Bardzo często zdarza się, że chcemy dać naszym gościom dostęp do WiFi, ale niekoniecznie chcemy im podawać nasze główne hasło, lub dostęp do naszych pozostałych urządzeń.
Rozwiązaniem powyższego problemu może być osobna sieć WiFi dla gości, która będzie spełniała poniższe warunki:
- osobny SSID GUEST_NETWORK
- osobne hasło dostępowe WPA guestpassword
- osobna adresacja IP: 10.1.1.0/24
- brak możliwości łączenia się gości z siecią lokalną
- możliwość połączenia gości z internetem
W pierwszym kroku musimy skonfigurować autentykację WPA-PSK i WPA2-PSK dla nowego SSID. Pogrubieniem zaznaczyłem hasło.
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk comment="for guest access" \
eap-methods="" mode=dynamic-keys name=guest_access supplicant-identity="" \
wpa-pre-shared-key=guestpassword wpa2-pre-shared-key=guestpassword
Teraz możemy utworzyć wirtualny interfejs WLAN z naszym nowym SSID. Pogrubiłem nazwę interfejsu (wlan2) oraz nazwę SSID naszej sieci dla gości (GUEST_NETWORK)
/interface wireless
add comment="Secondary SSID for Guest Network" disabled=no keepalive-frames=\
disabled master-interface=wlan1 \
multicast-buffering=disabled name=wlan2 security-profile=guest_access ssid=\
GUEST_NETWORK wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
Aby umożliwić nadawanie adresów IP oraz routing, dodaję nowy bridge (bridge-guest):
/interface bridge
add name=bridge-guest
/interface bridge port
add bridge=bridge-guest interface=wlan2
W kolejnym kroku nadaję naszemu routerowi Mikrotik adres IP w nowej podsieci dla gości
/ip address
add address=10.1.1.1/24 comment="adress in guest pool" interface=bridge-guest \
network=10.1.1.1
Teraz skonfigurujemy nową pulę adresową dla gości, z której serwer DHCP będzie przyznawał adresy. Podałem DNS-y 8.8.8.8 i 8.8.4.4, z których będą korzystać goście. Bramą domyślną oczywiście jest nasz Mikrotik: 10.1.1.1
/ip dhcp-server network
add address=10.1.1.0/24 comment="Guest network" dns-server=8.8.8.8,8.8.4.4 \
gateway=10.1.1.1 netmask=24
/ip pool
add name=guest-dhcp-pool ranges=10.1.1.100-10.1.1.254
/ip dhcp-server
add address-pool=guest-dhcp-pool disabled=no interface=bridge-guest name=\
guest-dhcp-server src-address=10.1.1.1
To już prawie koniec! Teraz musimy ustawić NAT dla nowej podsieci, tak aby goście mieli dostęp do internetu. Zakładam, że wychodzimy do internetu interfejsem bridge-local
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade for Guest Network" \
out-interface=bridge-local
W ostatnim kroku musimy skonfigurować firewall, aby nie zezwalał na komunikację z naszą istniejącą siecią LAN. Podsieć o adresacji 192.168.1.0/24 to nasza istniejąca sieć, a 10.1.1.0/24 to nasza nowa sieć dla gości.
/ip firewall filter
add action=drop chain=forward comment=\
"Drop traffic from Guest Network to Local LAN" dst-address=192.168.1.0/24 \
src-address=10.1.1.0/24
Na koniec warto sprawdzić kompletność naszej konfiguracji komendą
/export