Создание гостевой Wi-Fi сети на базе роутера Mikrotik

Иногда бывает так, что в дома или на работе необходимо создать гостевую wi-fi сеть, которая бы имела доступ только в интернет.
Рассмотрим как это сделать ниже.

Статья актуальная для Router OS 6.37.1, в других версиях так же

Задача: Добавить гостевую сеть wi-fi, которая бы имела только доступ в интернет. Запретить пользователям guest wlan подключение к ресурсам локальной сети.
Локальная сеть должна иметь IP адрес 192.168.202.0/24
Гостевая 172.16.3.0/24

1.Для начала нужно создать виртуальную точку доступа.

1.1 Добавляем интерфейс (virtual AP) через Winbox, для этого переходим на вкладку wireless, нажимаем на +, выбираем пункт Virtual

virtualap

1.2 Указываем имя нашей точки доступа (для отображения в интерфейсах)

virt_ap_name

1.3 Настраиваем основные настройки Wi-Fi, безопасность, основной интерфейс и SSID (имя сети, которое будут видеть Ваши гости)). Изначально профиль безопасности будет доступен только один (если вы не добавляли других). К этому пункту мы перейдём далее.

virt_ap_wireless

2. Настраиваем профиль безопасности, для подключения к нашей точке.

Заходим в wirelles — security profiles, жмём «+». Выбираем тип аутентификации, указываем тип ключа, вводим пароль, нажимаем «OK»

virt_ap_security

3. Прописываем Ip адрес роутера, для гостевой сети.

3.1 Переходим IP -> Addresses, нажимаем «+»

3.2 Указываем IP роутера и маску подсети  172.16.3.1/24

virt_ap_ip

4. Теперь насторим DHCP Server для того, что бы гости получали IP адреса

4.1 Переходим в IP -> Pool.  Нажимаем «+». Прописываем название пула и диапазон IP которые будет выдавать наш DHCP сервер.

virtual_ap_pool

4.2 Идём дальше IP -> DHCP Server на вкладку DHCP. Указываем название сервера, выбираем наш гостевой интерфейс, выбираем созданный ранее пул адресов, задаём время жизни аренды, жмём OK

virt_ap_dhcp

4.3 Переходим во вкладку Networks. Нажимаем «+», прописываем адрес сети, шлюз, днс сервер. ДНС можно указать как IP самого роутера, так и любой внешний. Нажимаем ОК.

virt_ap_networks

По сути точка готова к использованию, но нам ведь надо запретить трафик из гостевой сети в локальную.

5. Запрещаем трафик из гостевой сети в локальную.

Для этого переходим в раздел IP -> Firewall -> Filter Rules. Жмём плюс и добавляем правило.
chain=forward  src-address=172.16.3.0/24
dst-address=192.168.202.0/24
на вкладке action
action=drop

virt_ap_forward

Всё, теперь у нас есть гостевая сеть, которая не может попасть в нашу локальную сеть. Если не заработало, возможно у вас не настроен NAT.

Запись опубликована в рубрике Mikrotik с метками , , , , . Добавьте в закладки постоянную ссылку.

3 комментария на «Создание гостевой Wi-Fi сети на базе роутера Mikrotik»

  1. Vitaliy говорит:

    Была подобная задача, только не надо было пускать гостей в туннели, которые подняты в другие офисы!

    Чтобы не создавать списки сетей, решил это просто, разрешив гостям доступ только в интернет интерфейс:

    add action=drop chain=forward out-interface=!ether1-gateway src-address=10.171.0.0/24

    • valec говорит:

      Кстати, да, можно сделать и так. Мне привычнее работать именно со списками потому, что, чаще всего, на объектах несколько провайдеров с автоматическим переключением.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *