- Создание профиля безопасности Wi-Fi
- Создание виртуальной Wi-Fi сети
- Создание Bridge для гостевой сети
- Создание адресного пространства
- Создание нового DHCP сервера для гостевой сети
- Запрет доступа к локальной сети из гостевой
- Ограничение скорости по ip компьютера
- Ограничение скорости с помощью маркировки пакетов и Queues Tree на всю сеть
- Запрещаем статические IP в гостевой сети
- Simple Queue vs Queue Tree
- QoS MikroTik равномерное распределение ширины канала
- Ограничение и лимиты
- Скорость
- Создаем новый беспроводной интерфейс
- Запрещаем управление Mikrotik из гостевой сети
- Если в гостевой сети нет Интернета
- Задаем адресное пространство гостевой сети
- QoS MikroTik: настраиваем приоритет трафика
- Simple Queues
- Создаем новый сервер DHCP
- Настройка QoS Simple Queue на Микротик
- QoS MikroTik: ограничение скорости всем соединениям
- Настройка MikroTik CAPsMAN с сертификатами
- Создаем новый бридж для гостевой сети
Создание профиля безопасности Wi-Fi
Перейдите на вкладку «Беспроводные сети» и перейдите на вкладку «Профили безопасности». Создайте новый профиль безопасности для гостевой сети. Заполните имя профиля гостя, систему безопасности WPA2 PSK, тип шифрования AES и пароль WPA2 Pre-Shared Key.
Создание виртуальной Wi-Fi сети
После создания профиля безопасности перейдите к созданию виртуальной точки доступа. Перейдите на вкладку «Интерфейсы WiFi», щелкните правой кнопкой мыши на существующей сети Wi-Fi — Добавить — Виртуальная.
Затем перейдите на вкладку «Беспроводная сеть» и заполните параметры гостевой сети Wi-Fi.
- Режим — ap bridge;
- SSID — название сети Wi-Fi;
- Главный интерфейс — wlan1 (главный интерфейс Wi-Fi);
- Профиль безопасности — гостевой (мы создали его ранее);
- Поддержка WMM — включена.
Создание Bridge для гостевой сети
Поскольку нам нужно изолировать гостевую сеть Wi-Fi от нашей существующей локальной сети, нам нужно создать для нее отдельный мост.
Откройте раздел Bridge и создайте новый мост с именем «bridge-guest» и оставьте все настройки по умолчанию. Затем на вкладке Порты мы добавим нашу виртуальную сеть Wi-Fi в созданный мост.
Создание адресного пространства
Теперь пришло время назначить адресное пространство для нашей гостевой сети. Перейдите в раздел IP — Адреса и создайте новое адресное пространство. В нашем случае мы выделим IP-пространство 10.10.11.1-10.10.11.254 (10.10.11.1/24) для гостевой сети. Выберите интерфейс в качестве wlan2 или bridge-guest.
Продолжите настройку на вкладке IP — DHCP Server. Перейдите на вкладку Networks и создайте новую сеть DHCP, указав шлюз и DNS-серверы, которые будут выдаваться клиентам сети.
Перед созданием нового сервера DHCP создайте новый пул адресов. В разделе IP-пул создайте пул с адресами 10.10.11.1-10.10.11.254.
Создание нового DHCP сервера для гостевой сети
После первоначальной настройки можно создать новый DHCP-сервер. Для этого перейдите в раздел IP — DHCP-сервер. Создайте сервер со следующими настройками:
- Имя — гость;
- Интерфейс — bridge-guest (ранее созданный мост для гостевой сети);
- Lease Time — 12:00:00 (время, когда IP-адрес назначается клиенту).
- Пул адресов — pool_guest (ранее созданный пул адресов)
- Add ARP For Leases — запретить использование статических адресов в гостевой сети.
Также в гостевом мосту установите ARP = «только для ответов».
Запрет доступа к локальной сети из гостевой
Наша гостевая сеть работает, но чтобы обезопасить ее, нам нужно заблокировать доступ к нашей локальной сети. Для этого перейдите в раздел IP — Маршрут, вкладка «Правила». Создайте два правила. Одно правило блокирует доступ из гостевой сети в локальную сеть, другое — доступ из локальной сети в гостевую.
- Источник. Адрес — подсеть гостя;
- Dst. Адрес — подсеть в локальной сети (в моем случае 192.168.0.0/16, это диапазон 192.168.0.1-192.168.255.254, в вашем случае это будет 192.168.255.0/24);
- Действие — недоступно;
Во втором правиле замените Src. Адрес и Dst. Адрес.
Ограничение скорости по ip компьютера
Если нам нужно ограничить скорость для некоторых компьютеров в очереди LAN, например, разрешить компьютеру с ip 192.168.13.110 использовать только 1Mb, не ограничивая другие. Для этого мы создадим еще одну очередь с тем же ip-адресом и укажем родителя очереди LAN, как показано на скриншоте ниже.
Так, например, вы можете отсечь трафик «качков», которые любят скачивать фильмы на работе, захватить их с торрента и создать для них очередь.
В целом, этой функции достаточно для настройки ограничения скорости на маршруте mikrotik cloud core и других маршрутизаторах на базе RouterOS.
Ограничение скорости с помощью маркировки пакетов и Queues Tree на всю сеть
Если вам нужно ограничить пропускную способность для одной или нескольких сетей и отдельных ip-адресов, это можно сделать с помощью маркировки пакетов.
Зайдите в IP-Firewall, вкладка Address Lists и создайте новый список адресов с вашей сетью.
Вы также можете добавить в этот список отдельные IP-адреса, но не сеть, например, если они расположены не по порядку, скажем 192.168.7.11, 192.168.7.87, 192.168.7.199.
Затем мы переходим на вкладку Mangle, здесь мы добавляем два правила. На вкладке Общие в поле Цепочка выбираем Вперед.
Перейдите в раздел Advanced и выберите Src. В поле Список адресов выберите лист, который мы создали в первом шаге.
Перейдите на вкладку Действие. Здесь, в поле Действие, мы выбираем markpacket и указываем способ маркировки, например, выгрузка.
Аналогичным образом мы создаем еще одно правило загрузки. Только у нас будет Dst. Список адресов и метка загрузки.
Нажмите OK. Теперь все пакеты, приходящие из сети 192.168.7.0/24, будут помечаться как upload.
Теперь перейдите в меню Queues, вкладка Queue Tree и добавьте правило.
Запрещаем статические IP в гостевой сети
Мы не можем быть застрахованы от мошенников, которые могут подделать свои IP-адреса. Чтобы отключить все статические IP-адреса в гостевой сети, измените настройки DHCP-сервера. Откройте IP — DHCP Server, выберите guest dhcp и установите опцию «Add ARP For Leases».
Введите Bridge, выберите Guest Bridge и вставьте «reply-only» перед опцией ARP.
Simple Queue vs Queue Tree
В MikroTik QoS реализуется несколькими способами:
- Simple Queue — Простая очередь;
- Дерево очереди — тип очереди, в которой правила организованы иерархически.
Каждый из этих методов имеет свои преимущества и недостатки. Основные различия между этими типами показаны в таблице ниже.
Порядок записей имеет важное значение | Порядок записей не имеет значения. |
Одно правило может настраивать как входящий, так и исходящий трафик | Одно правило может конфигурировать только одно направление |
Существует вкладка трафика | Отсутствие графического представления трафика |
Размеченное движение возможно, но не обязательно | Требуется разметка дорожного движения |
В случае конфликта с Queue Tree имеет приоритет. | Возможный конфликт правил с Queue Simple |
Расположение логических блоков очереди на потоке трафика:
Из диаграммы потока трафика видно, что порядок правил важен, так как сначала обрабатывается дерево очереди, а затем простая очередь. Из этого следует, что:
Simple Queue может влиять на правила Queue Tree.
Чтобы избежать путаницы в правилах очередей, полезно использовать один из двух доступных инструментов.
QoS MikroTik равномерное распределение ширины канала
Чтобы избежать ситуации, когда один пользователь занимает весь канал, мы постараемся настроить QoS MikroTik таким образом, чтобы канал был поделен поровну между пользователями. Для этого используется технология Per Connection Queuing (PCQ).
Уточните правило для основной подсети, изменив значение Queue Type на вкладке «Advanced»:
При таком типе очереди канал будет равномерно распределен между хостами в сети.
Ограничение и лимиты
Давайте рассмотрим некоторые ограничения, которые могут быть наложены на гостевую сеть.
Скорость
Чтобы уменьшить пропускную способность нашего гостевого WiFi, перейдите в раздел «Очереди»:
На вкладке Simple Queues добавьте новую очередь и на вкладке General задайте имя для конфигурации и выберите интерфейс, для которого будут введены ограничения, также задайте ограничения скорости:
* Где:
- Название — название нашего ограничения скорости.
- Цель — то, на что установлен лимит. Вы можете выбрать конкретный интерфейс или ввести адрес подсети (например, 172.16.10.0/24).
- Max Limit — Максимальная скорость передачи данных.
- Burst Limit — скорость в турбо-режиме.
- Burst Threshold — скорость, при превышении которой активируется режим ограничения.
- Burst Time — Время в секундах для расчета средней скорости.
Нажмите OK, чтобы завершить настройку.
Создаем новый беспроводной интерфейс
Вернитесь на вкладку Interfaces, нажмите синий плюс слева, затем выберите ‘Virtual AP’ из выпадающего меню, чтобы создать виртуальную точку доступа. Введите желаемое имя сети (SSID), основным интерфейсом будет wlan1. В поле Профиль безопасности не забудьте выбрать профиль безопасности, который вы создали.
После этого будет добавлен виртуальный интерфейс под wlan1.
Запрещаем управление Mikrotik из гостевой сети
Чтобы ограничить доступ к управлению Mikrotik из гостевых сетей, укажите список разрешенных сетей. Open IP Services, по умолчанию здесь включено множество портов, вам следует оставить только те, которые вы используете. Мое личное предпочтение — оставить www и Winbox.
Откройте выбранный вами тип управления, в разделе «Доступно из» укажите адрес и/или подсеть, из которых будет доступно подключение. В нашем случае мы разрешаем доступ только из подсети 192.168.106.0/24. При необходимости можно указать несколько подсетей и/или адресов.
Читайте также: Miracast: как включить беспроводной дисплей компьютера Windows 10 на телевизор, дублирование screen mirroring для ноутбука через Wi-Fi
Если в гостевой сети нет Интернета
Проверьте следующее:
- Устройство, подключенное к вашему WiFi, получает IP-адрес автоматически, а не вручную.
- Настройки DHCP-сервера верны — адрес шлюза, DNS, правильный интерфейс для распределения адресов.
- Отсутствие специально созданных правил брандмауэра, которые запрещают весь трафик.
- Убедитесь, что микросайт, как правило, распространяет интернет.
Задаем адресное пространство гостевой сети
Теперь мы можем приступить к созданию адресного пространства. В разделе IP — Addresses для wlan2 (т.е. нашего моста) мы создаем новый адрес, как показано на рисунке ниже, где 10.1.1.1 — это адрес шлюза, а сама сеть — 10.1.1.0/24.
Выберите блоки адресов из следующих диапазонов в качестве гостевой подсети:
- 10.0.0.0 — 10.255.255.255
- 172.16.0.0 — 172.31.255.255
- 192.168.0.0 — 192.168.255.255
Указанные выше диапазоны специально зарезервированы для частных (внутренних) сетей. В противном случае могут возникнуть проблемы с маршрутизацией, если будут выбраны адреса из других диапазонов.
По умолчанию Mikrotik будет использовать 192.168.88.0/24, а обычные домашние маршрутизаторы — 192.168.0.0/24 или 192.168.1.0/24. Диапазоны 10.x.x.x и 172.16.x.x часто используются интернет-провайдерами для установки VPN-соединений для своих клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в предпочитаемой вами подсети.
Далее перейдите в раздел IP — DHCP Server, переключитесь на вкладку Networks и создайте новую DHCP-сеть: укажите шлюз и DNS, которые будут назначены клиенту. В нашем примере это IP 10.1.1.1.
Перед созданием нового сервера DHCP создайте новый пул адресов. Перейдите в IP — Пул и создайте пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается, что будет использоваться всего несколько устройств и достаточно небольшого пула. При необходимости вы можете увеличить пул адресов. Если все адреса в пуле заполнены, DHCP-сервер прекратит выдачу адресов.
QoS MikroTik: настраиваем приоритет трафика
Давайте узнаем, что такое приоритезация трафика? Для чего он используется и как его настроить на MikroTik.
Вот как это работает: правило с более высоким приоритетом с большей вероятностью достигнет значения Max Limit, чем правило с более низким приоритетом. Например, у вас есть локальная сеть и гостевая сеть. Если локальная сеть имеет более высокий приоритет трафика и устройства начинают загрузку из разных сетей, клиенты локальной сети с большей вероятностью займут пропускную способность.
Необходимо учитывать приоритет:
- Не влияет на режим вспышки;
- Значение приоритета определяется численно и может варьироваться от 1 до 8, при этом 1 является наивысшим приоритетом, а 8 — наименьшим. Обратите внимание, что приоритет достаточно на одно значение ниже;
- Сравнение приоритетов выполняется в дочерних очередях одного родителя;
- Приоритет не влияет на родительские очереди.
В дополнение к приоритету существует параметр Limit At. Используется для установки скорости, которая гарантированно будет предоставлена.
Limit-at используется в случаях конкурирующих приоритетов, чтобы сеть с наивысшим приоритетом не забирала на себя весь трафик.
Если гарантированная скорость не используется, она может быть занята другими правилами.
Сумма всех правил Limit-at должна быть меньше или равна Max Limit.
Давайте настроим MikroTik на приоритет трафика для основной сети и установим гарантированную скорость соединения 5 Мбит/с для гостевой сети.
Для этого откройте свойства ‘bridge1-main’, вкладку ‘Advanced’ и установите значение ‘Priority’ на единицу меньше, чем у гостевой сети:
С другой стороны, мы укажем гарантированный канал для гостевой сети:
Simple Queues
Более простым способом ограничения скорости является вкладка Simple Queues. Перейдите на эту вкладку и нажмите кнопку добавить
В поле имя мы вводим целевое имя нашей сети. Максимальный лимит Ограничения на загрузку и скачивание.
Нажмите OK, на этом настройка завершена, теперь вся ваша сеть ограничена 10 Мбит, ограничение Burst Limit, о котором я говорил ранее, работает так же. Если вы хотите ограничить скорость не для всей сети, а для отдельного ip-адреса, просто введите этот адрес в поле target.
Создаем новый сервер DHCP
В предыдущем шаге мы уже выполнили все начальные настройки, поэтому мы можем перейти к созданию нового DHCP-сервера, перейдя на вкладку IP — DHCP Server. В качестве интерфейса мы всегда выбираем ранее созданный мост и указываем пул адресов, созданный на предыдущем шаге.
Если вы все сделали правильно, беспроводная сеть работает. И все было бы хорошо, но клиенты новой сети будут делить скорость с клиентами другой локальной сети, а мы, конечно, этого не хотим, не так ли? А что если среди «гостей» есть любитель торрентов? — Вы можете забыть о нормальной работе беспроводной сети, а также об Интернете. Переходим к шагу 6.
Настройка QoS Simple Queue на Микротик
Прежде чем мы узнаем, как настроить QoS MikroTik с помощью Simple Queue, давайте вспомним их положение в диаграмме потока трафика:
Общие принципы работы, используемые настоящими правилами:
- Можно использовать маркировку пакетов;
- Поддерживаются родительские очереди;
- Порядок очередей играет определенную роль:
- Частные случаи должны быть расположены выше;
- Частые случаи должны располагаться ниже;
- Одна очередь, включая дочерние, определяется как один процесс и обрабатывается одним процессором.
QoS MikroTik: ограничение скорости всем соединениям
Давайте настроим ограничение скорости на MikroTik для всех хостов в локальной сети с помощью Simple Queue. Для этого откройте пункт главного меню «Очереди» в инструменте Winbox и перейдите к пункту
- Очереди => Простые очереди => «+».
Откроется новое окно:
Нас интересуют два параметра, которые определяют направление потока:
- Цель — откуда идет трафик (интерфейс, IP-адрес, сетевой адрес).
- Dst — куда (интерфейс, IP-адрес, сетевой адрес).
Важно: Target относится к источнику в локальной сети. Если для этого параметра установлено значение WAN (внешний интерфейс), правило будет работать некорректно;
Создайте главное правило для всех подключений, которое ограничивает скорость до 50 Мбит/с:
Где Dst.: ether1 — внешний (WAN) интерфейс.
Поэтому мы настроили QoS от MikroTik, ограничив пропускную способность для всех исходящих соединений до 50 Мбит/с.
Настройка MikroTik CAPsMAN с сертификатами
Добавьте немного паранойи в нашу сеть и разрешите CAP работать только с выданными нами сертификатами.
Зайдите в CAPsMAN Manager и установите Certificate, CA Certificate на auto и включите требование Peer certificate requirement.
MikroTik CAPsMAN Certificate auto/caps-man manager set ca-certificate=auto certificate=auto require-peer-certificate=yes
Мы отключаем require-peer-certificate на CAPsMAN и включаем запрос сертификата на точке. После того, как все наши точки получат сертификат, снова включите Require Peer Certificate на CAPsMAN.
Запрос сертификата MikroTik CAP
Это обеспечит защиту нашей сети от несанкционированных точек доступа.
Создаем новый бридж для гостевой сети
Поскольку вы хотите изолировать гостевую сеть от существующей сети, создайте для нее мост. Для этого откройте раздел Bridge и создайте новый мост с настройками по умолчанию, для удобства мы назвали его «bridge-free-wifi». Затем на вкладке Ports добавьте интерфейс wlan2 (наша виртуальная точка доступа) к этому мосту.