valeryz.com.ua - Як "загостювати" точку доступу UniFi з роутером Mikrotik

Як "загостювати" точку доступу UniFi з роутером Mikrotik

Отже… постало завдання, котре я досі ніколи не вирішував на рівні корпоративної мережі.

Воно полягає в тому, що потрібно, використовуючи наявні апаратні засоби влаштувати гостьовий доступ до Wi-Fi на території підприємства, котрий був би лімітований за однією схемою, а також гостьовий доступ на території літнього кафе, який би був лімітований за іншою схемою.

При цьому цей доступ створюється для доступу клієнтів у мережу інтернет і не повинен давати їм можливості доступу до внутрішніх ресурсів підприємства.

Апаратні ресурси у нас наступні:

- роутер Mikrotik;

- контролер Wi-Fi мережі Ubiquiti UniFy Cloud Key Gen2 Plus;

- точки доступу Ubiquiti UniFi AP-AC-LR.

Подібне завдання я пробував вирішити, але на програмному контролері воно не «злетіло», оскільки для підтримки гостьової мережі контролер має постійно працювати. А мій – знаходився у віртуальній машині, яку доводилось вимикати.

Втім, інколи виходить переконати керівництво, що нове «залізо» то good.

І починаємо.

Налаштуємо спочатку роутер.

Тут я «накидаю» скрипт, тому що, в принципі, з нього все зрозуміло, а кому не дуже – тих я запрошую не лінитися і освоїти взаємозв’язок інтерфейсу та скриптової мови, яка використовується у RouterOS (я ж зміг).

Налаштуємо Mikrotik на використання VLAN з номером… ну нехай 53:

/interface vlan

add interface=bridge name=vlan53_guest vlan-id=53

/ip pool

add name=pool_vlan53 ranges=192.168.53.11-192.168.53.250

/ip dhcp-server

add address-pool=pool_vlan53 disabled=no interface=vlan53_guest name=\

dhcp_vlan53

/ip address

add address=192.168.53.1/24 comment="vlan 53 guest network" interface=\

vlan53_guest network=192.168.53.0

/ip dhcp-server network

add address=192.168.53.0/24 gateway=192.168.53.1

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" \

ipsec-policy=out,none out-interface-list=WAN src-address=192.168.53.0/24

Тепер налаштуєм контролер Cloud Key Gen2 Plus

В інтерфейсі контролера натиснемо кнопку налаштування, що відноситься до налаштувань поточного сайту (це такий термін в UniFi і до сайтів у інтернеті він ніяким чином, на мій погляд не відноситься).

Створимо нову користувацьку групу для гостей.

Встановимо її назву та, за потреби, пролімітуємо параметри вхідного та вихідного трафіку.

Створимо нову локальну мережу

Задамо її ім’я (у мене Guest_53), тип – обов’язково VLAN Only, та номер VLAN (у мене – 53).

Створимо нову Wi-Fi мережу.

Налаштуємо її, задавши найменування, параметри доступу, номер VLAN та користувацьку групу.

Ось так ми налаштували одну гостьову мережу.

Паралельно їй можна створити ще одну з іншими параметрами доступу для гостей, але, звичайно, що для неї слід буде задати інший VLAN.

А можна скористатись тим же VLAN, але встановити інші параметри користувацької групи.

Звичайно, що налаштування можна дещо ускладнити, наприклад зробивши мережу захованою, чи ще щось. Але ось це – найпростіші кроки, щоб підняти гостьову мережу на наведеному обладнанні.

http://www.valeryz.com.ua

Налаштування гостьової мережі UniFi та Mikrotik.pdf