VLAN na domácím routeru

Dnes si ukážeme, jak si nakonfigurovat WiFi pro domácí potřeby a to tak, abychom oddělili návštěvníky od naší vnitřní sítě.

Mějme základní konfiguraci naší sítě takto:

Na vstupu máme MikroTik, za ním switch. Ve switchi jsou stroje z LAN a pak máme jednoho CAP. Ten chceme nakonfigurovat tak, aby nám svítila dvě SSID a na dvou různých frekvencích

  • SSID Pro vnitřní síť na 2,4GHz
  • SSID Pro vnitřní síť na 5GHz
  • SSID Pro hostovskou síť na 2,4GHz
  • SSID Pro hostovskou síť na 5GHz

Pojďme se podívat na to, jak to uděláme. Pro naše potřeby si zvolíme, že:

  • Subnet 192.168.90.0/24 bude naše vnitřní síť
  • Subnet 192.168.92.0/24 bude naší síť pro hosty

Na hlavním MikroTiku si budeme potřebovat pohrát s:

  • DHCP serverem
  • Firewallem
  • VLANama
  • IP adresama

Začneme tím, že utvoříme 2x VLANy, a to:

  • VLAN-90
  • VLAN-92

/interface vlan
add interface=ether4-LAN name=vlan1-90 vlan-id=90
add interface=ether4-LAN name=vlan2-92 vlan-id=92

Interface-VLAN
Interface-VLAN

Pak vytvoříme bridge1-90 a do něj dáme ether3 a VLAN-90. Proč Ether3? Protože ten nám jde do switche, kde máme stroje z naší LAN.

/interface bridge port
add bridge=bridge1-90 hw=no interface=ether3-LAN
add bridge=bridge1-90 interface=vlan1-90 trusted=yes

Bridge-ports

Oboum rozhraním přiřadíme IP adresy

/ip address
add address=192.168.90.1/24 comment=ip1-90 interface=bridge1-90 network=\
192.168.90.0
add address=192.168.92.1/24 comment=ip2-92 interface=vlan2-92 network=\
192.168.92.0

IP-addresses

Nastavíme oběma rozhraním DHCP servery nejsnadněji pomocí DHCP-setup

/ip dhcp-server
add address-pool=pool1-90 authoritative=after-2sec-delay disabled=no interface=\
bridge1-90 lease-time=23h10m name=dhcp1-90
add address-pool=pool2-92 disabled=no interface=vlan2-92 name=dhcp2-92
/ip dhcp-server network
add address=192.168.90.0/24 comment=90 gateway=192.168.90.1
add address=192.168.92.0/24 comment=92 gateway=192.168.92.

IP-DHCP server-DHCP
IP-DHCP server-Networks

Přesuneme se na CAP. Zde bude konfigurace trochu složitější, ale podobná.

NA CAPovi nakonfigurujeme příchozí VLANy:

/interface vlan
add interface=ether1 name=vlan1-90 vlan-id=90
add interface=ether1 name=vlan2-92 vlan-id=92

Nastavíme CAPu statickou adresu z našeho vnitřního subnetu

/ip address
add address=192.168.90.53/24 interface=bridge1-90 network=192.168.90.

Přidáme defaultní routu

/ip route
add distance=1 gateway=192.168.90.1

Nastavíme MikroTikovi DNS

/ip dns
set servers=8.8.8.8

Přesuneme se do sekce bezdrátových rozhraní a zde nastavíme heslo pro WiFiny:

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods=”” management-protection=allowed \
mode=dynamic-keys name=Private supplicant-identity=”” wpa2-pre-shared-key=\
heslo-privat
add authentication-types=wpa2-psk eap-methods=”” management-protection=allowed \
mode=dynamic-keys name=public supplicant-identity=”” wpa2-pre-shared-key=\
heslo-public

Teď nastavíme samotná bezdrátová rozhraní. Budeme dělat 2WiFiny na 2 různých frekvencích:

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods=”” management-protection=allowed \
mode=dynamic-keys name=Private supplicant-identity=”” wpa2-pre-shared-key=\
Heslo-privat
add authentication-types=wpa2-psk eap-methods=”” management-protection=allowed \
mode=dynamic-keys name=public supplicant-identity=”” wpa2-pre-shared-key=\
heslo-public
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
name=wlan1-90 radio-name=2GHz_Private security-profile=Private ssid=\
2GHz_Private vlan-id=90 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=76:4D:28:3A:5D:10 \
master-interface=wlan1-90 multicast-buffering=disabled name=wlan1-92 \
security-profile=public ssid=2GHz_Guest vlan-id=92 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac disabled=no frequency=5300 \
mode=ap-bridge name=wlan2-90 radio-name=5GHz_Private security-profile=\
Private ssid=5GHz_Private vlan-id=90 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=76:4D:28:3A:5D:11 \
master-interface=wlan2-90 multicast-buffering=disabled name=wlan2-92 \
security-profile=public ssid=5GHz_Guest vlan-id=92 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/interface wireless cap
set discovery-interfaces=*5 interfaces=wlan1-9

Pozor. Pokud příkaz tupě kopírujete, změníte si MAC adresy. Vyznačil jsem je tučně. Před zkopírováním si doplňte MAC adresy dle toho, jak je má váš MikroTik. Také si nezapomeňte změnit hesla 🙂

Nakonfigurujeme bridge rozhraní

/interface bridge
add name=bridge1-90
add name=bridge2-92
/interface bridge port
add bridge=bridge1-90 interface=vlan1-90
add bridge=bridge1-90 interface=wlan1-90
add bridge=bridge1-90 interface=wlan2-90
add bridge=bridge2-92 interface=wlan1-92
add bridge=bridge2-92 interface=wlan2-92
add bridge=bridge2-92 interface=vlan2-92

Skoro hotovo. Přesuňme se ještě jednou na hlavní MikroTik, zde si nastavíme:

  • firewall
  • NAT

Uděláme si pro eleganci address list:

/ip firewall address-list

add address=192.168.90.0/24 list=valid_local_ip
add address=192.168.92.0/24 list=Guest-92

A nastavíme si interface list


/interface list
add name=WAN
add name=LAN
add name=GUEST
/interface wireless security-profiles
/interface list member
add interface=ether1-WAN list=WAN
add interface=bridge1-90 list=LAN
add interface=vlan2-92 list=GUEST

/ip firewall nat
add action=masquerade chain=srcnat comment=MASQ out-interface-list=WAN \
src-address-list=valid_local_ip
add action=masquerade chain=srcnat comment=MASQ out-interface-list=WAN \
src-address-list=Guest-92

Na závěr nezapomene nastavit to nejdůležitější pravidlo. Všechno z GUEST má zákaz do LAN

/ip firewall filter
add action=drop chain=forward in-interface-list=GUEST out-interface-list=LAN