Mikrotik RB951G-2HnD: разбираем настройку роутеров

Компания MikroTik постоянно обновляет и совершенствует выпускаемое оборудование, и в этой статье мы рассмотрим точку доступа, которую можно устанавливать, как в помещении, так и на улице!!, MikroTik WAP.

  

Точка доступа WAP, он же RBwAP2nD имеет ряд преимуществ:

1)    Гибкие настройки, благодаря ОС RouterOS

2)    Компактный размер

3)    Цена

4)    Возможность установки точки на улице!!!

Теперь произведем базовую настройку устройства на раздачу интернета, когда наш существующий маршрутизатор раздает ip автоматически.

1)    Заходим в наше устройство через winbox. Внимание! если устройство не определяется через WinBox, значит LAN порт настроен на WAN. Нужно подключится к устройству по Wi-Fi и зайти по Mac адресу. В настройках объединить порты в Bridge и можно будет заходить по LAN. 

2)    Переходим к быстрым настройкам. Тут в LAN части Configuration ставим Bridge, Address Acquisition –Automatic. Ставим Галочку Bridge ALL LAN ports.

3)        После настройки LAN части мы видим, что наш маршрутизатор уже получил сетевые настройки от роутера.

4)      Теперь нам нужно настроить Wlan. Открывает свойство interface . Выбираем Mode—ap bridge, Frequency 2412, Wireless Protocol 802.11. SSID (Имя беспроводной сети) меняйте на Ваше усмотрение, по умолчанию стоит MikroTik. Жмем apply

5)      Переходим в security Profile и вводим пароль на wi-Fi сеть. Отмечаем галочками все как на скрине и придумываем свой пароль. После жмем Apply.

Настройка закончена, точка доступа работает в режиме прозрачного моста и транслирует интернет от Вашего маршрутизатора.

К списку статей

Mikrotik широко используется интернет-провайдерами, поставщиками вай-фай или владельцами кафе. Маршрутизатор наделяет компьютер различными функциями и инструментами как для проводной, так и для беспроводной связи. Для того чтобы эффективно использовать все встроенные функции, нужно знать процедуру настройки роутера Mikrotik.

Базовая конфигурация маршрутизатора

Она включает в себя назначение IP-адресов и включение NAT для доступа к интернету. Настройка состоит из 4 шагов:

1. Назначение адресов WAN и LAN.
2. Конфигурация шлюза.
3. Конфигурация NAT.
4. Конфигурация DNS.

Среди указанных 4 шагов первые три являются обязательными для доступа к интернету, а 4-й является необязательным, но многие пользователи его применяют для улучшения конфигурации.

Настройка роутера Mikrotik в соответствии с указанными этапами выполняется в виде простой схемы офисной сети, где три пользователя подключены к роутеру через сетевой коммутатор, а один интерфейс маршрутизатора подключен к интернету.

MikroTik RouterBoard 1100 AHX2WAN:

1. IP: 172.22.3.99/25 (предоставлен ISP).
2. Шлюз: 172.22.3.1 (предоставляется ISP).
3. Открытый DNS: 8.8.8.8 и 8.8.4.4.
4. Сеть LAN IP: 192.168.10.0/24.

Простая офисная сеть:

• Первый интерфейс (ether1-порт) подключен к провайдеру, и этот интерфейс является WAN-портом.
• Устанавливаем WAN IP (предоставляемый провайдером) в интерфейсе.
• Второй интерфейс (ether2 port) — это LAN. Пользователи этой сети подключаются к устройству через коммутатор для доступа к интернету.

На практике сеть может быть не такой простой, возможно, придется создавать большую сеть, где могут быть сотни или даже тысячи пользователей. Но базовая конфигурация одинакова для всех подобных схем.

Подключение с помощью Winbox

Теперь создаем базовую конфигурацию в соответствии с перечисленными 4 шагами в простой схеме офисной сети. Первым шагом настройки роутера Mikrotik является назначение соответственно IP WAN и LAN в WAN и LAN-интерфейсе. Следующие этапы для установки IP-адреса WAN и LAN на роутере:

1. Загрузить winbox из любого источника в интернете.
2. Подключить ПК к устройству кабелем RJ45.
3. Открыть программное обеспечение winbox в своей операционной системе и нажать кнопку поиска, расположенную после окна «Подключиться к».
4. Теперь появится MAC-адрес подключенного Ethernet.
5. Нажмите на MAC. Имя пользователя по умолчанию — admin, пароль пустой.
6. Таким образом, введите admin в поле ввода логина, а поле пароля оставьте пустым, а затем нажмите кнопку «Подключить». Теперь появится графический пользовательский интерфейс.
7. Нажать кнопку «Удалить конфигурацию».
8. Перейти в меню IP> Адреса. Появится окно списка адресов.
9. Нажать кнопку «Добавить новую кнопку (плюс)» в окне «Список адресов». Появится окно нового адреса.
10. Поместить свой IP-адрес WAN, который предоставляется провайдером, в поле ввода «Адрес».
11. Выбрать интерфейс, на котором нужно установить WAN IP. В раскрывающемся меню «Интерфейс» нажать «Применить», а затем кнопку «ОК».
12. Нажать еще раз, чтобы добавить новую кнопку (плюс), ввести IP-адрес шлюза локальной сети в поле ввода «Адрес» и выбрать свой интерфейс LAN из выпадающего меню «Интерфейс».
13. Нажать кнопку «Применить» и «ОК».
14. Задание завершено.

Теперь нужно назначить шлюз, который предоставляется провайдером, чтобы роутер мог соединиться с интернетом.

Роутер со скоростным Atheros

RB951Ui-2HnD — это мощный беспроводной роутер нового поколения. Он имеет 5 портов Ethernet, один порт USB 2.0, высокопроизводительную беспроводную точку доступа 802.11b / g / n 2,5 ГГц и 2 антенны. Комплект оборудован 600 МГц процессором, 128 Мбайт ОЗУ и вывод PoE для порта No5 — он может подключать любое оборудование, поддерживающие PoE.

Граничная нагрузка на порт установлена 580 мА. Общая выходная мощность — 32 дБм. Продукт включает: беспроводной RB951Ui-2HnD в корпусе и адаптер питания. Настройка роутера Mikrotik rb951 и конфигурации шлюза начинается сразу после завершения настройки WAN и LAN IP. Для этого нужно выполнить следующие простые шаги, чтобы назначить IP-адрес шлюза:

1. Перейти в меню IP> Маршруты. Появится окно списка маршрутов, в котором можно увидеть, что в этот список уже добавлены два динамических маршрута.
2. Нажать кнопку «Добавить новую кнопку» (Плюс). Новое окно маршрута появится сразу после нажатия кнопки.
3. Теперь надо разместить адрес шлюза, предоставленный провайдером, в поле ввода Gateway.
4. Нажать кнопку «Применить» и «ОК».
5. Настройка шлюза завершена.

Настройка роутера Mikrotik rb951ui 2hnd и правила NAT, чтобы он мог маскировать наш IP-адрес LAN для доступа к интернету. После завершения настройки шлюза необходимо создать правило брандмауэра NAT для маскировки IP-адреса локальной сети. В противном случае пользователь локальной сети не сможет получить доступ к интернету через устройство.

Для создания правил брандмауэра masquerade необходимо выполнить следующие шаги:

1. Открыть меню IP> Брандмауэр и перейти на вкладку «NAT», а затем нажать кнопку «Добавить новую кнопку (плюс)».
2. Появится новое окно правила NAT. Выбрать Chain: srcnat и Src. Адрес на вкладке «Общие» и выбрать «Действие».
3. Нажать кнопку «Применить» и «ОК».

Теперь пользователь локальной сети может получить доступ к интернету через ваш маршрутизатор, если использует собственный IP-адрес DNS сервера.

Маршрутизатор MikroTik hAP aclite

Он в настоящее время применяется в качестве серверов DHCP, эффективно разделяя сеть в двух локальных сетях и также сконфигурирован в качестве моста для 192.168.88.xxxLAN. Чтобы избежать проблем с двойным NAT, можно перенастроить их в качестве переключателя уровня 2. Есть преимущества, связанные с двойным NAT. Все DHCP и NAT должны обрабатываться исключительно Fritz Box. Кроме того, протокол должен иметь статический IP-адрес в одном и том же локальном диапазоне IP, поэтому им можно управлять через веб-интерфейс.

Настройка роутера Mikrotik hap через конфигурацию Fritz Box не является проблемой, так как подробно расписана производителем устройства. Но нужно настроить DNS, чтобы он мог разрешить DNS-запрос и мог работать как DNS-сервер.

Шаги для настройки DNS:

1. Перейти в меню IP> DNS. Появится окно настроек DNS. В этом окне ввести адрес DNS-сервера, который получен от компании — поставщика услуг интернета, или можно использовать общедоступный IP-адрес DNS (8.8.8.8) в поле ввода сервера.
2. Можно поместить вторичный IP-адрес DNS-сервера, нажав кнопку добавления нового значения (выпадающая кнопка), расположенную в окне ввода сервера.
3. При желании настройка роутера Mikrotik hap может дать использовать маршрутизатор в качестве DNS-сервера.
4. Нажать «Разрешить удаленные запросы», затем кнопку «Применить» и «ОК», после чего все IP-адреса могут использоваться как IP-адрес DNS-сервера, включая IP-адрес WAN, который является публичным.
5. Однако если кто-либо из локальной сети пользователя будет использовать его IP-адрес WAN в качестве DNS-IP, то он сможет применять это решение DNS, используя платную пропускную способность сети. Таким образом, лучше остановить запрос DNS за пределами локальной сети.
6. Чтобы остановить запрос DNS за пределами пользовательской локальной сети, нужно применить правила брандмауэра, которые выведут все DNS-запросы, исходящие из пользовательского интерфейса WAN (ether1).
7. Перейти в меню IP> Брандмауэр и нажать кнопку добавления новой кнопки (PLUS Sign). Появится новое окно «Правила брандмауэра».
8. На вкладке «Общие» выберите «Цепочка: вход», протокол: udp,Dst. Порт: 53 и дюйм. Интерфейс: ether1.
9. Настройка роутера Mikrotik rb951g 2hnd позволяет сделать широкий выбор.
10. Выбрать «Действие»: открыть вкладку «Действие» и нажать «Применить» и «ОК».
11. Теперь нужно создать другое подобное правило для TCP-соединения.
12. Нажать «Добавить новую кнопку» (PLUS Sign) еще раз и выбрать «Цепочка: вход», «Протокол»: tcp, Dst.Port: 53 и «In». Интерфейс: ether1, затем выбрать «Действие»: открыть вкладку «Действие» и нажать «Применить» и « ОК».
13. Теперь ваш DNS-сервер безопасен вне локальной сети.

Настройка роутера Mikrotik rb951ui 2hnd и конфигурация DNS завершена.

Двухсторонняя точка доступа hAP ac lite

Mikrotik RB952Ui-5ac2nD hAP ac lite — это двухконкурентное устройство доступа, обеспечивающее одновременное покрытие Wi-Fi для 2,5 ГГц и 5,0 ГГц. Блок имеет 650-мегагерцевый процессор с 64-мегабайтной оперативкой, 5 портами до 100 Мбит. RB952Ui-5ac2nD международный. Он поддерживает 2413-2484 МГц и 5155 МГц — 5873 МГц.

Содержание поставки: RB952Ui-5ac2nD 24V адаптер питания 1,2A.

Работа и тестирование проводились с использованием испытательного устройства Xena Networks (XenaBay) и выполняются в соответствии с RFC2544 (Xena2544). Максимальная мощность достигается без превышения центрального процессора, благодаря использованию программного обеспечения. Настройки роутера Mikrotik rb952ui 5ac2nd по базовой конфигурации недостаточно для поддержания реальной сети.

Если необходимо поддерживать офисную сеть, лучше использовать сервер DHCP. Управление DHCP-сервером с помощью сервера Radius обеспечит более быстрое и интеллектуальное решение. Опять же, если нужно поддерживать сеть интернет-провайдера, PPPoE Server — лучшее решение. Сервер PPPoE с сервером Radius также может предоставить предоплаченную биллинговую систему. Если планируется поддерживать сеть отелей, аэропортов, железных дорог, ресторанов или любую интернет-сеть с Wi-Fi-решением, Hotspot Server — лучший выбор.

Настроив роутер Mikrotik hap lite с использованием Radius Server с Hotspot, можно управлять пропускной способностью, а также лимитом данных с предоплаченной биллинговой системой. Кроме того, если использовать решение для управления пропускной способностью с помощью MikroTik Router, Bandwidth Management с Simple Queue будет довольно полезным. Но лучше управлять пропускной способностью ISP с помощью PCQ.

Настройка роутера для «Ростелекома»

Наладка для работы с «Ростелеком» и PPPoe:

1. Входим в устройство через Winbox, указываем айпи и логин: Admin.
2. Соединяемся. Переключаемся на интерфейс и устанавливаем PPPoe-клиент.
3. Осуществляем регулирование MTU/MRU, в окне интерфейса определяем необходимый порт интернет-провайдера.
4. Открываем вкладку Dial Out и заполняем сведения «Ростелекома»: имя и пароль.
5. Устанавливаем статус: connected.
6. Переходим к настройке Firewal и добавляем условие (плюс) в Chain.
7. Устанавливаем input и соединение PPPoe.
8. Настройка роутера Mikrotik для «Ростелекома» продолжается, далее открываем окно Action и устанавливаем drop и нажимаем «Готово».
9. Во вкладке «Фривол» находим NAT кликнуть (плюс) и устанавливаем «Готово».
10. Следуем в «Экшион» и устанавливаем Masquerade. Далее кликнуть «Готово».
11. В устройстве теперь определился ай-пи автоматически.
12. Настраиваем DHCP-сервер, прописываем статику из его подсети.

Wi-Fi-пользователи Mikrotik

Настройка WiFi-роутера Mikrotik проходит практически одинаково для всех моделей роутера этого бренда. Последовательность настройки:

1. Задать пароль Wi-Fi (по умолчанию он использует шифры WPA и WPA2 auth и AES, можно изменить их позже) для основного Wi-Fi и установить лимит загрузки 1 Мбит / с для гостевого Wi-Fi.
2. С правой стороны панели можно изменить порт интернет-интерфейсов, тип Address Acquisition и даже изменять MAC-адреса.
3. Ниже можно изменить локальную сеть настройки: маршрутизаторы IP и Netmask, если нужно запустить DHCP-сервер и диапазон адресов, который он выдаст.
4. Наконец, можно установить здесь пароль администратора. По умолчанию это WAN-адрес — 192.168.0.149, а маршрутизатор — NAT между этим и подсети 192.168.88.0/24. На самом маршрутизаторе физически нет никакой маркировки. WAN и порты ЛВС являются общепринятым потребительским маршрутизаторам, созданным Linksys, Asus, Tp-link.
5. Перейти в меню «Мост» и определить один мост с именем bridge-local. На вкладке «Порты» определяем физический порт этого моста. Например, в случае Ethernet-порт номер 2, номер 6, порт SFP и два порта Wi-Fi принадлежат локальному мосту. Номер порта 1 отсутствует, так как это порт WAN в этой конфигурации, а порты 3, 4, 5, 7, 8, 9 и 10 также подключены к мосту.
6. Перейти на вкладку «Фильтры», видим, что уже есть два правила. Эти два правила отбрасывают все пакеты, которые поступают из wlan2 Wi-Fi-интерфейса (наш гостевой Wi-Fi) и хотят получить доступ к мосту и наоборот.
7. Гостевой Wi-Fi изолирован от остальной части локальной сети. Пользователи гостевого Wi-Fi по-прежнему получают IP-адрес в подсети 192.168.88.0/24, но они могут получить доступ только к маршрутизатору (и к интернету, поскольку маршрутизатор NAT-ing).
8. Проверить беспроводные таблицы. Щелкнув Wireless в левом меню, увидим два интерфейса Wi-Fi: Перейти на вкладку «Список доступа», на гостевом интерфейсе Wi-Fi устанавливаем правило: максимальную скорость загрузки гостевого интерфейса Wi-Fi до 1 Мбит.
9. В некоторых портах, где отсутствует мост настройки в меню «Переключение», на вкладке Switch есть 2 переключателя: сам SOC с 5-кратными портами Fast Ethernet, а другой с 5-гигабитными портами. Порт Ethernet 1 является шлюзом, порт 2 является ведущим портом 3, 4, 5, а порт 6 является ведущим портом 7, 8, 9, 10.
10. Нажать «Интерфейсы» в меню. Здесь можно изменить, где находится каждый порт, разделить коммутатор на разные сегменты (например, если мы хотим иметь проводные гостевые сети, а не только беспроводные и т. д.).

Обратить внимание, что это все разные интерфейсы, что означает, например, MAC-адрес порта 8 отличается от порта 9: Устанавливаем правила брандмауэра. Firewall доступен под IP -> «Брандмауэр». На первой вкладке показаны «Правила фильтрации», а на вкладке NAT мы видим, как все маскируется на порт 1, шлюз.

Конфигурация RB2011

Настройка роутера Mikrotik rb2011uas зависит от его первоначальной конфигурации. Он имеет довольно изящную конструкцию, хотя на аппаратной стороне слабоватое программное обеспечение. Существует много разных подмоделей, одна из которых — RB2011UiAS-2HnD-IN — является самой надежной, с SFP, b / g / n Wireless, портом micro-USB и ЖК-экраном.

Самый дешевый — RB2011iL-IN — не имеет этих опций и имеет более слабую память. Все они питаются от Atheros AR9344 SOC, который несколько разогнан на частоте 600 МГц. Кроме того, имеется 7-портовый гигабайтный коммутатор, AR8327 Atheros. Обычно IP-адрес нового маршрутизатора — 192.168.88.1.

Порядок настройки:

1. Администратором по умолчанию является admin без пароля.
2. После входа в систему маршрутизатор применяет конфигурацию по умолчанию, и далее переходим к Quick Set. Появится панель быстрого набора. Здесь мы можем быстро настроить несколько таких функций, как LAN и WAN IP, Wireless, пароль администратора. Меняем режим WISP AP по умолчанию на Home AP, нажмем «Да».
3. После того как изменение будет выполнено, поступит еще несколько вариантов подключения, выбираем гостевую беспроводную сеть, проверяем наличие обновлений прошивки, нажав кнопку «Проверить наличие обновлений». Опытные пользователи рекомендуют оставить канал на последней версии.
4. Обновляем маршрутизатор, нажав Download & Install. Он начнет загрузку и установку новой прошивки. После его выполнения вызывается автоматическая перезагрузка. Произойдет выход из интерфейса. Нужно подождать немного, пока он не будет полностью загружен, и нажать «Повторное подключение». Нажимаем OK, чтобы вернуться к панели конфигурации.
5. Ввести сетевое имя для беспроводной и гостевой сети для гостевых беспроводных полей. Это будут SSID, которые будут рекламироваться маршрутизатором. Далее — настройка Wi-Fi по выше обозначенной методике.

VPN для маршрутизаторов

Настройка VPN l2tp на роутере Mikrotik обеспечивает конфиденциальность и безопасность в интернете, предоставляя полную свободу в сети и мгновенный доступ к потоковой передаче контента.

Настройка L2TP на маршрутизаторе:

1. Войти в маршрутизатор, используя стандартное имя пользователя admin с пустым паролем.
2. Нажать вкладку PPP в меню слева. Откроется вкладка «Интерфейс».
3. Нажать на знак «+» и выбирать L2TP Client. Откроется окно «Новый интерфейс», заполнить поле Name. В этом поле можно ввести все, что нравится, например SaferVPN L2TP. Тип: клиент L2TP. L2 MTU: Пусто. Макс. MTU: оставьте его по умолчанию, т. е. 1450. Макс. MRU: оставьте его по умолчанию.
4. Перейти на вкладку Dial Out и выполните следующие действия. Connect To: выберите любой IP-адрес сервера или имя хоста на одном из серверов SaferVPN. Обратитесь к разделу «Как найти IP-адрес SaferVPN». Пользователь: имя пользователя SaferVPN. Пароль: пароль L2TP SaferVPN. Профиль: Шифрование по умолчанию. Keepalive Timeout : 60 Allow: проверка всех методов проверки подлинности.
5. Нажмите OK после проверки всех входов.
6. Продолжить настройку VPN на роутере Mikrotik и перейдите на вкладку IP на панели слева и выберите «Брандмауэр». Нажмите вкладку NAT, а затем «плюс».
7. Увидите настройки General, выполните следующие действия. Chain: Выберите Srcnat из выпадающего меню. Out Interface: выберите имя только что созданного соединения SaferVPN L2TP.
8. Выберите вкладку «Действие» в открывающемся меню. Нажмите «ОК».
9. Вернуться в окно брандмауэра, щелкнуть вкладку Mangle, а затем — знак «плюс».
10. В окне «Новое правило привязки» перейдите на вкладку «Общие» и выполните следующие действия. Цепочка: выберите «Предварительный просмотр» в раскрывающемся меню. Src. Адрес: здесь нужно ввести диапазон IP, который нужно проложить по VPN-соединению. Например: 192.168.5.150 — 192.168.5.250 (при условии, что маршрутизатор 192.168.5.5).
11. Нажмите «OK» после проверки входов.

Регулировка настройки DNS

Изменение DNS-серверов может стать хорошим шагом для устранения неполадок при устранении некоторых проблем с подключением к Интернету. Это может привести к тому, что веб-серфинг станет более конфиденциальным и может даже позволить получить доступ к сайтам, которые интернет-провайдер решил заблокировать.

Простые шаги настройки:

1. Перейти на IP-адрес в левой части меню и кликнуть DNS.
2. Выбрать «Статический», а затем нажать знак «плюс». Откроется новое окно.
3. Изменить настройки. Имя: OpenDNS. Адрес: 208.67.222.222.
4. Нажать «OK» после проверки входов. Снова нажмите на знак, но введите имя в нужное поле. Имя: OpenDNS1 Адрес: 208.67.220.220.
5. Нажать «OK» после проверки входов. Еще раз нажать на знак и заполнить поля ввода, как показано ниже: Имя: Адрес Google: 8.8.8.8
6. Нажмите «OK» после проверки входов. Повторить шаг еще раз, нажать на «плюс» и заполнить поля ввода, как показано ниже: Имя: Google1 Адрес: 8.8.4.4 Нажать на кнопку «OK» после проверки входов.
7. Теперь в окне настроек DNS: Разрешить удаленные запросы: Активировать и нажать «ОК» — и настройка роутера Mikrotik завершена.
8. Как только будет закончена настройка, можно проверить свое местоположение.
9. Затем перейти по интерфейсу Winbox, чтобы увидеть текущее состояние, и если необходимо, обновить базовую конфигурацию.

Создание домашней сети не является простым, но оно не должно быть слишком сложным. Об этом позаботились производители роутеров. Они технологически упрощают работу с устройствами даже для не очень продвинутых пользователей, создавая особые разъемы, видео инструкции и специальные программы настройки, которые упрощают подключение всех функции маршрутизаторов.

Похожие статьи

• 1 Настройка MikroTik VLAN
  • 1.1 Сброс настроек роутера
  • 1.2 Настройка WAN порта
  • 1.3 Объединение LAN портов в Bridge
  • 1.4 Добавление VLAN интерфейса
  • 1.5 Настройка пула адресов
  • 1.6 Настройка DHCP серверов
  • 1.7 Настройка DNS сервера
  • 1.8 Включение NAT
  • 1.9 Изоляция подсетей

• 2 Настройка EnGenius VLAN
  • 2.1 Создание двух виртуальных Wi-Fi точек
  • 2.2 Настройка безопасности
  • 2.3 Настройка VLAN виртуальной точки HotSpot
  • 2.4 Настройка LAN

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.

В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.

Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.

Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:

• роутер MikroTik RB750;
• Wi-Fi точка доступа EnGenius EAP150.

Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.

Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.

1. Настройка MikroTik VLAN

Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

1. Откройте в меню New Terminal;
2. Введите команду systemreset;
3. Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

1. Откройте меню IP — DHCP Client;
2. В появившемся окне нажмите красный плюсик;
3. В новом окне в списке Interface: выбираем WAN интерфейс ether1;
4. Нажимаем кнопку OK для сохранения настроек.

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Проверяем наличие соединения с интернетом:

1. Откройте New Terminal;
2. Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.

1.3 Объединение LAN портов в Bridge

Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

1. Откройте меню Bridge;
2. Нажмите «красный плюсик»;
3. В поле Name укажите название интерфейса bridge_main;
4. Нажмите кнопку ОК.

Добавляем LAN порты в Bridge:

1. Перейдите на вкладку Ports;
2. Нажмите «красный плюсик»;
3. В списке Interface выберите второй порт роутера ether2;
4. В списке Bridge выберите интерфейс bridge_main;
5. Нажмите кнопку ОК.

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

1. Откройте меню Interfaces;
2. Перейдите на вкладку VLAN;
3. Нажмите «красный плюсик»;
4. В появившемся окне в поле Name указываем название интерфейса vlan2;
5. В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID — это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
6. В списке Interface выбираем интерфейс bridge_main;
7. Нажимаем кнопку OK для создания VLAN интерфейса.

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

1. Откройте меню IP — Addresses;
2. Нажмите «красный плюсик»;
3. В поле Address введите 192.168.88.1/24;
4. В списке Interface выберите интерфейс bridge_main;
5. Нажимаем кнопку OK.

Настройка IP адреса гостевой сети:

1. Откройте меню IP — Addresses;
2. Нажмите «красный плюсик»;
3. В поле Address введите 192.168.10.1/24;
4. В списке Interface выберите виртуальный интерфейс vlan2;
5. Нажимаем кнопку OK.

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

1. Откройте меню IP — Pool;
2. Нажмите «красный плюсик»;
3. В появившемся окне в поле Name укажите название dhcp_pool_main;
4. В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
5. Нажмите кнопку OK для сохранения пула адресов.

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

1. Нажмите «красный плюсик»;
2. В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
3. В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
4. Нажимаем кнопку OK для сохранения пула адресов.

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

1. Откройте меню IP — DHCP server;
2. Нажмите «красный плюсик»;
3. В появившемся окне в поле Name укажите название dhcp_server_main;
4. В списке Interface выберите интерфейс офисной сети bridge_main;
5. В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
6. Нажмите кнопку OK.

Настраиваем DHCP сервер гостевой сети аналогичным образом:

1. Нажмите «красный плюсик»;
2. В появившемся окне в поле Name укажите название dhcp_server_vlan2;
3. В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
4. В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
5. Нажмите кнопку OK.

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

1. Нажмите «красный плюсик»;
2. В поле Address укажите сеть предприятия 192.168.88.0/24;
3. В поле Gateway укажите адрес шлюза 192.168.88.1;
4. В поле Netmask укажите маску 24;
5. В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
6. Нажмите кнопку OK.

Добавляем гостевую сеть:

1. Нажмите «красный плюсик»;
2. В поле Address укажите сеть предприятия 192.168.10.0/24;
3. В поле Gateway укажите адрес шлюза 192.168.10.1;
4. В поле Netmask укажите маску 24;
5. В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
6. Нажмите кнопку OK.

1.7 Настройка DNS сервера

1. Откройте меню IP — DNS и нажмите кнопку Settings;
2. Поставьте галочку Allow Remote Request;
3. Нажмите кнопку OK.

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

1. 1. Откройте меню IP — Firewall;
   2. Перейдите на вкладку NAT;
   3. Нажмите «красный плюсик»;

1. 1. В списке Chain выберите srcnat;
   2. В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;
   3. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;

1. Перейдите на вкладку Action;
2. В списке Action выберите masquerade;
3. Нажмите кнопку OK.

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

1. Нажмите «красный плюсик»;
2. В списке Chain выберите srcnat;
3. В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
4. В списке Out Interface выберите WAN порт vlan2, на который приходит интернет от провайдера;
5. Перейдите на вкладку Action;
6. В списке Action выберите masquerade;
7. Нажмите кнопку OK.

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

1. Откройте меню IP — Routes;
2. Перейдите на вкладку Rules;
3. Нажмите «красный плюсик»;
4. В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
5. В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
6. В списке Action выберите unreachable;
7. Нажмите кнопку OK.

Добавляем второе правило аналогичным образом, только меняем местами подсети.

1. Нажмите «красный плюсик»;
2. В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
3. В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
4. В списке Action выберите unreachable;
5. Нажмите кнопку OK.

Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

2 Настройка EnGenius VLAN

Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.

Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.

2.1 Создание двух виртуальных Wi-Fi точек

Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System — Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.

Переходим в меню Wireless — Basic и настраиваем две Wi-Fi точки Office и HotSpot.

• В списке Enabled SSID выберите цифру 2, чтобы можно было ввести два названия точки доступа;
• В поле ESSID1 вводим название Wi-Fi точки Office — это будет беспроводная сеть предприятия;
• В поле ESSID2 вводим название Wi-Fi точки HotSpot — это беспроводная сеть для подключения гостей;
• AutoChannel оставьте Enable, если хотите чтобы точка сама выбирала Wi-Fi канал, на котором будет работать. У нас на других каналах есть много других Wi-Fi точек, создающих помехи. Поэтому мы выбрали AutoChannel: Disable и в списке Channel вручную указали более свободный канал 11;
• Нажмите кнопку Apply для применения настроек.

2.2 Настройка безопасности

На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.

• Откройте меню Wireless — Security;
• В списке ESSID Selection выберите название точки Office;
• В списке Encryption выберите шифрование WPA pre-shared key;
• В WPA Type выберите тип шифрования WPA2 Mixed;
• В списке Pre-shared Key Type выберите тип ключа Passphrase;
• В поле Pre-shared Key введите пароль для подключения к Wi-Fi точке Office;
• Нажмите кнопку Apply для применения настроек.

Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.

Также не забудьте в меню Management — Admin изменить пароль для входа в настройки точки доступа EnGenius.

2.3 Настройка VLAN виртуальной точки HotSpot

Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.

• Откройте меню Wireless — VLAN;
• Выберите Virtual LAN: Enable;
• Напротив SSID 1 Tag: уберите галочку Tag, поскольку первая точка доступа Office не вынесена в отдельный VLAN;
• Напротив SSID 2 Tag: поставьте галочку Tag и укажите идентификатор 2 — это VLAN идентификатор второй точки доступа HotSpot, вынесенной в отдельный VLAN;
• Нажмите кнопку Apply для применения настроек.

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

• Откройте меню Network — LAN;
• Bridge Type выбираем Static IP — ввод сетевых настроек вручную;
• IP Address вводим 192.168.88.100;
• IP Subnet Mask указываем маску подсети 255.255.255.0;
• Default Gateway — это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
• First DNS Address указываем первичный DNS сервер 192.168.88.1;
• Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
• Применяем настройки кнопкой Apply.

Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Огромное спасибо: http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php#vlan_setup_hotspot

Смотрите также:

Как установить Mikrotik Cloud Hosted Router на SSD VDSMikrotik User Meeting (MUM) 2016 Russia, Moscow.Бланки доверенностей на получение материальных ценностей (ТМЦ или товара). Формы М-2 и М-2аРазвертывание шаблонов Windows 7/8 и кастомизацияИспользуемые источники:

• https://www.radio-spektr.ru/articles/obzor-i-nastroyka-mikrotik-wap/
• https://www.syl.ru/article/376887/nastroyka-routera-mikrotik-poshagovaya-instruktsiya
• https://adminotes.ru/razdelenie-lokalnoj-seti-s-pomoshhyu-vlan/