Crear Varias Red Wi-Fi en un Router Mikrotik

Pasos para crear una segunda (o tercera) de la red en un router Mikrotik, tal vez por una red de invitados.

Finalidad

Separar diferentes WiFi en la red.  nos puede ayudar a controlar o separar los grupos de clientes o simplemente poner a tus amigos en una red de invitados, y los clientes de pago en su propia red, etc.

Muchos routers tienen un estilo de “marcar la casilla” de la red WiFi invitado, marque la casilla de “red de invitados” y fuera hace estallar un punto de acceso de invitado virtual.

Mikrotik routers pueden hacer exactamente lo mismo y mucho mas, ya  que puedes tener puntos de acceso prácticamente ilimitados.. y que necesita para construir la pieza a pieza red.

Pasos

En esta guía, se crea una interfaz de conexión Wi-Fi por separado para teléfonos y tabletas.

Los teléfonos no suelen necesitar acceso a la red a otros dispositivos locales. Y tienen la mala costumbre de perderse, robados o rotos de lo contrario, por lo que tener un punto de acceso WiFi por separado (y contraseña) significa que accidentalmente no revelar su contraseña principal WiFi.

Voy a estar utilizando WinBox, pero también voy a enumerar los detalles de la consola a través de un comando de impresión.

1. Crear una Interfaz

Lo primero que debe hacer es crear usted mismo una contraseña para su AP.

A continuación, cree un nuevo perfil de seguridad : Goto Wireless -> Perfiles de seguridad y añadir un nuevo perfil.

Darle un nombre apropiado ( wpa2-phonesen mi caso). Desactivo WPA y sólo usar WPA2 , como no tengo los dispositivos heredados y se mejora la seguridad ligeramente. Por último, no se olvide de que introduzca su contraseña.

A continuación, crear un punto de acceso virtual: Goto Wireless -> Interfaces y luego añadir un AP virtual .

En la general pestaña, introduzca un nombre para la interfaz de red (que se utiliza internamente en su Mikrotik). El mío es wlan-phones.

Por inalámbrica pestaña, introduzca un SSID para identificar su red: ligos-phonespara mí, a continuación, seleccione su perfil de seguridad de nueva creación

2. Asignar una piscina y dirección IP

Una interfaz de red no es muy útil y sin una dirección IP.

Goto IP -> Dirección y luego añadir una nueva dirección.

Elija una dirección IP adecuada para su nueva red (estoy usando 10.46.2.xxx) y asignarlo a su nueva interfaz.

En muchos otros routers, se asigna un rango de direcciones IP con el servidor DHCP. En un Mikrotik se crea una piscina de IP, que luego se utiliza por el DHCP (y otras cosas también, supongo, aunque no tengo ni idea de qué). Así que tenemos una piscina antes de que podamos configurar DHCP.

Goto IP -> piscina y luego añadir una nueva piscina.

Tiendo a reservar la parte inferior ~ 60 dirección (de x.1a x.63) para las asignaciones estáticas, y x.255es la dirección de difusión. Lo que significa un rango como 10.46.2.64 - 10.46.2.254es mi piscina.

4. Creación de un servidor DHCP

Se utiliza DHCP para asignar direcciones a los dispositivos que se conectan a la red WiFi. Ellos usarán la piscina que acabamos de crear. Y también asignar algunas otras direcciones especiales.

Goto IP -> Servidor DHCP -> DHCP Tab y añadir un nuevo servidor DHCP.

Darle un nombre (llamado a la mía después de la wlan-phonesinterfaz). Seleccione la interfaz que ha creado. Extender el tiempo de concesión a algo razonablemente largo (yo uso 1 día). Y seleccionar el conjunto de direcciones que ha creado en el último paso.

Ahora, saltar por encima de la Redes pestaña y añadir nueva configuración.

La Dirección de campo es lo que vincula la agrupación de direcciones , el servidor DHCP y la configuración de la red todos juntos. Debe ser la misma que la dirección IP que elija, pero con un cero al final, y la máscara de red después. 10.46.2.0/24encaja mi ejemplo hasta el momento. La máscara de red debe ser 255.255.255.0o 24, a menos que sepa mucho más acerca de las subredes que yo.

Asimismo, establecer el router para ser el servidor DNS y el servidor NTP. Y el dominio a ligos.local.

5. Asignación de una piscina y Dirección IPv6

También tengo un rango IPv6 pública asignada por mi ISP, por lo que añado una dirección IPv6 también. Es necesario crear una piscina de IPv6 en primer lugar, en función de su asignación de dirección pública, antes de que pueda anunciar en una interfaz o asignar una dirección. Además, debido a que hay mucho más de descubrimiento automático integrado en IPv6, configuración es mucho menos complicado.

Goto IPv6 -> piscina y luego añadir una nueva piscina.

Estoy simplemente asignar /64subredes (de mi /56asignación pública) a cada red. Esto me da 255 subredes para 255 redes (que es mucho, teniendo en cuenta que no tengo evento de 255 dispositivos!) No hay asignaciones estáticas, por lo que no hay exclusiones rango de direcciones IPv4 como para.

Ahora, ir a IPv6 -> Dirección . Se habrá dado cuenta de que las direcciones locales de enlace (a partir de fe80) han sido creados de forma dinámica para su nueva interfaz. Esto es totalmente normal.

Ahora, añadir una nueva dirección. Yo uso la misma dirección para el router como para la piscina. Y establecer la piscina y la interfaz correcta.

6. Añadir las reglas del cortafuegos

Antes de que todo va a funcionar, necesitará un par de reglas de firewall.

He creado una política de enrutamiento de facto sobre la base de las listas de direcciones . Mediante la adición de las nuevas máscaras de red existentes a las listas de direcciones , todo funcionará sin más cambios en las reglas del cortafuegos. Aunque voy a enumerar las reglas de firewall, así, para su referencia.

Hay 4 categorías que tengo en este momento:

all_internal - una lista de todos mis redes internas. Tengo que añadir mi nueva 10.46.2.0/24red aquí.

internal_trusted - redes que pueden acceder a los recursos de LAN. Como mi nueva red de móviles no necesita manta de acceso local, no añado.

internal_restricted - redes que no pueden tener acceso a los recursos de LAN (a menos que agrego reglas explícitas). Añado 10.46.2.0/24aquí.

named_blah - dispositivos específicamente designados. Porque no se puede utilizar nombres DNS en las reglas del cortafuegos.

Tenga en cuenta la 10.46.1.0/26red de internal_trusted . Aunque 10.46.1.0/24está restringida por defecto, confío en una pequeña parte de esa red (esto le permite acceder a las impresoras dispositivos de mis hijos y recursos compartidos SMB).

La regla de cortafuegos más importante es la regla de NAT, que traduce las direcciones IP públicas a las privadas. Sin esto, no hay conectividad a Internet es posible.

La filtros pestaña es donde las reglas de firewall realmente viven. Hacen cumplir cualquier política que tengo, es decir, lo que puede acceder a qué. Hay tres categorías de reglas que tengo:

normas Estadísticas - estos son sólo para realizar un seguimiento de GB y el número de paquetes.

- permiten a las reglas para permitir conexiones particulares.

Reglas de denegación - el cortafuegos permite Mikrotik todo por defecto, por lo que necesita algunas reglas para revertir ese comportamiento.

Tenga en cuenta que la mayoría de las normas se aplican a la forwardcadena. Este es el utilizado al reenviar paquetes entre redes (a diferencia de los paquetes dentro de las mismas redes).

IPv6 firewall es considerablemente más simple: sólo las reglas de contabilidad. A pesar de eso es probablemente más debido a mi pereza de las mejores prácticas.

7. Prueba

Una vez configurado, usted debe poder hacer ping a la nueva direcciones IP que acaba de crear.

Y la prueba final es conectar un teléfono a la nueva red Wi-Fi. Asegúrese de que obtiene una dirección IP (si no es así, la interfaz Wi-Fi en sí o el servidor DHCP está mal configurado). Y tratar de acceder a Internet (si no se puede, la regla NAT u otra regla de cortafuegos es probablemente roto).

También es útil para mantener un ojo en el Log , ya que los errores pueden aparecer allí para ayudar a localizar problemas. Y mira contra las reglas de firewall para ver cuando el paquete cuenta incremento, que es una pista donde las cosas podrían estar siendo bloqueadas.

Conclusión

Se pueden crear muchas nuevas redes WiFi en un router Mikrotik para segregar y restringir dispositivos.

El proceso es más complicado que en la mayoría de los routers domésticos, pero considerablemente más flexible.

Quieres todo de la forma mas facil ?

Si gustas puedes contribuir con nuestra pagina

Haciendo un donativo. La colaboración de personas como tú, nos permite seguir llevando a cabo nuestra labor