Dnes si ukážeme, jak si nakonfigurovat WiFi pro domácí potřeby a to tak, abychom oddělili návštěvníky od naší vnitřní sítě.
Mějme základní konfiguraci naší sítě takto:
Na vstupu máme MikroTik, za ním switch. Ve switchi jsou stroje z LAN a pak máme jednoho CAP. Ten chceme nakonfigurovat tak, aby nám svítila dvě SSID a na dvou různých frekvencích
- SSID Pro vnitřní síť na 2,4GHz
- SSID Pro vnitřní síť na 5GHz
- SSID Pro hostovskou síť na 2,4GHz
- SSID Pro hostovskou síť na 5GHz
Pojďme se podívat na to, jak to uděláme. Pro naše potřeby si zvolíme, že:
- Subnet 192.168.90.0/24 bude naše vnitřní síť
- Subnet 192.168.92.0/24 bude naší síť pro hosty
Na hlavním MikroTiku si budeme potřebovat pohrát s:
- DHCP serverem
- Firewallem
- VLANama
- IP adresama
Začneme tím, že utvoříme 2x VLANy, a to:
- VLAN-90
- VLAN-92
/interface vlan
add interface=ether4-LAN name=vlan1-90 vlan-id=90
add interface=ether4-LAN name=vlan2-92 vlan-id=92
Pak vytvoříme bridge1-90 a do něj dáme ether3 a VLAN-90. Proč Ether3? Protože ten nám jde do switche, kde máme stroje z naší LAN.
/interface bridge port
add bridge=bridge1-90 hw=no interface=ether3-LAN
add bridge=bridge1-90 interface=vlan1-90 trusted=yes
Oboum rozhraním přiřadíme IP adresy
/ip address
add address=192.168.90.1/24 comment=ip1-90 interface=bridge1-90 network=\
192.168.90.0
add address=192.168.92.1/24 comment=ip2-92 interface=vlan2-92 network=\
192.168.92.0
Nastavíme oběma rozhraním DHCP servery nejsnadněji pomocí DHCP-setup
/ip dhcp-server
add address-pool=pool1-90 authoritative=after-2sec-delay disabled=no interface=\
bridge1-90 lease-time=23h10m name=dhcp1-90
add address-pool=pool2-92 disabled=no interface=vlan2-92 name=dhcp2-92
/ip dhcp-server network
add address=192.168.90.0/24 comment=90 gateway=192.168.90.1
add address=192.168.92.0/24 comment=92 gateway=192.168.92.
Přesuneme se na CAP. Zde bude konfigurace trochu složitější, ale podobná.
NA CAPovi nakonfigurujeme příchozí VLANy:
/interface vlan
add interface=ether1 name=vlan1-90 vlan-id=90
add interface=ether1 name=vlan2-92 vlan-id=92Nastavíme CAPu statickou adresu z našeho vnitřního subnetu
/ip address
add address=192.168.90.53/24 interface=bridge1-90 network=192.168.90.Přidáme defaultní routu
/ip route
add distance=1 gateway=192.168.90.1Nastavíme MikroTikovi DNS
/ip dns
set servers=8.8.8.8Přesuneme se do sekce bezdrátových rozhraní a zde nastavíme heslo pro WiFiny:
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=Private supplicant-identity="" wpa2-pre-shared-key=\
heslo-privat
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=public supplicant-identity="" wpa2-pre-shared-key=\
heslo-publicTeď nastavíme samotná bezdrátová rozhraní. Budeme dělat 2WiFiny na 2 různých frekvencích:
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=Private supplicant-identity="" wpa2-pre-shared-key=\
Heslo-privat
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=public supplicant-identity="" wpa2-pre-shared-key=\
heslo-public
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
name=wlan1-90 radio-name=2GHz_Private security-profile=Private ssid=\
2GHz_Private vlan-id=90 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=76:4D:28:3A:5D:10 \
master-interface=wlan1-90 multicast-buffering=disabled name=wlan1-92 \
security-profile=public ssid=2GHz_Guest vlan-id=92 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac disabled=no frequency=5300 \
mode=ap-bridge name=wlan2-90 radio-name=5GHz_Private security-profile=\
Private ssid=5GHz_Private vlan-id=90 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=76:4D:28:3A:5D:11 \
master-interface=wlan2-90 multicast-buffering=disabled name=wlan2-92 \
security-profile=public ssid=5GHz_Guest vlan-id=92 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/interface wireless cap
set discovery-interfaces=*5 interfaces=wlan1-9
Pozor. Pokud příkaz tupě kopírujete, změníte si MAC adresy. Vyznačil jsem je tučně. Před zkopírováním si doplňte MAC adresy dle toho, jak je má váš MikroTik. Také si nezapomeňte změnit hesla 🙂
Nakonfigurujeme bridge rozhraní
/interface bridge
add name=bridge1-90
add name=bridge2-92
/interface bridge port
add bridge=bridge1-90 interface=vlan1-90
add bridge=bridge1-90 interface=wlan1-90
add bridge=bridge1-90 interface=wlan2-90
add bridge=bridge2-92 interface=wlan1-92
add bridge=bridge2-92 interface=wlan2-92
add bridge=bridge2-92 interface=vlan2-92Skoro hotovo. Přesuňme se ještě jednou na hlavní MikroTik, zde si nastavíme:
- firewall
- NAT
Uděláme si pro eleganci address list:
/ip firewall address-list
add address=192.168.90.0/24 list=valid_local_ip
add address=192.168.92.0/24 list=Guest-92A nastavíme si interface list
/interface list
add name=WAN
add name=LAN
add name=GUEST
/interface wireless security-profiles
/interface list member
add interface=ether1-WAN list=WAN
add interface=bridge1-90 list=LAN
add interface=vlan2-92 list=GUEST
/ip firewall nat
add action=masquerade chain=srcnat comment=MASQ out-interface-list=WAN \
src-address-list=valid_local_ip
add action=masquerade chain=srcnat comment=MASQ out-interface-list=WAN \
src-address-list=Guest-92Na závěr nezapomene nastavit to nejdůležitější pravidlo. Všechno z GUEST má zákaz do LAN
/ip firewall filter
add action=drop chain=forward in-interface-list=GUEST out-interface-list=LAN
