Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

16 март 2016 264 746 89

Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.

Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.

Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.

Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.

И тут возникает вопрос – как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.

Предисловие

Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.

В качестве локальной сети выступает 192.168.106.0/24.

Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Приступаем к настройке

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интерфейс.

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

  • 10.0.0.0 — 10.255.255.255
  • 172.16.0.0 — 172.31.255.255
  • 192.168.0.0 — 192.168.255.255

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? –  о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.

  • Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
  • Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.

В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.

В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Повышаем безопасность внутренней сети

По-умолчанию, пинг во внутреннюю сеть из гостевой проходить не будет, но существуют варианты обхода этих ограничений. Поэтому рассмотрим варианты повышения безопасности.

Шаг 7. Запрещаем доступ в локальную сеть

Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил "Action: unreachable" создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.

Шаг 8. Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера.

Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».

Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».

Шаг 9. Запрещаем управление Mikrotik из гостевой сети

Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.

Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

 

На этом все, надеемся эта инструкция будет вам полезной.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. Гость Андрей
    Гость Андрей Гости 11 апреля 2017 10:17
    + 0 -
    Добрый день. Сделал настройку как указано выше, но итренет не работает, при заходе на страницу пишит что ошибка DNS. Хотя основная точка WI-FI работает нормально. Подскажите куда посмотреть?
    1. DmitryAVET
      DmitryAVET Создатель 12 апреля 2017 00:09
      + +1 -
      Не пробовали пинг по IP или указать DNS вручную 8.8.8.8 на конечном клиенте?

      Также загляните в IP – DHCP Server – Networks, у вас указаны DNS Servers? Там должен быть как минимум один сервер, например IP шлюза из той же подсети, в которой вы выдаете адреса гостям.
      1. Гость Андрей
        Гость Андрей Гости 12 апреля 2017 05:09
        + 0 -
        Добрый день. По IP основного шлюза не пингуется.
        В DHCP Server – Networks - DNS указан в две строки, одна это ip шлюза, вторая это 8.8.8.8
        При подключение к WI-FI некоторые телефоны заходят в интернет некоторые нет.
        На буке при вводе apconfig /all
        адрес 192.168.10.26
        маска 255.255.255.0
        шлюз 192.168.10.1
        DHCP 192.168.10.0
        DNS 192.168.10.1
        Так же попробовал на буке в ручную задать DNS не помогло.
    2. DmitryAVET
      DmitryAVET Создатель 12 апреля 2017 10:42
      + +2 -
      Некоторые пишут, что надо создавать дополнительный маскарадинг. Хотя по-умолчанию у вас уже должно быть правило в NAT:

      ip firewall nat add chain=srcnat out-interface=PROVIDER action=masquerade


      Где PROVIDER - интерфейс. на котором висит провайдер.
      1. Гость Андрей
        Гость Андрей Гости 13 апреля 2017 04:58
        + 0 -
        Добрый день. Дополнительный маскарадинг не помог.
      2. Oleg Guest
        Oleg Guest Гости 29 апреля 2017 17:00
        + 0 -
        Тоже самое
        все в точности по скриншотам + добавлен доп маскарадинг и 0.. в гостевой сети интернета нет
      3. DmitryAVET
        DmitryAVET Создатель 29 апреля 2017 21:21
        + 0 -
        Конфигурация по-умолчанию, или сами чего меняли? По данной инструкции несколько раз уже разные устройства настраивал, проблем не было.
      4. Release
        Release Гости 25 мая 2017 12:23
        + 0 -
        Спасибо. Хорошо бы добавить это в статью. Или, хотя бы, совет проверить маскардинг.
      5. Александр
        Александр Гости 27 октября 2017 17:29
        + 0 -
        По умолчанию маскарадинга не было. После того, как прописал правило, гостевое подключение заработало. Спасибо!
  2. Сергей
    Сергей Гости 6 марта 2017 21:16
    + 0 -
    Спасибо за инструкци.
    Наложил на сво WiFi сеть (собранную по технологии CAPsMAN) все стало просто шик. :)
  3. DmitryAVET
    DmitryAVET Создатель 18 февраля 2017 19:23
    + 0 -
    Остальное всё бред и вообще не ясно зачем создавать мосты когда надо было всего лишь включить NAT

    Причем тут NAT вообще? в отдельном бридже отдельный wlan и гостевая сеть изолирована от основной. Надо это для того, чтобы не использовать vlan.
  4. stano4nik
    stano4nik Гости 18 февраля 2017 19:05
    + -1 -
    Ну что же из этой статьи я взял только

    Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue (за это спасибо)

    Остальное всё бред и вообще не ясно зачем создавать мосты когда надо было всего лишь включить NAT
  5. Сан Саныч
    Сан Саныч Гости 14 февраля 2017 14:33
    + +1 -
    Настроил по инструкции. Интернет не заработал. Прочитал в комментариях про Маскарадинг. Подкрутил. Заработало.

    Настраивал на прошивке 6.37.4. Там некоторые пункты поменялись, например, больше нет Virtual AP, есть просто Virtual.

    Но в целом мануал годный, спасибо.
  6. Сергей
    Сергей Гости 30 января 2017 18:18
    + 0 -
    все сделал ,а интернета нет((( прошу помощи((
  7. Алексей
    Алексей Гости 8 января 2017 14:56
    + 0 -
    спасибо, все получилось.
    но в статье не хватает настройки фаервола. у меня был открыт доступ в интернет только для локальной сети 192.168.1.0/24 bridge-local.
    по аналогии добавил правило для гостевой сети и все заработало
  8. Aleksandr
    Aleksandr Гости 5 января 2017 11:21
    + +1 -
    Еще одно уточнение, wlan2 присваевается ip адрес, а нужно его присваивать bridge-free-wifi
  9. DmitryAVET
    DmitryAVET Создатель 29 декабря 2016 19:01
    + 0 -
    Пользуйтесь на здоровье! Для домашнего использования знать весь микротик вовсе не обязательно )
  10. pankrat
    pankrat Гости 29 декабря 2016 17:43
    + +2 -
    Спасибо огромное. Благодаря вам начал осваивать MikroTik, хотя образования в этой области не имею.
  11. DmitryAVET
    DmitryAVET Создатель 5 декабря 2016 01:22
    + 0 -
    Значит допустили ошибку в настройках Simple Queue, либо не отключили fasttrack.
  12. Андрей
    Андрей Гости 4 декабря 2016 22:29
    + +1 -
    Сделал все по инструкции. Скорость закачки ограничилась на 5 мбит, а выгрузка работает на всю((
  13. Roman
    Roman Гости 16 ноября 2016 21:31
    + 0 -
    О, так работает. Спасибо.
  14. DmitryAVET
    DmitryAVET Создатель 16 ноября 2016 21:03
    + 0 -
    А Вы FastTrack отключите ) https://weblance.com.ua/251-ne-rabotaet-simple-queue-v-routeros-na-oborudovanii-m
    ikrotik-est-reshenie.html
  15. Roman
    Roman Гости 16 ноября 2016 20:53
    + 0 -
    После настройки не ограничивает скорость на загрузку. Отправку ограничивает правильно. Burst не ставил, ограничение 10м в обе стороны. Пробовал ставить загрузку и меньше, но все-равно идет максимум, который получаю от провайдера.
  16. DmitryAVET
    DmitryAVET Создатель 22 октября 2016 21:08
    + +1 -
    Пользуйтесь на здоровье! Изначально решал вопрос с гостевым Wi-Fi для друга, впоследствии еще несколько железок по этому мануалу настроены, всё работает, все довольны)
  17. Volodymyr
    Volodymyr Гости 22 октября 2016 21:05
    + 0 -
    Огромное спасибо за статью. Все получилось. В сети много вариантов настройки, но только Вы указали, что нужно настроить бридж. Без этого на Mikrotik hAP ac Lite у меня гостевая сеть на виртуальных беспроводных интерфейсах работала, а вот dhcp сервер отказывался.
  18. DmitryAVET
    DmitryAVET Создатель 11 октября 2016 20:09
    + 0 -
    Почему ни слова о маскарадинге? Милый мой хароший догадайся сам? или что?

    Данная конфигурация без проблем работает на дефолтной конфигурации, проверено на нескольких устройствах. Никакой дополнительный маскарадинг не нужен.
  19. vlad
    vlad Гости 11 октября 2016 13:43
    + 0 -
    Почему ни слова о маскарадинге? Милый мой хароший догадайся сам? или что?
  20. DmitryAVET
    DmitryAVET Создатель 6 октября 2016 18:56
    + +1 -
    Назначив себе статический IP, можно снять ограничение на доступ к панели управления и доступ к другим подсетям.
  21. Алексей
    Алексей Гости 6 октября 2016 16:39
    + +2 -
    Отличный мануал, все работает.

    Какая опасность статических ip адресов у гостей?
    В офисную сеть гость же все равно не попадет какой бы ip у него не был?

    Только могут возникать проблемы у самих гостей, если ip совпадут.
  22. Евгений
    Евгений Гости 25 августа 2016 14:45
    + +3 -
    Большая благодарность Автору! Статья очень помогла разобраться в новом оборудовании.
  23. Serge
    Serge Гости 10 августа 2016 10:21
    + +1 -
    Thanks a lot!
  24. Satalin
    Satalin Гости 21 июля 2016 09:54
    + +1 -
    Всё Разобрался. Накосячил с настройками фаервола.
  25. Satalin
    Satalin Гости 19 июля 2016 09:31
    + 0 -
    Имеется две подсети. Одна для внутреннего пользования, другая для гостевого.
  26. DmitryAVET
    DmitryAVET Создатель 18 июля 2016 19:17
    + 0 -
    На устройстве, где капсман, отдельная подсеть гостевая есть?
  27. Satalin
    Satalin Гости 18 июля 2016 17:23
    + 0 -
    Приветствую. Столкнулся с проблемой. Поднимал 2 беспроводные сети при помощи CAPsMAN на микротике без wi-fi модуля (т.е. на отдельный мост указывал в настройках капсмена).

    В наличии имею 3 точки доступа на базе микротиков. После создания сети, при подключении к новому мосту гостевая и рабочая сеть работают на "ура". Но стоит только попытаться вывести гостевую в отдельную подсеть - и слетает подключение к интернету. Компьютеры регистрируются в подсети, но выхода в инет не имеют. Ошибок связи не показывают.
  28. Alex
    Alex Гости 7 июня 2016 16:41
    + 0 -
    Огромное спасибо, все получилось, несмотря на то, что в сетях я "ни бум-бум" что называется )) Схватился за эту статью, потому что требуется сброс уже настроенной конфигурации. Новое прижилось отлично.
  29. Vladimir
    Vladimir Гости 26 марта 2016 13:05
    + 0 -
    Абсолютно строго следовал инструкциям.
    Решил свою задачу так (а мне требовалась только сеть з ограничением скорости, инет плохой, дети ютубами забивают весь канал): сделал сброс роутера и настроил все через Quick Set. На официальном форуме кому-то посоветовали так сделать. Помогло и в моем случае.
    Тем не менее, за статью крайне благодарен, узнал много нового об работе Микротика "под капотом". Особенно в плане безопасности.
  30. DmitryAVET
    DmitryAVET Создатель 25 марта 2016 20:05
    + 0 -
    Vladimir, вы точно создали второй профиль безопасности и указали его в новом wlan? Если IP не выдается, значит где-то допустили ошибку в настройках IP - Adresses/DHCP и т.д., проверьте еще разок. Настроил такую сеть на RB951Ui-2HnD и на двух hAP lite.

Последствия неправильной настройки Mikrotik и критического бага в RouterOS

В Mikrotik уже неоднократно напоминали о необходимости своевременно обновления. К сожалению, большинство владельцев пропускают данную информацию мимо...

Критический баг RouterOS версий 6.29-6.42 позволяет получить логин и пароль

Не успели Mikrotik пофиксить уязвимость SMB и веб-сервера, как всплыл очередной, на этот раз, критический баг, позволяющий злоумышленнику получить...

Бесплатные шаблоны HotSpot авторизации в Mikrotik

Довольно часто при создании HotSpot в Mikrotik у начинающих пользователей возникает желание сменить стандартную страницу авторизации. Количество и...

Домашняя беспроводная сеть на Mikrotik. Часть вторая: используем возможности

В рамках предыдущей публикации мы рассматривал пример ручной настройки беспроводной сети. Под ручной настройкой подразумевалась индивидуальная...

Создание и настройка HotSpot на оборудовании Mikrotik под управлением RouterOS

Жизнь современного активного человека немыслима без смартфона и постоянного доступа к сети Интернет. Всё это приводит к необходимости создания...

Обновление RouterOS на примере Mikrotik hAP lite (RB941-2n)

Абсолютное большинство устройств Mikrotik работает под управлением специальной операционной системы – RouterOS. ROS является одной из самых...

авторизация на сайте

Забыли пароль?