Блог

 
 

§226 Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.

Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.

Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.

И тут возникает вопрос – как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.

Предисловие

Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.

В качестве локальной сети выступает 192.168.106.0/24.

Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Приступаем к настройке

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

После этих действий, под wlan1 добавится виртуальный интерфейс.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS
Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

  • 10.0.0.0 — 10.255.255.255
  • 172.16.0.0 — 172.31.255.255
  • 192.168.0.0 — 192.168.255.255

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? –  о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS
  • Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
  • Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.

В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.

В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Повышаем безопасность внутренней сети

По-умолчанию, пинг во внутреннюю сеть из гостевой проходить не будет, но существуют варианты обхода этих ограничений. Поэтому рассмотрим варианты повышения безопасности.

Шаг 7. Запрещаем доступ в локальную сеть

Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил "Action: unreachable" создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 8. Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера.

Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Шаг 9. Запрещаем управление Mikrotik из гостевой сети

Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.

Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

 

На этом все, надеемся эта инструкция будет вам полезной.



Рекомендуем также
  • Объединение локальных сетей и офисов на Mikrotik с помощью L2TP » Одна из самых распространенных задач – объединение удаленных сетей, например, территориально удаленных офисов. Одним из наиболее простых вариантов реализации можно считать L2TP. В качестве ...

  • Домашний роутер на Mikrotik. Базовые настройки безопасности в RouterOS. » Итак, вы купили роутер Mikrotik, принесли его домой, распаковали. Что с ним делать дальше? К порту 1 (WAN) следует подключить кабель от интернет-провайдера. Компьютер (ноутбук) подключаем к любому ...

  • Создание и настройка HotSpot на оборудовании Mikrotik под управлением Route ... » Жизнь современного активного человека немыслима без смартфона и постоянного доступа к сети Интернет. Всё это приводит к необходимости создания гостевой беспроводной сети для удобства своих клиентов. ...

  • Подключаем 3G-модем к Mikrotik: самый простой вариант резервирования канала ... » Не так давно на одном из небольших филиалов у нас возникли проблемы с интернет-провайдером. Суть проблемы следующая. Есть государственное учреждение, на первом этаже которого есть небольшой филиал. ...

  • Mikrotik Advanced Failover: автоматическое переключение между основным кана ... » В рамках вводной публикации, опубликованной ранее, были изложены основные моменты подключения 3G-модема к маршрутизатору Mikrotik, на примере Huawei E173 и RB952Ui-2nD (hAP). Также мы рассмотрели ...

  • Настройка Wi-Fi HotSpot на точках доступа UniFi от Ubiquiti Networks, испол ... » Наверное, сложно представить современное предприятие, кафе, торговый центр либо учебное заведение без наличия Wi-Fi. Места, где есть публичный доступ к сети Интернет очень легко определить даже без ...

  • Wi-Fi в массы: основные понятия и настройки для начинающих » У многих начинающих пользователей и порой, даже у опытных, возникают вопросы относительно настройки и конфигурирования Wi-Fi оборудования. В этой заметке мы решили познакомить вас с этими ...


  • Заметка опубликована 16.03.16. Со времени публикации её просмотрели 22913 раз. Если вам понравилась заметка «Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS», вы можете поделиться ею со своими друзьями. Всё, что требуется сделать - нажать на одну (или несколько) из кнопок чуть ниже.



     

    Комментарии к заметке

    С момента публикации к заметке оставлено 21 комментариев. Вы можете присоединиться к обсуждению, для этого воспользуйтесь формой ниже. После проверки ваше сообщение появится на сайте. Убедительная просьба: соблюдайте правила.

    #21 | Автор: DmitryAVET | 05.12.16 | from Ukraine
    Значит допустили ошибку в настройках Simple Queue, либо не отключили fasttrack.


    #20 | Автор: Андрей | 04.12.16 | from Ukraine
    Сделал все по инструкции. Скорость закачки ограничилась на 5 мбит, а выгрузка работает на всю((


    #19 | Автор: Roman | 16.11.16 | from Ukraine Rivne
    О, так работает. Спасибо.


    #18 | Автор: DmitryAVET | 16.11.16 | from Ukraine
    А Вы FastTrack отключите ) http://weblance.com.ua/251-ne-rabotaet-simple-queue-v-routeros-na-oborudovanii-m
    ikrotik-est-reshenie.html


    #17 | Автор: Roman | 16.11.16 | from Ukraine Rivne
    После настройки не ограничивает скорость на загрузку. Отправку ограничивает правильно. Burst не ставил, ограничение 10м в обе стороны. Пробовал ставить загрузку и меньше, но все-равно идет максимум, который получаю от провайдера.


    #16 | Автор: DmitryAVET | 22.10.16 | from Ukraine
    Пользуйтесь на здоровье! Изначально решал вопрос с гостевым Wi-Fi для друга, впоследствии еще несколько железок по этому мануалу настроены, всё работает, все довольны)


    #15 | Автор: Volodymyr | 22.10.16 | from Ukraine
    Огромное спасибо за статью. Все получилось. В сети много вариантов настройки, но только Вы указали, что нужно настроить бридж. Без этого на Mikrotik hAP ac Lite у меня гостевая сеть на виртуальных беспроводных интерфейсах работала, а вот dhcp сервер отказывался.


    #14 | Автор: DmitryAVET | 11.10.16 | from Ukraine
    Почему ни слова о маскарадинге? Милый мой хароший догадайся сам? или что?

    Данная конфигурация без проблем работает на дефолтной конфигурации, проверено на нескольких устройствах. Никакой дополнительный маскарадинг не нужен.


    #13 | Автор: vlad | 11.10.16 | from Ukraine
    Почему ни слова о маскарадинге? Милый мой хароший догадайся сам? или что?


    #12 | Автор: DmitryAVET | 06.10.16 | from Ukraine
    Назначив себе статический IP, можно снять ограничение на доступ к панели управления и доступ к другим подсетям.


    #11 | Автор: Алексей | 06.10.16 | from Russian Federation
    Отличный мануал, все работает.

    Какая опасность статических ip адресов у гостей?
    В офисную сеть гость же все равно не попадет какой бы ip у него не был?

    Только могут возникать проблемы у самих гостей, если ip совпадут.


    #10 | Автор: Евгений | 25.08.16 | from Germany
    Большая благодарность Автору! Статья очень помогла разобраться в новом оборудовании.


    #9 | Автор: Serge | 10.08.16 | from Ukraine
    Thanks a lot!


    #8 | Автор: Satalin | 21.07.16 | from Belarus
    Всё Разобрался. Накосячил с настройками фаервола.


    #7 | Автор: Satalin | 19.07.16 | from Belarus
    Имеется две подсети. Одна для внутреннего пользования, другая для гостевого.


    #6 | Автор: DmitryAVET | 18.07.16 | from Ukraine
    На устройстве, где капсман, отдельная подсеть гостевая есть?


    #5 | Автор: Satalin | 18.07.16 | from Belarus
    Приветствую. Столкнулся с проблемой. Поднимал 2 беспроводные сети при помощи CAPsMAN на микротике без wi-fi модуля (т.е. на отдельный мост указывал в настройках капсмена).

    В наличии имею 3 точки доступа на базе микротиков. После создания сети, при подключении к новому мосту гостевая и рабочая сеть работают на "ура". Но стоит только попытаться вывести гостевую в отдельную подсеть - и слетает подключение к интернету. Компьютеры регистрируются в подсети, но выхода в инет не имеют. Ошибок связи не показывают.


    #4 | Автор: Alex | 07.06.16 | from Moldova, Republic of Chisinau
    Огромное спасибо, все получилось, несмотря на то, что в сетях я "ни бум-бум" что называется )) Схватился за эту статью, потому что требуется сброс уже настроенной конфигурации. Новое прижилось отлично.


    #3 | Автор: Vladimir | 26.03.16 | from Ukraine
    Абсолютно строго следовал инструкциям.
    Решил свою задачу так (а мне требовалась только сеть з ограничением скорости, инет плохой, дети ютубами забивают весь канал): сделал сброс роутера и настроил все через Quick Set. На официальном форуме кому-то посоветовали так сделать. Помогло и в моем случае.
    Тем не менее, за статью крайне благодарен, узнал много нового об работе Микротика "под капотом". Особенно в плане безопасности.


    #2 | Автор: DmitryAVET | 25.03.16 | from Ukraine
    Vladimir, вы точно создали второй профиль безопасности и указали его в новом wlan? Если IP не выдается, значит где-то допустили ошибку в настройках IP - Adresses/DHCP и т.д., проверьте еще разок. Настроил такую сеть на RB951Ui-2HnD и на двух hAP lite.


    #1 | Автор: Vladimir | 25.03.16 | from Ukraine
    К сожалению, не смог поднять гостевую сеть по данному подробному мануалу на Mikrotik hAP Lite.
    Все время пишет смартфон, что неправильный пароль. А когда шифрование на сабже вовсе отключить - банально не получает ІР адрес. Прошивка последней актуальной версии. Такие дела ©


    Представьтесь:*
    E-Mail (не публикуется):
     
     
     
     
     
     
    Я ознакомлен(а) и принимаю правила комментирования.
    Включите эту картинку для отображения кода безопасностиНе читабельно? Обновите код!



    Последние заметки в блоге

     
    11.11
    2016
    Скидки в Rozetka.com.ua: ноябрь 2016, промокод ко Дню Шопинга 11.11: Итак, друзья, продолжаем традицию с промокодами. Для тех, кто не... [ Читать ]
    03.11
    2016
    Mikrotik обновил часть своих устройств: новые процессоры и радиомодули для cAP, mAP, OmniTIK 5, OmniTIK 5 PoE, QRT 2, SXT 2, DynaDish 5, SXT HG5 ac, SXT 5 ac, SXT SA5 ac и SXT Lite5 ac: Компания Mikrotik анонсировала большое обновление для своих устройств. Чуть ранее... [ Читать ]
    03.11
    2016
    Обзор маршрутизатора Mikrotik hEX rev.3 (RB750Gr3): аппаратный IPSec, мощный двуядерный процессор, 256 Мб оперативки и поддержка Dude Server: Компания Mikrotik анонсировала обновление маршрутизатора hEX до 3-ей ревизии– RB750Gr3.... [ Читать ]
    03.11
    2016
    Обзор Ubiquiti Rocket 5ac Prism: оптимальное решение для базовых станций и линков PTP по соотношению цена/качество: Год назад, на конференции Ubiquiti NEXT 2015, проходящей в Лас-Вегасе,... [ Читать ]
    01.11
    2016
    Сравнительный обзор EdgePoint EP-R6, EP-R8 и EP-S16: упрощаем коммутацию внутри сети: 12 октября в Лас-Вегасе на ежегодной конференции NEXT 2015 Роберт... [ Читать ]

    Самое популярное

     

    На правах рекламы ↓

     

    Навигация по тегам

     
    802.11ac, 802.11n, Android, DVB-T2, EdgeRouter, Google, hAP, hAP lite, Mikrotik, Parom.TV, RB951, RB951Ui-2HnD, RouterBOARD, RouterOS, Rozetka, rozetka.com.ua, Strong, Strong 8500, Strong SRT 8500, Trimax, Ubiquiti, UBNT, UniFi, Wi-Fi, Winbox, маршрутизатор, настройка, обзор, обновление, онлайн ТВ, планшет, промо, промо-код, прошивка, ресивер, роутер, сайт, скидки, тест, точка доступа

    Показать все теги