Guest wi-fi створення гостьової мережі wi-fi з обмеженням швидкості на прикладі маршрутизаторів

Докладний огляд Mikrotik hAP lite (RB941-2nD): кращий домашній роутер в своєму

Роутери Mikrotik довгий час залишалися пристроями для професіоналів, однак зі зростанням

Mikrotik розширює лінійку домашніх роутерів: в 3-му кварталі компанія випустить

Інтеграція POS-терміналів Ingenico з торговим програмним забезпеченням. на

Перед тим, як розглядати інтеграцію, слід трохи поговорити про програмне забезпечення

Guest Wi-Fi: створення гостьової мережі Wi-Fi з обмеженням швидкості на прикладі

Досить часто виникають ситуації, коли необхідно надати (будинки, або ж на підприємстві)

Огляд маршрутизатора Mikrotik hAP (RB951Ui-2nD): золота середина

Досить часто виникають ситуації, коли необхідно надати (будинки, або ж на підприємстві) доступ до Інтернет через безпровідну мережу стороннім особам. Мережі бувають різними: одні виконують тільки функцію надання доступу до мережі Інтернет, в той час як інші містять локальні ресурси і сервери.

Приклад перший: сусід наполегливо випрошує пароль до Wi-Fi, але ви не бажаєте ділити з ним всю швидкість підключення, а при необхідності і паролі міняти на всіх своїх пристроях. До того ж, сусід може дати пароль ще комусь.

І тут виникає питання - як надати сторонній людині доступ до мережі Інтернет, без застосування додаткового обладнання та при цьому зберегти ізоляцію своєї локальної мережі? З обладнанням Mikrotik це зробити досить легко.

Передмова

Припустимо, у нас вже використовується маршрутизатор з бездротовим модулем. З метою безпеки, заздалегідь створюємо собі новий логін для управління Mikrotik з надійним паролем, вбудований логін «admin» відключаємо.

Як локальної мережі виступає 192.168.106.0/24.

Для поділу мереж можна вдатися до використання VLAN, або встановити і налаштувати пакет «Hotspot», ми ж розглянемо третій, більш простий варіант настройки.

Приступаємо до налаштування

Крок 1. Створюємо профіль безпеки для Wi-Fi

Заходимо в розділ Wireless (бездротова мережа), переходимо до вкладки Security Profiles і створюємо новий профіль безпеки для бездротового з'єднання, в нашому випадку це буде «free-wifi» (WPA2 PSK + AES). Можна також вибрати «Mode: none», в цьому випадку для доступу до мережі Не потрібно вводити його (відкрита мережа).

Крок 2. Створюємо новий бездротової інтерфейс

Повертаємося на вкладку Interfaces (інтерфейси), в лівій частині натискаємо синій плюс, потім у випадаючому меню вибираємо «Virtual AP» для створення віртуальної точки доступу. Вказуємо бажане ім'я мережі (SSID), як майстер-інтерфейсу буде виступати wlan1. В поле Security Profile не забудьте вибрати створений профіль безпеки.

Після цих дій, під wlan1 додасться віртуальний інтерфейс.

Крок 3. Створюємо новий бридж для гостьової мережі

Оскільки передбачається ізолювати гостьову мережу від існуючої, створюємо для неї окремий бридж. Для цього відкриваємо розділ Bridge і створюємо новий бридж з настройками за замовчуванням, для зручності ми вказали ім'я «bridge-free-wifi». Далі на вкладці Ports необхідно додати інтерфейс wlan2 (наша Virtual AP) в цей бридж.

10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255

Для прикладу побудови гостьовій мережі ми вибрали підмережа 10.1.1.0/24.

Далі переходимо в розділ IP - DHCP Server. перемикається на вкладку Networks (мережі), де створюємо нову DHCP-мережу: вказуємо шлюз, DNS, які будуть призначатися клієнту. У нашому прикладі це IP 10.1.1.1.

Крок 5. Створюємо новий сервер DHCP

Якщо ви зробили все правильно, бездротова мережа запрацює. І все б добре, тільки ось клієнти нової мережі будуть розділяти швидкість з клієнтами іншої локальної мережі, а нам цього природно не хочеться, адже так? А якщо серед «гостей» знайдеться любитель торрентів? - про нормальну роботу бездротової мережі як, втім, і Інтернету, можна забути. Тому переходимо до шостого кроку.

Крок 6. Обмеження швидкості гостьового Wi-Fi за допомогою Simple Queue

І тут на допомогу приходять вбудовані можливості RouterOS, звані чергами - «Queue». Заходимо в розділ Queues. на першій вкладці Simple Queues необхідно створити нове правило, для чого натискаємо на синій плюс в лівому верхньому кутку. На налаштуванні правил зупинимося більш детально.

Target - джерело запитів; в цьому полі потрібно вказати гостьову підмережа, в нашому випадку це 10.1.1.0/24, замість підмережі можна також вибирати бридж, в якому знаходиться WLAN віртуальної точки доступу.
Upload - швидкість відправки даних;
Download - швидкість завантаження;
Max. Limit - верхня межа швидкості; встановлює верхнє обмеження швидкості закачування і відправки.

При вказівці швидкості можна використовувати індекси k і M:

k - швидкість в кбіт / сек;
M - швидкість в Мбіт / сек;

Далі розміщені необов'язкові параметри Burst, які по-замовчуванням відключені, це свого роду турбо-прискорення. Burst складається з трьох параметрів, від правильності настройки яких залежить коректність роботи цього режиму.

Burst Limit - максимальна швидкість в режимі Турбо; ця швидкість повинна бути більше, ніж встановлений верхню межу швидкості (Max. Limit).
Burst Threshold - поріг спрацьовування режиму Burst; зазначена швидкість повинна бути менше верхньої межі (Max. Limit).
Burst Time - період часу в секундах, протягом якого проводиться розрахунок середньої швидкості.

Як працює обмеження?

Давайте розглянемо, як це працює на прикладі.

Target Download: Max. Limit у нас встановлений 5М, тобто максимальна швидкість становить 5 Мбіт / сек. Якщо Burst не встановлено, Max. Limit означатиме максимальну дозволену швидкість завантаження.

У нашому випадку Burst активний і Target Download: Burst Limit встановлює прискорення до 10 Мбіт. І далі присутні 2 додаткові параметра Threshold і Time, є по суті «перемикачами» режиму. Протягом 10 сек проводитися підрахунок середньої швидкості, якщо вона перевищує 4 Мбіт / сек - Burst відключається.

Як це працює? Якщо Вася сидить в інтернеті і переглядає сайти, при зверненні до сторінок вони завантажуються з максимальною швидкістю до 10 Мбіт / сек.

Але як тільки Вася захоче запустити торрент або почне інтенсивну роботу з мережею (скачування файлів), перші 10 секунд він отримає дані з максимальною швидкістю 10 Мбіт, після чого спрацює правило і Burst відключиться, встановивши максимальну швидкість 5 Мбіт і швидкість почне падати, поки не досягне ліміту швидкості в 5 Мбіт. Все це станься через те, що середня швидкість за проміжок 10 сек перевищує 4 Мбіт. Таким чином, ми надаємо Васі можливість швидкого відкриття інтернет-сторінок і захищаємо себе від зайвої завантаження нашого інтернет-каналу.

Ліміти швидкості слід вибирати виходячи з реальної швидкості за тарифним планом. Багато що залежить від того, скільки у вас пристроїв, що мають доступ до інтернет і типу використовуваних сервісів.

У нашому прикладі швидкість інтернет-каналу становить 20 Мбіт на прийом і 1.5 Мбіт на відправку. Таким чином, в піку ми дозволяємо Васі використовувати до 50% ємності нашого каналу, а при інтенсивній активності знижуємо швидкість до 25%.

Підвищуємо безпеку внутрішньої мережі

За замовчуванням, пінг у внутрішню мережу з гостьової проходити не буде, але існують варіанти обходу цих обмежень. Тому розглянемо варіанти підвищення безпеки.

Крок 7. Забороняємо доступ в локальну мережу

Заходимо в розділ IP - Route (маршрути), переходимо на вкладку Rules (правила) і створюємо по 2 правила для кожної мережі, яку хочемо ізолювати. Необхідно забороняти трафік в обидві сторони, тому правил "Action: unreachable" створюємо два, перше правило забороняє трафік з гостьової в локальну мережу, друге - з локальної мережі в гостьову.

Крок 8. Забороняємо статичні IP в гостьовій мережі

Відкриваємо IP - DHCP Server. вибираємо гостьовий dhcp і встановлюємо опцію «Add ARP For Leases».

Переходимо в розділ Bridge. вибираємо гостьовий бридж, навпроти опції ARP необхідно вказати «reply-only».

Крок 9. Забороняємо управління Mikrotik з гостьової мережі

Для того, щоб обмежити доступ до управління Mikrotik з гостьової мережі, необхідно вказати список дозволених мереж. Відкриваємо IP - Services. по-замовчуванню тут включено багато портів, необхідно залишити тільки ті, якими ви користуєтеся. Особисто я віддаю перевагу залишати www і Winbox.

На цьому все, сподіваємося ця інструкція буде вам корисною.