+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Офисный WiFi: гостевая и внутренняя сети

Офисный WiFi: гостевая и внутренняя сети, RouterOS

BangBang Guest	#1 0 23.01.2014 17:04:00 Всем привет! Подскажите, пожалуйста, как настроить офисный WiFi. Мне нужен один SSID для внутренних пользователей и один отдельный SSID для гостей (изолированный). Как это сделать на rOS 6.7? Спасибо!

mrQQ Guest	#2 0 03.09.2014 13:17:00 Привет, я пытаюсь это настроить. Гостевая WiFi появляется, я могу подключиться, получаю IP-адрес, но интернета нет. Во вкладке NAT фаервола на строке srcnat не отображаются пакеты. Что я мог сделать не так?

plisken Guest	#3 0 04.09.2014 15:04:00 Ты настроил правило NAT для брандмауэра?

mrQQ Guest	#4 0 04.09.2014 15:33:00 Я сделал. Проблема была в том, что я указал интерфейс ether, а не мост (ether был подключен к другому wifi через мост).

mrQQ

Guest

04.09.2014 16:23:00

Кстати, ссылка с инструкцией, которая здесь была, тоже советует добавить DROP-правила в цепочку INPUT, но у меня это не сработало — пришлось добавлять их в цепочку FORWARD. Кстати, эти DROP-правила фильтруются по IP-адресам. Возможно ли сделать их более универсальными, чтобы блокировать весь трафик между гостевой и приватной WiFi, даже если у них будут другие IP-адреса (потому что так кто-то может вручную взять локальный приватный IP и получить доступ к сети)?

Kickoleg Guest	#6 0 04.09.2014 16:33:00 Не в первый раз уже рекомендую… /ip route rule add src-address=192.168.0.0/24 dst-address=192.168.10.0/24 action=drop

mrQQ Guest	#7 0 04.09.2014 16:56:00 Да, так у меня сейчас и настроено. Но что помешает кому-то в гостевой сети сменить свой IP на 192.168.10.X и получить доступ к сети?

Kickoleg Guest	#8 0 04.09.2014 17:39:00 Используйте для гостевой сети поддержку bootp = dynamic и выберите arp для Add ARP For a Leases

mrQQ

Guest

04.09.2014 19:02:00

Привет! Можешь, пожалуйста, объяснить, что это делает? В любом случае — я немного упростил свой пример. На самом деле у нас есть несколько подсетей, которые нужно защитить, и я хотел бы иметь одно единственное правило, чтобы не нужно было вспоминать и обновлять его каждый раз, когда добавляется новая подсеть. Это возможно? Типа заблокировать всё с одного WLAN интерфейса на другой.

Roberts_R

Guest

#10

25.02.2016 19:06:00

Привет! Моя задумка с WiFi во многом похожа на настройку у BangBang: я хочу заменить свой единственный SSID LINKSYS AP на Mikrotik wAP и добавить отдельный SSID для гостей, который будет изолирован от локальной сети. Интерфейс wlan1 должен пробрасывать DHCP от фаервола RB750, а виртуальный интерфейс wlan2 может работать с собственным DHCP-сервером для гостевых клиентов. Я мог бы сделать бридж на wAP между ether1 и wlan1, но я совсем не понимаю, как маршрутизировать виртуальный wlan2 к RB750 через ether1. Ссылка http://www.wirelessinfo.be/index.php/mikrotik/pages/vap1 толком не помогает. Буду рад любым советам!

ZeroByte

Guest

#11

25.02.2016 19:29:00

Если wAP уже работает как устройство только в режиме моста, то добавить гостевую сеть на это устройство будет легко. Создайте VLAN-интерфейс на ether1 (guest-vlan) с vlan-id = 100 или любым другим номером, только не 1. Создайте второй мостовой интерфейс (guest-bridge). Создайте виртуальную точку доступа (guest-wlan) и задайте SSID и профиль безопасности, которые хотите использовать. Затем в меню bridge > ports подключите guest-wlan и guest-vlan к guest-bridge.

На RB750 создайте guest-vlan-интерфейс с тем же vlan-id, что и на WAP, и на том интерфейсе, который подключен к WAP (или, если используете аппаратный свитчинг, назначьте это на мастер-интерфейс). Затем назначьте IP-адрес 192.168.0.1/24 на guest-vlan-интерфейс и настройте DHCP-сервер.

В файрволе добавьте правило для форвардинга: chain=forward in-interface=guest-vlan out-interface=!ether1-gateway (или на тот интерфейс, где у вас публичный IP) action=drop.

Если у вас мульти-WAN, логику придется изменить с одного правила на три: allow in-interface=guest-vlan out-interface=wan1 allow in-interface=guest-vlan out-interface=wan2 drop in-interface=guest-vlan.

По желанию, чтобы защитить сам Mikrotik от гостевой VLAN, добавьте в input filter правила, разрешающие bootpc/bootps, icmp и dns, если вы используете 750G как DNS-прокси, а потом добавьте drop all в in-interface=guest-vlan.

Roberts_R Guest	#12 0 25.02.2016 21:38:00 ZeroByte, предложенная тобой настройка сработала у меня, насколько я успел создать VLAN и на vAP, и на RB750. На wAP я создал два моста: один приватный — для ether1 и wlan1-private, другой — для guest wlan2-public (виртуальная точка доступа) и VLAN (id=100). Настроил DHCP, смог подключиться к обеим точкам доступа и выйти в интернет через них. Проблема возникает, когда я пытаюсь настроить правила фаервола, чтобы изолировать гостей от локальной сети. Сейчас с гостевой сети можно пинговать устройства в приватной сети. Кажется, что гость напрямую попадает в приватные адреса прямо на wAP. Это так, или я ошибаюсь? Если да, я попытался создать правила фаервола, но RouterOS/wAP не позволяет создавать правила форварда между wlan2-public и !ether1 — обе эти интерфейсы в режиме слейв. Похоже, можно создавать правила только между мостовыми интерфейсами, но это не помогает, так как там блокируется весь трафик целиком. Есть идеи, как это решить?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры