Это обычная практика безопасности для настройки беспроводной гостевой сети в отдельной VLAN. Это позволяет полностью изолировать трафик между вашей частной и гостевой сетями. В этом руководстве будет рассказано только о том, как реализовать эту конкретную настройку на маршрутизаторах MikroTik со встроенным WiFi, таким как RB951, RB962 и т. Д. Прежде чем продолжить, я предполагаю, что частная беспроводная сеть уже существует и полностью функционирует. Кроме того, все скриншоты и инструкции в этом руководстве сделаны с использованием программного обеспечения MikroTik WinBox.
СОЗДАЙТЕ ПРОФИЛЬ БЕЗОПАСНОСТИ И ВИРТУАЛЬНУЮ ТОЧКУ ДОСТУПА
В Winbox выберите Wireless слева и перейдите на вкладку «Профили безопасности». Нажмите кнопку + (плюс), чтобы создать новый профиль безопасности. Я отключил WPA PSK, оставив включенным только WPA2 PSK. Также убедитесь, что вы установили безопасный / сложный пароль. Смотрите скриншот для деталей:
После этого перейдите на вкладку «Интерфейсы WiFi», нажмите кнопку «+» (плюс) и выберите «Виртуальный» в меню. На вкладке Общие установите Имя для Виртуальной точки доступа, что-то описательное, например, WiFi-Guest. После этого перейдите на вкладку «Беспроводная связь» и установите SSID, профиль безопасности, режим VLAN и идентификатор VLAN. Идентификатор VLAN будет соответствовать интерфейсу VLAN, который мы будем создавать на следующем шаге. Смотрите скриншоты для более подробной информации:
СОЗДАЙТЕ ИНТЕРФЕЙС VLAN
В Winbox выберите «Интерфейсы» слева и перейдите на вкладку «VLAN». Нажмите кнопку + (плюс), чтобы создать новый интерфейс VLAN. Идентификатор VLAN равен «10», а интерфейс – «WiFi-гость». Это значения, которые были установлены на предыдущем шаге при создании виртуальной точки доступа. Смотрите скриншот для деталей:
ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс> вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. В этом случае вы можете либо не использовать списки интерфейсов, а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN. Если MikroTik использует списки интерфейсов и вы не добавляете интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа к Интернету. В частности, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:
ПРИМЕЧАНИЕ. MikroTik может использовать «Списки интерфейсов» (Winbox: Интерфейс> вкладка «Список интерфейсов») в некоторых правилах фильтрации брандмауэра. В этом случае вы можете либо не использовать списки интерфейсов (требуются изменения правил фильтра брандмауэра), а использовать только интерфейсы, либо обязательно добавить новый интерфейс VLAN для гостевой сети в существующий список интерфейсов ЛВС (без фильтра брандмауэра). изменения правил необходимы).
Если MikroTik использует списки интерфейсов и вы не добавляете интерфейс VLAN для гостевой сети в существующий список интерфейсов LAN, то гости смогут подключаться к сети, но не будут иметь доступа к Интернету. В частности, правило MikroTik по умолчанию, которое требует добавления VLAN для гостевой сети в список интерфейсов LAN, выглядит следующим образом:
/ip firewall filter add action=drop chain=input comment=“defconf: drop all not coming from LAN” in-interface-list=!LAN
СОЗДАТЬ НОВЫЙ МОСТ
В Winbox выберите Bridge с левой стороны и перейдите на вкладку Bridge. Нажмите кнопку + (плюс), чтобы создать новый мост. Установите для имени моста значение «Bridge-VLAN10». Смотрите скриншот для деталей:
После этого перейдите на вкладку «Порты» и нажмите кнопку «+» (плюс), чтобы добавить интерфейс к мосту. Этот шаг необходимо будет выполнить дважды, по одному разу для каждого интерфейса, добавляемого к Bridge-VLAN10. Добавьте интерфейс «Wifi-Guest» и «VLAN10» к мосту «Bridge-VLAN10». Смотрите скриншоты для более подробной информации:
НАЗНАЧИТЬ ПОДСЕТЬ ДЛЯ НОВОГО МОСТА
В Winbox выберите IP слева и перейдите к Адресу. Нажмите кнопку + (плюс), чтобы создать назначение адреса / интерфейса. Установите Адрес на «10.10.10.1/24» и Интерфейс на «Bridge-VLAN10». Смотрите скриншот для деталей:
СОЗДАТЬ DHCP-СЕРВЕР
В Winbox выберите IP слева и перейдите к DHCP-серверу. На вкладке DHCP нажмите кнопку «DHCP Setup» и завершите работу мастера, чтобы создать DHCP-сервер для гостевого WiFi. Смотрите скриншот для деталей:
СОЗДАНИЕ И РАЗМЕЩЕНИЕ ПРАВИЛ ФИЛЬТРА БРАНДМАУЭРА
В Winbox выберите IP слева и перейдите к Firewall. На вкладке Правила фильтра нажмите кнопку + (плюс), чтобы создать новое правило фильтра. См. Снимок экрана ниже, который показывает, как создать правило фильтра брандмауэра, чтобы блокировать трафик гостевой VLAN ТОЛЬКО в частную сеть.
После создания нового правила фильтрации брандмауэра, поместите правило фильтра брандмауэра соответственно в список фильтров брандмауэра – порядок имеет значение. В обязанности вашего ИТ-отдела / провайдера входит проверка безопасности между двумя отдельными сетями, чтобы убедиться, что гостевая сеть VLAN10 (интерфейс Bridge-VLAN10) не может обмениваться данными с устройствами / клиентами в частной сети.
При необходимости можно добавить второе правило для блокировки трафика из частной сети в гостевую сеть VLAN. Для этого просто создайте другое правило, но поменяйте местами значения «In. Интерфейс »и« Out. Интерфейс”. Как реализовать правило фильтрации брандмауэра, зависит от политик безопасности вашего ИТ-отдела / провайдера.
В этом примере используются сетевые интерфейсы, которые были созданы на MikroTik для разделения двух сетей, но с такой же легкостью можно создать IP-адрес с косой чертой (CIDR), если это необходимо. Опять же, это зависит от вашего ИТ-отдела / провайдера.
Все это руководство основано на графическом интерфейсе, но я решил включить следующие команды ниже, которые создадут оба правила фильтра брандмауэра для блокировки трафика от гостя к частному и от частного к гостевому. Вся команда может быть вставлена в терминал MirktoTik. Имейте в виду, что после создания правил фильтрации их все равно необходимо соответствующим образом разместить в списке правил фильтрации брандмауэра.
/ip firewall filter add action=drop chain=forward disabled=yes in-interface=Bridge out-interface=Bridge-VLAN10 add action=drop chain=forward disabled=yes in-interface=Bridge-VLAN10 out-interface=Bridge
