Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

16 март 2016 264 900 89

Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.

Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.

Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.

Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.

И тут возникает вопрос – как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.

Предисловие

Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.

В качестве локальной сети выступает 192.168.106.0/24.

Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Приступаем к настройке

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интерфейс.

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

  • 10.0.0.0 — 10.255.255.255
  • 172.16.0.0 — 172.31.255.255
  • 192.168.0.0 — 192.168.255.255

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? –  о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.

  • Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
  • Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.

В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.

В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Повышаем безопасность внутренней сети

По-умолчанию, пинг во внутреннюю сеть из гостевой проходить не будет, но существуют варианты обхода этих ограничений. Поэтому рассмотрим варианты повышения безопасности.

Шаг 7. Запрещаем доступ в локальную сеть

Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил "Action: unreachable" создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.

Шаг 8. Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера.

Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».

Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».

Шаг 9. Запрещаем управление Mikrotik из гостевой сети

Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.

Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

 

На этом все, надеемся эта инструкция будет вам полезной.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. DmitryAVET
    DmitryAVET Создатель 16 апреля 2021 22:10
    + -1 -
    Для того, чтобы изолировать клиентов, в настройках wlan-интерфейса отключите Default Forward.
  2. Сергей
    Сергей Гости 15 апреля 2021 13:54
    + 0 -
    Добрый день! Как заблокировать трафик между клиентами гостевой сети?
  3. Михаил
    Михаил Гости 14 марта 2021 14:12
    + -1 -
    Спасибо большое за статью.. впринципе со всем этим знаком давно. Мне просто понравилось само написание,очередность всего!! Много на просторах данной инфы, но эта саккумулирована само лучше.
  4. Новичок
    Новичок Гости 11 ноября 2020 10:05
    + -1 -
    добавил гостевую сеть все получилось, но в ней нет интернета шлюз находится в рабочей сети, как их подружить? маршрут прописал, но не помогло.
  5. Олександр
    Олександр Гости 18 июля 2020 09:26
    + -1 -
    Hap lite 6.46.5(stable)
    Дякую. Все зробив за інструкцією. Запрацювало. Ці три пункти нижче про порт 53, NAT masquerade і drop не чіпав, бо і так все працює. Взагалі гостьовий інет не потрібен, просто спробував, чи вийде
  6. Mr.EX
    Mr.EX Гости 12 мая 2020 14:41
    + +2 -
    Есть одна тонкость. При создании гостевого DHCP если указать так как в статье – будет работать, но! В дефолтной настройке файрволла mikrotik`а – есть правило: defconf: drop all not coming from LAN (дропать всё, что не пришло с интерфейс-лист LAN.)

    chain=input action=drop in-interface-list=!LAN

    В интерфейс-листе «LAN» есть только дефолтный бридж, а добавлять наш гостевой бридж смысла нет.

    В итоге для гостей не доступен DNS на самого роутера на 10.1.1.1, но доступен на 8.8.8.8.
    По этому, нужно в DHCP вообще не раздавать внутренний DNS, а выдавать публичные. Если же есть необходимость во внутреннем, то в файрволл необходимо добавить правило, разрешающее доступ к 53 порту.

    Прошивка 6.46.6
    1. Михаил
      Михаил Гости 14 марта 2021 14:15
      + 0 -
      Чтобы не было геморроя с любыми настройками микрота.. настройку нужно производить на сброшенном в ноль устройстве... Не будет и дефолтных всяких правил и прочего.
  7. Гость Ivan
    Гость Ivan Гости 22 марта 2020 11:19
    + -1 -
    Еще раз все перепроверил - моя ошибка была в том, что в адресах указал 192.168.89.0/24 а не 192.168.89.1/24 - как раз то, о чем DmitryAVET написал в последнем комментарии.
  8. Гость Ivan
    Гость Ivan Гости 22 марта 2020 11:08
    + -1 -
    Сделал все по приведенной инструкции. Гостевой wifi поднялся, но доступа к интернету в нем нет. Почитал комментарии к посту, но ничего не понятно. Куда теперь копать?
  9. DmitryAVET
    DmitryAVET Создатель 9 января 2020 20:35
    + -1 -
    Не работает в следующих конфигурациях:

    1) менялся NAT masquerade - проверьте маскарадинг

    2) если вы на интерфес гостевой повешали IP вида 10.1.1.1, там ОБЯЗАТЕЛЬНО надо указывать вида 10.1.1.1/24, иначе шлюз попросту не будет отвечать - проверьте маску подсети

    3) с какой-то версии RouterOS добавлен WAN/LAN list, из-за чего маршрутизатор будет дропать весь input на 53-port и недоверенных сетей, т.е. не будет отвечать на DNS-запросы - откройте input tcp/udp 53-порт из гостевой сети
  10. Тарас
    Тарас Гости 9 января 2020 19:45
    + -1 -
    Хочу не один раз поблагодарить за чудесную, бесценную инструкцию. Много маршрутизоторов разных по ней настраиваю.
    По поводу комментария Vetalij Karachevskiy

    Виталия Карачевского.
    Та же картина, правда на другом устройстве была. И это не одиночный случай
    Подтверждаю, не работал интернет на гостевой сети согласно инструкции.
    Выставлял галку в DNS remote request, снимал галку.
    Потом заработало само, хоть с галкой в ДНС, хоть без галки.
    Повторюсь, это не единый случай.
  11. DmitryAVET
    DmitryAVET Создатель 8 декабря 2019 18:57
    + +1 -
    Инструкция работает со всеми устройствами, на всех версиях, включая актуальную 6.46.
    Доступ к Интернет у вас отсутствует по той причине, что вы не прописали маскарадинг (NAT) для гостевой подсети.

    Более того, штатное правило
    ip firewall nat add chain=srcnat out-interface=провайдер action=masquerade

    действует и на гостевую подсеть.

    Почитайте внимательно комментарии, все есть и все прекрасно работает.

    Касательно Queues - с Fasttrack он не работает:
    https://weblance.com.ua/251-ne-rabotaet-simple-queue-v-routeros-na-oborudovanii-mikrotik-est-reshenie.html

    Но вы можете активировать его для всех подсетей, кроме гостевой) достаточно в правиле указать гостевую подсеть (Src.Address) и перед ней поставить "галочку" (восклицательный знак).
    1. Виталий С
      Виталий С Гости 23 марта 2020 14:07
      + 0 -
      Но вы можете активировать его для всех подсетей, кроме гостевой) достаточно в правиле указать гостевую подсеть (Src.Address) и перед ней поставить "галочку" (восклицательный знак).

      и для Dst. Address тоже надо прописывать гостевой диапазон и тогда будет SQ отрабатывать
  12. Vetalij Karachevskiy
    Vetalij Karachevskiy Посетители 8 декабря 2019 16:38
    + 0 -
    Данная инструкция не работает для RB951Ui-2HnD, со стоковыми настройками.
    Всё делаю в точности как по инструкции, но после 5 шага интернет на интерфейсе free wifi не появляется.

    Ограничение скорости Simple Queue не будет работать если включен fasttrack.
  13. DmitryAVET
    DmitryAVET Создатель 5 декабря 2019 20:41
    + -1 -
    До 4 SSiD на 1 беспроводной интерфейс, например 4 на 2.4 ГГц и 4 на 5 ГГц.
  14. Гость Виталий
    Гость Виталий Гости 5 декабря 2019 13:35
    + -1 -
    Добрый день!
    Настроил гостевую Wi-Fi по статье - всё заработало, благодарю! Есть пара вопросов:
    1. Возможно ли использовать ACL для гостевой сети (сейчас, вне зависимости от того, есть устройство в ACL или нет - в сеть оно всё равно войти может).
    2. Сколько гостевых сетей таким образом можно настроить?
  15. Игорь
    Игорь Гости 11 ноября 2019 14:03
    + -1 -
    Полезная статья, а про на стройку vlan вы не планируете написать?
  16. DmitryAVET
    DmitryAVET Создатель 14 августа 2019 22:55
    + -1 -
    Можно wlan (wifi) привязать через CAPsMAN на первый микротик.

    Второй вариант - через vlan.

    Третий вариант - через firewall. Разрешить forward на IP шлюза, например 192.168.0.1, и чуть ниже запретить forward на 192.168.0.0/24. Где 192.168.0.0/24 - сеть, куда надо запретить доступ.
  17. Гость Александр
    Гость Александр Гости 9 августа 2019 10:45
    + 0 -
    Доброго времени суток. А как реализовать правильно гостевой WiFi на микротике, который находится в локальной сети другого микротика и играет роль свича и точки доступа? При этом между микротиками стоит обычный L2 свич.
  18. Гость Иван
    Гость Иван Гости 5 июля 2019 11:58
    + -1 -
    Здравствуйте. Добавил виртуальную сеть как по инструкции, но столкнулся с такой проблемой: В гостевом вайфае не все девайсы работают, в основном продукция компании Apple, но и пару андроидов не работают от Самсунга и Нубии. Причём в основном рабочем Вай-фае работают все устройства. Весь интернет прошерстил - одолеть не получилось. Может Вы подскажите чего? Не работают Ipad 2018, 2 айфона 5s и нубия NX549J
    1. NONONO
      NONONO Гости 14 февраля 2020 10:42
      + -1 -
      в dhcp гостевой поставьте время аренды побольше
  19. artur
    artur Гости 8 мая 2019 14:47
    + -2 -
    Добрый день

    Помогите ребята. Всё настроил как в статье. Есть RB951Ui BRIDGE1(Eth1+wlan1) настройки получает с dhcp windows server 2012 автоматически на eth1 и отдаёт дальше по WLAN1 (тут всё ок стоит 10 ноутов и по wifi(wlan1) получают все настройки с сервера 2012 интернет работает),сделал bridgewifi (wlan2), мастер wlan2 сделал wlan1, DHCP настроил на bridgewifi 192.168.88.0/24 сеть, подключаюсь к гостевой wifi (wlan2) получаю IP 192.168.88.0/24 с этой сети всё вроде ок, IP допустим 192.168.88.5 dns 192.168.88.1 gateway 192.168.88.1 интернета нет, прописал как в форуме пишут
    ip-firewall-nat (shain:srcnat src.adress-192.168.88.1, out-interface =BRIDGE1),всё равно нету инета, пробовал пинговать по IP google тоже самое
    1. DmitryAVET
      DmitryAVET Создатель 9 мая 2019 09:28
      + -1 -
      Добрый день.

      В таком варианте и не будет работать. Вы прописали маскарадинг в bridge, а нужно было прописывать в ether-интерфейс, на котором подключен интернет-провайдер.
      1. artur
        artur Гости 9 мая 2019 10:04
        + 0 -
        Провод воткнут в eth1, я обьеденил eth1+wan в bridge1, я пробовал eth1 но он красным пишет
        in/out interface matcher not possible when interface (eth1) is slave - use master instead (bridge1)
        1. DmitryAVET
          DmitryAVET Создатель 9 мая 2019 19:12
          + +1 -
          ether1 добавлен в bridge? Зачем?!
          Понятное дело, что работать так не будет.
        2. artur
          artur Гости 10 мая 2019 11:54
          + 0 -
          У меня в сети сервер 2012 раздаёт все настройки, хочу чтобы эти настройки получил ноут по wifi, так соединил eth1 и wlan1 в brdige чтобы настройки mikrotik получил с сервака и передал просто дальше, а другую сеть хочу сделать гостевой для мобильных но уже чтоб микротик раздавал свои настройки, а если не bridge Дмитрий то как тогда передать, или настроить подскажите
        3. DmitryAVET
          DmitryAVET Создатель 10 мая 2019 22:44
          + -1 -
          Настройте все на Mikrotik, Windows Server тут не нужен от слова вообще.
        4. Зачем
          Зачем Гости 30 сентября 2021 10:09
          + 0 -
          Что вы за бред советуете? У человека на сервере возможно поднят какой то интернет шлюз и зачем ему все переносить на Микрот.
  20. maxim
    maxim Гости 7 марта 2019 15:04
    + 0 -
    Всё настроил как в статье. Доступ к роутеру через winbox из гостевой сети по ip адресу закрыт, но если выбрать подключение по Mac - ДОСТУП есть. Подскажите каким образом закрыть и это. Заранее благодарен.
    1. DmitryAVET
      DmitryAVET Создатель 7 марта 2019 23:02
      + 0 -
      В разделе Tools - MAC Server необходимо отключить MAC Telnet, MAC Winbox, MAC Ping - везде проставить "none".
  21. Роман
    Роман Гости 4 августа 2018 11:13
    + 0 -
    Добрый день, задам наверное глупый вопрос. Вот на 6 шаге мы создали ограничение по скорости с помощью Simple Queue, как теперь этот queue применить только к новой сети c условным SSID Guest_WiFi? После создание queue она как то должна "включиться" и заработать? Где мы указываем что к одной сети ограничение нужно применить, а к другой не нужно?

    Спасибо за статью. Как сделать так, чтобы настроенная гостевая сеть работала с 8 утра до 22 вечера?
    1. DmitryAVET
      DmitryAVET Создатель 4 августа 2018 13:54
      + 0 -
      Queues можно применять к интерфейсам и dst address.
      В конкретном случае можно применять как к бриджу, так и к virtual wlan.
      Активное ограничение определяется по цвету, оно становится красным.

      по поводу ограничения по времени - шедулер и скрыпты/команды, как вараинт.
  22. Александр
    Александр Гости 5 апреля 2018 10:45
    + +1 -
    Огромное спасибо за статью. Единственный момент masquerade пришлось прописать не в консоли? а в настройках IP/Firewall
  23. Ivan
    Ivan Гости 13 февраля 2018 17:10
    + +1 -
    Автор красавчик, всё отлично понятно, настроил и работает, что и требовалось :)
  24. Антон
    Антон Гости 10 февраля 2018 11:07
    + +1 -
    Непонятно, как у вас создался dchp-сервер на слейве, у меня пишет, что не может добавить dhcp-сервер на слейв
    1. DmitryAVET
      DmitryAVET Создатель 10 февраля 2018 19:59
      + +1 -
      У меня DHCP висит на бридже, а не на slave-интерфейсе. Посмотрите скриншот настроек.
  25. Алексей Бобровский
    Алексей Бобровский Посетители 4 февраля 2018 11:09
    + 0 -
    Автору спасибо за статью. Очень помогла. Но маленькое замечание. Сделал точно по статье, но Микротик при этом был в "рабочем" состоянии, т.е. с уже настроеным PPPoE, WiFi и т.п. Поэтому после манипуляций интернет на смартфоне не появился. Кстати, в статье ни слова про маскарадинг, а без него интернета не будет. Кому не понятно - IP-Firewall-NAT-"+" Chain:srcnat, out.interface=pppoe-out (это в моем случае, зависит от провайдера, может быть и порт, который смотрит на провайдера, обычно ether1-wan), Action=masquerade.

    Но у меня другое замечание. В моем случае маскарадинг уже был, а инета нет. На смартфоне IP был прежний, поэтому я Микротик отправил в ребут. После перезагрузки IP на смартфоне стал новым, интернет появился. Вот и всё.
    А то я уже начал ковырять НАТ, маршруты и т.д...
    1. DmitryAVET
      DmitryAVET Создатель 4 февраля 2018 14:25
      + +2 -
      Вы меняли конфигурацию по-умолчанию, потому как в стандартной конфигурации есть правило:

      ip firewall nat add chain=srcnat out-interface=WAN action=masquerade
      


      Где WAN - первый интерфейс с подключением к провайдеру.
  26. Lyapko
    Lyapko Посетители 27 декабря 2017 23:48
    + +1 -
    При моих настройках все подключается но интернета на гостевой сети нет.
    Все...Разобрался, для гостевой сети нужно сделать свой маскарадинг.
    1. Roman
      Roman Гости 5 февраля 2018 23:15
      + 0 -
      А как сделать этот маскарад?
      1. DmitryAVET
        DmitryAVET Создатель 6 февраля 2018 00:18
        + 0 -
        чуть выше есть правило для firewall, главное в нем поменять название WAN-интерфейса
  27. Lyapko
    Lyapko Посетители 27 декабря 2017 21:18
    + 0 -
    Очень нужная статья, постоянно вводить гостям пароль от вайфай надоело, а самые умные еще могут его и просмотреть)))
    Огромное спасибо.
    После приобретения второго как точки, стал вопрос об организации бесшовного роуминга. Вещь очень крутая. Удобно управлять всем с одного места + стабильное покрытие по всей площади.
    Но теперь стоит вопрос, как в CAPsMAN организовать такую же гостевую сеть?
    Можно ли получить материал с такой же четкой подачей как этот?
    1. DmitryAVET
      DmitryAVET Создатель 27 декабря 2017 22:18
      + 0 -
      Могу посоветовать заглянуть сюда и сюда. Это также мои инструкции.
      1. Lyapko
        Lyapko Посетители 28 декабря 2017 18:49
        + 0 -
        Спасибо, для CAPsMAN оказалось не так уж и сложно сделать такое же.
        Нужно проделать все эти манипуляции + добавить в CAPsMAN гостевую конфигу, в datapath подтянуть гостевой бридж, так же добавить в НАТ маскарад для гостевого пула!
  28. Бобик
    Бобик Гости 24 июля 2017 21:16
    + +2 -
    Ларчик просто открывался.
    /interface wireless access-list
    add ap-tx-limit=5000000 interface=wlan2

    Вроде бы там можно и для клиентов по мак ограничения выставлять
  29. Бобик
    Бобик Гости 24 июля 2017 20:55
    + +1 -
    В последних микротиках гостевой вайфай настраивается через quickset и там же позволяет ограничить скорость закачки. Но вот каким образом он ее ограничивает неяско. Очередей нет вообще, нигде ничего не нашел в настройках, но работает.
    И да, бридж для гостевой сети не создается, без него все ок. Зачем он?
    1. DmitryAVET
      DmitryAVET Создатель 24 июля 2017 22:03
      + 0 -
      В QuickSet давно не заходил))) можете выложить экспорт конфигурации, с затертыми маками и паролями?
      export file=config.rsc


      можно обойтись и без бриджа, конкретно в моей конфигурации предполагалось, что к гостевой сети может быть подключен один из портов, а к нему уже можно вещать и обычные свичи, и любые точки доступа.
  30. Афанасий
    Афанасий Гости 13 мая 2017 10:37
    + 0 -
    Добрый день
    Искал инструкцию как сделать гостевую точку при настроенном касмане, настроил по вашей инструкции. На первый взгляд все ок, но, на вкладке Adresses предлагается выбрать интерефейс wlan2 (у меня при таком выборе настройка была отмечена красным цветом) поставил новый бридж вместо нее.
    Все остальные настройки как и в инструкции, к гостевой сети подключаюсь, значек вифи без треугольника, настройки выданы правильно, но интернета нету.
    Как я понимаю из инструкции - маршрутизатор выступает как и dns и dhcp. в моем случае и dns и dhcp перенаправлены. Возможно в этом проблема?
    Заранее спасибо за помощь!
    1. Афанасий
      Афанасий Гости 15 мая 2017 14:28
      + 0 -
      Разобрался.
      По умолчанию в маскарадинге был выбран не тот интерфейс.
    2. Medsestra
      Medsestra Гости 16 мая 2017 16:46
      + 0 -
      Афанасий, можете скинуть ссылку по которой настраивали капсман?

Последствия неправильной настройки Mikrotik и критического бага в RouterOS

В Mikrotik уже неоднократно напоминали о необходимости своевременно обновления. К сожалению, большинство владельцев пропускают данную информацию мимо...

Критический баг RouterOS версий 6.29-6.42 позволяет получить логин и пароль

Не успели Mikrotik пофиксить уязвимость SMB и веб-сервера, как всплыл очередной, на этот раз, критический баг, позволяющий злоумышленнику получить...

Бесплатные шаблоны HotSpot авторизации в Mikrotik

Довольно часто при создании HotSpot в Mikrotik у начинающих пользователей возникает желание сменить стандартную страницу авторизации. Количество и...

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности

В рамках предыдущей публикации мы рассматривал пример ручной настройки беспроводной сети. Под ручной настройкой подразумевалась индивидуальная...

Создание и настройка HotSpot на оборудовании Mikrotik под управлением RouterOS

Жизнь современного активного человека немыслима без смартфона и постоянного доступа к сети Интернет. Всё это приводит к необходимости создания...

Обновление RouterOS на примере Mikrotik hAP lite (RB941-2n)

Абсолютное большинство устройств Mikrotik работает под управлением специальной операционной системы – RouterOS. ROS является одной из самых...

авторизация на сайте

Забыли пароль?