Разное

Ap virtual mikrotik: MikroTik RouterBOARD Virtual AP :: Настройка оборудования Mikrotik :: Настройка оборудования

Содержание

Настройка гостевой сети Wi-Fi на MikroTik hAP AC

Настройка гостевой сети Wi-Fi на MikroTik это задача которую нужно иногда решать сисадминам в средних и крупных компаниях. В MikroTik как раз есть для этого все инструменты. В самом простом случае надо создать VirtualAP навесить на неё IP адрес и настроить DHCP. Но мы ведь простых путей не ищем? Что нужно ещё сделать? Об этом данная статья.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь. 

 

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 

Для примера будем рассматривать MikroTik с настройками по умолчанию: сеть 192.168.88.0/24, локальные интерфейсы входят в bridge, ether1 служит wan.

Идём в Wireless/WiFi Interfaces/Virtual:

 

Выбираем название сети: Guest

  • Security Profile можно выбрать из имеющихся: default — без пароля вообще в новых версиях Router OS
  • Default Forward — галочку можно снять. Это запретит обмен данными между гостевыми Wi-Fi клиентами

Аналогично создаём и настраиваем Virtual AP на 5 гГц сети:

Получается такое:

Более подробно о настройке Wi-Fi интерфейсов на MikroTik можно почитать здесь

Теперь надо обьединить два виртуальных беспроводных интерфейса в бридж.

Создаём bridge1-guest:

Добавляем два виртуальных беспроводных интерфейса в bridge1-guest:

 

Осталось прописать IP и настроить DHCP сервер на интерфейсе bridge1-guest:

Настроим DHCP сервер на интерфейсе bridge1-guest:

Next

Next

Next

Next

Next

Настройка для малой сети завершена! Если вы хотите настроить ещё защиту от ручного назначения IP адресов пользователями читаем далее:

Отредактируем настройки полученого DHCP сервера:

Ставим галочку Add ARP For Leases, что позволит автоматически добавлять IP адрес в ARP таблицу роутера при получении IP.  

На интерфейсе bridge1-guest надо выбрать reply-only в протоколе ARP:

Теперь даже если пользователь вручную назначит IP доступа к интернету у него не будет

Защитим основную сеть от проникновения из гостевой:

Идём IP/Firewall/Filter Rule:

В цепочке forward создаём правило запрещающее прохождение трафика из гостевой сети 192.168.89.0/24 в локальную 192.168.88.0/24

Перетаскиваем правило мышью на 1 место:

Осталось настроить ограничение скорости пользователям, но это уже описано в старой статье: настройка динамического шейпинга на MikroTik

Настраивать ограничения для доступа к MikroTik из гостевой сети в нашем случае не имеет смысл так как новый bridge1-guest не входит в список локальных в Interface List и доступа к нему и так нет.

Настройка завершена! Если вам не удалось настроить вы можете обратиться к нам за платной помощью Обратиться

Для Wi-Fi можно также настроить мак фильтрацию на MikroTik

 

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка Mikrotik RB751U-2HnD в режиме WDS и Virtual AP для расширения зоны покрытия и обеспечения бесшовного роуминга.

При построении беспроводных сетей внутри помещений приходится сталкиваться с задачей обеспечения стабильного и уверенного покрытия сетью всей территории здания. Установка одной мощной точки доступа в центре не решает задачу – клиентские устройства показывают наличие сети при сканировании эфира, но подключиться не могут. Стены и перегородки вносят затухание при прохождении сигнала, и если со стороны точки доступа можно поставить хорошую антенну или увеличить мощность, то со стороны клиентского устройства сделать ничего нельзя – параметры антенны и мощности на передачу не изменить. Вследствие этого клиент не может подключиться к сети – точка доступа просто не слышит сигнал от него.

Для обеспечения равномерного покрытия требуется расставлять дополнительные точки доступа по территории, но не всегда возможно проложить кабель до каждой точки, что бы подключить их к проводной сети.

Если проводной сетью соединить устройства нельзя, то остается одно решение – осуществлять связь между точками доступа по радиоканалу. Пример такой настройки на базе Mikrotik RB751U-2HnD сейчас и рассмотрим. Но сперва посмотрите фотографии решений на его основе.

Вот вариант расширения покрытия беспроводной сетью в дачном доме — для подключения устройства нужна только розетка. Интернет ретранслируется от соседней точки доступа, такого же микротика.

Который расположен в соседнем доме и подключен к кабельной сети.

 

Беспроводная сеть может понадобиться и на стройке. Витую пару там прокладывать нельзя — оборвут, зато электричество есть на каждом этаже, гирлянда из повторителей не позволит скачивать из интернета фильмы через торренты, зато можно проверить почту или ознакомиться с проектной документацией в любом месте объекта.

 

Для примера настройки понадобятся 2 устройства.

С одной стороны которого расположены сетевые порты, а с другой – разъем для подключения внешней антенны. При использовании внешней можно оставить включенной одну внутреннюю для обеспечения локальной зоны покрытия.

 

Первое устройство уже настроено по информации из этой статьи — Обзор и настройка Mikrotik RB751U-2HnD в режиме беспроводного роутера с подключением к сети Интернет.

Последние серии устройств уже идут с версией программного обеспечения Mikrotik RouterOS 5.17, в которой при первом включении не появляется окно предложения или отмены начальной конфигурации. Просто появляется пустое окно.

Для того, что бы проверить введена начальная конфигурация, нужно посетить раздел настроек IP—+FIREWALL, если там добавлены какие-то правила – значит, начальная конфигурация применена, и ее нужно сбросить.

В новой версии ПО появился специальный пункт для этого, которого раньше не было в разделе SYSTEM—+RESET CONFIGURATION. В открывшемся окне подтверждения нужно поставить галочки No Default Configuration что бы после сброса не применять начальную конфигурацию, и Do Not Backup – что бы не делать резервную копию текущей конфигурации, она все равно не нужна, поэтому не будем забивать память устройства не нужной информацией.

Для того, что бы устройства не только расширяли зону действия беспроводной сети, но и проводной, создадим бридж в разделе BRIDGE.

В который добавим все имеющиеся порты устройства на вкладке PORTS, в том числе и Ether1 – ведь оно не будет работать в режиме роутера.

В разделе IP—+ADDRESS укажем адрес устройства, по которому можно в дальнейшем будет заходить на него. Указываем адрес 192.168.0.2/24 и выбираем интерфейс InterfaceBridge1.

В разделе беспроводной карты – WIRELESS производим настройки профиля шифрования на вкладке Security Profiles. В существующем профиле default изменяем параметр Mode на dynamic keys и в пункте Authentication Types отмечаем галочками WPA PSK и WPA2 PSK для включения соответствующих типов шифрования. А так же отмечаем галочками пункты tkip и aes ccm – должно стоять 4 галочки. Сам пароль вводим в поля WPA Pre-Shared Key и WPA2 Pre-Shared Key. После введения всей информации нажимаем кнопку Ok.

Заходим на вкладку INTERFACES где выбираем свойства беспроводного адаптера, нажимаем кнопку справа – Advanced Mode и заходим на вкладку Wireless, на которой производим следующие настройки:

 

Mode – ap bridge

Band – 2GHz-B/G/N

Radio Name – Slave

Wireless Protocol – 802.11

 

Они включают режим работы – базовая станция для подключения обычных клиентских устройств, указывают имя устройства в беспроводной сети Slave и протоколы работы – B/G/N.

Нажимаем кнопку Scan для просмотра доступных беспроводных сетей. В списке отображается сеть главного роутера Mikrotik RB751U-2HnDTEST и другая беспроводная сеть. Выбираем сеть TEST и нажимаем кнопку Connect для подключения к ней.

Обратите внимание, что при выборе беспроводной сети пункт настроек Mode автоматически переключился на Station Bridge, и его следует снова сменить на ap bridge.

На вкладке DATA RATES ставим пункт Rate Selection в Advanced и переключатель Rate в Configured для возможности отключения скоростей B режимов – снимаем с них галочки в группах Supported Rates B и Basic Rates B.

На вкладке ADVANCED меняем пункты:

 

Periodic Calibration – enabled

Calibration Interval – 00:00:10 

Hw. Retries – 15

Hw. Protection Mode – rts cts

 

Которые включают автоматическое определение уровня шума каждые 10 секунд, 15 попыток переповтора при потере данных и механизм RTS/CTS для управления средой передачи.

На вкладке HT включаем галочки HT Tx Chains антенны на прием и передачу. По умолчанию включен только chain0, а канал chain1 отключен. Нужно поставить галочки у него, так же HT Guard Interval поставить в значение Long.

На вкладке WDS выбираем режим работы WDS ModeDynamic и WDS Default BridgeBridge1. Что позволит автоматически добавлять WDS интерфейсы при подключении клиентов.

На вкладке TX POWER укажем мощности на передачу со значений по умолчанию. Пункт Tx Power Mode ставим Card Rates, и указываем мощность Tx Power18dBm.

Выходную мощность передатчика можно посмотреть на вкладке CURRENT TX POWER, видно, что на всех модуляциях она одинаковая, а самый правый столбик показывает эффективную излучаемую мощность обоими каналами.

Если на вкладке WIRELESS переключить режим работы с Ap Bridge на Station можно посмотреть параметры канала, где показаны:

 

Band – 2GHz-N – показывает частоту и режим работы.

Frequency – 2412 MHz – показывает частоту работы беспроводного адаптера.

Wireless Protocol – 802.11 – режим работы обычного wi-fi.

Tx/Rx Rate – 65.0Mbps/6.0Mbps – канальные скорости на передачу и прием.

SSID – TEST – имя сети.

BSSID – 00:0C:42:FC:8B:29 – MAC адрес базы.

Radio Name – тут ничего не указано, имя противоположного беспроводного устройства.

Tx/Rx Signal Strength – -49/-49 dBm – суммарные сигналы по обоим каналам.

Tx/Rx Signal Strength Ch0 – -52/-52 dBm – сигналы по каналу 0.

Tx/Rx Signal Strength Ch2 – -54/-53 dBm – сигналы по каналу 1.

Tx/Rx Signal Strength Ch3 – тут показывались бы сигналы по каналу 2, но у радиокарты всего 2 выхода, поэтому поле пустое.

Noise Floor – -97 dBm – уровень шума.

Signal To Noise – 48 dB – отношения сигнал/шум.

Tx/Rx CCQ – 90/58 % — качество канала на передачу и прием.

Distance – 1 km – расстояние между базой и клиентов, 1 км это минимальное значение, клиент может быть намного ближе.

RouterOS Version – 5.17 – версия ПО соседнего устройства.

Last IP – 192.168.0.1 – последний IP-адрес, переданный через канал.

WDS Link – указывает работу канала в WDS.

Compression – указывает работу канала со сжатием.

WMM Enabled – указывает поддержку приоритезации на канале.

Если теперь обратно сменить режим работы на AP Bridge, зайти на вкладку Registration, то можно увидеть информацию о уровне сигнала и канальных скоростях. В разделе TOOLS—+BANDWIDTH TEST запустим тестирование скорости через канал.

 

Укажем адрес соседнего устройства в поле Test To – 192.168.0.1, направление тестирования Direction – send, введем имя пользователя в поле User – Admin и в поле Password пароль.

 

Нажмем кнопку Start и узнаем реальную пропускную способность канала, в данном случае она 30 мегабит в одну сторону на передачу.

Изменим направление теста Direction на receive и нажмем кнопку Start – скорость такая же 30 мегабит в одну сторону, только уже на прием от противоположного устройства.

Для того, что бы пускать на точку доступа клиентов с определенным минимальным уровнем сигнала укажем его уровень. На вкладке Access List добавим новое правило, где в пункте Signal Strength Range укажем минимальный -75 и максимальный 120 дбм сигналы. При такой настройке клиенты, сигналы от которых на точке доступа будут хуже, чем -75, будут отброшены. Это значение подбирается опытным путем на основе измерений уровня сигнала с ноутбука или коммуникатора во время перемещения по территории.

Что бы правила из Access List стали работать, нужно снять галочку в разделе Wireless беспроводной карты у пункта Default Authenticate.

Но если галочку снять, точка не сможет подключиться к соседней, поэтому на вкладке Connect List нужно создать правило, разрешающее подключение к любым точкам. Для этого нажатием на + создаем новое правило, где ничего не трогая, нажимаем сразу кнопку Ok.

После применения всех настроек две точки доступа соединились по WDS, и прозрачно пропускают трафик через беспроводной канал. Клиенты, подключенные к сетевым портам первого устройства, могут обмениваться трафиком с клиентами, подключенными к сетевым портам второго устройства. Клиенты беспроводной сети могут подключаться к первому или второму устройству. При перемещении между точками доступа клиент беспроводной сети автоматически будет подключаться к ближайшей. Переключение будет происходить быстро и не заметно для сетевых соединений.

Включаем беспроводной адаптер ноутбука и производим сканирование беспроводных сетей. Ноутбук находится в зоне действия сигналов от обоих, только что настроенных точек, однако в списке беспроводных сетей показывается только одно имя TEST. Клиенту не нужно выбирать какую-то одну из них, все будет происходить автоматически.

При нажатии на беспроводную сеть TEST ноутбук автоматически получает сетевой адрес и может работать в сети, пользоваться ее ресурсами в любой точке зоны покрытия сетью.

Если запустить winbox, можно увидеть в списке обе беспроводные точки доступа. Ведь канал работает с прозрачным пропуском трафика по L2.

Вид окна статуса первой точки доступа – к ней подключена только вторая точка, беспроводных клиентов нет.

Вид окна статуса второй точки доступа – к ней подключена первая и один ноутбук. Отображаются его канальные скорости и уровень сигнала на прием.

Соединение точек по WDS имеет некоторые недостатки, такие как не возможность полноценной фильтрации трафика, сложность ограничения обмена трафиком между всеми точками, сложность мониторинга уровней сигналов и параметров каналов. Так же иногда возникают проблемы с шифрованием. Поэтому вместо связи по WDS рекомендуется использовать связку настроек с клиентом беспроводной сети и виртуальной точкой доступа – Station WDS + Virtual AP, которая лишена этих недостатков.

 

Настройка связи точек доступа по беспроводному каналу с использованием Virtual AP.

 

Для этого сотрем правила из разделов Access List и Connect List, зайдем в раздел WIRELESS на вкладку Interfaces первого устройства и изменим настройки беспроводного адаптера на вкладке WIRELESS. Пункт SSID меняем на Magistral, ставим галочку Default Authenticate. Что бы клиенты могли подключаться к этой сети без ограничений уровней сигналов.

На вкладке Interfaces создадим нажатием на + новую виртуальную точку доступа – Virtual AP. На вкладке General ничего не трогаем.

На вкладке Wireless указываем имя сети SSID – TEST и выбираем Master Interface – Wlan1. Снимаем галочку Default Authenticate.

На вкладке WDS выбираем WDS Mode – Dynamic и WDS Default Bridge – Bridge1. Нажимаем кнопку Ok.

Заходим на вкладку Access List и добавляем новое правило. Где выбираем интерфейс Interface – Wlan2, уровень сигнала Signal Strength Range -75..120. Нажимаем Ok.

На втором устройстве заходим в раздел WIRELESS на вкладку INTERFACES и заходим в свойства беспроводной карты, нажимаем кнопку Scan для просмотра доступных беспроводных сетей. В списке видно, что кроме сети TEST доступна сеть Magistral, обе они от одной точки доступа, что видно по одинаковому мак адресу. Выбираем сеть Magistral и подключаемся к ней нажатием на кнопку Connect.

Устанавливаем в пункте Mode режим работы Station WDS – то есть режим клиента с поддержкой WDS. Нажимаем Ok для применения настроек. Теперь второй роутер подключен к первому и может обмениваться с ним данными.

Нужно так же создать виртуальную точку доступа на нем, для этого на вкладке INTERFACES нажимаем на + и выбираем Virtual AP, на вкладке General ничего не меняем.

На вкладке Wireless указываем имя сети SSID – TEST, Master Interface – Wlan1. Снимаем галочку Default Authenticate.

На вкладке WDS указываем в пункте WDS Mode – Dynamic и WDS Default Bridge – Bridge1.

На вкладке Access List так же нажатием на + создаем новое правило, где выбираем Interface – Wlan2 и Signal Strength Range -75..120 для ограничения сигнала на том же уровне, что и на первой точке.

В списке беспроводных интерфейсов теперь 2 адаптера, один настоящий, другой – виртуальный.

У настоящего можно посмотреть параметры сигнала, с которым он подключен к первой точке. Видно, что канал работает в режиме WDS по установленной галочке WDS Link.

Для того, что бы клиенты виртуальных точек доступа могли обмениваться данными с сетью, нужно в разделе BRIDGE добавить их в основной бридж. Для этого на вкладках Ports обоих устройств нужно нажать на + и добавить интерфейс Interface – Wlan2 в бридж Bridge – Bridge1.

Теперь в списке беспроводных сетей кроме самой точки TEST видна магистральная сеть – Magistral, которая используется для связи точек между собой, а не для подключения клиентов. Если нужно спрятать ее из списка – достаточно на вкладках WIRELESS беспроводных адаптеров поставить галочки – Hide SSID.

 

На этом настройка точек доступа Mikrotik RB751 завершена. Беспроводные клиенты могут автоматически переключаться от одной к другой при перемещении по зоне действия сети, клиенты кабельной сети могут через порты устройства по беспроводному каналу обмениваться данными друг с другом.

CAPsMAN с двумя SSID — гостевая и рабочая сеть

Внимание! Данная инструкция разработана для MikrotikOS v6.40
На других версиях может работать некорректно.

Рассмотрим случай, когда на микротике нужно настроить CAPsMAN с двумя сетями: рабочей и гостевой.
Для начала нужно настроить два бриджа на микротике с гостевой и рабочей сетью.
За основу возьмём инструкцию по настройке хотспота на микротике

Для будущего удобства рекомендуем заменить часть стандартного конфига:

/ip pool add name=inet-pool ranges=192.168.100.2-192.168.103.253
/ip dhcp-server add address-pool=inet-pool disabled=no interface=ether2 lease-time=16h name=inet-dhcp
/ip address add address=192.168.100.1/22 comment="Internet network" interface=ether2 network=192.168.100.0
/ip dhcp-server network add address=192.168.100.0/22 comment="Internet network" dns-server=8.8.8.8,208.67.222.222 gateway=192.168.100.1 netmask=22
/ip firewall nat add action=masquerade chain=srcnat comment="masquerade Internet network" src-address=192.168.100.0/22

на следующие строки:

/interface bridge add name=inet-bridge
/interface ethernet set [find default-name=ether2] master-port=none
/interface bridge port add bridge=hs-bridge interface=ether2
/ip pool add name=inet-pool ranges=192. 168.100.2-192.168.103.253
/ip dhcp-server add address-pool=inet-pool disabled=no interface=inet-bridge lease-time=16h name=inet-dhcp
/ip address add address=192.168.100.1/22 comment="Internet network" interface=inet-bridge network=192.168.100.0
/ip dhcp-server network add address=192.168.100.0/22 comment="Internet network" dns-server=8.8.8.8,208.67.222.222 gateway=192.168.100.1 netmask=22
/ip firewall nat add action=masquerade chain=srcnat comment="masquerade Internet network" src-address=192.168.100.0/22

Это нужно для того, чтобы рабочая сеть была настроена на отдельный inet-bridge, а не просто на отдельный порт в микротике.

После настройки у Вас получится полноценный хотспот с гостевой и рабочей сетью в разных бриджах (hs-bridge и inet-bridge).

Теперь настроим CAPsMAN.

Краткая инструкция

В терминал главного микротика вставляем следующий конфиг, не забыв заменить пароль рабочей сети с 12345678 на Ваш пароль.

/interface bridge add name=bridgeCAP
/caps-man manager set enabled=yes
/caps-man channel add band=2ghz-b/g/n frequency=2457 name=hs-channel1 tx-power=20 control-channel-width=20
/caps-man datapath add bridge=hs-bridge name=hs-datapath2 client-to-client-forwarding=yes
/caps-man datapath add bridge=inet-bridge name=inet-datapath2 client-to-client-forwarding=yes
/caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name="inet-security" passphrase=12345678
/caps-man configuration add channel=hs-channel1 datapath=hs-datapath2 mode=ap name=hs-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ssid=CAPs-free
/caps-man configuration add channel=hs-channel1 datapath=inet-datapath2 mode=ap name=inet-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ssid=CAPs-work security=inet-security 
/caps-man provisioning add action=create-dynamic-enabled master-configuration=inet-cfg1 slave-configuration=hs-cfg1 
/interface wireless cap set enabled=yes  interfaces=wlan1 discovery-interface=bridgeCAP bridge=none

В дополнительные роутеры и  точки вставьте следующий конфиг:

/interface bridge add name=hs-bridge
/ip dns set allow-remote-requests=yes servers=8. 8.8.8,208.67.222.222
/ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=hs-bridge
/interface wireless cap set discovery-interfaces=hs-bridge enabled=yes interfaces=wlan1
/interface bridge port add bridge=hs-bridge interface=ether3
/interface bridge port add bridge=hs-bridge interface=ether4
/interface bridge port add bridge=hs-bridge interface=ether5
/interface bridge port add bridge=hs-bridge interface=ether2
/interface bridge port add bridge=hs-bridge interface=ether1
Подробная инструкция

Если вы хотите настроить вручную каждый пункт, то воспользуйтесь инструкцией ниже.

Настройка главного микротика:

в меню Bridge создадим новый бридж bridgeCAP
name=bridgeCAP

1) Включим CAPsMan.

В меню выбираем CAPsMan-CAP Interface-Manager
Ставим галочку enabled=yes и нажимаем ОК

2) Добавим channel.

band=2ghz-b/g/n
frequency=2457
name=hs-channel1
tx-power=20
control-channel-width=20

3) Добавим datapath для hs-bridge.

bridge=hs-bridge
name=hs-datapath2
client-to-client-forwarding=yes

4) Добавим datapath для inet-bridge.

bridge=inet-bridge
name=inet-datapath2
client-to-client-forwarding=yes

5) Добавим security профиль для рабочей сети.

authentication-types=wpa2-psk
encryption=aes-ccm
group-encryption=aes-ccm
name=inet-security
passphrase=12345678

6)Добавим конфигурацию для гостевой сети.

channel=hs-channel1
datapath=hs-datapath2
mode=ap
name=hs-cfg1
rx-chains=0,1,2
tx-chains=0,1,2
ssid=CAPs-free

7)Добавим конфигурацию для рабочей сети.

channel=hs-channel1
datapath=inet-datapath2
mode=ap
name=inet-cfg1
rx-chains=0,1,2
tx-chains=0,1,2
ssid=CAPs-work
security=inet-security

8) Настроим provisioning.

action=create-dynamic-enabled
master-configuration=inet-cfg1
slave-configuration=hs-cfg1

 

9) Активируем CAPsMAN на Wlan интерфейсах.
enabled=yes
interfaces=wlan1
discovery-interface=bridgeCAP
bridge=none

Настройка дополнительных точек и роутеров:

1) Создадим бридж.

name=hs-bridge

2) Добавим все Lan интерфейсы в него.

3) Настроим DHCP Client.

dhcp-options=hostname,clientid
disabled=no
interface=hs-bridge

4) Настроим DNS.

allow-remote-requests=yes
servers=8.8.8.8,208.67.222.222

5) Активируем CAPsMAN.

discovery-interfaces=hs-bridge
enabled=yes
interfaces=wlan1

Настройка завершена — можно приступать к работе.

создание гостевой сети Wi-Fi с ограничением скорости на примере маршрутизаторов Mikrotik под управлением RouterOS

Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только функцию предоставления доступа к сети Интернет, в то время как другие содержат локальные ресурсы и серверы.

Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.

Пример первый: сосед упорно выпрашивает пароль к Wi-Fi, но вы не желаете делить с ним всю скорость подключения, а при необходимости и пароли менять на всех своих устройствах. К тому же, сосед может дать пароль еще кому-то.

Пример второй: у вас есть несколько филиалов, объединенных с помощью туннелей L2TP в единую сеть. В этой же сети работает несколько серверов, в том числе файловых без авторизации. На одном из филиалов требуется предоставить гостевой Wi-Fi друзьям из соседнего офисного помещения.

И тут возникает вопрос – как предоставить стороннему человеку доступ к сети Интернет, без применения дополнительного оборудования и при этом сохранить изоляцию своей локальной сети? С оборудованием Mikrotik это сделать достаточно легко.

Предисловие

Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.

В качестве локальной сети выступает 192.168.106.0/24.

Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Приступаем к настройке

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интерфейс.

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

  • 10.0.0.0 — 10.255.255.255
  • 172.16.0.0 — 172.31.255.255
  • 192.168.0.0 — 192.168.255.255

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? –  о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.

  • Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
  • Upload – скорость отправки данных;
  • Download – скорость загрузки;
  • Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

  • k – скорость в кбит/сек;
  • M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

  • Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
  • Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
  • Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.

В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.

В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Повышаем безопасность внутренней сети

По-умолчанию, пинг во внутреннюю сеть из гостевой проходить не будет, но существуют варианты обхода этих ограничений. Поэтому рассмотрим варианты повышения безопасности.

Шаг 7. Запрещаем доступ в локальную сеть

Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил «Action: unreachable» создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.

Шаг 8. Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера.

Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».

Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».

Шаг 9. Запрещаем управление Mikrotik из гостевой сети

Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.

Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

 

На этом все, надеемся эта инструкция будет вам полезной.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Настройка Virtual AP на оборудовании Mikrotik, с собственным DHCP сервером, не коррелирующим с основным в сети.

Понадобилось поднять на работе отдельную wifi точку для клиентов. Требовался доступ в интернет и ко внутренним ресурсам. В качестве точки доступа взяли MikroTik wAP 2nD BE. Наш основной dhcp сервер не раздаёт default gateway и это оказалось основной проблемой. Промучавшись несколько дней, решил написать пост о нюансах настройки.

Качаем winbox, включаем точку доступа, заходим на неё по маку, логин admin, пароля нет (но это пока). Первое что надо сделать — удалить default configuration. Меню System -> Reset configuration. Ставим галочку no default configuration, жмём ОК, железка перезагружается.

Опять заходим по маку, первое что надо сделать — задать пароль администратора. System -> Users, открываем свойства админа, внизу кнопка Password.

Пароль задали, теперь приступаем к непосредственно беспроводной настройке. Для начала нужно настроить профиль безопасности — так в RouterOS называются настройки подключения к ТД. Открываем Wireless — > Security Profiles. Задаем тип шифрования, пароль. Микротик позволяет создать несколько SSID на одной ТД, поэтому рекомендуется создавать отдельные профилиь для разных задач. В моём примере он всего один, под названием default.

Теперь нужно добавить новый, виртуальный интерфейс, с которого и будет вещать наш SSID. Открываем Interfaces, видим ether1 и wlan1. Нажимаем на синий плюс -> virtual, добавляем wlan2, мастер-интерфейсом у него будет wlan1. Можно назвать попонятнее, на вкладке General.

После этого нужно все интерфейсы добавить в бридж, иначе wifi заработает, но наружу не пойдёт. Bridge -> вкладка bridge, создаём в ней новый, если его ещё нет. Вкладка Ports — добавляем в бридж три интерфейса.

Назначаем ip адреса, в том числе и созданному ранее бриджу

Создадим пул адресов для внутреннего dhcp сервера. Я выделил группу адресов, которые не задействованы на моём контроллере домена и на файрволе разрешил этой группе доступ. По умолчанию выход в интернет всем, кроме серверов, закрыт.

Теперь непосредственно настройка dhcp сервера. IP -> DHCP Server -> вкладка DHCP. Добавляем новый, вешаем его на наш бридж (на другие он и не разрешит), в строке Address pool выбираем ранее созданный пул адресов.

Далее переходим на вкладку Network. Прописываем адрес сети, шлюз, маску и dns сервер. Если понадобится также можно прописать префикс домена, ntp и next server. Последний используется для бездисковой загрузки по протоколу PXE.

ВАЖНО. Несмотря на то, что есть поле Netmask, нужно указать маску после адреса сети, как на скриншоте. У меня после того как убрал её и прописал в поле Netmask точка перестала default gateway выдавать.

Для того чтобы пользователи могли бороздить интернет нужно настроить NAT в режиме маскарадинга.
IP -> Firewall -> вкладка NAT. Цепочку выбираем srcnat, в качестве источника пишем нашу сеть, исходящий интерфейс — бридж. Опять же, другие поставить не получится, тут RouterOS думает о нас. На вкладке action ставим
masquerade.

А вот теперь самое интересное, именно на этом моменте я пару дней танцевал с бубном. Было два варианта конфигурации, ни один не работал. В первом варианте я не добавлял wlan2 в бридж и вешал dhcp сервер на него. В итоге клиент получал корректные настройки, но связи не было, что вполне логично. Во втором варианте, который в итоге и заработал, dhcp висит на бридже. Но при этом клиент получает адрес от основного dhcp сервера, а не от внутреннего. Шлюза нет, в интернет не пускает. Во время прогулки с собакой до меня дошло что нужно запретить dhcp запросы от клиентов через бридж. Тогда они получат IP от нужного мне сервера. Писал правила — не помогало.
На микротиковском форуме обратил внимание что у бриджа есть свои правила фильтрации. То есть основной файрвол видит только бридж, со слейв-интерфейсами он не работает. А вот файрвол бриджа как раз и решает вопрос взаимодействия «внутри» самого бриджа.

Первое правило запретило беспроводным клиентам видеть мой основной DHCP сервер. Bridge -> вкладка Filter. Цепочка forward, интерфейс — проводной ether1. Думаю что можно и в output, но работает и так. Ставим всё как на скриншоте. DHCP работает по UDP, по двум портам. Именно их мы и запрещаем на внутреннем файрволе бриджа. После этого на вкладке Action выбираем drop.

Вроде всё хорошо, но нет :). Беспроводные клиенты не видят основной DHCP, но теперь основные, проводные клиенты получают IP с сервера точки доступа. Непорядок. Последним правилом мы исправляем это. На вкладке Filter добавляем новое правило, уже в цепочку input. Режем входящие запросы на интерфейсе ether1 по тем же двум портам 67-68 и протоколу UDP.

На этом настройка закончена, люди с телефонов смотрят котиков в интернете. Надеюсь что эта статья поможет кому-либо не тратить несколько дней на не самую очевидную настройку.

  • p.s. После завершения настройки настоятельно рекомендую зайти в Files, нажать на кнопку Backup, и простым перетаскиванием мышью сохранить конфигурацию себе на комп;)

Маршрутизатор MikroTik и гостевая изоляция Unifi AP

Мое устройство:
MikroTik RB4011iGS+RM маршрутизатор (не беспроводной) и Unifi AP AC LR

На AP я передал два SSIDs.
Персонал и гость (созданы на контроллере Unifi)

На MikroTik создано следующее:

Персонал — 192.168.77.0/24 — работает отлично

Гость — 5.5.5.0/24 — я хотел бы отправить соединители в гостевую сеть.

Как я могу отправить клиентов, подключающихся к гостевой сети, в сеть 5.5.5.0?

Даже после долгих поисков я не стал намного умнее. 🙁

Мне нужна помощь для решения этой проблемы.

Спасибо!
Г.

mikrotik

router-os

ubiquity

Поделиться

Источник


gyurielf    

20 февраля 2019 в 15:47

1 ответ


  • Перенаправление facebook.com на мой официальный сайт через маршрутизатор MikroTik

    Я хочу перенаправить www.facebook.com и facebook.com на свой официальный сайт через маршрутизатор MikroTik. Я много пробовал в веб-прокси, но он перенаправляет только с определенным ip-адресом facebook, но не по доменному имени facebook. т. е. www.facebook.com и facebook.com Спасибо и с уважением

  • Mikrotik перенаправляет трафик на другой шлюз

    У меня есть проблема с настройкой Mikrotik для пересылки определенных пакетов на другой маршрутизатор. Наши устройства настроены следующим образом: LAN1: 192.168.1.0/24 Mikrotik: 192.168.1.253 Cisco: 192.168.1.252 LAN2: 192.168.2.0/24 Cisco: 192.168.2.252 Основной шлюз настроен на DHCP — это…



1

Один из вариантов состоит в том, чтобы все штатные устройства были настроены через dhcp (статические назначения) для получения IP адреса в «staff range» 192.168.77.0/24 . Поскольку они являются сотрудниками и, по-видимому, нуждаются в разрешении на подключение к сети персонала, вы можете разрешить им подключиться, а затем переместить их в диапазон ip-адресов персонала вручную один раз.

Я предполагаю, что Mikrotik обрабатывает назначения DCHP, потому что я знаю, что там вы можете иметь статические назначения, которые не находятся в обычной сети для автоматических назначений.

Все остальные пользователи получают автоматически назначенные ip-адреса в диапазоне «guest». Технически тогда не имеет значения, к какому wifi вы подключаетесь, но у персонала должна быть своя собственная сеть.

Поделиться


user230910    

26 февраля 2019 в 20:36


Похожие вопросы:

Ошибка при подключении (FreeRADIUS V3 & MySQL) к маршрутизатору Mikrotik

Я установил FreeRADIUS V3 на virtual-box , который работает Ubuntu 16.04 с использованием MySQL в качестве базы данных. Кроме того, еще один virtual-box запускает Mikrotik RouterOS для имитации…

Mikrotik подключается к 3 AP-му

Я новичок в беспроводной связи и искал ответ в google, но не нашел определенного ответа на свой вопрос. Я использую Mikrotik в качестве интернет-шлюза и хотел бы обеспечить доступ через беспроводную…

Java Mikrotik API

Я пытаюсь создать программу, использующую Java, чтобы позволить мне войти в мой маршрутизатор Mikrotik и изменить пароли пользователей. Я пробовал другой синтаксис для кода, но ничего не получалось….

Перенаправление facebook.com на мой официальный сайт через маршрутизатор MikroTik

Я хочу перенаправить www.facebook.com и facebook.com на свой официальный сайт через маршрутизатор MikroTik. Я много пробовал в веб-прокси, но он перенаправляет только с определенным ip-адресом…

Mikrotik перенаправляет трафик на другой шлюз

У меня есть проблема с настройкой Mikrotik для пересылки определенных пакетов на другой маршрутизатор. Наши устройства настроены следующим образом: LAN1: 192.168.1.0/24 Mikrotik: 192.168.1.253…

Управление маршрутизатором Mikrotik через веб-приложение

Мне нужна помощь в создании проекта. Позвольте мне сначала описать мой проект — Я хочу создать веб-приложение (используя фреймворк php / php(laravel) , html, css, javaScript, bootstrarp), который…

Как интегрировать маршрутизатор mikrotik с сайтом asp.net?

Я хочу сделать веб-приложение, которое будет автоматизировать счет ISP через платежный шлюз и подключаться к маршрутизатору mikrotik. Таким образом, если какой-либо пользователь не заплатит вовремя,…

Блок PC для доступа к локальному LAN на Mikrotik

У меня есть установка Ubuntu под VMWare. Я хотел бы настроить наш маршрутизатор Mikrotik, чтобы заблокировать этот Ubuntu для доступа к локальному LAN. Я хотел бы разрешить доступ только к внешнему…

Переадресация порта Mikrotik на общедоступный IP, расположенный в локальной сети

Мы только что настроили маршрутизатор Mikrotik и имеем публичный ip-адрес и наш локальный ip-адрес для сервера. Мы создали правило dst-nat , где каждый, кто получает доступ public_ip:80 применяется…

Перенаправление поддомена на локальный ip порт с помощью Mikrotik

У меня есть маршрутизатор Mikrotik, и я хотел бы настроить некоторую конфигурацию, которая позволит мне перенаправлять соединения с: sub1.example.com -> 120.2.40.5:50000 sub2.example.com ->…

Два изолированных WiFi + Vlan в mikrotik

Раздаем два разных WiFi с mikrotik, плюс пробрасываем VLAN в RouterOS.

И так, задача:

Нужно из одного роутера раздать пользователям два разных WiFi, а именно, одно соединение работает в основной рабочей сети, а второе в качестве гостевого.

Условие 1: В данной ситуации наш роутер выполняет только функцию обычной точки доступа, в качестве основного шлюза служит сервер на котором происходит разделение основной рабочей и гостевой сети, каждая сеть имеет свой DHCP сервер.

Условие 2: Раздача должна происходить следующим образом: основная рабочая сеть — с полной защитой WPA/WPA2, гостевая сеть без всяких паролей.

Условие 3: К точке доступа нет возможности подвести более одного ethernet-кабеля.

Естественно, обычные домашние роутеры с таким вопросом не справятся в принципе, поэтому снова обращаемся к железу от mikrotik (ну люблю я эти железки).

В начале подготавливаю серверную часть: с основным каналом не делаю ничего, роутер в режиме точки доступа по умолчанию прекрасно раздает рабочую сетку, а вот гостевую сеть решил пробросить с помощью VLAN (Пусть будет с VlanID 254). Для справки, в качестве сервера используется Kerio Control, которая прекрасно эти самые Vlan-ы генерирует.

Следующие действия призвожу на самом роутере.

Первоначально подключаюсь к mikrotik через winbox.

В режиме Quick Set создаю основной рабочий канал WiFi, отключаю все лишнее и задаю адрес роутеру:

Дальше необходимо создать новый интерфейс с нашим VLAN-ом:

Interfaces — VLAN, добавить (+)

Name: имя даем, какое нравится, это имя будет использоваться нами в дальнейших настройках, в поле VLAN ID прописываем номер нашего VLAN, интерфейс: выбираем тот физический порт, куда вставлен наш кабель

Проверяем созданный интерфейс на вкладке Interface:

На всякий случай, чтоб была возможность управлять устройством в изолированной подсети, дадим VLAN-интерфейсу адрес данной сети:

IP-Addresses, добавить (+)

 

в моем случае сеть 192.168.98.0/24, первым адресом является сам сервер, поэтому сюда дадим второй адрес (192.168.98.2/24)

Теперь необходимо создать вторую WiFi сеть, также, мы же знаем, что по условию задачи, гостевая сеть должна быть безпарольной, поэтому сперва создадим новый профиль безопасности:

Wireless — Security Profiles, добавить (+)

Обзываем его как хотим и выбираем Mode: none

Дальше создаем сам интерфейс переключившись на вкладку: Wireless — Interfaces, добавить (+) выбираем Virtual, даем имя нашему новому интерфейсу и…

 

… в этом же окне переключаемся на вкладку Wireless ну и заполняем как на картинке:

SSID — имя WiFi-сети, как назовете, так оно и поплывет в народ, главное, в нашем случае, изменить Securiy Profile с дефолтного на созданный нами ранее nokey и указать VLAN MODE: no tag и номер нашего VLAN

Теперь главное — наводим мосты чтоб все это заработало:

Переходим в пункт Bridge и соответственно на вкладку Bridge, строим новый мост (+):

Дальше указываем между какими интерфейсами построим этот мост: переходим на вкладку Ports, жмем плюсик и..:

указываем созданный нами гостевой беспроводной интерфейс, а также созданный нами мост:

Снова жмем добавить (+) и указываем второй конец моста — это созданный нами VLAN-интерфейс и соответственно созданный нами мост:

Вот собственно и все, ловкость рук и никакого мошенничества. Проверяем….например смартфоном

 

 

 

MikroTik Несколько SSID с отдельной LAN и DHCP-сервером

Одна из самых удивительных функций MikroTik Wireless Router — это создание нескольких SSID (виртуальных точек доступа) на физическом беспроводном интерфейсе. Таким образом, создать гостевую точку доступа WiFi с отдельным блоком LAN, SSID и DHCP-сервером с помощью MikroTik WiFi AP Router очень просто. В предыдущей статье я обсуждал, как настроить точку доступа MikroTik WiFi на физическом беспроводном интерфейсе с DHCP-сервером с помощью беспроводного маршрутизатора hAP Lite (RB941-2nD). В этой статье я расскажу, как настроить Virtual WiFi AP на физическом интерфейсе с другим SSID, блоком LAN и DHCP-сервером для гостевых беспроводных устройств.

Сетевая диаграмма

Следующая сетевая диаграмма используется для конфигурации этой статьи.

Конфигурация виртуальной точки доступа MikroTik

На этой схеме сети беспроводной маршрутизатор MikroTik hAP lite используется в качестве точки доступа WiFi и шлюза локальной сети. Этот беспроводной маршрутизатор имеет один интерфейс WLAN и четыре интерфейса Ethernet. Точка доступа Wi-Fi была создана на интерфейсе WLAN, чтобы можно было подключать беспроводные устройства. Теперь мы создадим еще одну виртуальную точку доступа WiFi с отдельным SSID на этом интерфейсе WLAN, создав виртуальный интерфейс WLAN.Виртуальная точка доступа Wi-Fi будет использоваться в качестве гостевой точки доступа Wi-Fi, чтобы гостевой пользователь мог подключиться с помощью этого другого SSID и ключа безопасности.

Среди четырех интерфейсов Ethernet порт ether1 используется как WAN-соединение с IP-сетью 192.168.70.0/30. Интерфейс моста (названный LAN_Bridge) был создан, и DHCP-сервер (с блоком IP 10.10.70.0/24) также был настроен на этом интерфейсе моста. Интерфейс WLAN и интерфейсы ether2-ether4 теперь находятся под этим мостом, и пользователи Wi-Fi и пользователи LAN автоматически получают IP-адрес, шлюз по умолчанию и другие сетевые параметры от этого DHCP-сервера.

Теперь мы создадим еще один интерфейс моста (с именем Guest_LAN) и добавим созданный виртуальный интерфейс WLAN к этому мосту. Мы также настраиваем DHCP-сервер (с IP-блоком: 172.16.16.1/24) на новом интерфейсе моста, чтобы гостевые устройства автоматически получали IP-адрес, шлюз по умолчанию и другие параметры сети и могли получить доступ в Интернет.

Конфигурация виртуальной точки доступа MikroTik с DHCP-сервером

Теперь мы настроим виртуальную точку доступа WiFi с отдельным SSID, паролем и локальной сетью в беспроводном маршрутизаторе MikroTik hAP light.Полную настройку виртуальной беспроводной точки доступа можно разделить на следующие четыре этапа.

  • Настройка виртуальной точки доступа Wi-Fi на виртуальном интерфейсе WLAN
  • Создание интерфейса моста и добавление виртуального интерфейса WLAN
  • Назначение IP-адреса шлюза гостевого блока и конфигурации NAT
  • Настройка DHCP-сервера на интерфейсе гостевого моста

Шаг 1. Настройка виртуальной точки доступа Wi-Fi на виртуальном интерфейсе WLAN

Беспроводной маршрутизатор MikroTik hAP lite имеет интерфейс WLAN, на котором должна быть настроена точка доступа WiFi.MikroTik Wireless Router также поддерживает создание виртуального интерфейса WLAN на физическом интерфейсе WLAN, и Virtual WiFi также может быть настроен на этом интерфейсе виртуальной WLAN. Как и при настройке Wi-Fi на физическом интерфейсе WLAN, мы должны сначала создать профиль безопасности, а затем создать SSID на виртуальном интерфейсе WLAN для подключения гостевых беспроводных устройств.

Создание профилей безопасности для гостевой точки доступа WiFi

Для подключения беспроводного устройства к виртуальной точке доступа MikroTik Virtual WiFi гостевые беспроводные устройства должны предоставить ключ безопасности (пароль).MikroTik wireless поддерживает как тип аутентификации WPA PSK, так и WPA2 PSK. Следующие шаги покажут, как создать пароль для точки доступа MikroTik Virtual WiFi с профилем безопасности.

  • В Winbox щелкните пункт меню «Беспроводная связь». Появится окно Wireless Tables.
  • Щелкните вкладку «Профили безопасности», а затем нажмите ЗНАК ПЛЮС (+). Появится окно нового профиля безопасности.
  • Введите осмысленное имя профиля (гостевой профиль) в поле ввода «Имя».
  • Выберите динамические ключи в раскрывающемся меню «Режим».
  • Установите флажки WPA PSK и WPA2 PSK на панели «Типы аутентификации».
  • Теперь укажите надежный пароль в полях пароля общего ключа WPA и предварительного общего ключа WPA2.
  • Нажмите кнопку «Применить» и «ОК».

Guest WiFi Security Profile

Создание отдельного SSID для MikroTik Virtual WiFi AP

После создания профиля безопасности для Virtual WiFi AP, мы должны сначала создать виртуальный интерфейс WLAN, а затем установить SSID (Service Set Identifier) ​​на виртуальном интерфейсе WLAN, чтобы этот гость или желаемое беспроводное устройство может найти виртуальную точку доступа MikroTik с созданным SSID.Следующие шаги покажут, как создать виртуальный интерфейс WLAN и установить SSID в беспроводном маршрутизаторе hAP lite MikroTik.

  • Щелкните вкладку Интерфейсы WiFi, и вы найдете здесь физический интерфейс WLAN (по умолчанию: wlan1).
  • Щелкните раскрывающийся список ЗНАК ПЛЮС (+), а затем выберите параметр Виртуальный. Появится окно нового интерфейса.
  • На вкладке «Общие» вы можете установить имя интерфейса WiFi в поле ввода «Имя» или оставить его по умолчанию (wlan2).
  • Щелкните вкладку «Беспроводное соединение» и выберите «AP-мост» в раскрывающемся меню «Режим».
  • Введите имя SSID (гостевая точка доступа MikroTik) в поле ввода SSID.
  • Выберите физический интерфейс WLAN в раскрывающемся меню Master Interface.
  • Выберите созданный профиль безопасности (Профиль гостя) в раскрывающемся меню Профиль безопасности.
  • Убедитесь, что установлены флажки «Аутентификация по умолчанию» и «Пересылка по умолчанию». В противном случае устройства не будут подключены до аутентификации MAC.
  • Нажмите кнопку «Применить» и «ОК».
  • Вы обнаружите, что виртуальный интерфейс WLAN (wlan2) будет создан под физическим интерфейсом WLAN.

Виртуальный интерфейс WLAN в беспроводном маршрутизаторе MikroTik

Теперь созданный SSID будет найден в беспроводных устройствах, и беспроводное устройство может быть подключено, указав пароль. Режим моста MikroTik ap позволяет подключать беспроводные устройства 2007. Теоретически вы также можете создать 2007 Virtual WiFi AP. Но в реальной сети создавать более 25-30 виртуальных точек доступа нецелесообразно. Если вы создадите больше виртуальных точек доступа, производительность беспроводной сети снизится.

Подключенные устройства вы найдете на вкладке «Регистрация».Но подключения недостаточно, чтобы получить доступ в Интернет. IP-адрес, шлюз по умолчанию и другие параметры сети должны быть предоставлены для подключения к Интернету подключенных устройств. Итак, теперь мы назначим отдельный шлюз LAN, создав новый интерфейс моста. Мы также настроим еще один DHCP-сервер на интерфейсе моста, откуда назначить IP-адрес, шлюз по умолчанию и другие сетевые параметры будут автоматически назначаться гостевым беспроводным устройствам.

Шаг 2: Создание нового интерфейса моста и добавление виртуального интерфейса WLAN

Теперь мы создадим новый интерфейс моста и добавим виртуальный интерфейс WLAN к этому мосту.Следующие шаги покажут, как создать интерфейс моста и добавить к нему виртуальный интерфейс WLAN.

  • Щелкните пункт меню «Мост». Появится окно моста.
  • Щелкните вкладку «Мост», а затем щелкните ЗНАК ПЛЮС (+). Появится окно нового интерфейса.
  • Введите имя интерфейса моста (Guest_LAN) в поле ввода Имя.
  • Нажмите кнопку «Применить» и «ОК».
  • Теперь перейдите на вкладку «Порты» и нажмите «ПЛЮС» (+). Появится окно New Bridge Port.
  • Выберите интерфейс wlan2 в раскрывающемся меню «Интерфейс».
  • Выберите созданный интерфейс моста (Guest_LAN) в раскрывающемся меню Bridge.
  • Нажмите кнопку «Применить» и «ОК».

Создан новый интерфейс моста, и к этому мосту также добавлен виртуальный интерфейс WLAN. Таким образом, любая конфигурация, выполняемая на интерфейсе моста, будет применена к интерфейсу Virtual WLAN и виртуальной точке доступа WiFi.

Шаг 3: Назначение IP шлюза гостевого блока и конфигурации NAT

Теперь мы назначим IP шлюза гостевого блока на новом интерфейсе моста и настроим NAT.Следующие шаги покажут, как назначить IP-адрес шлюза LAN и выполнить NAT в MikroTik Wireless Router.

  • Перейдите в пункт меню IP> Адрес. Появится окно со списком адресов.
  • Нажмите ЗНАК ПЛЮС (+) и поместите гостевой блок LAN Gateway IP (172.16.16.1/24) в поле ввода адреса, выберите новый интерфейс моста (Guest_LAN) в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
  • Перейдите в пункт меню IP> Firewall. Появится окно брандмауэра. Щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+).Появится окно нового правила NAT. На вкладке General выберите srcnat из выпадающего меню Chain и поместите гостевой блок LAN (172.16.16.0/24) в Src. Поле ввода адреса. Щелкните вкладку «Действие» и выберите «Маскарад» в раскрывающемся меню «Действие», а затем нажмите кнопку «Применить» и «ОК».

Назначение IP шлюза LAN и настройка NAT завершена. Теперь мы настроим еще один DHCP-сервер на новом интерфейсе моста, чтобы подключенные гостевые беспроводные устройства могли автоматически получать IP-адрес, шлюз по умолчанию и другие сетевые параметры с этого нового DHCP-сервера.

Шаг 4: Конфигурация DHCP-сервера на новом интерфейсе моста

Теперь мы настроим еще один DHCP-сервер на новом интерфейсе моста, чтобы гостевые пользователи WiFi могли автоматически получать IP-адрес, шлюз по умолчанию и другие параметры сети. Следующие шаги покажут, как настроить DHCP-сервер на новом интерфейсе моста в MikroTik Wireless RouterOS.

  • Перейдите в пункт меню IP> DHCP Server. Появится окно DHCP-сервера.
  • Нажмите кнопку «Настройка DHCP». Появится окно настройки DHCP.
  • Выберите новый интерфейс моста (Guest_LAN) в раскрывающемся меню «Интерфейс DHCP-сервера» и нажмите кнопку «Далее».
  • Блок LAN (172.16.16.0/24) будет автоматически назначен в поле ввода адресного пространства DHCP. Так что делать нечего. Просто нажмите кнопку «Далее».
  • IP-адрес шлюза LAN (172.16.16.1) будет автоматически назначен в поле ввода «Шлюз для сети DHCP». Итак, просто нажмите кнопку «Далее».
  • Пул IP-адресов, из которого IP-адрес будет назначен гостевым беспроводным устройствам, будет автоматически назначен из блока гостевой локальной сети (172.16.16.2-172.16.16.254) в поле ввода «Адреса для выдачи». Итак, просто нажмите кнопку «Далее».
  • Назначенный IP-адрес DNS-сервера будет автоматически назначен в поле ввода DNS-сервера. Итак, нажмите кнопку «Далее».
  • Время аренды DHCP по умолчанию составляет 10 минут. Таким образом, 10 минут будут сохранены в поле ввода Lease Time. При желании вы можете увеличить время аренды для гостевых пользователей на столько, сколько захотите. Щелкните кнопку Далее.
  • Теперь вы увидите окно с сообщением об успешной настройке DHCP. Просто нажмите кнопку ОК.

Отдельный DHCP-сервер с отдельной LAN

Гостевая WiFi-точка MikroTik с DHCP-сервером готова. Теперь подключите любого гостя или любое беспроводное устройство. Устройство автоматически получит IP-адрес, шлюз по умолчанию и другие параметры сети, а также сможет получить доступ в Интернет.

С этой конфигурацией точки доступа MikroTik WiFi любой пользователь беспроводной сети, который знает пароль WiFi, может подключиться с помощью SSID и может получить доступ к DHCP-серверу и DHCP-серверу, будет рад предоставить ему / ей IP-адрес, шлюз по умолчанию и другие параметры сети, потому что нет правила фильтрации для блокировки несанкционированного доступа.MikroTik Wireless или WiFi AP достаточно умен, предоставляя доступ на основе MAC-адреса. Но необходимо настроить фильтрацию MAC-адресов WiFi AP, о чем пойдет речь в моей следующей статье.

Если у вас возникли какие-либо затруднения при правильном выполнении вышеуказанных шагов, посмотрите следующее видео о настройке виртуальной точки доступа MikroTik с отдельными LAN и DHCP-сервером. Я надеюсь, что это уменьшит ваше замешательство.

Как настроить виртуальную точку доступа MikroTik WiFi с DHCP-сервером в беспроводном маршрутизаторе hAP lite , обсуждалось в этой статье.Я надеюсь, что теперь вы сможете правильно настроить виртуальную точку доступа Wi-Fi в беспроводном маршрутизаторе MikroTik, выполнив указанные выше действия. Однако, если вы столкнетесь с какими-либо затруднениями при правильном выполнении вышеуказанных шагов, не стесняйтесь обсуждать их в комментариях или свяжитесь со мной со страницы контактов. Я сделаю все возможное, чтобы остаться с тобой.

Как создать виртуальный интерфейс AP на точке доступа Mikrotik

Что
Я хочу продемонстрировать, что он менее технический, чем звучит название, поверьте мне. В
г.
этой демонстрации, я хочу поделиться с нами простым способом выйти из
техническая ситуация без дополнительных затрат.Предполагая, что у нас есть
Установлено двухточечное соединение, которое соединяет сайт B с сайтом A. Сайт A — это AP
а B — станция. Ссылка в порядке, но совсем недавно появился новый сайт,
назовем его C, в направлении B необходимо подключиться к сайту A. C имеет
чистая линия сайта до A и может быть подключена к A, но единственная проблема в том, что
Уровень лицензии A равен 3, поэтому его беспроводной режим является мостовым, и такая установка может
подключайте только одного клиента за раз, потому что это точка-точка.Как поживаете,
выполнить это требование без обновления лицензии, чтобы маршрутизатор A
беспроводной режим можно настроить как AP для подключения более чем одного клиента?

Когда точка доступа
настроена для двухточечной связи, режим беспроводной связи — это мост
, и только клиент может подключаться одновременно. Однако вы можете подключить от
до 127 клиентов, которые находятся в прямой видимости с этой точкой доступа, используя настройку виртуальной точки доступа
(хотя рекомендуется не выходить за пределы 30 клиентов).Это просто
означает, что вы создаете больше виртуальных точек доступа, каждая со своим собственным SSID
и профилем безопасности. Помимо SSID и профиля безопасности, виртуальная AP
наследует все остальные параметры на главном интерфейсе и работает только на главных интерфейсах
, настроенных как AP-bridge, Bridge или wds-slave.
не поддерживает NV2.

Чтобы
настроить виртуальную точку доступа на точке доступа Mikrotik, выполните следующие действия:

В качестве альтернативы
выполните шаги, описанные в изображениях, для создания с помощью графического интерфейса.

>>
Щелкните вкладку беспроводной связи в главном меню

>>
Нажмите «Добавить» и выберите виртуальную точку доступа

.

>>
Введите имя виртуальной точки доступа

>>
Выберите беспроводной интерфейс в качестве главного интерфейса

>>
Введите имя для SSID и выберите свой профиль безопасности. Профиль безопасности
должен быть

.

созданный до этого шага.

Щелкните здесь, чтобы узнать, как создать, экспортировать и импортировать профиль безопасности в Mikrotik.

Чтобы подключить клиента к виртуальной AP, убедитесь, что частота
на главном интерфейсе виртуального AP-маршрутизатора указана в списке сканирования частот
клиентского радио, а также убедитесь, что у вас уже есть профиль безопасности
, уже созданный на клиенте. радио, просканируйте и подключитесь к SSID
на виртуальной точке доступа. Это все.

Виртуальная точка доступа Mikrotik — Центр технологического программного обеспечения

Виртуальная точка доступа (VAP) на Mikrotik — это виртуальный интерфейс, который можно использовать для создания нескольких точек доступа из одного физического беспроводного интерфейса.Таким образом, используя только один физический беспроводной интерфейс, мы можем создать несколько точек доступа с разными SSID, IP-адресами и MAC-адресами для каждой точки доступа.

Виртуальная точка доступа на Mikrotik также может использовать DHCP-сервер на каждой VAP. Кроме того, мы также можем установить брандмауэр на этом интерфейсе VAP. Эта функция такая же, как и в виртуальной локальной сети (VLAN) в проводной сети.

Примеры использования виртуальной точки доступа Mikrotik, например, когда вы хотите создать две точки доступа в своем офисе, где одна точка доступа используется как специальная точка доступа, а другая — специально для гостей офиса.Вы можете сделать это только с Mikrotik, у которого есть один физический беспроводной интерфейс. Конечно, используя эту функцию VAP.

Как сделать VAP в Mikrotik очень просто. Откройте Winbox, перейдите в меню «Беспроводная связь» -> «Включить беспроводной интерфейс» -> «Установить WLAN с режимом моста AP» -> «Установите другие параметры по своему усмотрению».

Виртуальная точка доступа Mikrotik

Затем, все еще находясь в окне Wireless Tables, нажмите кнопку + и выберите VirtualAP.

Виртуальная точка доступа Mikrotik

На вкладке «Общие» вы можете изменить имя VAP и его MAC-адрес.На вкладке «Беспроводная связь» вы можете изменить имя SSID (идентификатор набора услуг).

Мастер-интерфейс — это физический беспроводной интерфейс, принадлежащий Mikrotik. если Mikrotik имеет только один интерфейс WLAN, то главный интерфейс будет только один.

Этому VAP также может быть назначен профиль безопасности, отличный от его главного интерфейса. Создайте свой профиль безопасности и прикрепите его к желаемой VAP.

В целом эта VAP имеет те же функции, что и ее мастер-интерфейс WL.Однако в VAP нельзя установить используемую частоту, потому что настройки частоты и диапазона, ширина канала, его режим соответствуют главному интерфейсу.

Одна из забавных вещей, которые можно сделать с этим VAP, — это когда мы хотим произнести речь или определенные слова, используя SSID на VAP.

Виртуальная точка доступа Mikrotik

Хорошо, хватит много учебника Mikrotik Networking о виртуальной точке доступа Mikrotik.

1 точка множественного доступа ssid mikrotik

1 ssid точки множественного доступа mikrotik {{keyword}}

spire2z.27 марта 2008 г. 1 547 0 71. Ваш должен работать, как задумано. Мы запускаем мостовую ячеистую сеть с двумя (мостовыми) радиомодулями на узел.

В такой ситуации вы не хотите, чтобы ваши гости имели доступ к вашей внутренней сети. Mikrotik CAPSMAN с несколькими ssid для подключенных контролируемых точек доступа (CAP) может быть настроен в среде, где не разрешен роуминг или где у вас есть гостевая сеть.

Все настройки были выполнены на CAPSMAN. Если вы дошли до этого момента, поздравляем! См. Изображение ниже.Если настроена гостевая сеть, настоятельно рекомендуется настроить другую парольную фразу для этой сети. Однако, если это не сработает, не переживайте. Mikrotik устанавливает несколько виртуальных точек доступа и виртуальных локальных сетей 1. В такой ситуации вы не хотите, чтобы ваши гости имели доступ к вашей внутренней сети. Сб 17 фев 2007, 19:25. Сообщений: 91 Зарегистрирован: 27 апр 2007, 21:11. Попробуйте удалить его из списка настроенных ssid и повторите попытку сканирования. В интерфейсе CAPSMAN дважды щелкните CAP, SSID которого вы хотите изменить.Какие файлы cookie и скрипты используются и как они влияют на ваше посещение, указано слева. Каждая подсеть имеет от 5 до 10 узлов. Также подпишитесь на мой Введите свой адрес электронной почты, чтобы подписаться на этот блог и получать уведомления о новых сообщениях по электронной почте. Этот сайт использует функциональные файлы cookie и внешние сценарии для улучшения вашего опыта. Этот сайт использует функциональные файлы cookie и внешние сценарии для улучшения вашего опыта. Недавно я купил Mikrotik RB951G-2hnd в качестве дополнительной точки доступа, чтобы поиграть с ней в лаборатории и в конечном итоге заменить устаревший маршрутизатор / точку доступа Netgear SOHO, которая в настоящее время обрабатывает только трафик беспроводного доступа и не выполняет никакой маршрутизации.Отличный пост Мы запускаем мостовую ячеистую сеть с двумя (мостовыми) радиомодулями на узел. Просто оставьте мне комментарий, и я с радостью помогу вам. Если вам понравился этот урок, пожалуйста, подпишитесь на этот блог, чтобы получать мои сообщения по электронной почте. Использование одной и той же кодовой фразы для всех ваших шапок, включая гостевую сеть, может привести к нарушению безопасности и иметь разрушительный эффект. Я почти уверен, что это никому не нужно. Чтобы установить другую парольную фразу для CAP, нам нужно создать несколько профилей безопасности на CAPSMAN, а затем выбрать профиль безопасности, который мы хотим для CAP.С помощью этих конфигураций я успешно изменил ssid и кодовую фразу одной из моих CAP, даже не входя в нее. Все, что вам нужно сделать, это настроить два маршрутизатора на использование одного и того же SSID и пароля. Верхний . Несколько точек доступа + 1 SSID. Прочтите мой предыдущий пост: после того, как вы настроили свой CAPSMAN и подготовили все свои CAPS, вы можете просто изменить ssid CAP, выполнив следующие действия: Войдите в CAPSMAN и нажмите CAPSMAN. После моего последнего поста мы начали использовать Dude через VPN (pptp) и обнаружили, что он работает нормально.9 февраля 2010 г. # 1 Я думаю, что это возможно, но я никогда раньше этого не делал. Давний член. Я действительно не заглядывал в веб-интерфейс.

После небольшого поиска в Google я обнаружил, что создать одну сеть Wi-Fi с несколькими точками доступа очень просто. Сразу после этого поста у нас было соединение без проблем. Нажмите «Применить» и «ОК». Беспроводные клиенты просто предполагают, что все точки доступа с одинаковым SSID настроены одинаково и являются просто разными точками доступа к одной и той же базовой проводной сети.Mikrotik CAPSMAN с несколькими ssid для подключенных контролируемых точек доступа (CAP) может быть настроен в среде, где не разрешен роуминг или где у вас есть гостевая сеть. В настоящее время у нас есть 3 VPN-подключения к разным частям нашей сети, каждая из которых имеет свою подсеть. Как управлять несколькими точками доступа при использовании WDS. Оборудование и технологии. Настройте подключение L2 CAP к CAPsMAN с 2 сетями Wi-Fi (зашифрованный и открытый доступ — гостевая) 3. Настройте 3 CAP на 1, 6 и 11 канал 4.Невозможно управлять несколькими маршрутизаторами через NAT через Winbox без полного nat, когда маршрутизатору назначается отдельный IP-адрес, можно использовать SSH. Невозможно управлять несколькими маршрутизаторами через NAT через Winbox без полного nat, когда отдельные IP-адрес назначается маршрутизатору, можно использовать SSH. Вы должны использовать DST-NAT на пограничном маршрутизаторе (который использует общедоступный / маршрутизируемый адрес) и перенаправить определенный порт на требуемый маршрутизатор. Вы должны использовать DST-NAT на пограничный маршрутизатор (который использует общедоступный / маршрутизируемый адрес) и перенаправляет определенный порт на требуемый маршрутизатор.Вы можете использовать vpn, чтобы получить доступ ко всему в диапазоне 192.168.0.0.

Hogeschool Gent имеет несколько точек доступа, которые действуют как одна большая сеть. Частый гость. Привет, у меня следующая конфигурация DSL-MODEM ===== ether1: 192.168.1.254 Portforwarding 8291 ==> 192.168.1.1 AP 1 ===== ETHER1: 192.168.1.1 WLAN1: 10.5.50.1 (ap-bridge … Как управлять несколькими точками доступа при использовании WDS. Cara Setting Virtual Access Point (Multiple SSID) Wireless Routerboard MikroTik yang digunakan untuk distribusikan jaringan menggunakan jaringan wireless / wifi dengan metode memancarkan 2 atau lebih nama wifi / SSID yang haringa dalam 1 pera mempunyai 1 fisik интерфейсы беспроводной тапи mempunyai service atau IP Address yang berbeda.

Шаблон анализа первопричин для здравоохранения,
Слои центрифуги крови,
Спидвей ГП 2019,
Драйв-ин-театр Риверсайд,
Дэвид Джонсон 2019,
Флот Британских авиалиний,
Фотографии двух выживших в авиакатастрофе в Сосолисо,
Цитаты о невысказанных чувствах,
Джон Дигвид @ Bunker Sessions Tracklist,
Кэти Маскелл Книга,
United Airlines Bahrain,
В ожидании вдоха,
Грязный 30 21 день Fix Extreme,
Ramoji Film City Price,
Индикатор ночного прилива,
Огнемет Илона Маска на продажу,
Список пассажиров авиакатастрофы Dana,
Правильный выбор синоним,
Мистери Гунунг Пангранго,
Родди Ричч — Ричч навсегда,
Оровилль, Почтовый индекс Калифорнии,
Ласк Линц против Рапид Вены,
Обзор вкладыша куртки Firstgear с подогревом,
Презрение к силам симбиота,
Рак Император всех болезней Стенограмма,
Прошлое The Point Of Rescue (караоке),
Расписание рейсов Эмирейтс Янгон,
Изображения дикого пастернака,
Юнайтед 6534 Dc-6,
Крушение новостей Turkish Airlines,
Обручальное кольцо Виктории Готти,
Объяснение концовки фильма «Черный снег»,
Были ли авиакатастрофы Spirit Airlines,
Вики по героям колбасной вечеринки,
История Мира Плакат,
Прошивка Wac 730,
Ветреный дождь Значение,
Fatso Movie 2008,
Вход для сотрудников Octane,
Силькеборг Иф — Сендерийске,
Автомобильная авария Мэриленд июнь 2020,
Лаура Савойя Возраст,
Результаты 7-х гоночных игр,
Лучший маршрутизатор для нескольких устройств Reddit,
Надин Койл Поп-идол,
Головокружительный танец Fortnite в реальной жизни,
Mjällby Vs Falkenbergs h3h,
Смешная авиакатастрофа,
Лори Фатч Аллигатор,
Работа НПО по методологии защиты окружающей среды,
Группа по защите прав на оружие штата Вашингтон,
Рейтинг Clyde Animal Crossing,
Cirrus Sr22t Cockpit,
Официальный веб-сайт аэропорта Каликута,
Youtube Как использовать Patreon,
Завтра Adrenalize Тексты,
Дочь Фила Эспозито,
Пожарно-спасательная служба округа Франклин,
Aerolíneas Argentinas Whatsapp,
Футбольная лига Сан-Диего,
Музей Бруклендс Google Карты,
Прошивка Linksys Re6500,
Эрин Доэрти Linkedin,
Срок действия метода Биркмана,
Номинации Квенжане Уоллис,
Нао Паре Летра,
Карим Граймс жена,
Производители медных дистилляторов,
Саундтрек Baby Mama,
Футболка Украина,
Лейт Хилл Тауэр Кафе,
Шервуд Фарм Истон, Кт,
Южно-итальянский десерт,
Гта Сан Андреас Разоренный,
Чистая прибыль Ryanair 2019,
Диапазон Liteap Gps,
Неукротимые молодежные песни,
Хороший человек Imdb,
Да пребудет с тобой сила Звездные войны,
Тест по чтению высотомера,
Индекс серии Powder Web,
Требования к паролю Wpa2,
Джонни Уокер Dj Net Worth,
Леопардовая жаба Нордхук,
Сугубо конфиденциальное значение,
• »¿Csv Python,
1 Smashing Magazine,
+ 18большеГрупповой ресторанOlive Kitchen + Bar Penang, ThirtyTwo At The Mansion и др.,
Рейс Вариг 837,
Wtf Несс Хеннесси,
Convair 580 Cockpit,
Коронавирус Surrey Live,
Бронирование Copa Airlines,
Требования кредитного союза к ссуде физических лиц,
Лучший мексиканский акцент,
Лучшая точка доступа Reddit,
Софи Тернер Джо Джонас Свадьба,
Логотип Эмирейтс PNG изображения
Проверки второго стимула Irs Tax,
Карьера в Западной нефтепереработке,

Mikrotik Настройка нескольких виртуальных точек доступа и VLAN

Недавно я взял Mikrotik RB951G-2hnd в качестве дополнительной точки доступа, чтобы поиграть с ней в лаборатории и в конечном итоге заменить устаревший маршрутизатор / точку доступа Netgear SOHO, которая в настоящее время обрабатывает только трафик беспроводного доступа и не выполняет никакой маршрутизации.Я использовал точки доступа Mikrotik, и мне очень нравится мощность и настраиваемые параметры программного обеспечения RouterOS. Вы просто не найдете более настраиваемого маршрутизатора / точки доступа, который отвечал бы вашим потребностям, если вы любите настраивать и возиться. Документация Mikrotik становится все лучше, но знание того, как что-то делать с оборудованием Mikrotik, всегда было проблемой, связанной с их продуктами. Однако в большинстве случаев вы можете найти то, что вам нужно, на форумах и т. Д.

Тема, которую многие задают вопросом о том, как настроить, — это несколько виртуальных точек доступа и VLAN.Если ваша топология состоит из общедоступной сети Wi-Fi, а также частной / административной сети, установка нескольких точек доступа с тегированием VLAN имеет смысл. Позвольте мне предварить это руководство по настройке этим утверждением — есть много способов достичь той же цели. Благодаря гибкости RouterOS, которую предоставляет вам наряду с множеством вариантов конфигурации, существует множество решений. Конечно, всегда есть лучшие практики, но я покажу несколько способов настроить RouterOS для потока трафика с несколькими виртуальными точками доступа и тегами VLAN.

Для этого поста мы настраиваем RB951G только как точку доступа. Маршрутизация и DHCP выполняются в восходящем направлении. Также предполагается, что вы подключаете Mikrotik AP к вышестоящему коммутатору с соответствующими VLAN без тегов / тегов.

Настройка виртуальных локальных сетей в качестве собственного интерфейса

Первый вариант настройки нескольких виртуальных точек доступа и виртуальных локальных сетей — это создание виртуальных локальных сетей в качестве их собственных интерфейсов, а затем использование мостов для связывания интерфейсов виртуальной локальной сети с соответствующим виртуальным интерфейсом точки доступа / локальной сети.Таким образом, тегирование выполняется через интерфейсы VLAN, а не через виртуальную точку доступа. Давайте посмотрим, как это выглядит в Winbox.

Интерфейсы VLAN

Итак, позвольте мне объяснить то, что я считал ошибкой при передаче VLAN от точки доступа Mikrotik. Для простоты в нашем примере у нас есть «частная» VLAN и «общедоступная» VLAN. Вы можете подумать, что вам нужно создать (2) интерфейса VLAN в RouterOS для обработки обеих сетей VLAN, и мы бы это сделали, если «немаркированный» идентификатор VLAN коммутатора восходящего потока отличается от любого из двух.Однако в большинстве простых сетевых топологий идентификатор VLAN администратора — это немаркированный идентификатор вышестоящего коммутатора, поэтому мы можем просто оставить эти кадры без тегов, поступающие от Mikrotik. Для многих эта немаркированная конфигурация VLAN на большинстве коммутаторов — это VLAN 1, что не является лучшей практикой для обеспечения безопасности, однако во многих сетях мы обнаруживаем, что VLAN 1 обычно остается в качестве VLAN администратора по умолчанию. Таким образом, в этом случае немаркированные кадры фактически находятся в VLAN 1.

Итак, в RouterOS, если мы используем немаркированную VLAN для подключения к частной / административной стороне, нам нужно только создать один интерфейс VLAN, чтобы пометить только общедоступный трафик для правильной сети.Непомеченная частная виртуальная точка доступа получит свое членство в VLAN из немаркированной VLAN на вышестоящем коммутаторе. Фактически, мы бы все сломали, если бы выполняли двойную задачу и пытались пометить кадры с Mikrotik, а затем также использовали бы восходящий коммутатор, который также пытался бы пометить исходящий трафик — это не сработало бы, и трафик не прошел бы.

Перейдите к Интерфейсы в Winbox и создайте новый интерфейс VLAN. В приведенном ниже примере мы создали новый интерфейс VLAN 60, привязанный к интерфейсу Ether1 на Mikrotik RB951G, поскольку это порт «WAN» или магистральный порт, который будет подключаться к вышестоящему коммутатору.

Настройка виртуальной точки доступа

На стороне виртуальной точки доступа у нас есть стандартная точка доступа или wlan1 по умолчанию, а затем мы настроим одну виртуальную точку доступа для общедоступной стороны. Обратите внимание, что для режима VLAN осталось значение без тега . Конфигурация частной стороны wlan1_Admin VLAN выглядит так же без тега, установленного в опции режима VLAN.

Установка моста

Для настройки моста нам нужно (2) моста для передачи трафика из обеих VLAN. Назовите свои мосты настолько интуитивно, насколько это возможно, так как это упростит вам идентификацию вещей в будущем.Ниже имеем:

  • lan_bridge — переносит трафик администратора
  • vlan60_bridge — пропускает общественный трафик

Теперь нам нужно добавить наши порты к мостам, созданным выше:

  • ether1 и wlan1_Admin добавляются к lan_bridge для соединения двух
  • vlan60 и wlan_vlan60 добавлены к vlan60_bridge для соединения двух

На этом этапе вы сможете правильно получить DHCP-адрес, назначенный при подключении к стороне wlan1_Admin, а также к общедоступной стороне.Имейте в виду, что вся остальная инфраструктура, задействованная для передачи трафика DHCP, должна быть на месте

  • Области должны быть установлены для обеих сетей
  • Необходимо настроить параметры маршрутизатора, чтобы соответствующий адрес передавался из правильного пула.
  • Switchport, к которому подключена ваша точка доступа Mikrotik, должен быть помечен всеми VLAN, в которые вы хотите передавать трафик для
  • .

Упрощенная конфигурация

Итак, выше есть несколько движущихся частей, чтобы убедиться, что трафик VLAN, который мы хотим пометить на правильной виртуальной точке доступа, настроен правильно.Давайте рассмотрим упрощенный подход к выполнению того же самого, что позволяет нам отказаться от одного из мостов в пользу того, чтобы виртуальная точка доступа пометила сам трафик, что имеет больше смысла.

Настройка виртуальной точки доступа

В более простой настройке у нас нет отдельного интерфейса VLAN, который мы создали. Маркировка VLAN выполняется виртуальной точкой доступа.

Итак, мы видим разницу уже ниже. Виртуальная точка доступа сама заботится о тегировании VLAN.

Настройка моста:

Используя один lan_bridge и не vlan60_bridge, мы можем соединить все вместе на одном мосту — wlan1, vlan60_wlan и ether1.Теперь наша настройка моста проста, один lan_bridge.

Теперь мы можем связать ether1, wlan1_Admin и wlan_vlan60 вместе на вкладке портов

Трафик, помеченный общедоступным wlan, будет передаваться на ether1, который подключен к порту, помеченному публичной VLAN вместе с частной / административной VLAN. Нетегированные кадры от нашего wlan1_Admin помечаются портом восходящей связи. Значит трафик направлен правильно.

Последние мысли

Как только вы научитесь настраивать Mikrotik с помощью Winbox или даже из командной строки, довольно просто приступить к работе с вашими конфигурациями.Надеюсь, что приведенная выше информация укажет вам правильное направление в настройке конфигурации VLAN / виртуальной точки доступа.

Комбинация точки доступа и станции

на Mikrotik — Домашняя страница Medo

В то время как в наши дни беспроводная связь доступна в большинстве отелей, старый добрый кабель Ethernet постепенно исчезает. Это означает, что вы не можете просто подключить свою собственную беспроводную сеть и заставить ее работать. Наличие устройства, способного соединить две беспроводные сети, становится необходимостью.Вы задаетесь вопросом, зачем вам вообще беспокоиться?

Одна из причин — удобство: если вы всегда подключаетесь к собственной беспроводной точке доступа, у вас все готово к работе без раздражающих веб-запросов. Это особенно удобно, если вы берете с собой Roku или Chromecast, поскольку в них обычно нет возможности даже вводить комбинацию имени пользователя и пароля.

Другая причина — безопасность. Подключение к открытой сети (или к сети с широко известным ключом) означает, что каждое устройство полностью открыто для слежки за прячущимися гремлинами.И вы удивитесь, сколько данных на самом деле не зашифровано. Да, наличие собственной беспроводной сети не обязательно решает эту проблему, поскольку вы по-прежнему просматриваете незащищенные носители, но это необходимый первый шаг. В одном из будущих постов мы можем поговорить о подключении через VPN и о том, как снять шкуру с этой конкретной кошки.

Для меня любимым мостом от беспроводного к беспроводной сети был устаревший Asus WL-330gE. К сожалению, устройство давно не обновлялось, и использование альтернативной прошивки значительно усложняет функцию беспроводного моста, чем следовало бы.

В последнее время я использовал два устройства Mikrotik mAP lite друг за другом. Один выполняет функцию беспроводного клиента по отношению к беспроводной сети отеля, а другой — точку доступа с VPN на борту. Поскольку мне понадобилась одна карта для другого моего проекта, я начал задаваться вопросом, как настроить одно и то же устройство в качестве беспроводного клиента и точки доступа.

В этом руководстве предполагается, что вы должны вводить команды в окне нового терминала из WinBox. Таким образом, я буду просто повторять необходимые команды, а не просматривать экраны.Команды на самом деле довольно информативны и их легко «перевести» в действия с графическим интерфейсом пользователя, если вы так предпочитаете.

Предполагая, что вы начинаете со свежей версии mAP lite, первым делом необходимо подключиться к беспроводной сети по умолчанию и полностью очистить маршрутизатор. Это позволит подключить WinBox через кабель к MAC-адресу маршрутизатора, поскольку конфигурация по умолчанию предполагает, что порт предназначен для WAN.

  / system 
reset-configuration no-defaults = yes skip-backup = yes

Поскольку все удалено, практически единственное, что можно сделать, — это подключиться к порту Ethernet и использовать обнаружение соседей на вашем Mikrotik.Когда устройство будет найдено, просто подключитесь, используя MAC-адрес.

Если мы не знаем точную беспроводную сеть, которая нас интересует, мы можем включить беспроводную связь и выполнить сканирование, чтобы увидеть, что находится вокруг.

  / interface wireless 
scan wlan1

Как только мы найдем сеть путем сканирования или потому что мы уже изменили ее имя, пора ее настроить. Конечно, режим профиля безопасности и все другие параметры должны соответствовать сети, к которой вы подключаетесь.

  / интерфейс 
профили безопасности беспроводной сети добавить имя = профиль клиента режим = динамические-ключи типы-аутентификации = wpa2-psk wpa2-pre-shared-key = hotel_wireless_password
беспроводной набор wlan1 ssid = hotel_network_name security-profile = client- profile frequency = auto disabled = no

На самом деле это одна из редких ситуаций, когда, вероятно, стоит использовать графический интерфейс и инструмент беспроводного сканера вместо того, чтобы разбираться со всем этим вручную.В любом случае, если все прошло хорошо, вы должны увидеть верхний регистр R рядом с интерфейсом wlan1.

Поскольку мы уничтожили всю сетевую конфигурацию, нам нужно настроить DHCP-клиент на интерфейсе wlan1, чтобы мы могли получить IP. Это хорошая вторая контрольная точка, так как вы должны увидеть, как IP-адрес отеля присваивается вашему маршрутизатору.

  / ip 
dhcp-client add interface = wlan1 disabled = no
address print

Теперь, когда мы разобрались с клиентом, нам нужно создать точку доступа.Это включает в себя настройку профиля безопасности, создание интерфейса точки доступа поверх существующего wlan1, сортировку интерфейса DHCP-сервера, NAT и, наконец, базовый брандмауэр.

  / интерфейс 
профилей безопасности беспроводной сети добавить имя = режим AP-профиля = типы-аутентификации с динамическими ключами = wpa2-psk wpa2-pre-shared-key = пароль_доступа
добавить имя беспроводной сети = ap-wlan master-interface = wlan1 mode = ap-bridge ssid = access_point_network_name security-profile = ap-profile disabled = no

/ ip
address add interface = ap-wlan address = 192.168.89.1 / 24
dhcp-server network add address = 192.168.89.0 / 24 gateway = 192.168.89.1
pool add name = ap-pool range = 192.168.89.10-192.168.89.99
dhcp-server add name = ap-dhcp interface = ap-wlan address-pool = ap-pool disabled = no

/ ip firewall nat
add chain = srcnat out-interface = wlan1 action = masquerade

/ ip firewall filter
add chain = forward action = accept in- interface = состояние соединения wlan1 = установлено, связанное отключено = нет
add chain = forward action = accept out-interface = wlan1 disabled = no
add chain = forward action = drop disabled = no

/ system reboot

Предполагая все все прошло нормально, после перезагрузки ваша точка доступа будет подключена к беспроводной сети отеля.

Эта установка не обязательно самая удобная, поскольку каждый раз, когда вы хотите подключиться к новой сети, вам придется использовать WinBox через кабель Ethernet. И нет, вы не можете использовать точку доступа для настройки, так как точка доступа активна только в том случае, если ее главный узел — соединение с гостиницей — работает.

Опять же, нет, вы не можете сделать это по-другому — сделайте точку доступа в качестве основного беспроводного интерфейса, а станцию ​​в качестве подчиненной, потому что вам необходимо отслеживать станции для точки доступа вашего отеля.Если вы сначала настроите точку доступа, вам нужно будет настроить ее частоту в соответствии с точкой доступа отеля в любое время. Это плохо работает, если вы бродите по отелю и видите точки доступа с тем же именем и разной частотой, и не будет хорошо, если точка доступа изменит свою частоту, например, из-за обнаружения радара.

Тем не менее, эта установка дает вам полную мощность Mikrotik для использования в беспроводном мосту по цене одного устройства.

Я? Я буду придерживаться метода двойного MAP.

PS: Да, вы можете обойти необходимость в кабеле Ethernet, но он становится достаточно сложным, и это не стоит усилий.

PPS: Да, брандмауэр ОЧЕНЬ простой.

Amazon.com: Mikrotik wAP ac — всепогодная точка доступа — двухдиапазонная 2,4 / 5 ГГц

Gleich vorweg: Ich habe diesen Access Point zurückgeschickt, weil er nicht meinen Erwartungen entspricht. Dies hat folgenden Grund:

Meiner Meinung nach ist die Sendestärke nicht mehr zeitgemäß. Als Vergleich habe ich einen Access Point von einer anderen Firma verwendet, der sich im selben Preisspektrum befindet.
Ich habe zwar in meine Haus auf gar keinen Fall gute Bedingungen für Funksignale (dicke Wände…), aber das Konkurrenzprodukt schafft es nahezu im ganzen Haus eine stabile Verbindung mit mindestens 20mbit / s Herzustellen. Die Reichweite des 5GHz Bandes ist bei diesem auch immens.
Beim MT (Mikrotik) AP ist bei mir bereits nach ein bis zwei Räumen Entfernung schon das 5 Ghz Signal nicht mehr brauchbar. Ein Nutzen von WLan im nächsten Stockwerk kann man ganz und gar vergessen, nicht einmal die 2,4 GHz schaffen hier eine gute Verbindung.

Wäre dieses Problem mit der Sendestärke bzw.Reichweite nicht, wäre ich glücklich gewesen.
(Nur ist dies ja eigentlich die Hauptaufgabe eines AP;))

Jetzt möchte ich noch auf die guten Aspekte des Produktes eingehen:

Das mitgelieferte Zubehör ist fantastisch. Man erhält einen PoE Injektor, ein Netzteil, einen Standfuß, Montagematerial (Schrauben, Dübel .

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2021 © Все права защищены. Карта сайта