Иногда бывает так, что в дома или на работе необходимо создать гостевую wi-fi сеть, которая бы имела доступ только в интернет.
Рассмотрим как это сделать ниже.
Статья актуальная для Router OS 6.37.1, в других версиях так же
Задача: Добавить гостевую сеть wi-fi, которая бы имела только доступ в интернет. Запретить пользователям guest wlan подключение к ресурсам локальной сети.
Локальная сеть должна иметь IP адрес 192.168.202.0/24
Гостевая 172.16.3.0/24
1.Для начала нужно создать виртуальную точку доступа.
1.1 Добавляем интерфейс (virtual AP) через Winbox, для этого переходим на вкладку wireless, нажимаем на +, выбираем пункт Virtual
1.2 Указываем имя нашей точки доступа (для отображения в интерфейсах)
1.3 Настраиваем основные настройки Wi-Fi, безопасность, основной интерфейс и SSID (имя сети, которое будут видеть Ваши гости)). Изначально профиль безопасности будет доступен только один (если вы не добавляли других). К этому пункту мы перейдём далее.
2. Настраиваем профиль безопасности, для подключения к нашей точке.
Заходим в wirelles — security profiles, жмём «+». Выбираем тип аутентификации, указываем тип ключа, вводим пароль, нажимаем «OK»
3. Прописываем Ip адрес роутера, для гостевой сети.
3.1 Переходим IP -> Addresses, нажимаем «+»
3.2 Указываем IP роутера и маску подсети 172.16.3.1/24
4. Теперь насторим DHCP Server для того, что бы гости получали IP адреса
4.1 Переходим в IP -> Pool. Нажимаем «+». Прописываем название пула и диапазон IP которые будет выдавать наш DHCP сервер.
4.2 Идём дальше IP -> DHCP Server на вкладку DHCP. Указываем название сервера, выбираем наш гостевой интерфейс, выбираем созданный ранее пул адресов, задаём время жизни аренды, жмём OK
4.3 Переходим во вкладку Networks. Нажимаем «+», прописываем адрес сети, шлюз, днс сервер. ДНС можно указать как IP самого роутера, так и любой внешний. Нажимаем ОК.
По сути точка готова к использованию, но нам ведь надо запретить трафик из гостевой сети в локальную.
5. Запрещаем трафик из гостевой сети в локальную.
Для этого переходим в раздел IP -> Firewall -> Filter Rules. Жмём плюс и добавляем правило.
chain=forward src-address=172.16.3.0/24
dst-address=192.168.202.0/24
на вкладке action
action=drop
Всё, теперь у нас есть гостевая сеть, которая не может попасть в нашу локальную сеть. Если не заработало, возможно у вас не настроен NAT.
Была подобная задача, только не надо было пускать гостей в туннели, которые подняты в другие офисы!
Чтобы не создавать списки сетей, решил это просто, разрешив гостям доступ только в интернет интерфейс:
add action=drop chain=forward out-interface=!ether1-gateway src-address=10.171.0.0/24
Кстати, да, можно сделать и так. Мне привычнее работать именно со списками потому, что, чаще всего, на объектах несколько провайдеров с автоматическим переключением.
У вас очень интересный блог! Хочу весь его перечитать!