MikroTik jako SOHO router - 7 - omezení WiFi pro zařízení v daném čase

Tento přístup se dá použít např. k umravnění potomků, kdy místo školy věnují veškerý čas hlazení mobilu nebo brouzdání na notebooku/tabletu. Prvotní reakce byly typicky teenegerské, ale za čas si dcera na režim zvykla a měla najednou spoustu volného času, který věnovala kromě školy i třeba čtení, malování, pobytu na čerstvém vzduchu...
Článek je pojmenovaný jako "omezení WiFi", ale ve skutečnosti omezujeme libovolnému klientovi, ať je připojený kabelem nebo přes WiFi v daném čase přístup k síti.

1. Výběr zařízení a přidělení statických IP adres

V tomto kroku vybereme všechna zařízení, se kterými budeme pracovat a v DHCP serveru jim přidělíme statické IP adresy. Z pohledu koncového zařízení se nic nezmění, ale server jim vždy přidělí stejnou IP adresu. Adresy si poskládáme za sebou. Výsledkem bude rozsah IP adres, který pak použijeme v pravidle ve firewallu.

Půjdeme přes menu IP / DHCP na záložku Leases.
Zaříení, které mají v prvním sloupečku písmenko "D" mají IP adresu.
Najdeme si všechna zařízení, které chceme omezovat, rozklikneme a nastavíme jim statickou adresu kliknutím na tlačítko "Make static" (případně přes pravé tlačítko myši z kontextové nabídky).

Okno se zařízením zavřeme a znovu otevřeme. Dostaneme se k ručnímu nastavení, kam zadáme IP adresu z rozsahu, který jsme si určili. Doporučuji vyplnit i komentář a napsat tam popis, ať víme, o jaké zařízení jde.

Výsledek pak může vypadat třeba následovně. Jediné, co potřebujeme pro další krok je zapamatovat si rozsah adres, které jsme nastavili.

2. Nastavení pravidel ve firewallu

Druhým krokem bude nastavení pravidel, kde určíme časy, kdy bude WiFi pro daný rozsah adres dostupná.
Pravidla nastavujeme v menu IP / Firewall na záložce Filter rules. Po vytvoření pravidla umístíme někam před poslední pravidlo DROP, které zahazuje vše, co neprojde předchozími pravidly.

Já (jako pán firewallu) jsem se rozhodl, že WiFi bude dostupná od 6:00 - 12:00 a 18:00-23:00. Pomocí pravidel si můžete nastavit jiný rozsah v pracovní dny a jiný o víkendu.
Ve firewallu nepovolujeme, ale zakazujeme, tak bude třeba nastavit 3 pravidla pro zákaz (nejde nastavit pravidlo přesahující půlnoc):
1. 00:00 - 6:00
2. 12:00 - 18:00
3. 23:00 - 23:59
Jako příklad uvedu pravidlo pro nastavení zákazu v době 12:00 - 18:00. V pravidle nás budou zajímat záložky:
General - nastavení rozsahu IP adres

Extra - nastavení časového intervalu platnosti pravidla

Action - nastavíme, co se v době platnosti pravidla bude dít. Pro zamezení jsem použil REJECT s důvodem, že síť je nedostupná. Je možné použít i prosté DROP.

A zde je pak výsledek. V době, kdy jsem článek psal (9:28) nebylo v platnosti žádné ze 3 pravidel a firewall nám to oznámí, že pravidlo je mimo aktivní čas. Opět doporučuji psát komentáře, aby bylo na první pohled jasné, k čemu pravidlo slouží.

Závěr

Jak vidíte, jde o logické kroky - vytvořím si podmínky, abych mohl definovat pravidlo a pak jen vytvořím pravidla ve firewallu dle potřeby. Nejsou nutné žádné hluboké znalosti sítí, vše jsem jednoduše a rychle "naklikal".
Výsledkem je, že pokusy o komunikaci pro zařízení z daného rozsahu jsou odmítnuty. Pravidla by se dala zadat i tak, že bude odmítnut jen přístup ven (mimo vnitřní síť) a přístup do vnitřní sítě zůstane zachován, takže by bylo možné využívat zábavu z DLNA serveru apod. Ale to by v mém případě neplnilo výchovný účel.

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem

Mikrotik HAP Lite a nedostatek místa pro update