Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Registrovaný Jan Fiala, , Hardware, 25 komentářů (41771 zobrazení)

Některé routery z vyšší cenové kategorie nabízí oddělený přístup k internetu pro návštěvníky. Ukážeme si, jak stejnou funkčnost uděláme na našem MikroTiku. A na závěr nastavíme návštěvníkům rychlostní limit. Pokud potřebujete, můžete si WiFi sítí udělat klidně víc, protože máte zařízení, na kterém uděláte téměř cokoliv :-)

10. Oddělená wifi síť pro návštěvníky

Může se stát, že potřebujeme wifi pro návštěvy (nejen ve firmě, ale třeba i doma), ale nechceme, aby se návštěva dostala do naší vnitřní sítě. Ukážeme si, jak na to na routeru MicroTik.

1. Vytvoření virtuálního wifi adaptéru
Na kartě Wireless na záložce Security profiles si vytvoříme nový profil pro návštěvníky. Podobně, jako jsme nastavovali AP při prvotní konfiguraci si nastavíme šifrování a heslo.

[http://pc.poradna.net/file/view/14438-jf03bm-00052     5-png]

Na kartě Wireless na záložce Iterfaces přidáme nový Virtual AP (těch si mimochodem můžeme přidat tolik, kolik potřebujeme) a přiřadíme mu náš nový Security profile. Doporučuji vypnout volbu Default Forward, jednotliví účastníci pak na sebe neuvidí.

[14436-jf03bm-000524-png]

2. Konfigurace přidělování adres
Nejprve nastavíme adresy, které se budou přidělovat. To provedeme na kartě IP / Addresses.
Address: 192.168.5.1/24 (volíme jiný adresní rozsah než naši vnitřní síť)
Network: 192.168.5.0
Interface: vybereme náš virtuální AP

Následně musíme nastavit rozsah přidělovaných adres. To se provede na kartě IP / Pool
Přidáme nový pool, jméno např. pro hosty
Addresses: 192.168.5.50-192.168.5.100
Next Pool: none

[http://pc.poradna.net/file/view/14439-jf03bm-00052     6-png]

V posledním kroku vytvoříme nový DHCP server. To provedeme na kartě IP / DHCP server
Opět dáme serveru nějaké jméno, např. server pro hosty.
Interface: zvolíme náš virtuální AP
Lease Time: stačí několik hodin
Address Pool: vybereme nově vytvořený pool pro hosty

[http://pc.poradna.net/file/view/14440-jf03bm-00052     7-png]

V této chvíli je druhá wifi síť funkční, můžeme se zkusit na ni přihlásit.

Jako alternativní možnost pro vytvoření DHCP serveru je použití průvodce na kartě IP / DHCP server. Stisknutím tlačítka DHCP Setup provedeme nastavení serveru v několika krocích.

3. Nastavení pravidla firewallu pro oddělení sítě
Máme vnitřní síť s rozsahem 192.168.1.1/24 a síť pro návštěvníky s rozsahem 192.168.5.1/24
Budeme chtít nastavit pravidlo tak, aby návštěvníci měli přístup pouze na internet.
Půjdeme na kartu IP / Firewall, záložka Filter Rules
Přidáme pravidlo:
Chain: forward
Src.Address: 192.168.5.0/24
Dst.Address: 192.168.1.0/24
Out. Interface: vybereme interface brány internetu a zaškrtneme křížek před jeho jménem (negace, vše mimo)
Action: reject
Reject With: icmp admin prohibited

[http://pc.poradna.net/file/view/14441-jf03bm-00052     8-png]

Mohli bychom nastavit jako akci i Drop, ale odmítnutí (reject) je vhodnější.
Tím jsme zabránili hostům vstup do vnitřní sítě.

11. Omezení rychlosti

Omezení rychlosti na úrovni interface je velmi jednoduché. V našem příkladě nastavíme návštěvníkům limit 2Mbps download a 1Mbps upload.

Půjdeme na kartu Queues a vytvoříme novou Simple Queues.
Pojmenujeme ji např. pro hosty
Jako target Upload max limit nastavíme 1M, jako Target download max limit nastavíme 2M.
Ještě musíme přiřadit do Interface náš virtuálního AP.
Jako Queue Type nastavte pro upload i download wireless-default.
Potvrdit a je hotovo.
Takto si můžete nastavit omezení pro jakýkoliv interface. Možnosti jsou samozřejmě mnohem větší, kromě maximálního omezení můžeme nastavit zaručenou šířku pásma, můžeme nastavit omezení pouze pro dané dny a čas, ...

[http://pc.poradna.net/file/view/14442-jf03bm-00052     9-png]

Na záložce Queue Types můžeme u typu wireless-default změnit typ z SFQ na RED. Není to nutné, ale pro naše domácí účely je tento algoritmus vhodnější. Pro bližší informace si můžete přečíst dokument o řízení datových toků pomocí MikroTik.

Nyní se můžeme připojit na wifi pro hosty, zkusit ping na nějaké zařízení ve vnitřní síti (ne na adresu routeru!). Ping skončí s okamžitou odpovědí, že síť není dostupná. Pokud bychom na firewallu nastavili pravidlo Drop, každý ping by čekal a skončil na timout.
Můžete zkusit navštívit stránku s měřičem rychlosti a přesvědčit se že hosté stahují pouze zadanou rychlostí...

V předchozí kapitole jsme si nastavili grafické sledování linky. Jednoduchým přidáním rozhraní návštěvnického virtuálního AP do sledování získáme graf s provozem, způsobeným návštěvníky.

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming

Předmět Autor Datum
Je trosku diskutabilna, ci naozaj pouzit reject z 2 dovodov. Ak by sme prevadzkovali takyto hotspot…
fleg 29.06.2013 08:44
fleg
Reject jsem pouzil ve vnitrni siti pro zamezeni pristupu hostu do vnitrni site a tam zadne utoky a z…
Jan Fiala 29.06.2013 15:31
Jan Fiala
Díky, výrazně mi to pomohlo v samostudiu (zatím pouze v teoretické rovině, protože doma nemám - a ni…
L-Core 29.06.2013 09:03
L-Core
Když budu chtít zapnout jen tu soukromý "plnohodnotný" (wlan), odfajfkuju jen jej, to je jasné. Když…
Jan Fiala 29.06.2013 15:33
Jan Fiala
K firewallu: Na staré Barikádě jsem viděl log zachycených útoků zvenku (denně stovky). Na MT v logu…
L-Core 29.06.2013 09:18
L-Core
Vsetko dropujes tak ake logy chces mat?
fleg 29.06.2013 09:26
fleg
Tomu trochu nerozumím. Útočné pokusy existují, MT takovéto pakety zahazuje. Myslel jsem, že o tom z…
L-Core 29.06.2013 09:37
L-Core
Pri dropovani nie je co logovat. Loguje sa napriklad pokus o nalogovanie na ssh, ftp alebo inu sluzb…
fleg 29.06.2013 09:43
fleg
Z logu jsem poznal, kdy šla manželka spát Na to ti staci grafy provozu a vis to docela presne...
Jan Fiala 29.06.2013 16:02
Jan Fiala
Ak by to niekto prehnal napriklad s DoS utokom, si predstav aky velky log by si mal, ako rychlo by t…
KiloViktor 05.07.2013 22:35
KiloViktor
A napadla mě ještě jedna věc. Zatím nevím, kde nastavit případné omezení pro jednotlivé PC na ether…
L-Core 29.06.2013 09:33
L-Core
JaFi ti to predsa naznacil v clanku, kde blokuje hotspotovych uzivatelov. Ako zdrojovu adresu uvedie…
fleg 29.06.2013 09:47
fleg
Jo takto nějak.. [14612-wifi4-png] Ještě váhám s nastavením chain: forward, output, input. --- Př…
L-Core 29.06.2013 10:30
L-Core
Podla mna by si sa to mal ucit len ak ta to bavi, ak nie daj si to nastavit niekomu inemu. Nemusus p…
fleg 29.06.2013 13:18
fleg
podruhé jsem zkusil tohle nastavit a zase se trápil, že nefunfuje - nakonec jsem přišel na zakopanýh…
liborrr 09.02.2014 20:07
liborrr
presne tak, ale zaujímavé je, že na androide mi išlo všetko, na PC s XP nie, musel som ešte dokonfig…
profor 10.03.2014 01:40
profor
Já jsem taky skončil u toho, že obě wifi fungují, ale na té pro návštěvníky nejede internet:( Komuni…
Bukeen 20.09.2016 16:25
Bukeen
doplnil jsem jeste v IP/DHCP Server/Network, sit musi tam byt obe tedy vase plus druha (192.168.5.0/…
Brves 23.09.2016 21:31
Brves
Dakujem za navod,konecne to funguje tak ako ma :)
andreejkoo 05.04.2014 08:57
andreejkoo
Super článek. Jel jsem podle návodu. Bohužel mě pak oddělená síť jela jen na androidu. Po zadání ip…
JirkaPC 19.12.2015 20:11
JirkaPC
Dobrý den, dobrý článek, chtěl bych ale zeptat, jak to že se sítě 192.168.1.1/24 a 192.168.5.1/24 "…
TLS 29.04.2016 10:54
TLS
Ahoj, na začátek chci poděkovat za dobře vysvětlené příklady konfigurace Mikrotiku a doufám že v tom…
Marek FM 30.08.2016 18:58
Marek FM
Bohužel jsem na tom stejně a nemůžu se hnout z místa:(
Bukeen 20.09.2016 19:29
Bukeen
Stejný problém, po několika hodinách provozu vždy dopadnu stejně. DHCP pro hosty je "červené", je nu…
GoGo_SPK 18.11.2016 12:34
GoGo_SPK
Zkus vytvořit nový bridge pro hosty. Návod i s nastavením firewallu zde: http://serverfault.com/ques… poslední
look 04.02.2017 13:22
look

Je trosku diskutabilna, ci naozaj pouzit reject z 2 dovodov. Ak by sme prevadzkovali takyto hotspot verejne tak rejectovanie napovie utocnikovi, ze dany rozsah pravdepodobne existuje. Utocnikovi by sme mali poskytovat co najmenej informacii.
Ovela horsia vec podla mna vsak je, ze reject robi vacsi load procesoru ako drop a navyse vytvara sietovy traffic. Pri masivnom flood pingu by mohlo dojst takto k ovela rychlejsiemu zahlteniu celeho routra tym padom k jeho znefunkcneniu.

Reject jsem pouzil ve vnitrni siti pro zamezeni pristupu hostu do vnitrni site a tam zadne utoky a zahlceni site nehrozi.
Z venku bych samozrejme pouzil Drop, jak jsi spravne napsal, abych utocnikovi nenapovidal.

Díky, výrazně mi to pomohlo v samostudiu (zatím pouze v teoretické rovině, protože doma nemám - a nikdy jsem neměl ::) nějaké wifi zařízení, vedeme zatím vše po drátech).

Mám přednastaven wifi adaptér ve stejném rozsahu adres jako ethernetovou (192.168.88.0/1)

[14590-wifi1-png]

u které tedy chci, aby na sebe připojené PC případně viděly (prostředky sdílení ve Windows).

Kromě toho mám vytvořen druhý virtuální adaptér dle tvého návodu, bez přístupu na ethernetové PC (má jiný rozsah adres, 192.168.5.0/24). S omezeními si zatím hraju jen v teoretické rovině, cítím v kostech, že budu muset jít i do scriptů.

Jak to bude s aktivací jednotlivých adaptérů? Zapínají/vypínají se fajfkou/křížkem, na obrázku jsou oba vypnuté:
[14591-wifi2-png]
Když budu chtít zapnout jen tu soukromý "plnohodnotný" (wlan), odfajfkuju jen jej, to je jasné. Když JEN tu omezený pro hosty (wlan pro hosty), může být současně vypnutý ten hlavní ("nadřízený") adaptér?

Ve šmírovacím okně (Wireless Snooper) je takováto tabulka:
[14593-wifi32-png]
Asi budu za pitomce, ale netuším pořádně, co znamenají jednotlivé grafické symboly a jak chápat hodnoty v tabulce (signal, of frequency/traffic, bandwidth). Proč jsou některé zašedlé.

Omezení (časové, rychlostní) jednotlivých bezdrátově připojených zařízení předpokládám na záložce wireless - access list (nemohu zatím ověřit). Hledám, zda/kde omezit i objem přenesených dat (za nastavitelnou časovou jednotku).

Je toho prostě hodně :)

------
Jakousi chaotickou debatu o Mikrotiku vedu i tady: http://pc.poradna.net/q/view/1048223-ono-to-s-tim- mikrotikem-neni-az-takova-stranda

Když budu chtít zapnout jen tu soukromý "plnohodnotný" (wlan), odfajfkuju jen jej, to je jasné. Když JEN tu omezený pro hosty (wlan pro hosty), může být současně vypnutý ten hlavní ("nadřízený") adaptér?

Ano, je mozne vypnout hlavni adapter a nechat zapnuty jen ten virtualni

Hledám, zda/kde omezit i objem přenesených dat (za nastavitelnou časovou jednotku).

V tomto pripade se nevyhnes skriptovani. Cely problem i s resenim je podrobne popsan tady:
volumelimit.htm

K firewallu:
Na staré Barikádě jsem viděl log zachycených útoků zvenku (denně stovky). Na MT v logu zatím (za 3 dny) ani jeden.

Bude to zabezpečením, nebo se MT ještě venku neprezentoval (nějak tam mi to vysvětloval fleg). Či je ta databáze útoků (ještě) někde jinde?

Tomu trochu nerozumím.

Útočné pokusy existují, MT takovéto pakety zahazuje. Myslel jsem, že o tom zahození bude někde záznam. Samozřejmě nepotřebuju k něčemu nějaký výpis, beru to jen jako zajímavost k pochopení principu práce/logování FW.

Z logu jsem poznal, kdy šla manželka spát ]:)

Pri dropovani nie je co logovat. Loguje sa napriklad pokus o nalogovanie na ssh, ftp alebo inu sluzbu. Pri dropovani k nicomu takemuto nedojde, takze nie je co logovat.

Ak by to niekto prehnal napriklad s DoS utokom, si predstav aky velky log by si mal, ako rychlo by to muselo logovat a aky vykon by sa na to logovanie spotreboval. Uplne najsuper by bolo ak by nevhodny ramec nemusel opustit hardware. Rozhodnut o zamietnuti niekde v systeme je stale pomale a neefektivne.

A napadla mě ještě jedna věc.

Zatím nevím, kde nastavit případné omezení pro jednotlivé PC na ethernetu, aby mohly na LAN, ale nemohly na internet. Asi ve firewallu, budu potřebovat nakopnout :-)

JaFi ti to predsa naznacil v clanku, kde blokuje hotspotovych uzivatelov. Ako zdrojovu adresu uvedies tu co potrebujes ako cielovu nedas nic a toto spojenie zakazas. Zaroven vytvoris pravidlo c.2, kde zadas zdrojovu adresu toho pc a cielovu cely rozsah lanky a das accept. Tym padom vytvoris vynimku toho predchadzajuceho pravidla.

Jo takto nějak..

[14612-wifi4-png]

Ještě váhám s nastavením chain: forward, output, input.

---
Předpokládám, že ve Firewal - Address List si budu moci definovat všechny XP-mode virtuální počítače v domácnosti a pak místo zadávání v New Firewall Rule na záložce General (konkrétní adresy) použiju vytvořené seznamy na záložce Advanced (src/dst address list).

NAT, Mangle a Layer7 protokol zatím nechám spát :-)

---
OT: vy síťaři to máte v malíčku, ale pro nás, co se tím zaobíráme doslova pár dní, je toho opravdu kvantum novinek. Chci nejen otrocky umět opsat, použit, ale i pochopit principy. Chvílemi si připadám jak mí posluchači v místní nálevně, když jsem se jím kdysi snažil vysvětlit odpisování hmotného majetku ("základních prostředků"). No schválně:

Při zrychleném odpisování majetku zvýšeného o jeho technické zhodnocení se odpisy stanoví
a) v roce zvýšení zůstatkové ceny jako podíl dvojnásobku zvýšené zůstatkové ceny majetku a přiřazeného koeficientu zrychleného odpisování platného pro zvýšenou zůstatkovou cenu,
b) v dalších zdaňovacích obdobích jako podíl dvojnásobku zůstatkové ceny majetku a rozdílu mezi přiřazeným koeficientem zrychleného odpisování platným pro zvýšenou zůstatkovou cenu a počtem let, po které byl odpisován ze zvýšené zůstatkové ceny.

;-)

Podla mna by si sa to mal ucit len ak ta to bavi, ak nie daj si to nastavit niekomu inemu.
Nemusus pouzit zoznamy, mozes predsa pouzit adresny ip rozsah a neblokovat kazdu IP zvlast.
Layer7 ta zaujimat asi ozaj nemusi a manglovat packety v tvojej sieti...neviem si predstavit naco by ti to bolo. Ja napriklad manglujem packety u seba na sieti a tak rozdelujem kade ide konkretny packet von, pretoze pouzivam system viacerych bran.
Manglovanie by si mohol vyuzit pri zalohovani spojenia, alebo load balancingu a to su vsetko pripady, ktore u teba nenastanu.
Co sa tyka chainov dolezite je odkial sa pozeras a potom je to jasne input je packet na vstupe, forward je packet, ktory sa forwarduje z jednej siete do druhej (v tvojom pripade napriklad lan vs hotspot siet) a output je packet na vystupe.

podruhé jsem zkusil tohle nastavit a zase se trápil, že nefunfuje - nakonec jsem přišel na zakopanýho psa - myslím, že chybí v postupu ještě okno v nastavení dhcp serveru v položce networks nastavení brány a dns serveru, bez toho jsem se nedostal ven

presne tak, ale zaujímavé je, že na androide mi išlo všetko, na PC s XP nie, musel som ešte dokonfigurovať bránu a dns server :)
ale inak skvelý tutorial, presne toto som hladal, nakoľko zdielam optiku so susedom :)

vďaka

Já jsem taky skončil u toho, že obě wifi fungují, ale na té pro návštěvníky nejede internet:( Komunikace skončí na té zabezpečené bráně a dál si nevím rady:( Doplní někdo prosím tento návod.

doplnil jsem jeste v IP/DHCP Server/Network, sit musi tam byt obe tedy vase plus druha (192.168.5.0/24 192.168.5.1)

Super článek. Jel jsem podle návodu. Bohužel mě pak oddělená síť jela jen na androidu. Po zadání ip na notebooku a masky a brány a dns mě notebook na síti fungoval. Zjistil jsem že dhcp mě dává masku 255.0.0.0. Tak jsem v ip, dhcp server , nastavil ještě v networks adresu sítě 192.168.5.0/24 a gateway 192.168.5.1. Poté mě již internet jel i na notebooku.

Dobrý den,

dobrý článek, chtěl bych ale zeptat, jak to že se sítě 192.168.1.1/24 a 192.168.5.1/24 "vidí" a pro blokaci komunikace mezi těmito sítěmi je nutno řešit firewall? Nikde přeci není nastaveno routovací pravidlo z jedné do druhé sítě.

Myslel jsem, že pokud mám dva subnety bez nastavení routovacího pravidla, tak na sebe PC z jednoho do druhého subnetu nevidí (a není třeba řešit pravidlo ve FW pro zakázání komunikace).

Děkuji

Ahoj,
na začátek chci poděkovat za dobře vysvětlené příklady konfigurace Mikrotiku a doufám že v tom budete dále pokračovat.
Rád bych požádal o radu v konfiguraci wifi pro hosty.
Vše jsem udělal tak jak je popsáno a připojení mi fungovalo. Druhý den po zapnutí mi to přestalo fungovat a jediné co se změnilo, tak v IP / DHCP server se mi vytvořený DHCP server pro hosty zabarvil do červena. Zkoušel jsem ho odstranit a vytvořit znovu. Chová se to stejně. Už nevím v čem jsem udělal chybu.
Předem děkuji za odpověď
M.

Stejný problém, po několika hodinách provozu vždy dopadnu stejně. DHCP pro hosty je "červené", je nutno provést novou konfiguraci.
Ještě bych potřeboval poradit, jak zakázat přístup z hostovské sítě (u mne 192.168.10.0/24 )na 192.168.88.1 port 8291.(IP MikroTiku)
Dík

Zpět na články Přidat komentář k článku