27 Июнь 2021 19:59 Сергей Морозов (изменено 04 Июнь 2022 4:06)

Существует несколько способов создания гостевой сети на RouterOS, я опишу один из них.

Задача: создать гостевую сеть, изолированную от основной сети, и включающую Wi-Fi (2.4 и 5 ГГц) и один из ethernet портов роутера.

Будем считать, что у нас уже есть настроенная сеть с адресами в сети 192.168.88.0/24. Ethernet порты с 2-го по 5-й находятся в мосте bridge, адрес 192.168.88.1 назначен на интерфейс bridge. Это — конфигурация роутера по умолчанию.

Нам нужно создать второй мост, включить в него ethernet интерфейс ether5 и виртуальные Wi-FI интерфейсы (2 штуки, для 2.4 ГГц и для 5 ГГц), назначить на этот мост адрес, настроить DHCP сервер, фильтрацию пакетов. Мы не будем использовать фильтрацию VLAN, поэтому на все параметры PVID можно не обращать внимания. Адрес гостевой сети: 192.168.99.0/24, шлюз: 192.168.99.1. Мост для гостевой сети нужен, чтобы изолировать трафик гостевой сети от трафика основной сети.

Создаём мост для гостевой сети:

/interface bridge
add name=bridge_guest

В этот мост мы поместим все гостевые интерфейсы.

Включаем интерфейс ether5 в новый мост:

/interface bridge port
set [find interface=ether5] bridge=bridge_guest

Создаём профиль безопасности и виртуальные интерфейсы Wi-Fi:

/interface wireless
security-profiles add name=guest authentication-types=wpa2-psk wpa2-pre-shared-key=MySuperSecretWiFiKeyForGuestNetwork
add name=wlan_guest2 master-interface=wlan1 security-profile=guest ssid="Guest Network" disabled=no
add name=wlan_guest5 master-interface=wlan2 security-profile=guest ssid="Guest Network" disabled=no

Добавляем виртуальные интерфейсы Wi-Fi в мост:

/interface bridge port
add interface=wlan_guest2 bridge=bridge_guest
add interface=wlan_guest5 bridge=bridge_guest

Всё, с L2 закончено, теперь займёмся L3.

IP адрес роутера в гостевой сети:

/ip address
add interface=bridge_guest address=192.168.99.1/24

DHCP:

Пул адресов:

/ip pool
add name=guest ranges=192.168.99.128-192.168.99.254

Из этого пула по DHCP будут выдаваться IP адреса устройствам в гостевой сети.

Сеть:

/ip dhcp-server network
add address=192.168.99.0/24 dns-server=192.168.99.1 gateway=192.168.99.1

Сервер:

/ip dhcp-server
add address-pool=guest name=guest interface=bridge_guest disabled=no

IP фильтр:

Для удобства создадим список интерфейсов GUEST и добавим мост bridge_guest:

/interface list
add name=GUEST
member add interface=bridge_guest list=GUEST

Запрещаем трафик из гостевой сети в основную:

/ip firewall filter
add chain=forward  in-interface-list=GUEST out-interface-list=LAN action=reject

и разрешаем запросы DNS из гостевой сети:

add chain=input in-interface-list=GUEST dst-address=192.168.99.1 protocol=udp dst-port=53 place-before=1

На этом всё, гостевая сеть создана и работает.