MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky
Některé routery z vyšší cenové kategorie nabízí oddělený přístup k internetu pro návštěvníky. Ukážeme si, jak stejnou funkčnost uděláme na našem MikroTiku. A na závěr nastavíme návštěvníkům rychlostní limit. Pokud potřebujete, můžete si WiFi sítí udělat klidně víc, protože máte zařízení, na kterém uděláte téměř cokoliv :-)
10. Oddělená wifi síť pro návštěvníky
Může se stát, že potřebujeme wifi pro návštěvy (nejen ve firmě, ale třeba i doma), ale nechceme, aby se návštěva dostala do naší vnitřní sítě. Ukážeme si, jak na to na routeru MicroTik.
1. Vytvoření virtuálního wifi adaptéru
Na kartě Wireless na záložce Security profiles si vytvoříme nový profil pro návštěvníky. Podobně, jako jsme nastavovali AP při prvotní konfiguraci si nastavíme šifrování a heslo.
Na kartě Wireless na záložce Iterfaces přidáme nový Virtual AP (těch si mimochodem můžeme přidat tolik, kolik potřebujeme) a přiřadíme mu náš nový Security profile. Doporučuji vypnout volbu Default Forward, jednotliví účastníci pak na sebe neuvidí.
2. Konfigurace přidělování adres
Nejprve nastavíme adresy, které se budou přidělovat. To provedeme na kartě IP / Addresses.
Address: 192.168.5.1/24 (volíme jiný adresní rozsah než naši vnitřní síť)
Network: 192.168.5.0
Interface: vybereme náš virtuální AP
Následně musíme nastavit rozsah přidělovaných adres. To se provede na kartě IP / Pool
Přidáme nový pool, jméno např. pro hosty
Addresses: 192.168.5.50-192.168.5.100
Next Pool: none
V posledním kroku vytvoříme nový DHCP server. To provedeme na kartě IP / DHCP server
Opět dáme serveru nějaké jméno, např. server pro hosty.
Interface: zvolíme náš virtuální AP
Lease Time: stačí několik hodin
Address Pool: vybereme nově vytvořený pool pro hosty
V této chvíli je druhá wifi síť funkční, můžeme se zkusit na ni přihlásit.
Jako alternativní možnost pro vytvoření DHCP serveru je použití průvodce na kartě IP / DHCP server. Stisknutím tlačítka DHCP Setup provedeme nastavení serveru v několika krocích.
3. Nastavení pravidla firewallu pro oddělení sítě
Máme vnitřní síť s rozsahem 192.168.1.1/24 a síť pro návštěvníky s rozsahem 192.168.5.1/24
Budeme chtít nastavit pravidlo tak, aby návštěvníci měli přístup pouze na internet.
Půjdeme na kartu IP / Firewall, záložka Filter Rules
Přidáme pravidlo:
Chain: forward
Src.Address: 192.168.5.0/24
Dst.Address: 192.168.1.0/24
Out. Interface: vybereme interface brány internetu a zaškrtneme křížek před jeho jménem (negace, vše mimo)
Action: reject
Reject With: icmp admin prohibited
Mohli bychom nastavit jako akci i Drop, ale odmítnutí (reject) je vhodnější.
Tím jsme zabránili hostům vstup do vnitřní sítě.
11. Omezení rychlosti
Omezení rychlosti na úrovni interface je velmi jednoduché. V našem příkladě nastavíme návštěvníkům limit 2Mbps download a 1Mbps upload.
Půjdeme na kartu Queues a vytvoříme novou Simple Queues.
Pojmenujeme ji např. pro hosty
Jako target Upload max limit nastavíme 1M, jako Target download max limit nastavíme 2M.
Ještě musíme přiřadit do Interface náš virtuálního AP.
Jako Queue Type nastavte pro upload i download wireless-default.
Potvrdit a je hotovo.
Takto si můžete nastavit omezení pro jakýkoliv interface. Možnosti jsou samozřejmě mnohem větší, kromě maximálního omezení můžeme nastavit zaručenou šířku pásma, můžeme nastavit omezení pouze pro dané dny a čas, ...
Na záložce Queue Types můžeme u typu wireless-default změnit typ z SFQ na RED. Není to nutné, ale pro naše domácí účely je tento algoritmus vhodnější. Pro bližší informace si můžete přečíst dokument o řízení datových toků pomocí MikroTik.
Nyní se můžeme připojit na wifi pro hosty, zkusit ping na nějaké zařízení ve vnitřní síti (ne na adresu routeru!). Ping skončí s okamžitou odpovědí, že síť není dostupná. Pokud bychom na firewallu nastavili pravidlo Drop, každý ping by čekal a skončil na timout.
Můžete zkusit navštívit stránku s měřičem rychlosti a přesvědčit se že hosté stahují pouze zadanou rychlostí...
V předchozí kapitole jsme si nastavili grafické sledování linky. Jednoduchým přidáním rozhraní návštěvnického virtuálního AP do sledování získáme graf s provozem, způsobeným návštěvníky.
Přehled kapitol
Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem
Je trosku diskutabilna, ci naozaj pouzit reject z 2 dovodov. Ak by sme prevadzkovali takyto hotspot verejne tak rejectovanie napovie utocnikovi, ze dany rozsah pravdepodobne existuje. Utocnikovi by sme mali poskytovat co najmenej informacii.
Ovela horsia vec podla mna vsak je, ze reject robi vacsi load procesoru ako drop a navyse vytvara sietovy traffic. Pri masivnom flood pingu by mohlo dojst takto k ovela rychlejsiemu zahlteniu celeho routra tym padom k jeho znefunkcneniu.
Reject jsem pouzil ve vnitrni siti pro zamezeni pristupu hostu do vnitrni site a tam zadne utoky a zahlceni site nehrozi.
Z venku bych samozrejme pouzil Drop, jak jsi spravne napsal, abych utocnikovi nenapovidal.
Díky, výrazně mi to pomohlo v samostudiu (zatím pouze v teoretické rovině, protože doma nemám - a nikdy jsem neměl
nějaké wifi zařízení, vedeme zatím vše po drátech).
Mám přednastaven wifi adaptér ve stejném rozsahu adres jako ethernetovou (192.168.88.0/1)
u které tedy chci, aby na sebe připojené PC případně viděly (prostředky sdílení ve Windows).
Kromě toho mám vytvořen druhý virtuální adaptér dle tvého návodu, bez přístupu na ethernetové PC (má jiný rozsah adres, 192.168.5.0/24). S omezeními si zatím hraju jen v teoretické rovině, cítím v kostech, že budu muset jít i do scriptů.
Jak to bude s aktivací jednotlivých adaptérů? Zapínají/vypínají se fajfkou/křížkem, na obrázku jsou oba vypnuté:
![[14591-wifi2-png]](/file/view/14591-wifi2-png)
Když budu chtít zapnout jen tu soukromý "plnohodnotný" (wlan), odfajfkuju jen jej, to je jasné. Když JEN tu omezený pro hosty (wlan pro hosty), může být současně vypnutý ten hlavní ("nadřízený") adaptér?
Ve šmírovacím okně (Wireless Snooper) je takováto tabulka:
![[14593-wifi32-png]](/file/view/14593-wifi32-png)
Asi budu za pitomce, ale netuším pořádně, co znamenají jednotlivé grafické symboly a jak chápat hodnoty v tabulce (signal, of frequency/traffic, bandwidth). Proč jsou některé zašedlé.
Omezení (časové, rychlostní) jednotlivých bezdrátově připojených zařízení předpokládám na záložce wireless - access list (nemohu zatím ověřit). Hledám, zda/kde omezit i objem přenesených dat (za nastavitelnou časovou jednotku).
Je toho prostě hodně :)
------
Jakousi chaotickou debatu o Mikrotiku vedu i tady: http://pc.poradna.net/q/view/1048223-ono-to-s-tim- mikrotikem-neni-az-takova-stranda
Ano, je mozne vypnout hlavni adapter a nechat zapnuty jen ten virtualni
V tomto pripade se nevyhnes skriptovani. Cely problem i s resenim je podrobne popsan tady:
volumelimit.htm
K firewallu:
Na staré Barikádě jsem viděl log zachycených útoků zvenku (denně stovky). Na MT v logu zatím (za 3 dny) ani jeden.
Bude to zabezpečením, nebo se MT ještě venku neprezentoval (nějak tam mi to vysvětloval fleg). Či je ta databáze útoků (ještě) někde jinde?
Vsetko dropujes tak ake logy chces mat?
Tomu trochu nerozumím.
Útočné pokusy existují, MT takovéto pakety zahazuje. Myslel jsem, že o tom zahození bude někde záznam. Samozřejmě nepotřebuju k něčemu nějaký výpis, beru to jen jako zajímavost k pochopení principu práce/logování FW.
Z logu jsem poznal, kdy šla manželka spát![]:)](https://static.poradna.net/images/smiley/evilsmile.gif)
Pri dropovani nie je co logovat. Loguje sa napriklad pokus o nalogovanie na ssh, ftp alebo inu sluzbu. Pri dropovani k nicomu takemuto nedojde, takze nie je co logovat.
Na to ti staci grafy provozu a vis to docela presne...
Ak by to niekto prehnal napriklad s DoS utokom, si predstav aky velky log by si mal, ako rychlo by to muselo logovat a aky vykon by sa na to logovanie spotreboval. Uplne najsuper by bolo ak by nevhodny ramec nemusel opustit hardware. Rozhodnut o zamietnuti niekde v systeme je stale pomale a neefektivne.
A napadla mě ještě jedna věc.
Zatím nevím, kde nastavit případné omezení pro jednotlivé PC na ethernetu, aby mohly na LAN, ale nemohly na internet. Asi ve firewallu, budu potřebovat nakopnout
JaFi ti to predsa naznacil v clanku, kde blokuje hotspotovych uzivatelov. Ako zdrojovu adresu uvedies tu co potrebujes ako cielovu nedas nic a toto spojenie zakazas. Zaroven vytvoris pravidlo c.2, kde zadas zdrojovu adresu toho pc a cielovu cely rozsah lanky a das accept. Tym padom vytvoris vynimku toho predchadzajuceho pravidla.
Jo takto nějak..
Ještě váhám s nastavením chain: forward, output, input.
---
Předpokládám, že ve Firewal - Address List si budu moci definovat všechny XP-mode virtuální počítače v domácnosti a pak místo zadávání v New Firewall Rule na záložce General (konkrétní adresy) použiju vytvořené seznamy na záložce Advanced (src/dst address list).
NAT, Mangle a Layer7 protokol zatím nechám spát
---
OT: vy síťaři to máte v malíčku, ale pro nás, co se tím zaobíráme doslova pár dní, je toho opravdu kvantum novinek. Chci nejen otrocky umět opsat, použit, ale i pochopit principy. Chvílemi si připadám jak mí posluchači v místní nálevně, když jsem se jím kdysi snažil vysvětlit odpisování hmotného majetku ("základních prostředků"). No schválně:
Podla mna by si sa to mal ucit len ak ta to bavi, ak nie daj si to nastavit niekomu inemu.
Nemusus pouzit zoznamy, mozes predsa pouzit adresny ip rozsah a neblokovat kazdu IP zvlast.
Layer7 ta zaujimat asi ozaj nemusi a manglovat packety v tvojej sieti...neviem si predstavit naco by ti to bolo. Ja napriklad manglujem packety u seba na sieti a tak rozdelujem kade ide konkretny packet von, pretoze pouzivam system viacerych bran.
Manglovanie by si mohol vyuzit pri zalohovani spojenia, alebo load balancingu a to su vsetko pripady, ktore u teba nenastanu.
Co sa tyka chainov dolezite je odkial sa pozeras a potom je to jasne input je packet na vstupe, forward je packet, ktory sa forwarduje z jednej siete do druhej (v tvojom pripade napriklad lan vs hotspot siet) a output je packet na vystupe.
podruhé jsem zkusil tohle nastavit a zase se trápil, že nefunfuje - nakonec jsem přišel na zakopanýho psa - myslím, že chybí v postupu ještě okno v nastavení dhcp serveru v položce networks nastavení brány a dns serveru, bez toho jsem se nedostal ven
presne tak, ale zaujímavé je, že na androide mi išlo všetko, na PC s XP nie, musel som ešte dokonfigurovať bránu a dns server :)
ale inak skvelý tutorial, presne toto som hladal, nakoľko zdielam optiku so susedom :)
vďaka
Já jsem taky skončil u toho, že obě wifi fungují, ale na té pro návštěvníky nejede internet:( Komunikace skončí na té zabezpečené bráně a dál si nevím rady:( Doplní někdo prosím tento návod.
doplnil jsem jeste v IP/DHCP Server/Network, sit musi tam byt obe tedy vase plus druha (192.168.5.0/24 192.168.5.1)
Dakujem za navod,konecne to funguje tak ako ma :)
Super článek. Jel jsem podle návodu. Bohužel mě pak oddělená síť jela jen na androidu. Po zadání ip na notebooku a masky a brány a dns mě notebook na síti fungoval. Zjistil jsem že dhcp mě dává masku 255.0.0.0. Tak jsem v ip, dhcp server , nastavil ještě v networks adresu sítě 192.168.5.0/24 a gateway 192.168.5.1. Poté mě již internet jel i na notebooku.
Dobrý den,
dobrý článek, chtěl bych ale zeptat, jak to že se sítě 192.168.1.1/24 a 192.168.5.1/24 "vidí" a pro blokaci komunikace mezi těmito sítěmi je nutno řešit firewall? Nikde přeci není nastaveno routovací pravidlo z jedné do druhé sítě.
Myslel jsem, že pokud mám dva subnety bez nastavení routovacího pravidla, tak na sebe PC z jednoho do druhého subnetu nevidí (a není třeba řešit pravidlo ve FW pro zakázání komunikace).
Děkuji
Ahoj,
na začátek chci poděkovat za dobře vysvětlené příklady konfigurace Mikrotiku a doufám že v tom budete dále pokračovat.
Rád bych požádal o radu v konfiguraci wifi pro hosty.
Vše jsem udělal tak jak je popsáno a připojení mi fungovalo. Druhý den po zapnutí mi to přestalo fungovat a jediné co se změnilo, tak v IP / DHCP server se mi vytvořený DHCP server pro hosty zabarvil do červena. Zkoušel jsem ho odstranit a vytvořit znovu. Chová se to stejně. Už nevím v čem jsem udělal chybu.
Předem děkuji za odpověď
M.
Bohužel jsem na tom stejně a nemůžu se hnout z místa:(
Stejný problém, po několika hodinách provozu vždy dopadnu stejně. DHCP pro hosty je "červené", je nutno provést novou konfiguraci.
Ještě bych potřeboval poradit, jak zakázat přístup z hostovské sítě (u mne 192.168.10.0/24 )na 192.168.88.1 port 8291.(IP MikroTiku)
Dík
Zkus vytvořit nový bridge pro hosty.
Návod i s nastavením firewallu zde: http://serverfault.com/questions/738402/mikrotik-c onfiguration-add-a-public-wireless-router-internet -only-to-office
Ale mam trochu problem, moja siet 192.168.1.0, hostovska 192.168.10.0
mam nastavene simple queue, kde rodicovska "celkom" je bud 192.168.1.0/24 alebo bridge kde mam moju wifi a porty, ked dam eth 1 tak mi nic nenarata
Ako to spravit co najjednoduchsie, aby sa hostovska ratala do celeho objemu odchadzajuceho cez eth1?
Teraz mam hostovsku mimo Celkom, ako bud IP albo bridge_guest
Dobrý den,
řeším u nás ve firmě oddělení wifi sítě pro hosty od naší sítě. Chtěl jsem to vyřešit pomocí VLAN ale bohužel se současným stavem naší sítě to nelze tak jsem našel tento návod, který by splnoval co potřebuji ale bohužel se mi nedaří to dle návodu nastavit. jde o to že v kroku přidělení DHCP Serveru na daný Interface virtualní wifi mi to napíše chybu DHCP server can not run on slave interface. Všechny APčka jsou v bridge, DHCP Server mám na domenovém serveru firmy. bohužel se nemužu hnout dál.