Недавно наш клиент попросил настроить гостевой WLAN Hotspot Mikrotik, и я подумал, почему бы не поделиться конфигурацией с вами. В нашей тестовой лаборатории мы используем MikroTik 1100AHx2 в качестве базового маршрутизатора и провайдера Hotspot и Mikrotik cAP-2n как точку доступа к сети WLAN, но вы можете использовать любую комбинацию с необходимой функциональностью.

Я предполагаю, что у вас есть базовые знания о сетях и об устройствах Mikrotik; так что я не буду подробно описывать все функции и настройки, используемые в данной статье.

Подготовка оборудования

Прежде всего в нашей модели подключим все порты. Я использую ether1 как WAN-порт, порты с ether2 по ether10 являются портами LAN (RB1200 имеет только 10 портов Ethernet).

Подключите Интернет-маршрутизатор к порту ether1, а ваш компьютер к ether10. Подключите беспроводную точку доступа, в моем случае Mikrotik cAP-2n, также называемая “Ufo”.Теперь подключимся к основному маршрутизатору и удалим конфигурацию — System -> Reset Configuration (предварительно сделайте резервную копию, если она вам понадобится, пожалуйста, ). После того, как конфигурация была сброшена подключитесь к маршрутизатору снова по MAC-адресу, удалите начальную конфигурации и переподключитесь. Теперь перед вами чистый маршрутизатор.

Все нижеописанные опции доступны через графический интерфейс Winbox, но мы будем использовать терминал.

Базовая настройка маршрутизатора Mikrotik

1) Откройте терминал и задайте имя устройства:

/system identity set name=Baserouter

2) Теперь создадим мост:

/interface bridge
add mtu=1500 name=TestNetwork protocol-mode=none

Назовем мост “TestNetwork”, но вы можете выбрать любое наименование.

3) Я люблю именовать интерфейсы, так что давайте назначим имена интерфейсам ether1 и ether2

/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment="LAN 2-10"

4) Следующим шагом создадим VLAN-интерфейс, добавим идентификатор и подключим к мосту

/interface vlan
add interface=TestNetwork name=VLAN999 use-service-tag=yes vlan-id=999

Имя VLAN-интерфейса — “VLAN999” с идентификатором “999”.

5) У вас есть возможность либо коммутировать, либо объединять порты в мост. Объединяя порты в мост используя программное обеспечение, позволяет лучше контролировать интерфейсы, например, настраивая межсетевой экран между ними. Основным недостатком является то, что данный вариант объединения потребляет ресурсы процессора. Коммутирование же задействует логику чипа коммутации, так что процессор дополнительно не потребляется. Это разница в настройках особенно заметна на бюджетных устройствах Mikrotik со слабыми CPU.

5.a) Объедините порты c ether2 по ether10 в мост (вы можете свободно выбирать, сколько и какие порты добавить, учитывая параметры вашего устройства и ваши предпочтения по конфигурации):

/interface bridge port
add bridge=eMINetwork interface=ether2
add bridge=eMINetwork interface=ether3
add bridge=eMINetwork interface=ether4
add bridge=eMINetwork interface=ether5
add bridge=eMINetwork interface=ether6
add bridge=eMINetwork interface=ether7
add bridge=eMINetwork interface=ether8
add bridge=eMINetwork interface=ether9
add bridge=eMINetwork interface=ether9

5.b) Для коммутации портов объедините их интерфейсы:

/interface ethernet
set ether3 master-port=ether2
set ether4 master-port=ether2
set ether5 master-port=ether2
set ether6 master-port=ether2
set ether7 master-port=ether2
set ether8 master-port=ether2
set ether9 master-port=ether2
set ether10 master-port=ether2

и не забудьте добавить по крайней мере один LAN-порт в мост VLAN, так чтобы была связь между VLAN и LAN. В моем случае я добавлю интерфейс ether2.

/interface bridge port
add bridge=TestNetwork interface=ether2

6)Теперь давайте создадим DHCP-клиент на нашем WAN-порту ether1 (предполагается, что мы получаем настройки от нашего провайдера по DHCP)

/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1

7) Присвоим статические IP-адреса для наших интерфейсов моста и VLAN. Я собираюсь использовать сети 10.10.10.0/24 для LAN и 172.27.71.0/24 для гостевого доступа.

/ip address
add address=10.10.10.5/24 interface=TestNetwork network=10.10.10.0
add address=172.27.71.5/24 interface=VLAN999 network=172.27.71.0

8) Теперь создадим профиль точки доступа со статическим IP-интерфейса VLAN и DNS-имя (я использую login.14bytes.ru, но вы можете выбрать любое).

/ip hotspot profile
add dns-name=login.14bytes.ru hotspot-address=172.27.71.5 name=hsprof1

DHCP

9) Создайте два DHCP-пула для LAN и гостей с 79 используемыми адресами (пожалуйста выбирайте любой необходимый вам диапазон, я хотел бы оставить первые 20 адресов для принтеров, серверов и других сетевых устройств).

/ip pool
add name=lan ranges=10.10.10.21-10.10.10.100
add name=guests ranges=172.27.71.21-172.27.71.100

10) Создайте два DHCP-сервера для наших IP-пулов. Я выбрал 1 день аренды для пользователей локальной сети и 1 час для гостей.

/ip dhcp-server
add address-pool=lan disabled=no interface=TestNetwork lease-time=1d \
name=dhcp1
add address-pool=guests disabled=no interface=VLAN999 lease-time=1h name=\
dhcp2

11) Наконец создадим Hotspot-сервер и привяжем его к VLAN-интерфейсу.

/ip hotspot
add address-pool=guests disabled=no interface=VLAN999 name=guesthotspot \
profile=hsprof1

12) Теперь создадим гостевой профиль с неограниченным количеством одновременных соединений, тайм-аутом простоя 30 минут, keep alive тайм-аутом 2 часа и ограничением скорости около 10 Мбит на загрузку, и 2,5 Мбит на выгрузку.

/ip hotspot user profile
add address-pool=guests idle-timeout=30m keepalive-timeout=2h name=guestprofile \
rate-limit=2500K/10000K shared-users=unlimited transparent-proxy=yes

13) Создадим первую гостевую учетную запись с паролем “internet” и привяжем ее к соданному профилю

/ip hotspot user
add name=guest password=internet profile=guestprofile

14) Создадим DNS-правило: (OpenDNS и Google)

/ip dns
set allow-remote-requests=yes servers=208.67.222.222,8.8.8.8

15) Создадим сети для DHCP-сервера

/ip dhcp-server network
add address=172.27.71.0/24 comment="guest network" gateway=172.27.71.5
add address=10.10.10.0/24 comment="lan" dns-server=192.168.71.5,8.8.8.8 gateway=\
10.10.10.5

16) Создадим правила трансляции адресов NAT на межсетевом экране для локальной и гостевой сети, чтобы разрешить подключение к сети Интернет

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
src-address=172.27.71.0/24

Мы закончили базовую настройку основного маршрутизатора. Дополнительные возможности конфигурирования практически безграничны и позволяют, например, настроить Очереди (Queues), пределы по пропускной способности и так далее, но я не буду вдаваться в эти детали, чтобы закончить статью по основной теме.

Настройка беспроводной точки доступа Микротик

1) Подключимся к беспроводной точке доступа Микротик и сбросим конфигурацию аналогично основному маршрутизатору.

2) Теперь создадим 2 моста, один для обычной локальной сети LAN и один для наших гостей.

/interface bridge
add name=Bridge_LAN
add name=Bridge_Guests

VLAN

3) Создадим VLAN интерфейс и привяжем его к мосту LAN

/interface vlan
add interface=Bridge_LAN loop-protect-disable-time=0s \
loop-protect-send-interval=0s name=Guest_VLAN use-service-tag=yes \
vlan-id=999

4) Создадим профили безопасности для пользователей локальной сети и гостей

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=LANwifi \
supplicant-identity="" wpa-pre-shared-key=eMatrixreloaded \
wpa2-pre-shared-key=internetkey
add eap-methods="" management-protection=allowed name=guests \
supplicant-identity=""

5) Создадим интерфейсы LAN и WLAN для гостей с соответствующими SSIDs и прикрепим к их профилям безопасности. Вы сможете настроить другие параметры позже.

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
radio-name=MikrotikAP security-profile=LANwifi ssid=MyWifi \
wireless-protocol=802.11
add disabled=no keepalive-frames=disabled \
master-interface=wlan1 mode=ap-bridge multicast-buffering=disabled name=\
wlan2 security-profile=guests ssid=Guest-Wifi wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled

6) Далее добавьте интерфейсы “ether1” и “wlan1” к “Bridge_LAN” и “Guest_VLAN” и “wlan2” к “Bridge_Guests”.

/interface bridge port
add bridge=Bridge_LAN interface=ether1
add bridge=Bridge_LAN interface=wlan1
add bridge=Bridge_Guests interface=Guest_VLAN
add bridge=Bridge_Guests interface=wlan2

7) Назначьте IP-адреса для моста LAN

/ip address
add address=10.10.10.6/24 interface=Bridge_LAN network=10.10.10.0

8) Создайте DHCP-клиента на VLAN-мосту для проверки получения гостями IP-настроек

/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=Bridge_Guests

9) Наконец добавьте маршрут через мост для гостевого доступа для гостевой сети

/ip route
add distance=1 dst-address=172.27.71.0/24 gateway=Bridge_Guests

Заключение

Это был пример базовой настройки точки WLAN Hotspot Mikrotik для гостей и передачи трафика с помощью VLAN-сети. Подключитесь к гостевой сети WLAN и проверьте перенаправление к странице входа в систему. Без открытия базового веб-сайта перенаправление должно сразу разрывать соединение.

Пожалуйста, имейте в виду, что указанная выше конфигурация не до конца соответствует критериям размещения в производственной среде. Вы должны настроить по крайней мере пароль для администратора Mikrotik, создать основные правила межсетевого экрана, чтобы как минимум блокировать нежелательный трафик. В последующих статьях я постараюсь продолжить настройку рассмотренной конфигурации.

Читать далее

Как создать гостевой WLAN Hotspot Mikrotik с использованием VLAN
Метки:            
Adblock detector