжаем настройку в разделе IP — DHCP Server. Переходим во вкладку «Networks» и создаем новую DHCP сеть, указывая шлюз и DNS сервера, которые будут выдаваться клиентам сети.

Перед созданием нового DHCP сервера необходимо создать новый пул адресов. В разделе IP — Pool создаем пул с адресами 10.10.11.1-10.10.11.254.

Создание нового DHCP сервера для гостевой сети

После предварительной настройки можно приступить к созданию нового DHCP сервера. Для этого переходим в раздел IP — DHCP server. Создаем сервер со следующими настройками:

  • Name — guest;
  • Interface — bridge-guest (ранее созданный bridge для гостевой сети);
  • Lease Time — 12:00:00 (время, на которое клиенту будет выдаваться IP адрес)
  • Address Pool — pool_guest (ранее созданный пул адресов)
  • Add ARP For Leases — запрещаем использование статических адресов в гостевой сети.

Также необходимо в гостевом bridge выставить ARP = «reply-only».

Запрет доступа к локальной сети из гостевой

Наша гостевая сеть уже работает, но в целях безопасности необходимо закрыть доступ из нее в нашу локальную сеть. Для этого идем в раздел IP — Route вкладка «Rules». Создаем два правила. Одно правило будет блокировать доступ из гостевой сети в локальную, второе — из локальной в гостевую.

  • Src. Address — гостевая подсеть;
  • Dst. Address — подсеть локальной сети (в моем случае 192.168.0.0/16, это диапазон 192.168.0.1-192.168.255.254, у вас скорей всего будет 192.168.255.0/24);
  • Action — unreachable;

Во втором правиле меняем местами Src. Address и Dst. Address.

Ограничение скорости для гостевой сети

Чтобы ограничить скорость интернета в гостевой сети необходимо воспользоваться встроенной возможностью Queues. Заходим в раздел Queues и создаем новое правило.

  • Target – источник запросов (в нашем случае это 10.10.11.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа);
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек.

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо (эта скорость должна быть больше, чем установленный верхний предел скорости Max. Limit);
  • Burst Threshold – порог срабатывания режима Burst (указанная скорость должна быть меньше верхнего предела Max. Limit);
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как настроить точку доступа wifi на mikrotik?

Вернитесь на предыдущую вкладку «Interface», потом кликните по интерфейсу «wlan 1» и перейдите на вкладку « Wireless».

Откроется окно настройки беспроводной сети, где вам нужно будет выставить следующие значения:

  • 1. В поле Mode – выставить значение «AP bridge» (позволяет клиентам подключаться к данной точке доступа в режиме «bridge»)
  • 2. В поле Band — выставить значение «2 Ghz B/G/N» (протокол подключения клиентов по заданной частоте).
  • 3. В поле Channel Width – выставить значение «20/40 Mhz HT Above» (Возможность выбора ширины канала беспроводной сети wifi. К примеру, 20 Mhz дают лучшую производительность на большие дистанции).
  • 4. В поле Frequency – выставить значение «2412» (основная частота, желательно задавать частоту wifi, отличную от соседских точек доступа).
  • 5. В поле SSID – записать любое понравившееся вам имя, так как это будет название вашей точки доступа, которую будут видеть мобильные устройства и компьютеры.
  • 6. В поле Wireless Protocol – выбрать значение «unspecified» (выбор производительности беспроводной точки, самая высокая производительность при данном значении).
  • 7. В поле Security Profile – оставляем значение «default» (выбор типа шифрования: в начале настройки в профиле «default» мы уже выставили пароль и тип шифрования).
  • 8. В поле WMM suport – переключаем на «enabled» (включение поддержки WiFi мультимедиа, что дает возможность как голосовым, так и другим мультимедиа приложениям работать с наименьшим числом ошибок).
  • 9. В поле Default Forward — установить галочку (при отключении галочки, клиенты беспроводной сети не смогут обмениваться данными).
  • 10. Если в поле Hide SSID – вы поставите галочку, то ваша сеть будет скрыта, и вам нужно будет вручную набирать имя и пароль сети.

Теперь вам нужно сохранить эти настройки, кликнув по кнопке «ОК». Проверьте на любом устройстве, заработала ли точка доступа wifi на mikrotik. На этом настройка wifi точки на базе устройств mikrotik успешно завершена.

Шаг 4: Загрузка конфигурации в MikroTik

Шаг 4.1
Вставляем скопированные настройки конфигурации в терминал роутера

Подключитесь к Wi–Fi и проверьте результат. Если вы сделали все правильно, то при подключении к Wi–Fi вы попадете на созданную страницу авторизации.

Если у вас возникли трудности, обратитесь в службу техподдержки (чат в личном кабинете или позвоните нам).

Не забудьте установить «детский доступ» в гостевой сети с помощью днс яндекс. Как это сделать читайте в Вопросы и ответы.

Подключим ноутбук по Wi-Fi к виртуальной Wi-Fi сети.

В правом нижнем углу монитора открываем значок со списком беспроводных сетей, находим нашу виртуальную Wi-Fi сеть MikroTik2 и нажимаем кнопку Подключение.

В следующем окне вводим пароль для доступа к виртуальной Wi-Fi точке MikroTik.

После подключения на ноутбуке появится интернет.

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интерфейс.

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

Читать еще:  Линукс с флешки без установки

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

  • 10.0.0.0 — 10.255.255.255
  • 172.16.0.0 — 172.31.255.255
  • 192.168.0.0 — 192.168.255.255

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? – о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.

  • Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
  • Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.

В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.

В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Включаем и настраиваем гостевой Wi-Fi на Tp-Link

Подключаемся к роутеру с помощью кабеля, или по Wi-Fi, открываем браузер и переходим по адресу 192.168.1.1, 192.168.0.1, или http://tplinkwifi.net. Зависит от вашей модели. Адрес указан снизу роутера на наклейке. Появится запрос имени пользователя и пароля. По умолчанию – admin и admin. Возможно, вы или еще кто-то сменил эти данные. Если понадобится, то даю ссылку на подробную инструкцию по входу в настройки маршрутизатора.

Переходим на вкладку Guest Network. И дальше выставляем такие параметры:

  • Allow Guests To Access My Local Network: это доступ гостей к локальной сети. Disable – доступ закрыт.
  • Allow Guests to access my USB Storage Sharing: общий доступ к USB накопителю. Ставим Disable, и все кто подключится к гостевой сети не смогут получить к нему доступ.
  • Guest Network Isolation: изоляция от других клиентов Wi-Fi сети. Оставьте Disable.
  • Enable Guest Network Bandwidth Control: ограничение скорости интернета для клиентов гостевой сети. Если поставить Disable, то скорость не будет ограничена. Если же вы хотите ограничить скорость для своих гостей, то поставьте Enable, и перейдите по ссылке которая появится сбоку, там можно настроить ограничение. Как это сделать, покажу ниже.
  • Band Select: если у вас есть этот пункт, то там можно выбрать на какой частоте будет работать гостевой Wi-Fi. На 2.4GHz, или на 5GHz.
  • Guest Network: ставим галочку возле пункта Enable, тем самым включаем сеть. Если захотите ее отключить, то просто поставьте Disable и сохраните настройки.
  • Network Name: задаем имя нашей гостевой сети. Можно назвать так же как ваша основная сеть, просто добавив вконец «_Guest».
  • Max Guests number: можно задать максимальное количество клиентов гостевой сети.
  • Security: если оставить Disable Wireless Security, то сеть будет открытой, без пароля. Что бы закрыть ее паролем выберите WPA/WPA2 — Personal.
  • Дальше выставляем параметры безопасности как у меня на скриншоте ниже, и в поле Wireless Password прописываем пароль для Wi-Fi сети. Минимум 8 символов. Group Key Update Period: оставляем 0.
  • Access Time: если выбрать Timeout, то можно задать время, на сколько будет запущена гостевая сеть. Например, если вы хотите что бы сеть проработала 2 часа. А если выбрать Schedule, то сеть будет работать всегда. Или по графику, который появится ниже. По настройке графика напишу ниже более подробно.

Все, нажимаем внизу страницы на кнопку Save, и наша Wi-Fi сеть для гостей начнет работать. Я даже не выделял на скриншоте все настройки, а то стрелок получается очень много Что бы увеличить картинку нажмите на нее.

Не забудьте сохранить настройки. Давайте еще отдельно рассмотрим настройку ограничения скорости интернета, и включение/выключение сети по графику.

Ограничиваем скорость интернета гостевой Wi-Fi сети

Для этого, напротив пункта Enable Guest Network Bandwidth Control выберите Enable, и перейдите по ссылке что бы задать ограничение.

Дальше нужно просто поставить галочку возле Enable Bandwidth Control. В поле Egress Bandwidth задать максимальную скорость выгрузки, а в поле Ingress Bandwidth задать максимальную скорость загрузки с интернета. Все это в Кбит/с.

Нажмите Save для сохранения настроек.

Там еще можно создавать правила, я не стал в это вникать. Не очень нужная функция.

Настройка работы гостевой сети по расписанию

Обязательно перейдите сначала на вкладку System ToolsTime Settings и правильно настройте время, дату и часовой пояс в вашем роутере.

Когда вы напротив пункта Access Time выберите Schedule, то сеть будет работать всегда. А снизу появится график. Так вот, что бы настроить работу по графику, нужно еще возле Wireless Schedule поставить метку возле Enable. Включить работу по графику, а затем просто настроить его.

На графику есть время и дни. Просто выделите те ячейки, которые соответствую времени, в которое должна работать гостевая сеть. Или выделите все ячейки кнопкой Add, и снимите ненужные. Думаю разберетесь, ничего сложного.

После настройки не забудьте нажать на Save для сохранения настроек.

Если у вас Tp-Link с новой страницей настроек. Например, Archer C9

Есть уже модели роутеров Tp-Link, на которых установлена новая, красивая панель управления. В голубых тонах. Там уже можно выбрать русский язык и настроить гостевую сеть на вкладке Дополнительные настройки – Гостевая сеть. Выглядит это вот так:

Читать еще:  Установка Linux на планшет вместо Windows 10

Ничего нового, просто все намного проще, понятнее и красивее. Пора уже вводить такую панель управления на все свои маршрутизаторы.

Инструкция

  1. «Wireless» – «Security Profiles» – кликаем на плюсик для создания. Можете обозвать сеть как угодно. Устанавливаем нужный тип аутентификации. Я в качестве примера установил «Mode» как «dinamic keys», но можно выбрать «none», тогда гостевая сеть будет без пароля;
  1. Там же переходим на первую вкладку и опять нажимаем по плюсу, чтобы создать новый интерфейс. Нужно выбрать тип «Virtual AP». Теперь указываем наименования беспроводной сети в поле «SSID». А вот в поле «Security Profile» нужно выбрать именно тот профиль, который мы создали ранее на прошлом шаге;
  1. У вас должен создаться виртуальный интерфейс под основным. Выглядит это примерно так как на картинке выше;
  1. Чтобы пользователи в гостевой сети были отрезаны от других, нужно создать новый мост. Для этого переходим в «Bridge» и создаем новый. Просто впишите любое удобное для вас имя и нажимаем «ОК»;
  1. Теперь там же переходим во вторую вкладку и создаем новый порт. Указываем второй интерфейс, который мы ранее создали – «wlan2» и указываем для него ранее созданный мост;
  1. «IP» – «Adresses». Нажимаем по плюсику и выбираем наш Wlan2 в «Interface». В качестве параметров возьмите те же цифры, как и у меня – смотрим на картинку выше;
  1. «IP» – «DHCP Server» – «Networks». Создаем новую сеть. В качестве DNS у нас будет адрес нашего шлюза;
  1. Для того чтобы был определенный диапазон, нужно зайти «IP» – «Pool». Создаем диапазон. Как вы уже догадались первая цифра уже зарезервирована нашим шлюзом поэтому начнем отчет от 2. Пул можно создать любой – какой захотите я выбрал 49 адресов. Если этого не достаточно то можете выбрать больше.
  1. «IP» – «DHCP Server» – «DHCP». Создаем новый и называем его как вам хочется. Но вот «interface» нужно выбрать тот, который мы задавали на шаге 4. В строке «Address Pool» указываем пул созданный на предыдущем шаге;
  1. Сеть уже работает и создается и к ней даже можно будет подключиться, но вот проблема в том, что у гостевых клиентов нет ограничение скорости. Вы догадываетесь к чему это может привести. Поэтому нужно ограничить им скорость. Для этого переходим во вкладку из левого меню «Queue» и создаем новое правило. А теперь по поводу правил. Сначала именуем правило. В следующей вкладке «Target» нужно выбрать нашу подсеть гостей. «Target Upload» и «Target Download» – это скорость загрузки и отправки данных. Нужно установить верхним предел или «Max Limit» – то есть первая строка. «Burst Limit» – скорость в режиме турбо. «Burst Threshold» – при какой скорости срабатывает режим турбо. «Burst Time» – период между которым идёт расчет скорости (указан в секундах).
  1. Теперь нужно запретить доступ к локальным машинам и устройствам по любым протоколам. «IP» – «Route». Теперь нам надо создать первое правило, которое запрещает доступ к локальной сети нашей гостевой. Для этого создаем правило в первой строке указываем локальную сеть, а во второй гостевую. В «Action» указываем «unreachable». То же самое делаем и наоборот, чтобы из гостевой не было доступа в локальную;
  1. Осталось совсем чуть-чуть. Теперь надо запретить установку статических IP адресов в гостевой сети. «IP» – «DHCP Server» – в первой вкладке нужно выбрать ранее созданную нами «DHCP» и установить галочку как на картинке выше.
  1. «Bridge» – выбираем наш мост и указываем в строке «ARP» – «reply-only».
  1. Осталось немного улучшить безопасность, чтобы из гостевой никто не смог зайти на сам «Микротик». «IP» – «Services» – оставляем только те порты, которыми вы пользуетесь. Но это ещё не все, нам надо нажать на открытые порты и указать доступ для какой сети будет открыт. Просто указываем нашу локальную сеть.

Теперь вы понимаете, что настроить гостевую виртуальную «ВиФи» сеть на базе Микротик, не так сложно как кажется на первый взгляд. Беспроводная сеть должна после этого правильно работать, а к ней можно спокойно подключиться гостям. Также пользователи не смогут превышать предельный допустимый предел скорости скачивания.

В данной статье я расскажу как настроить гостевую Wi-Fi сеть на Mikrotik RB2011UiAS-2HnD-IN. При этом гостевая Wi-Fi сеть будет иметь ограничение скорости интернет и изолирована от имеющийся локальной сети.

Довольно часто встает задача предоставить доступ к беспроводной сети в вашей организации посторонним лицам. Давать доступ к рабочей Wi-Fi сети опасно, ведь вы автоматически даете доступ ко всем устройствам и серверам в локальной сети.

С помощью оборудования Mikrotik можно не только организовать рабочую Wi-Fi сеть, но и настроить гостевую Wi-Fi сеть без дополнительного оборудования.

Допустим у вас уже есть роутер Mikrotik RB2011UiAS-2HnD-IN и на нем настроена локальная сеть и рабочий Wi-Fi. Сегодня мы на этом же оборудовании дополнительно настроим гостевую Wi-Fi сеть, ограничим скорость интернета в ней и изолируем от нашей локальной сети.

Создание профиля безопасности Wi-Fi

Заходим в раздел «Wireless» (беспроводная сеть) и переходим во вкладку «Security Profiles». Создаем новый профиль безопасности для гостевой сети. Заполняем название профиля guest, систему защиты WPA2 PSK, тип шифрования AES и пароль для подключения WPA2 Pre-Shared Key.

Создание виртуальной Wi-Fi сети

После создания профиля безопасности приступаем к созданию виртуальной точки доступа. Переходим во вкладку «WiFi Interfaces», нажимаем правой кнопкой мыши на существующей Wi-Fi сети — Add — Virtual.

Дальше переходим во вкладку «Wireless» и заполняем параметры для нашей гостевой Wi-Fi сети.

Создание Bridge для гостевой сети

В связи с тем, что нам необходимо изолировать гостевую Wi-Fi сеть от нашей существующей локальной сети, нам необходимо создать для нее отдельный Bridge.

Открываем раздел Bridge и создаем новый Bridge с название «bridge-guest» и оставляя все настройки по умолчанию. Затем на вкладке Ports добавляем нашу виртуальную Wi-Fi сеть в созданный Bridge.

Создание адресного пространства

Настало время назначить адресное пространство для нашей гостевой сети. Переходим в раздел IP — Addresses и создаем новое адресное пространство. В нашем случае для гостевой сети мы назначаем IP пространство 10.10.11.1-10.10.11.254 (10.10.11.1/24). Интерфейс выбирайте wlan2 или bridge-guest.

Продолжаем настройку в разделе IP — DHCP Server. Переходим во вкладку «Networks» и создаем новую DHCP сеть, указывая шлюз и DNS сервера, которые будут выдаваться клиентам сети.

Перед созданием нового DHCP сервера необходимо создать новый пул адресов. В разделе IP — Pool создаем пул с адресами 10.10.11.1-10.10.11.254.

Создание нового DHCP сервера для гостевой сети

После предварительной настройки можно приступить к созданию нового DHCP сервера. Для этого переходим в раздел IP — DHCP server. Создаем сервер со следующими настройками:

  • Name — guest;
  • Interface — bridge-guest (ранее созданный bridge для гостевой сети);
  • Lease Time — 12:00:00 (время, на которое клиенту будет выдаваться IP адрес)
  • Address Pool — pool_guest (ранее созданный пул адресов)
  • Add ARP For Leases — запрещаем использование статических адресов в гостевой сети.

Также необходимо в гостевом br >

Запрет доступа к локальной сети из гостевой

Наша гостевая сеть уже работает, но в целях безопасности необходимо закрыть доступ из нее в нашу локальную сеть. Для этого идем в раздел IP — Route вкладка «Rules». Создаем два правила. Одно правило будет блокировать доступ из гостевой сети в локальную, второе — из локальной в гостевую.

  • Src. Address — гостевая подсеть;
  • Dst. Address — подсеть локальной сети (в моем случае 192.168.0.0/16, это диапазон 192.168.0.1-192.168.255.254, у вас скорей всего будет 192.168.255.0/24);
  • Action — unreachable;

Во втором правиле меняем местами Src. Address и Dst. Address.

Ограничение скорости для гостевой сети

Чтобы ограничить скорость интернета в гостевой сети необходимо воспользоваться встроенной возможностью Queues. Заходим в раздел Queues и создаем новое правило.

  • Target – источник запросов (в нашем случае это 10.10.11.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа);
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек.

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо (эта скорость должна быть больше, чем установленный верхний предел скорости Max. Limit);
  • Burst Threshold – порог срабатывания режима Burst (указанная скорость должна быть меньше верхнего предела Max. Limit);
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector