MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Jan Fiala, 29.06.2013 01:00, Hardware, 25 odpovědí (38981 zobrazení)

Některé routery z vyšší cenové kategorie nabízí oddělený přístup k internetu pro návštěvníky. Ukážeme si, jak stejnou funkčnost uděláme na našem MikroTiku. A na závěr nastavíme návštěvníkům rychlostní limit. Pokud potřebujete, můžete si WiFi sítí udělat klidně víc, protože máte zařízení, na kterém uděláte téměř cokoliv :-)

10. Oddělená wifi síť pro návštěvníky

Může se stát, že potřebujeme wifi pro návštěvy (nejen ve firmě, ale třeba i doma), ale nechceme, aby se návštěva dostala do naší vnitřní sítě. Ukážeme si, jak na to na routeru MicroTik.

1. Vytvoření virtuálního wifi adaptéru
Na kartě Wireless na záložce Security profiles si vytvoříme nový profil pro návštěvníky. Podobně, jako jsme nastavovali AP při prvotní konfiguraci si nastavíme šifrování a heslo.

http://pc.poradna.net/file/view/14438-jf03bm-00052     5-png

Na kartě Wireless na záložce Iterfaces přidáme nový Virtual AP (těch si mimochodem můžeme přidat tolik, kolik potřebujeme) a přiřadíme mu náš nový Security profile. Doporučuji vypnout volbu Default Forward, jednotliví účastníci pak na sebe neuvidí.

14436-jf03bm-000524-png

2. Konfigurace přidělování adres
Nejprve nastavíme adresy, které se budou přidělovat. To provedeme na kartě IP / Addresses.
Address: 192.168.5.1/24 (volíme jiný adresní rozsah než naši vnitřní síť)
Network: 192.168.5.0
Interface: vybereme náš virtuální AP

Následně musíme nastavit rozsah přidělovaných adres. To se provede na kartě IP / Pool
Přidáme nový pool, jméno např. pro hosty
Addresses: 192.168.5.50-192.168.5.100
Next Pool: none

http://pc.poradna.net/file/view/14439-jf03bm-00052     6-png

V posledním kroku vytvoříme nový DHCP server. To provedeme na kartě IP / DHCP server
Opět dáme serveru nějaké jméno, např. server pro hosty.
Interface: zvolíme náš virtuální AP
Lease Time: stačí několik hodin
Address Pool: vybereme nově vytvořený pool pro hosty

http://pc.poradna.net/file/view/14440-jf03bm-00052     7-png

V této chvíli je druhá wifi síť funkční, můžeme se zkusit na ni přihlásit.

Jako alternativní možnost pro vytvoření DHCP serveru je použití průvodce na kartě IP / DHCP server. Stisknutím tlačítka DHCP Setup provedeme nastavení serveru v několika krocích.

3. Nastavení pravidla firewallu pro oddělení sítě
Máme vnitřní síť s rozsahem 192.168.1.1/24 a síť pro návštěvníky s rozsahem 192.168.5.1/24
Budeme chtít nastavit pravidlo tak, aby návštěvníci měli přístup pouze na internet.
Půjdeme na kartu IP / Firewall, záložka Filter Rules
Přidáme pravidlo:
Chain: forward
Src.Address: 192.168.5.0/24
Dst.Address: 192.168.1.0/24
Out. Interface: vybereme interface brány internetu a zaškrtneme křížek před jeho jménem (negace, vše mimo)
Action: reject
Reject With: icmp admin prohibited

http://pc.poradna.net/file/view/14441-jf03bm-00052     8-png

Mohli bychom nastavit jako akci i Drop, ale odmítnutí (reject) je vhodnější.
Tím jsme zabránili hostům vstup do vnitřní sítě.

11. Omezení rychlosti

Omezení rychlosti na úrovni interface je velmi jednoduché. V našem příkladě nastavíme návštěvníkům limit 2Mbps download a 1Mbps upload.

Půjdeme na kartu Queues a vytvoříme novou Simple Queues.
Pojmenujeme ji např. pro hosty
Jako target Upload max limit nastavíme 1M, jako Target download max limit nastavíme 2M.
Ještě musíme přiřadit do Interface náš virtuálního AP.
Jako Queue Type nastavte pro upload i download wireless-default.
Potvrdit a je hotovo.
Takto si můžete nastavit omezení pro jakýkoliv interface. Možnosti jsou samozřejmě mnohem větší, kromě maximálního omezení můžeme nastavit zaručenou šířku pásma, můžeme nastavit omezení pouze pro dané dny a čas, ...

http://pc.poradna.net/file/view/14442-jf03bm-00052     9-png

Na záložce Queue Types můžeme u typu wireless-default změnit typ z SFQ na RED. Není to nutné, ale pro naše domácí účely je tento algoritmus vhodnější. Pro bližší informace si můžete přečíst dokument o řízení datových toků pomocí MikroTik.

Nyní se můžeme připojit na wifi pro hosty, zkusit ping na nějaké zařízení ve vnitřní síti (ne na adresu routeru!). Ping skončí s okamžitou odpovědí, že síť není dostupná. Pokud bychom na firewallu nastavili pravidlo Drop, každý ping by čekal a skončil na timout.
Můžete zkusit navštívit stránku s měřičem rychlosti a přesvědčit se že hosté stahují pouze zadanou rychlostí...

V předchozí kapitole jsme si nastavili grafické sledování linky. Jednoduchým přidáním rozhraní návštěvnického virtuálního AP do sledování získáme graf s provozem, způsobeným návštěvníky.

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming

Odpovědět


PředmětAutorDatum
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky fleg29.06.2013 08:44
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Jan Fiala29.06.2013 15:31
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky L-Core29.06.2013 09:03
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Jan Fiala29.06.2013 15:33
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky L-Core29.06.2013 09:18
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky fleg29.06.2013 09:26
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky L-Core29.06.2013 09:37
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky fleg29.06.2013 09:43
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Jan Fiala29.06.2013 16:02
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky KiloViktor05.07.2013 22:35
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky L-Core29.06.2013 09:33
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky fleg29.06.2013 09:47
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky L-Core29.06.2013 10:30
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky fleg29.06.2013 13:18
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky liborrr09.02.2014 20:07
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky profor10.03.2014 01:40
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Bukeen20.09.2016 16:25
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Brves23.09.2016 21:31
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky andreejkoo05.04.2014 08:57
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky JirkaPC19.12.2015 20:11
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky TLS29.04.2016 10:54
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Marek FM30.08.2016 18:58
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky Bukeen20.09.2016 19:29
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky GoGo_SPK18.11.2016 12:34
Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky poslednílook04.02.2017 13:22

Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor fleg, 29.06.2013 08:44
Je trosku diskutabilna, ci naozaj pouzit reject z 2 dovodov. Ak by sme prevadzkovali takyto hotspot verejne tak rejectovanie napovie utocnikovi, ze dany rozsah pravdepodobne existuje. Utocnikovi by sme mali poskytovat co najmenej informacii.
Ovela horsia vec podla mna vsak je, ze reject robi vacsi load procesoru ako drop a navyse vytvara sietovy traffic. Pri masivnom flood pingu by mohlo dojst takto k ovela rychlejsiemu zahlteniu celeho routra tym padom k jeho znefunkcneniu.
http://pc.poradna.net/i/support/

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor Jan Fiala, 29.06.2013 15:31
Reject jsem pouzil ve vnitrni siti pro zamezeni pristupu hostu do vnitrni site a tam zadne utoky a zahlceni site nehrozi.
Z venku bych samozrejme pouzil Drop, jak jsi spravne napsal, abych utocnikovi nenapovidal.
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Moderátor L-Core, 29.06.2013 09:03
Díky, výrazně mi to pomohlo v samostudiu (zatím pouze v teoretické rovině, protože doma nemám - a nikdy jsem neměl ::) nějaké wifi zařízení, vedeme zatím vše po drátech).

Mám přednastaven wifi adaptér ve stejném rozsahu adres jako ethernetovou (192.168.88.0/1)

14590-wifi1-png

u které tedy chci, aby na sebe připojené PC případně viděly (prostředky sdílení ve Windows).

Kromě toho mám vytvořen druhý virtuální adaptér dle tvého návodu, bez přístupu na ethernetové PC (má jiný rozsah adres, 192.168.5.0/24). S omezeními si zatím hraju jen v teoretické rovině, cítím v kostech, že budu muset jít i do scriptů.

Jak to bude s aktivací jednotlivých adaptérů? Zapínají/vypínají se fajfkou/křížkem, na obrázku jsou oba vypnuté:
14591-wifi2-png
Když budu chtít zapnout jen tu soukromý "plnohodnotný" (wlan), odfajfkuju jen jej, to je jasné. Když JEN tu omezený pro hosty (wlan pro hosty), může být současně vypnutý ten hlavní ("nadřízený") adaptér?

Ve šmírovacím okně (Wireless Snooper) je takováto tabulka:
14593-wifi32-png
Asi budu za pitomce, ale netuším pořádně, co znamenají jednotlivé grafické symboly a jak chápat hodnoty v tabulce (signal, of frequency/traffic, bandwidth). Proč jsou některé zašedlé.

Omezení (časové, rychlostní) jednotlivých bezdrátově připojených zařízení předpokládám na záložce wireless - access list (nemohu zatím ověřit). Hledám, zda/kde omezit i objem přenesených dat (za nastavitelnou časovou jednotku).

Je toho prostě hodně :)

------
Jakousi chaotickou debatu o Mikrotiku vedu i tady: http://pc.poradna.net/q/view/1048223-ono-to-s-tim- mikrotikem-neni-az-takova-stranda

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor Jan Fiala, 29.06.2013 15:33
Když budu chtít zapnout jen tu soukromý "plnohodnotný" (wlan), odfajfkuju jen jej, to je jasné. Když JEN tu omezený pro hosty (wlan pro hosty), může být současně vypnutý ten hlavní ("nadřízený") adaptér?
Ano, je mozne vypnout hlavni adapter a nechat zapnuty jen ten virtualni

Hledám, zda/kde omezit i objem přenesených dat (za nastavitelnou časovou jednotku).
V tomto pripade se nevyhnes skriptovani. Cely problem i s resenim je podrobne popsan tady:
http://www.uebi.net/howtos/volumelimit.htm
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Moderátor L-Core, 29.06.2013 09:18
K firewallu:
Na staré Barikádě jsem viděl log zachycených útoků zvenku (denně stovky). Na MT v logu zatím (za 3 dny) ani jeden.

Bude to zabezpečením, nebo se MT ještě venku neprezentoval (nějak tam mi to vysvětloval fleg). Či je ta databáze útoků (ještě) někde jinde?

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor fleg, 29.06.2013 09:26
Vsetko dropujes tak ake logy chces mat?
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Moderátor L-Core, 29.06.2013 09:37
Tomu trochu nerozumím.

Útočné pokusy existují, MT takovéto pakety zahazuje. Myslel jsem, že o tom zahození bude někde záznam. Samozřejmě nepotřebuju k něčemu nějaký výpis, beru to jen jako zajímavost k pochopení principu práce/logování FW.

Z logu jsem poznal, kdy šla manželka spát ]:)

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor fleg, 29.06.2013 09:43
Pri dropovani nie je co logovat. Loguje sa napriklad pokus o nalogovanie na ssh, ftp alebo inu sluzbu. Pri dropovani k nicomu takemuto nedojde, takze nie je co logovat.
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor Jan Fiala, 29.06.2013 16:02
Z logu jsem poznal, kdy šla manželka spát
Na to ti staci grafy provozu a vis to docela presne...
Všichni chtějí vaše dobro. Nedejte si ho vzít!

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

KiloViktor [82.221.102.xxx], 05.07.2013 22:35
Ak by to niekto prehnal napriklad s DoS utokom, si predstav aky velky log by si mal, ako rychlo by to muselo logovat a aky vykon by sa na to logovanie spotreboval. Uplne najsuper by bolo ak by nevhodny ramec nemusel opustit hardware. Rozhodnut o zamietnuti niekde v systeme je stale pomale a neefektivne.

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Moderátor L-Core, 29.06.2013 09:33
A napadla mě ještě jedna věc.

Zatím nevím, kde nastavit případné omezení pro jednotlivé PC na ethernetu, aby mohly na LAN, ale nemohly na internet. Asi ve firewallu, budu potřebovat nakopnout :-)

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor fleg, 29.06.2013 09:47
JaFi ti to predsa naznacil v clanku, kde blokuje hotspotovych uzivatelov. Ako zdrojovu adresu uvedies tu co potrebujes ako cielovu nedas nic a toto spojenie zakazas. Zaroven vytvoris pravidlo c.2, kde zadas zdrojovu adresu toho pc a cielovu cely rozsah lanky a das accept. Tym padom vytvoris vynimku toho predchadzajuceho pravidla.
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Moderátor L-Core, 29.06.2013 10:30
Jo takto nějak..

14612-wifi4-png

Ještě váhám s nastavením chain: forward, output, input.

---
Předpokládám, že ve Firewal - Address List si budu moci definovat všechny XP-mode virtuální počítače v domácnosti a pak místo zadávání v New Firewall Rule na záložce General (konkrétní adresy) použiju vytvořené seznamy na záložce Advanced (src/dst address list).

NAT, Mangle a Layer7 protokol zatím nechám spát :-)


---
OT: vy síťaři to máte v malíčku, ale pro nás, co se tím zaobíráme doslova pár dní, je toho opravdu kvantum novinek. Chci nejen otrocky umět opsat, použit, ale i pochopit principy. Chvílemi si připadám jak mí posluchači v místní nálevně, když jsem se jím kdysi snažil vysvětlit odpisování hmotného majetku ("základních prostředků"). No schválně:

Při zrychleném odpisování majetku zvýšeného o jeho technické zhodnocení se odpisy stanoví
a) v roce zvýšení zůstatkové ceny jako podíl dvojnásobku zvýšené zůstatkové ceny majetku a přiřazeného koeficientu zrychleného odpisování platného pro zvýšenou zůstatkovou cenu,
b) v dalších zdaňovacích obdobích jako podíl dvojnásobku zůstatkové ceny majetku a rozdílu mezi přiřazeným koeficientem zrychleného odpisování platným pro zvýšenou zůstatkovou cenu a počtem let, po které byl odpisován ze zvýšené zůstatkové ceny.
;-)

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Administrátor fleg, 29.06.2013 13:18
Podla mna by si sa to mal ucit len ak ta to bavi, ak nie daj si to nastavit niekomu inemu.
Nemusus pouzit zoznamy, mozes predsa pouzit adresny ip rozsah a neblokovat kazdu IP zvlast.
Layer7 ta zaujimat asi ozaj nemusi a manglovat packety v tvojej sieti...neviem si predstavit naco by ti to bolo. Ja napriklad manglujem packety u seba na sieti a tak rozdelujem kade ide konkretny packet von, pretoze pouzivam system viacerych bran.
Manglovanie by si mohol vyuzit pri zalohovani spojenia, alebo load balancingu a to su vsetko pripady, ktore u teba nenastanu.
Co sa tyka chainov dolezite je odkial sa pozeras a potom je to jasne input je packet na vstupe, forward je packet, ktory sa forwarduje z jednej siete do druhej (v tvojom pripade napriklad lan vs hotspot siet) a output je packet na vystupe.
http://pc.poradna.net/i/support/

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

liborrr [217.30.68.xxx], 09.02.2014 20:07
podruhé jsem zkusil tohle nastavit a zase se trápil, že nefunfuje - nakonec jsem přišel na zakopanýho psa - myslím, že chybí v postupu ještě okno v nastavení dhcp serveru v položce networks nastavení brány a dns serveru, bez toho jsem se nedostal ven

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Registrovaný profor, 10.03.2014 01:40
presne tak, ale zaujímavé je, že na androide mi išlo všetko, na PC s XP nie, musel som ešte dokonfigurovať bránu a dns server :)
ale inak skvelý tutorial, presne toto som hladal, nakoľko zdielam optiku so susedom :)

vďaka

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Bukeen [85.92.46.xxx], 20.09.2016 16:25
Já jsem taky skončil u toho, že obě wifi fungují, ale na té pro návštěvníky nejede internet:( Komunikace skončí na té zabezpečené bráně a dál si nevím rady:( Doplní někdo prosím tento návod.

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Brves [193.86.27.xxx], 23.09.2016 21:31
doplnil jsem jeste v IP/DHCP Server/Network, sit musi tam byt obe tedy vase plus druha (192.168.5.0/24 192.168.5.1)

↑ ← Odpovědět



Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

JirkaPC [46.39.184.xxx], 19.12.2015 20:11
Super článek. Jel jsem podle návodu. Bohužel mě pak oddělená síť jela jen na androidu. Po zadání ip na notebooku a masky a brány a dns mě notebook na síti fungoval. Zjistil jsem že dhcp mě dává masku 255.0.0.0. Tak jsem v ip, dhcp server , nastavil ještě v networks adresu sítě 192.168.5.0/24 a gateway 192.168.5.1. Poté mě již internet jel i na notebooku.

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

TLS [195.39.77.xxx], 29.04.2016 10:54
Dobrý den,

dobrý článek, chtěl bych ale zeptat, jak to že se sítě 192.168.1.1/24 a 192.168.5.1/24 "vidí" a pro blokaci komunikace mezi těmito sítěmi je nutno řešit firewall? Nikde přeci není nastaveno routovací pravidlo z jedné do druhé sítě.

Myslel jsem, že pokud mám dva subnety bez nastavení routovacího pravidla, tak na sebe PC z jednoho do druhého subnetu nevidí (a není třeba řešit pravidlo ve FW pro zakázání komunikace).

Děkuji

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Marek FM [93.185.11.xxx], 30.08.2016 18:58
Ahoj,
na začátek chci poděkovat za dobře vysvětlené příklady konfigurace Mikrotiku a doufám že v tom budete dále pokračovat.
Rád bych požádal o radu v konfiguraci wifi pro hosty.
Vše jsem udělal tak jak je popsáno a připojení mi fungovalo. Druhý den po zapnutí mi to přestalo fungovat a jediné co se změnilo, tak v IP / DHCP server se mi vytvořený DHCP server pro hosty zabarvil do červena. Zkoušel jsem ho odstranit a vytvořit znovu. Chová se to stejně. Už nevím v čem jsem udělal chybu.
Předem děkuji za odpověď
M.

↑ Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Bukeen [109.80.109.xxx], 20.09.2016 19:29
Bohužel jsem na tom stejně a nemůžu se hnout z místa:(

↑ ← Odpovědět


Re: MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

GoGo_SPK [88.103.225.xxx], 18.11.2016 12:34
Stejný problém, po několika hodinách provozu vždy dopadnu stejně. DHCP pro hosty je "červené", je nutno provést novou konfiguraci.
Ještě bych potřeboval poradit, jak zakázat přístup z hostovské sítě (u mne 192.168.10.0/24 )na 192.168.88.1 port 8291.(IP MikroTiku)
Dík

↑ ← Odpovědět



TOPlist