MikroTik jako SOHO router - 3 - wifi síť pro návštěvníky
Některé routery z vyšší cenové kategorie nabízí oddělený přístup k internetu pro návštěvníky. Ukážeme si, jak stejnou funkčnost uděláme na našem MikroTiku. A na závěr nastavíme návštěvníkům rychlostní limit. Pokud potřebujete, můžete si WiFi sítí udělat klidně víc, protože máte zařízení, na kterém uděláte téměř cokoliv :-)
10. Oddělená wifi síť pro návštěvníky
Může se stát, že potřebujeme wifi pro návštěvy (nejen ve firmě, ale třeba i doma), ale nechceme, aby se návštěva dostala do naší vnitřní sítě. Ukážeme si, jak na to na routeru MicroTik.
1. Vytvoření virtuálního wifi adaptéru
Na kartě Wireless na záložce Security profiles si vytvoříme nový profil pro návštěvníky. Podobně, jako jsme nastavovali AP při prvotní konfiguraci si nastavíme šifrování a heslo.
Na kartě Wireless na záložce Iterfaces přidáme nový Virtual AP (těch si mimochodem můžeme přidat tolik, kolik potřebujeme) a přiřadíme mu náš nový Security profile. Doporučuji vypnout volbu Default Forward, jednotliví účastníci pak na sebe neuvidí.
2. Konfigurace přidělování adres
Nejprve nastavíme adresy, které se budou přidělovat. To provedeme na kartě IP / Addresses.
Address: 192.168.5.1/24 (volíme jiný adresní rozsah než naši vnitřní síť)
Network: 192.168.5.0
Interface: vybereme náš virtuální AP
Následně musíme nastavit rozsah přidělovaných adres. To se provede na kartě IP / Pool
Přidáme nový pool, jméno např. pro hosty
Addresses: 192.168.5.50-192.168.5.100
Next Pool: none
V posledním kroku vytvoříme nový DHCP server. To provedeme na kartě IP / DHCP server
Opět dáme serveru nějaké jméno, např. server pro hosty.
Interface: zvolíme náš virtuální AP
Lease Time: stačí několik hodin
Address Pool: vybereme nově vytvořený pool pro hosty
V této chvíli je druhá wifi síť funkční, můžeme se zkusit na ni přihlásit.
Jako alternativní možnost pro vytvoření DHCP serveru je použití průvodce na kartě IP / DHCP server. Stisknutím tlačítka DHCP Setup provedeme nastavení serveru v několika krocích.
3. Nastavení pravidla firewallu pro oddělení sítě
Máme vnitřní síť s rozsahem 192.168.1.1/24 a síť pro návštěvníky s rozsahem 192.168.5.1/24
Budeme chtít nastavit pravidlo tak, aby návštěvníci měli přístup pouze na internet.
Půjdeme na kartu IP / Firewall, záložka Filter Rules
Přidáme pravidlo:
Chain: forward
Src.Address: 192.168.5.0/24
Dst.Address: 192.168.1.0/24
Out. Interface: vybereme interface brány internetu a zaškrtneme křížek před jeho jménem (negace, vše mimo)
Action: reject
Reject With: icmp admin prohibited
Mohli bychom nastavit jako akci i Drop, ale odmítnutí (reject) je vhodnější.
Tím jsme zabránili hostům vstup do vnitřní sítě.
11. Omezení rychlosti
Omezení rychlosti na úrovni interface je velmi jednoduché. V našem příkladě nastavíme návštěvníkům limit 2Mbps download a 1Mbps upload.
Půjdeme na kartu Queues a vytvoříme novou Simple Queues.
Pojmenujeme ji např. pro hosty
Jako target Upload max limit nastavíme 1M, jako Target download max limit nastavíme 2M.
Ještě musíme přiřadit do Interface náš virtuálního AP.
Jako Queue Type nastavte pro upload i download wireless-default.
Potvrdit a je hotovo.
Takto si můžete nastavit omezení pro jakýkoliv interface. Možnosti jsou samozřejmě mnohem větší, kromě maximálního omezení můžeme nastavit zaručenou šířku pásma, můžeme nastavit omezení pouze pro dané dny a čas, ...
Na záložce Queue Types můžeme u typu wireless-default změnit typ z SFQ na RED. Není to nutné, ale pro naše domácí účely je tento algoritmus vhodnější. Pro bližší informace si můžete přečíst dokument o řízení datových toků pomocí MikroTik.
Nyní se můžeme připojit na wifi pro hosty, zkusit ping na nějaké zařízení ve vnitřní síti (ne na adresu routeru!). Ping skončí s okamžitou odpovědí, že síť není dostupná. Pokud bychom na firewallu nastavili pravidlo Drop, každý ping by čekal a skončil na timout.
Můžete zkusit navštívit stránku s měřičem rychlosti a přesvědčit se že hosté stahují pouze zadanou rychlostí...
V předchozí kapitole jsme si nastavili grafické sledování linky. Jednoduchým přidáním rozhraní návštěvnického virtuálního AP do sledování získáme graf s provozem, způsobeným návštěvníky.
Přehled kapitol
Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem
podruhé jsem zkusil tohle nastavit a zase se trápil, že nefunfuje - nakonec jsem přišel na zakopanýho psa - myslím, že chybí v postupu ještě okno v nastavení dhcp serveru v položce networks nastavení brány a dns serveru, bez toho jsem se nedostal ven
Já jsem taky skončil u toho, že obě wifi fungují, ale na té pro návštěvníky nejede internet:( Komunikace skončí na té zabezpečené bráně a dál si nevím rady:( Doplní někdo prosím tento návod.
doplnil jsem jeste v IP/DHCP Server/Network, sit musi tam byt obe tedy vase plus druha (192.168.5.0/24 192.168.5.1)
Ahoj,
na začátek chci poděkovat za dobře vysvětlené příklady konfigurace Mikrotiku a doufám že v tom budete dále pokračovat.
Rád bych požádal o radu v konfiguraci wifi pro hosty.
Vše jsem udělal tak jak je popsáno a připojení mi fungovalo. Druhý den po zapnutí mi to přestalo fungovat a jediné co se změnilo, tak v IP / DHCP server se mi vytvořený DHCP server pro hosty zabarvil do červena. Zkoušel jsem ho odstranit a vytvořit znovu. Chová se to stejně. Už nevím v čem jsem udělal chybu.
Předem děkuji za odpověď
M.
Bohužel jsem na tom stejně a nemůžu se hnout z místa:(
Stejný problém, po několika hodinách provozu vždy dopadnu stejně. DHCP pro hosty je "červené", je nutno provést novou konfiguraci.
Ještě bych potřeboval poradit, jak zakázat přístup z hostovské sítě (u mne 192.168.10.0/24 )na 192.168.88.1 port 8291.(IP MikroTiku)
Dík
Zkus vytvořit nový bridge pro hosty.
Návod i s nastavením firewallu zde: http://serverfault.com/questions/738402/mikrotik-c onfiguration-add-a-public-wireless-router-internet -only-to-office
Ale mam trochu problem, moja siet 192.168.1.0, hostovska 192.168.10.0
mam nastavene simple queue, kde rodicovska "celkom" je bud 192.168.1.0/24 alebo bridge kde mam moju wifi a porty, ked dam eth 1 tak mi nic nenarata
Ako to spravit co najjednoduchsie, aby sa hostovska ratala do celeho objemu odchadzajuceho cez eth1?
Teraz mam hostovsku mimo Celkom, ako bud IP albo bridge_guest
Dobrý den,
řeším u nás ve firmě oddělení wifi sítě pro hosty od naší sítě. Chtěl jsem to vyřešit pomocí VLAN ale bohužel se současným stavem naší sítě to nelze tak jsem našel tento návod, který by splnoval co potřebuji ale bohužel se mi nedaří to dle návodu nastavit. jde o to že v kroku přidělení DHCP Serveru na daný Interface virtualní wifi mi to napíše chybu DHCP server can not run on slave interface. Všechny APčka jsou v bridge, DHCP Server mám na domenovém serveru firmy. bohužel se nemužu hnout dál.