Присутствие гостевой сети в IT инфраструктуре решает две задачи:
- Можно не беспокоиться о передачи пароля от WiFi. Участник гостевой сети будет иметь только выход в интернет;
- Изобилие подключенных смартфонов не смогут “положить” сеть, но и также не будут источником нового вируса.
Это незначительные модификации настроек доступа к WiFi, но в корпоративном сегменте могут обладать большей ролью в защите коммерческой информации и работы сети. WiFi устройств в стандартной сети превышает количество проводных, поэтому не лишним будет наделить локальную сеть ещё одним методом для защиты данных.
Как известно, устройства MikroTik поддерживают два метода конфигурирования WiFi:
- Через закладку Wireless. Точка доступа WiFi или роутер будут выступать в роли единственного источника WiFi(пример настройки →);
- Контроллер “бесшовного” роуминга CAPsMAN. Все точки доступа будут подключать к контроллеру CAPsMAN и принимать параметры WiFi, которые описаны в его конфигурации(пример настройки →).
1. Пример настройки гостевой(guest) WiFi сети на роутере MikroTik hAP ac2
В исходной конфигурации имеем полностью настроенный роутер(пример настройки MikroTik hAP ac2 →), на базе которого нужно добавить гостевую WiFi сеть для посетителей или смартфонов.
Создание отдельного Bridge
Настройка находится в Bridge→Bridge
/interface bridge add admin-mac=32:BC:CF:2D:96:CE arp=reply-only auto-mac=no name=Bridge-Guest
ARP=reply-only запретит ручное конфигурирование сетевых параметров со стороны клиента, т.е. на WiFi устройство нельзя установить САМОСТОЯТЕЛЬНО статический IP адрес.
Добавление отдельного пароля для гостевой сети
Настройка находится в Wireless→Security Profiles
/interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" group-key-update=1h \ management-protection=allowed mode=dynamic-keys name=\ Security-Profile-Guest supplicant-identity="" wpa2-pre-shared-key=\ 050WWWXXYY
Настройка виртуальных интерфейсов
Для каждого модуля WiFi нужно добавить Virtual интерфейс, который будет определен как гостевой WiFi.
Настройка находится в Wireless→WiFi Interfaces
/interface wireless add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\ 76:4D:28:24:35:C5 master-interface=wlan1 multicast-buffering=disabled \ name=wlan3 security-profile=Security-Profile-Guest ssid=Guest-WiFI \ wds-cost-range=0 wds-default-cost=0 wps-mode=disabled add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\ 76:4D:28:24:35:C5 master-interface=wlan2 multicast-buffering=disabled \ name=wlan4 security-profile=Security-Profile-Guest ssid=Guest-WiFI \ wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
Default Forward=no WiFi устройства не будут видеть друг друга.
Вот так должны выглядеть вновь созданные виртуальные интерфейсы для гостевой WiFi сети:
Добавление виртуальных интерфейсов в Bridge
Настройка находится в Bridge→Ports
/interface bridge port add bridge=Bridge-Guest interface=wlan3 add bridge=Bridge-Guest interface=wlan4
Настройка IP адресации и DHCP сервера
Настройка находится в IP→Addresses
/ip address add address=10.10.10.1/24 interface=Bridge-Guest network=10.10.10.0
Производим стандартные настройки DHCP сервера
Настройка находится в IP→DHCP Server→DHCP→DHCP Setup
А далее в вновь созданному DHCP серверу указываем параметр Add ARP For Leases = yes, чтобы запретить использование статических IP адресов вне ARP таблицы роутера.
/ip dhcp-server network add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1 /ip pool add name=dhcp_pool2 ranges=10.10.10.2-10.10.10.254 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=Bridge-Guest \ lease-time=4h name=dhcp1
За основу настроек будет выбран полностью сконфигурированный контроллер “бесшовного” роуминга CAPsMAN.
Этапы настройки гостевой(guest) WiFi в MikroTik, для контроллера CAPsMAN:
Создание отдельного Bridge для CAPsMAN
Настройка находится в Bridge→Bridge
/interface bridge add admin-mac=32:BC:CF:2D:96:CE arp=reply-only auto-mac=no name=Bridge-Guest
ARP=reply-only запретит ручное конфигурирование сетевых параметров со стороны клиента, т.е. на WiFi устройство нельзя установить САМОСТОЯТЕЛЬНО статический IP адрес.
Добавление отдельного пароля для гостевой сети в CAPsMAN
Настройка находится в CAPsMAN→Security Cfg.
/caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \ group-key-update=1h name=Security-Profile-Guest passphrase=050617XXYY
Добавление нового Datapath в CAPsMAN
Настройка находится в CAPsMAN→Datapaths
/caps-man datapath add bridge=Bridge-Guest name=Datapath-Guest
Настройка конфигурации для гостевой сети в CAPsMAN
Настройка находится в CAPsMAN→Configurations
/caps-man configuration add channel=channel-24 datapath=Datapath-Guest mode=ap name=Cfg-2.4-Guest \ security=Security-Profile-Guest ssid=Guest-WiFi add channel=channel-5 datapath=Datapath-Guest mode=ap name=Cfg-5-Guest \ security=Security-Profile-Guest ssid=Guest-WiFi
Аналогичные действия нужно произвести для канала 5ГГц, в качестве параметра Channel выбрать соответствующую частоту. По итогам настройки раздел конфигурации будет иметь вид:
Добавление конфигурации в раздел “Provisioning” в CAPsMAN
Настройка находится в CAPsMAN→Provisioning
/caps-man provisioning add action=create-enabled hw-supported-modes=b,gn master-configuration=cfg-24 \ name-format=identity slave-configurations=Cfg-2.4-Guest add action=create-enabled hw-supported-modes=an,ac master-configuration=cfg5 \ name-format=identity slave-configurations=Cfg-5-Guest
Обновление конфигурации для точек доступа CAPsMAN
Настройка находится в CAPsMAN→Remote CAP→Provision
Вся описанные настройки приведут к изменениям на всех подключенных точках доступа и раздел с интерфейсами CAPsMAN будет иметь вид:
Настройка IP адресации и DHCP для CAPsMAN
Настройка находится в IP→Addresses
/ip address add address=10.10.10.1/24 interface=Bridge-Guest network=10.10.10.0
Производим стандартные настройки DHCP сервера
Настройка находится в IP→DHCP Server→DHCP→DHCP Setup
А далее в вновь созданному DHCP серверу указываем параметр Add ARP For Leases = yes, чтобы запретить использование статических IP адресов вне ARP таблицы роутера.
/ip dhcp-server network add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1 /ip pool add name=dhcp_pool2 ranges=10.10.10.2-10.10.10.254 /ip dhcp-server add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=Bridge-Guest \ lease-time=4h name=dhcp1
3. Настройка Firewall для гостевой(guest) WiFi сети в MikroTik
Данные правила будут являться общими, независимо какой тип конфигурирования настроен на точке доступа.
Настройка находится в IP→Firewall→Filter Rules
Исходная конфигурация Firewall следующая:
/ip firewall filter add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related add action=accept chain=input in-interface=Bridge-LAN add action=accept chain=forward in-interface=Bridge-LAN add action=accept chain=input in-interface=pppoe-out1 protocol=icmp add action=drop chain=input in-interface=pppoe-out1 src-address-list=\ !Remote-Access add action=drop chain=forward connection-nat-state=!dstnat in-interface=\ pppoe-out1 src-address-list=!Remote-Access add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid
И для гостевой сети нужно добавить 4-ре правила, которые разрешать пользоваться только интернет интерфейсом и запретят любые другие действия.
/ip firewall filter add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \ out-interface=pppoe-out1 add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=\ udp add action=drop chain=input in-interface=Bridge-Guest add action=drop chain=forward in-interface=Bridge-Guest
Ограничение скорости для гостевой(guest) WiFi сети в MikroTik
Настройка находится в Queueses→Firewall→Filter Rules
Без ограничений для доступа к интернету
/queue simple add dst=pppoe-out1 max-limit=95M/95M name=Queue-Guest target=\ 10.10.10.0/24,192.168.0.0/24
Все участники сети будут с равными правами на деление скорости интернет канала.
Гостевой сети будет выделено 10Мб\с
/queue simple add dst=pppoe-out1 max-limit=10M/10M name=Queue-Guest target=\ 10.10.10.0/24