Creación de una Red WiFi de invitados

Buenos días,

Ayer estuve preparando una Red WiFi para los invitados que llegan a casa y siguiendo vuestros consejos, he generado un código QR para que lo tengan fácil conectarse con el móvil: https://qifi.org/

Este es el proceso que he seguido:

1.- Creamos un nuevo perfil de seguridad wireless específico para esta subred

Bash:
/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=profile-guest \
supplicant-identity=MikroTik wpa2-pre-shared-key=PASSWORD

2.- Creamos la nueva interfaz wireless virtual, como "master-interface" he seleccionado 2G (vale cualquiera de las dos si el router es "dual-band")

Bash:
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=0A:XX:XX:XX:XX:F2 master-interface=wlan1-2G \
multicast-buffering=disabled name=wlan-guest security-profile=profile-guest \
ssid=INVITADOS wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

3.- Creamos un Bridge específico para la nueva interfaz

Bash:
/interface bridge
add name=bridge-guest

4.- Asignamos el interfaz wireless virtual al nuevo Bridge

Bash:
/interface bridge port
add bridge=bridge-guest interface=wlan-guest

5.- Asignamos una IP al nuevo Bridge

Bash:
/ip address
add address=192.168.78.1/24 interface=bridge-guest network=192.168.78.0

6.- Creamos un nuevo pool de direcciones para la red de invitados

Bash:
/ip pool
add name=pool-guest ranges=192.168.78.2-192.168.78.254

7.- Creamos un nuevo servidor DHCP

Bash:
/ip dhcp-server
add address-pool=pool-guest disabled=no interface=bridge-guest lease-time=1h name=dhcp-guest

8.- Asignamos el segmento de red al servidor DHCP

Bash:
/ip dhcp-server network
add address=192.168.78.0/24 gateway=192.168.78.1 dns-server=8.8.8.8,8.8.4.4

9.- Creamos sendas reglas de Firewall para evitar accesos de la Red de invitados a la Red local y viceversa (.78.0 <->.88.0) y las movemos al principio del bloque "forward".

Bash:
/ip firewall filter
add action=drop chain=forward dst-address=192.168.88.0/24 src-address=192.168.78.0/24
add action=drop chain=forward dst-address=192.168.78.0/24 src-address=192.168.88.0/24

10.- Limitamos el acceso a la administración del router:
Bash:
/ip firewall filter
add action=drop chain=input in-interface=bridge-guest dst-address=192.168.88.1 dst-port=22,80,8291

Importante: Por seguridad hay que deshabilitar los servicios que no utilicemos, cambiar los puertos y limitar el acceso al segmento de red LAN. Por ejemplo:

Bash:
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24 port=8888
set ssh address=192.168.88.0/24 port=2233
set api disabled=yes
set winbox address=192.168.88.0/24 port=30450
set api-ssl disabled=yes

11.- Filtrar todo el tráfico procedente del Bridge a cualquier lugar excepto a la puerta de enlace

Bash:
/ip firewall filter
add action=drop chain=forward in-interface=bridge-guest out-interface-list=!WAN

Ahora tengo una duda, entiendo que no es necesario enmascarar porque la regla principal de masquerade ya permitiría salir a internet a todas las redes internas (0.0.0.0/0):

Bash:
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN

¿O habría que incluir esta?

Bash:
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN src-address=192.168.78.0/24

S@lu2.
 

Adjuntos

  • u2I0fqsI1F.png
    u2I0fqsI1F.png
    47.2 KB · Visitas: 34
Última edición:
Lo tienes todo perfecto. La última regla te sobra, solo necesitas una regla de masquerade.

Te digo un truco, por si quieres hacer exactamente lo mismo, pero todo con un mismo segmento de red: si metes la nueva interfaz en la red inalámbrica en el bridge principal y te vas a Bridge -> filter, y creas dos reglas de forward con drop: una para el origen del tráfico desde esa interfaz y la misma pero con dicha interfaz de destino.
Así es como crea el quick set la red de invitados.

Saludos!
 
Lo tienes todo perfecto. La última regla te sobra, solo necesitas una regla de masquerade.

Te digo un truco, por si quieres hacer exactamente lo mismo, pero todo con un mismo segmento de red: si metes la nueva interfaz en la red inalámbrica en el bridge principal y te vas a Bridge -> filter, y creas dos reglas de forward con drop: una para el origen del tráfico desde esa interfaz y la misma pero con dicha interfaz de destino.
Así es como crea el quick set la red de invitados.

Saludos!
Muchas gracias. ¿Te refieres a esto?

Bash:
/interface bridge filter
add action=drop chain=forward in-interface=wlan-guest
add action=drop chain=forward out-interface=wlan-guest

S@lu2.
 
Correcto. Eso aísla todo lo que esté conectado a esa interfaz inalámbrica e impide la comunicación entre clientes. Lo único que añadiría sería una regla de drop en el chain de input en el firewall, para que esos clientes no lleguen a la página de admin del router.

Saludos!
 
Este manual se merece chinchetazo!
Totalmente de acuerdo.
Lo bueno y escueto, dos veces bueno.

pokoyo:

Lo único que añadiría sería una regla de drop en el chain de input en el firewall, para que esos clientes no lleguen a la página de admin del router.
Algo así ?

Código:
/ip firewall filter
add action=drop chain=input in-interface=bridge-guest

Saludos.
 
Última edición:
Este manual se merece chinchetazo!
Gracias amigos, cuando pruebo algo me gusta documentarlo, hay muchos usuarios que empezamos desde cero con el universo Mikrotik y estas guías rápidas vienen muy bien, aunque lo principal es entender lo que se hace, no sólo "copy/paste".

S@lu2.
 
Correcto. Eso aísla todo lo que esté conectado a esa interfaz inalámbrica e impide la comunicación entre clientes. Lo único que añadiría sería una regla de drop en el chain de input en el firewall, para que esos clientes no lleguen a la página de admin del router.

Saludos!
Con IP > Services, limitando el acceso al segmento de nuestra red LAN, sería suficiente no?

GO9uRIWv7s.png


S@lu2.
 
Con IP > Services, limitando el acceso al segmento de nuestra red LAN, sería suficiente no?

Ver el adjunto 82887

S@lu2.
También. Aunque prefiero hacerlo vía firewall, así ni solo bloqueas el acceso al equipo, sino que cortas cualquier tráfico de input. Ojo dale siempre un dns público a esa red, porque al cortar el tráfico de input, esa red nunca aprovechará el propio router como servidor dns, por ejemplo.

Saludos!
 
También. Aunque prefiero hacerlo vía firewall, así ni solo bloqueas el acceso al equipo, sino que cortas cualquier tráfico de input. Ojo dale siempre un dns público a esa red, porque al cortar el tráfico de input, esa red nunca aprovechará el propio router como servidor dns, por ejemplo.

Saludos!
OK, he actualizado el punto 10, filtrando el acceso a la administración.

S@lu2.
 
Buenos días @diamuxin,

pregunta muy básica...para manejar una wlan de invitados, es necesario crear otro servidor dhcp (con su respectivo pool)?

Es decir:
- un bridge, pool, dhcp, etc. para una interfaz wlan de invitados
- otro bridge, pool, dhcp, etc. para el resto

Gracias,
 
Buenos días @diamuxin,

pregunta muy básica...para manejar una wlan de invitados, es necesario crear otro servidor dhcp (con su respectivo pool)?

Es decir:
- un bridge, pool, dhcp, etc. para una interfaz wlan de invitados
- otro bridge, pool, dhcp, etc. para el resto

Gracias,
Esa es la solución más fácil y diría que la más elegante. Pero puedes ir a por la más simple, que es la que aplica mikrotik en sus equipos, cuando los configuras desde el quick set: un filtro en el bridge. Si aplicas un filtro en el bridge en el chain de forward con dos reglas, una que bloquee el origen desde esa interfaz nueva y otra el con destino dicha interfaz, conseguirás lo mismo y sin hacer nada más. Los usuarios invitados compartirán broadcast contigo, pero la comunicación desde y hasta ellos irá capada por esa regla.

Saludos!
 
G
Esa es la solución más fácil y diría que la más elegante. Pero puedes ir a por la más simple, que es la que aplica mikrotik en sus equipos, cuando los configuras desde el quick set: un filtro en el bridge. Si aplicas un filtro en el bridge en el chain de forward con dos reglas, una que bloquee el origen desde esa interfaz nueva y otra el con destino dicha interfaz, conseguirás lo mismo y sin hacer nada más. Los usuarios invitados compartirán broadcast contigo, pero la comunicación desde y hasta ellos irá capada por esa regla.

Saludos!

Gracias @pokoyo. Estoy leyendo los manuales para montar un CAPsMAN... me recomiendas hacer un quickset para el capsman (home mesh)? Y otro quickset para los CAP? O lo pico todo por terminal?

Saludos,
 
¿Qué equipos tienes?s El que vaya a hacer de CAPsMAN, usa el quickset con la opción de home-mesh, y estudia la configuración resultante, te darás cuenta de alguna cosilla curiosa que hace con las reglas de provisioning.

Para los CAP, lo más sencillo es resetearlos en modo CAP. Lo puedes hacer aguantando un cierto tiempo el botón de reset o directamente desde winbox en System -> Reset Configuration -> CAPS Mode

Saludos!
 
¿Qué equipos tienes?s El que vaya a hacer de CAPsMAN, usa el quickset con la opción de home-mesh, y estudia la configuración resultante, te darás cuenta de alguna cosilla curiosa que hace con las reglas de provisioning.

Para los CAP, lo más sencillo es resetearlos en modo CAP. Lo puedes hacer aguantando un cierto tiempo el botón de reset o directamente desde winbox en System -> Reset Configuration -> CAPS Mode

Saludos!

Hola @pokoyo, un hAP AC2 como capsman y un RB951 como AP.
También quiero usar la misma wifi del hAP AC2 controlada por CAPsMAN (loopback 127.0.0.1, etc.).

Y montar wlan de invitados.

Me miro lo del provisioning.
 
Hola @pokoyo, un hAP AC2 como capsman y un RB951 como AP.
También quiero usar la misma wifi del hAP AC2 controlada por CAPsMAN (loopback 127.0.0.1, etc.).

Y montar wlan de invitados.

Me miro lo del provisioning.
Dale vía quick set, previo reset con la configuración por defecto, que te lo va a dejar fino filipino. La red de invitados te recomiendo meterla en una vlan.

Saludos!
 
Dale vía quick set, previo reset con la configuración por defecto, que te lo va a dejar fino filipino. La red de invitados te recomiendo meterla en una vlan.

Saludos!

Hola @pokoyo, no estoy seguro de entenderte.

La wlan1 (o la de no-invitados) la meto debajo de un bridge-lan.
La wlan2 (o de invitados) debajo de un bridge-guests.

Después la VLAN6 (para datos) e ya (el teléfono sale por la ONT). Debo crear otra VLANX para esta wifi de invitados?
 
De lo que te hablo es de tener una seguridad adicional, metiendo los usuario invitados en una VLAN, para que estén incomunicados en capa2 con el resto de equipos del router. Es la manera "correcta" de hacerlo, aunque si vas a dedicar un bridge y un pool sólo para ellos, quizá sea irrelevante. No obstante, te animo a hacerlo, así aprendes cómo y podrías crear una tercera o cuarta o quita red (invitados, domótica, trabajo, etc) y segmentar todas ellas con un mismo bridge.

Si quieres un ejemplo de una configuración sencilla usando CAPsMAN y bridge vlan filtering, me dices y te paso la que tengo aplicada en casa. Externderla sería cuestión de meter un SSID más, crear otra VLAN y su correspondiente direccionamiento (segmento de red).

La wlan1 (o la de no-invitados) la meto debajo de un bridge-lan.
La wlan2 (o de invitados) debajo de un bridge-guests.
Ojo con esa nomenclatura. En los routers mikrotik doble banda, wlan1 corresponde a la wifi de 2,4GHz y wlan2 a la de 5GHz. Lo digo porque lo tengas en cuenta, aunque si lo vas a configurar vía CAPsMAN eso carece de sentido.

Saludos!
 
Arriba