Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky

Některé routery z vyšší cenové kategorie nabízí oddělený přístup k internetu pro návštěvníky. Ukážeme si, jak stejnou funkčnost uděláme na našem MikroTiku. A na závěr nastavíme návštěvníkům rychlostní limit. Pokud potřebujete, můžete si WiFi sítí udělat klidně víc, protože máte zařízení, na kterém uděláte téměř cokoliv :-)

10. Oddělená wifi síť pro návštěvníky

Může se stát, že potřebujeme wifi pro návštěvy (nejen ve firmě, ale třeba i doma), ale nechceme, aby se návštěva dostala do naší vnitřní sítě. Ukážeme si, jak na to na routeru MicroTik.

1. Vytvoření virtuálního wifi adaptéru
Na kartě Wireless na záložce Security profiles si vytvoříme nový profil pro návštěvníky. Podobně, jako jsme nastavovali AP při prvotní konfiguraci si nastavíme šifrování a heslo.

[http://pc.poradna.net/file/view/14438-jf03bm-00052     5-png]

Na kartě Wireless na záložce Iterfaces přidáme nový Virtual AP (těch si mimochodem můžeme přidat tolik, kolik potřebujeme) a přiřadíme mu náš nový Security profile. Doporučuji vypnout volbu Default Forward, jednotliví účastníci pak na sebe neuvidí.

[14436-jf03bm-000524-png]

2. Konfigurace přidělování adres
Nejprve nastavíme adresy, které se budou přidělovat. To provedeme na kartě IP / Addresses.
Address: 192.168.5.1/24 (volíme jiný adresní rozsah než naši vnitřní síť)
Network: 192.168.5.0
Interface: vybereme náš virtuální AP

Následně musíme nastavit rozsah přidělovaných adres. To se provede na kartě IP / Pool
Přidáme nový pool, jméno např. pro hosty
Addresses: 192.168.5.50-192.168.5.100
Next Pool: none

[http://pc.poradna.net/file/view/14439-jf03bm-00052     6-png]

V posledním kroku vytvoříme nový DHCP server. To provedeme na kartě IP / DHCP server
Opět dáme serveru nějaké jméno, např. server pro hosty.
Interface: zvolíme náš virtuální AP
Lease Time: stačí několik hodin
Address Pool: vybereme nově vytvořený pool pro hosty

[http://pc.poradna.net/file/view/14440-jf03bm-00052     7-png]

V této chvíli je druhá wifi síť funkční, můžeme se zkusit na ni přihlásit.

Jako alternativní možnost pro vytvoření DHCP serveru je použití průvodce na kartě IP / DHCP server. Stisknutím tlačítka DHCP Setup provedeme nastavení serveru v několika krocích.

3. Nastavení pravidla firewallu pro oddělení sítě
Máme vnitřní síť s rozsahem 192.168.1.1/24 a síť pro návštěvníky s rozsahem 192.168.5.1/24
Budeme chtít nastavit pravidlo tak, aby návštěvníci měli přístup pouze na internet.
Půjdeme na kartu IP / Firewall, záložka Filter Rules
Přidáme pravidlo:
Chain: forward
Src.Address: 192.168.5.0/24
Dst.Address: 192.168.1.0/24
Out. Interface: vybereme interface brány internetu a zaškrtneme křížek před jeho jménem (negace, vše mimo)
Action: reject
Reject With: icmp admin prohibited

[http://pc.poradna.net/file/view/14441-jf03bm-00052     8-png]

Mohli bychom nastavit jako akci i Drop, ale odmítnutí (reject) je vhodnější.
Tím jsme zabránili hostům vstup do vnitřní sítě.

11. Omezení rychlosti

Omezení rychlosti na úrovni interface je velmi jednoduché. V našem příkladě nastavíme návštěvníkům limit 2Mbps download a 1Mbps upload.

Půjdeme na kartu Queues a vytvoříme novou Simple Queues.
Pojmenujeme ji např. pro hosty
Jako target Upload max limit nastavíme 1M, jako Target download max limit nastavíme 2M.
Ještě musíme přiřadit do Interface náš virtuálního AP.
Jako Queue Type nastavte pro upload i download wireless-default.
Potvrdit a je hotovo.
Takto si můžete nastavit omezení pro jakýkoliv interface. Možnosti jsou samozřejmě mnohem větší, kromě maximálního omezení můžeme nastavit zaručenou šířku pásma, můžeme nastavit omezení pouze pro dané dny a čas, ...

[http://pc.poradna.net/file/view/14442-jf03bm-00052     9-png]

Na záložce Queue Types můžeme u typu wireless-default změnit typ z SFQ na RED. Není to nutné, ale pro naše domácí účely je tento algoritmus vhodnější. Pro bližší informace si můžete přečíst dokument o řízení datových toků pomocí MikroTik.

Nyní se můžeme připojit na wifi pro hosty, zkusit ping na nějaké zařízení ve vnitřní síti (ne na adresu routeru!). Ping skončí s okamžitou odpovědí, že síť není dostupná. Pokud bychom na firewallu nastavili pravidlo Drop, každý ping by čekal a skončil na timout.
Můžete zkusit navštívit stránku s měřičem rychlosti a přesvědčit se že hosté stahují pouze zadanou rychlostí...

V předchozí kapitole jsme si nastavili grafické sledování linky. Jednoduchým přidáním rozhraní návštěvnického virtuálního AP do sledování získáme graf s provozem, způsobeným návštěvníky.

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem

Mikrotik HAP Lite a nedostatek místa pro update

Komentář k článku

1 Zadajte svou přezdívku:
2 Napište svůj komentář:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět na články