Как создать гостевой WLAN Hotspot Mikrotik с использованием VLAN

Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.

Недавно наш клиент попросил настроить гостевой WLAN Hotspot Mikrotik, и я подумал, почему бы не поделиться конфигурацией с вами. В нашей тестовой лаборатории мы используем MikroTik 1100AHx2 в качестве базового маршрутизатора и провайдера Hotspot и Mikrotik cAP-2n как точку доступа к сети WLAN, но вы можете использовать любую комбинацию с необходимой функциональностью.

Я предполагаю, что у вас есть базовые знания о сетях и об устройствах Mikrotik; так что я не буду подробно описывать все функции и настройки, используемые в данной статье.

Подготовка оборудования

Прежде всего в нашей модели подключим все порты. Я использую ether1 как WAN-порт, порты с ether2 по ether10 являются портами LAN (RB1200 имеет только 10 портов Ethernet).

Подключите Интернет-маршрутизатор к порту ether1, а ваш компьютер к ether10. Подключите беспроводную точку доступа, в моем случае Mikrotik cAP-2n, также называемая Ufo.Теперь подключимся к основному маршрутизатору и удалим конфигурацию System -> Reset Configuration (предварительно сделайте резервную копию, если она вам понадобится, пожалуйста, ). После того, как конфигурация была сброшена подключитесь к маршрутизатору снова по MAC-адресу, удалите начальную конфигурации и переподключитесь. Теперь перед вами чистый маршрутизатор.

Все нижеописанные опции доступны через графический интерфейс Winbox, но мы будем использовать терминал.

Базовая настройка маршрутизатора Mikrotik

1) Откройте терминал и задайте имя устройства:

/system identity set name=Baserouter

2) Теперь создадим мост:

/interface bridge add mtu=1500 name=TestNetwork protocol-mode=none

Назовем мост “TestNetwork”, но вы можете выбрать любое наименование.

3) Я люблю именовать интерфейсы, так что давайте назначим имена интерфейсам ether1 и ether2

/interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment="LAN 2-10"

4) Следующим шагом создадим VLAN-интерфейс, добавим идентификатор и подключим к мосту

/interface vlan add interface=TestNetwork name=VLAN999 use-service-tag=yes vlan-id=999

Имя VLAN-интерфейса — VLAN999 с идентификатором 999.

5) У вас есть возможность либо коммутировать, либо объединять порты в мост. Объединяя порты в мост используя программное обеспечение, позволяет лучше контролировать интерфейсы, например, настраивая межсетевой экран между ними. Основным недостатком является то, что данный вариант объединения потребляет ресурсы процессора. Коммутирование же задействует логику чипа коммутации, так что процессор дополнительно не потребляется. Это разница в настройках особенно заметна на бюджетных устройствах Mikrotik со слабыми CPU.

5.a) Объедините порты c ether2 по ether10 в мост (вы можете свободно выбирать, сколько и какие порты добавить, учитывая параметры вашего устройства и ваши предпочтения по конфигурации):

/interface bridge port add bridge=eMINetwork interface=ether2 add bridge=eMINetwork interface=ether3 add bridge=eMINetwork interface=ether4 add bridge=eMINetwork interface=ether5 add bridge=eMINetwork interface=ether6 add bridge=eMINetwork interface=ether7 add bridge=eMINetwork interface=ether8 add bridge=eMINetwork interface=ether9 add bridge=eMINetwork interface=ether9

5.b) Для коммутации портов объедините их интерфейсы:

/interface ethernet set ether3 master-port=ether2 set ether4 master-port=ether2 set ether5 master-port=ether2 set ether6 master-port=ether2 set ether7 master-port=ether2 set ether8 master-port=ether2 set ether9 master-port=ether2 set ether10 master-port=ether2

и не забудьте добавить по крайней мере один LAN-порт в мост VLAN, так чтобы была связь между VLAN и LAN. В моем случае я добавлю интерфейс ether2.

/interface bridge port add bridge=TestNetwork interface=ether2

6)Теперь давайте создадим DHCP-клиент на нашем WAN-порту ether1 (предполагается, что мы получаем настройки от нашего провайдера по DHCP)

/ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=ether1

7) Присвоим статические IP-адреса для наших интерфейсов моста и VLAN. Я собираюсь использовать сети 10.10.10.0/24 для LAN и 172.27.71.0/24 для гостевого доступа.

/ip address add address=10.10.10.5/24 interface=TestNetwork network=10.10.10.0 add address=172.27.71.5/24 interface=VLAN999 network=172.27.71.0

8) Теперь создадим профиль точки доступа со статическим IP-интерфейса VLAN и DNS-имя (я использую login.quickpages.ru, но вы можете выбрать любое).

/ip hotspot profile add dns-name=login.quickpages.ru hotspot-address=172.27.71.5 name=hsprof1

DHCP

9) Создайте два DHCP-пула для LAN и гостей с 79 используемыми адресами (пожалуйста выбирайте любой необходимый вам диапазон, я хотел бы оставить первые 20 адресов для принтеров, серверов и других сетевых устройств).

/ip pool add name=lan ranges=10.10.10.21-10.10.10.100 add name=guests ranges=172.27.71.21-172.27.71.100

10) Создайте два DHCP-сервера для наших IP-пулов. Я выбрал 1 день аренды для пользователей локальной сети и 1 час для гостей.

/ip dhcp-server add address-pool=lan disabled=no interface=TestNetwork lease-time=1d \ name=dhcp1 add address-pool=guests disabled=no interface=VLAN999 lease-time=1h name=\ dhcp2

11) Наконец создадим Hotspot-сервер и привяжем его к VLAN-интерфейсу.

/ip hotspot add address-pool=guests disabled=no interface=VLAN999 name=guesthotspot \ profile=hsprof1

12) Теперь создадим гостевой профиль с неограниченным количеством одновременных соединений, тайм-аутом простоя 30 минут, keep alive тайм-аутом 2 часа и ограничением скорости около 10 Мбит на загрузку, и 2,5 Мбит на выгрузку.

/ip hotspot user profile add address-pool=guests idle-timeout=30m keepalive-timeout=2h name=guestprofile \ rate-limit=2500K/10000K shared-users=unlimited transparent-proxy=yes

13) Создадим первую гостевую учетную запись с паролем internet и привяжем ее к соданному профилю

/ip hotspot user add name=guest password=internet profile=guestprofile

14) Создадим DNS-правило: (OpenDNS и Google)

/ip dns set allow-remote-requests=yes servers=208.67.222.222,8.8.8.8

15) Создадим сети для DHCP-сервера

/ip dhcp-server network add address=172.27.71.0/24 comment="guest network" gateway=172.27.71.5 add address=10.10.10.0/24 comment="lan" dns-server=192.168.71.5,8.8.8.8 gateway=\ 10.10.10.5

16) Создадим правила трансляции адресов NAT на межсетевом экране для локальной и гостевой сети, чтобы разрешить подключение к сети Интернет

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 add action=masquerade chain=srcnat comment="masquerade hotspot network" \ src-address=172.27.71.0/24

Мы закончили базовую настройку основного маршрутизатора. Дополнительные возможности конфигурирования практически безграничны и позволяют, например, настроить Очереди (Queues), пределы по пропускной способности и так далее, но я не буду вдаваться в эти детали, чтобы закончить статью по основной теме.

Настройка беспроводной точки доступа Микротик

1) Подключимся к беспроводной точке доступа Микротик и сбросим конфигурацию аналогично основному маршрутизатору.

2) Теперь создадим 2 моста, один для обычной локальной сети LAN и один для наших гостей.

/interface bridge add name=Bridge_LAN add name=Bridge_Guests

VLAN

3) Создадим VLAN интерфейс и привяжем его к мосту LAN

/interface vlan add interface=Bridge_LAN loop-protect-disable-time=0s \ loop-protect-send-interval=0s name=Guest_VLAN use-service-tag=yes \ vlan-id=999

4) Создадим профили безопасности для пользователей локальной сети и гостей

/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa-psk,wpa2-psk eap-methods="" \ management-protection=allowed mode=dynamic-keys name=LANwifi \ supplicant-identity="" wpa-pre-shared-key=eMatrixreloaded \ wpa2-pre-shared-key=internetkey add eap-methods="" management-protection=allowed name=guests \ supplicant-identity=""

5) Создадим интерфейсы LAN и WLAN для гостей с соответствующими SSIDs и прикрепим к их профилям безопасности. Вы сможете настроить другие параметры позже.

/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \ radio-name=MikrotikAP security-profile=LANwifi ssid=MyWifi \ wireless-protocol=802.11 add disabled=no keepalive-frames=disabled \ master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\ wlan2 security-profile=guests ssid=Guest-Wifi wds-cost-range=0 \ wds-default-cost=0 wps-mode=disabled

6) Далее добавьте интерфейсы “ether1” и “wlan1” к “Bridge_LAN” и “Guest_VLAN” и “wlan2” к “Bridge_Guests”.

/interface bridge port add bridge=Bridge_LAN interface=ether1 add bridge=Bridge_LAN interface=wlan1 add bridge=Bridge_Guests interface=Guest_VLAN add bridge=Bridge_Guests interface=wlan2

7) Назначьте IP-адреса для моста LAN

/ip address add address=10.10.10.6/24 interface=Bridge_LAN network=10.10.10.0

8) Создайте DHCP-клиента на VLAN-мосту для проверки получения гостями IP-настроек

/ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=Bridge_Guests

9) Наконец добавьте маршрут через мост для гостевого доступа для гостевой сети

/ip route add distance=1 dst-address=172.27.71.0/24 gateway=Bridge_Guests

Заключение

Это был пример базовой настройки точки WLAN Hotspot Mikrotik для гостей и передачи трафика с помощью VLAN-сети. Подключитесь к гостевой сети WLAN и проверьте перенаправление к странице входа в систему. Без открытия базового веб-сайта перенаправление должно сразу разрывать соединение.

Пожалуйста, имейте в виду, что указанная выше конфигурация не до конца соответствует критериям размещения в производственной среде. Вы должны настроить по крайней мере пароль для администратора Mikrotik, создать основные правила межсетевого экрана, чтобы как минимум блокировать нежелательный трафик. В последующих статьях я постараюсь продолжить настройку рассмотренной конфигурации.

MikroTik: куда нажать, чтобы заработало? При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс «Настройка оборудования MikroTik». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.

Предыдущая запись Loop Protect — защиты от петель на Микротике Следующая запись Перенаправление трафика через VPN Mikrotik с помощью mangle rules

Оцените статью
Информационный ресурс для любителей компьютеров и IT технологий