Как настроить гостевой WiFi на Mikrotik + Keenetik
Полное руководство по настройке гостевого WiFi на Mikrotik + Keenetik. Решение проблем с DHCP, VLAN и изоляцией сети. Настройка бесшовного роуминга для гостей.
(Keenetik + Mikrotik) Как настроить интернет на двух сегментах WiFi?
У меня есть следующая сетевая конфигурация:
- Главный роутер: Mikrotik RB2011UiAS-2HnD (версия 7.12.1 stable)
- Три роутера Keenetik Start (KN-1111) EAEU, работающих в режиме ретранслятора (получают IP-адреса от DHCP Mikrotik)
Настройки WiFi:
- На трех Keenetik настроен бесшовный роуминг для домашнего сегмента (используется офисными работниками)
- Требуется настроить отдельный бесшовный WiFi сегмент только для гостей
Проблема:
При создании гостевого WiFi на Keenetik роутерах возникают следующие issues:
- Не выдаются IP-адреса подключенным устройствам
- Отсутствует интернет-соединение
Дополнительная информация:
- При настройке гостевого сегмента, в настройках портов для сегментов указано, что гостевой сегмент входит в сегмент с VLAN
- Домашний сегмент настроен без VLAN
Вопросы:
- Как правильно настроить гостевой WiFi сегмент для решения проблем с IP-адресацией и интернетом?
- Какие дополнительные настройки или информация могут потребоваться для диагностики и решения проблемы?
Настройка гостевого WiFi сегмента в вашей конфигурации Mikrotik + Keenetik требует правильной настройки VLAN, DHCP и маршрутизации. Для решения проблем с IP-адресацией и интернетом необходимо создать изолированный VLAN для гостевого сегмента, настроить DHCP сервер на Mikrotik и правильно настроить firewall правила.
Содержание
- Основные проблемы гостевой сети
- Настройка Mikrotik для гостевой сети
- Конфигурация Keenetik в режиме ретранслятора
- Решение проблем с DHCP и интернетом
- Диагностика и дополнительная информация
- Примеры конфигураций
Основные проблемы гостевой сети
В вашей текущей конфигурации основные проблемы возникают из-за неправильной изоляции гостевого сегмента. Исходя из описания, Keenetik роутеры работают в режиме ретранслятора и получают IP-адреса от DHCP Mikrotik, что создает конфликты при попытке создать отдельный гостевой сегмент.
Ключевые проблемы:
- Отсутствие изоляции между домашним и гостевым сегментами
- Неправильная настройка VLAN для гостевой сети
- Отсутствие отдельного DHCP пула для гостей
- Некорректные firewall правила на Mikrotik
Как указано в исследованиях, “клиент, подключенный к гостевому SSID, должен получать DHCP адрес из соответствующего пула с правильным шлюзом и DNS сервером”.
Настройка Mikrotik для гостевой сети
Для правильной настройки Mikrotik RB2011UiAS-2HnD выполните следующие шаги:
1. Создание VLAN для гостевой сети
# Создание VLAN интерфейса
/interface vlan
add name=vlan-guest vlan-id=20 interface=bridge
# Назначение IP адреса VLAN интерфейсу
/ip address
add address=192.168.20.1/24 interface=vlan-guest
# Создание пула DHCP для гостей
/ip pool
add name=dhcp-guest ranges=192.168.20.100-192.168.20.200
# Настройка DHCP сервера для гостевого сегмента
/ip dhcp-server
add address-pool=dhcp-guest disabled=no interface=vlan-guest name=dhcp-guest
2. Настройка моста и портов
# Добавление VLAN в мост
/interface bridge
add name=bridge-guest
# Добавление VLAN интерфейса в мост
/interface bridge port
add bridge=bridge-guest interface=vlan-guest
# Настройка портов для гостевого сегмента
/interface ethernet
set ether1-vlan20 vlan-mode=tagged
set ether2-vlan20 vlan-mode=tagged
3. Firewall правила
# Разрешение DHCP для гостей
/ip firewall filter
add action=accept chain=input dst-port=67,68 protocol=udp
# Разрешение интернета для гостей
add action=accept chain=forward in-interface=vlan-guest out-interface=wan \
connection-state=established,related
# Разрешение новых подключений для гостей
add action=accept chain=forward in-interface=vlan-guest out-interface=wan \
connection-state=new
# Отключение доступа к домашней сети
add action=drop chain=forward in-interface=vlan-guest \
src-address=192.168.20.0/24 dst-address=192.168.1.0/24
# Маскарадинг для гостей
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan src-address=192.168.20.0/24
Конфигурация Keenetik в режиме ретранслятора
Для корректной работы Keenetik Start KN-1111 в режиме ретранслятора с гостевой сетью выполните следующие настройки:
1. Настройка операционного режима
Как указано в документации Keenetic, для работы в режиме ретранслятора:
- DHCP сервер должен быть включен на главном роутере (Mikrotik)
- Устройство должно получать IP адрес через DHCP от Mikrotik
2. Настройка гостевой сети в веб-интерфейсе
- Перейдите в раздел “Беспроводная сеть”
- Создайте отдельный SSID для гостей (например, “GUEST”)
- Настройте безопасность (WPA2/WPA3)
- В разделе “Сегменты” выберите “Гостевой сегмент”
- Убедитесь, что VLAN ID соответствует настройкам на Mikrotik (20)
3. Проблемы с DHCP решаются следующим образом:
Как объясняется в статье Keenetic, если клиенты получают IP адрес, но нет интернета:
- Удалите регистрацию устройства из “Списка клиентов” в основном сегменте
- Отключите опцию “Статический IP адрес” для гостевых устройств
Решение проблем с DHCP и интернетом
1. Проблема: Не выдаются IP адреса
Возможные причины и решения:
-
Неправильная настройка VLAN на Mikrotik:
- Проверьте, что VLAN интерфейсы правильно добавлены в мосты
- Убедитесь, что порты помечены как tagged/untagged корректно
-
Конфликт DHCP пулов:
bash# Проверка текущих DHCP серверов /ip dhcp-server print # Убедитесь, что нет перекрытия адресных диапазонов /ip pool print -
Отключенный DHCP сервер:
bash# Включение DHCP сервера для гостевой сети /ip dhcp-server enable dhcp-guest
2. Проблема: Отсутствует интернет
Возможные причины и решения:
-
Неправильные firewall правила:
bash# Проверка правил для гостевой сети /ip firewall filter print /ip firewall nat print # Добавление правил маскарадинга /ip firewall nat add action=masquerade chain=srcnat out-interface=wan \ src-address=192.168.20.0/24 -
Отсутствие маршрутизации:
bash# Проверка маршрутов /ip route print # Добавление маршрута для гостевой сети /ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1 -
Блокировка на уровне Keenetik:
- Проверьте настройки “Доступ в интернет” для гостевого сегмента
- Убедитесь, что разрешен трафик на DNS серверы
Диагностика и дополнительная информация
1. Необходимая информация для диагностики:
-
Текущие настройки Mikrotik:
bash# Конфигурация интерфейсов /interface print /interface vlan print /interface bridge print # Конфигурация DHCP /ip dhcp-server print /ip pool print /ip address print # Firewall правила /ip firewall filter print /ip firewall nat print -
Текущие настройки Keenetik:
- Режим работы (ретранслятор/точка доступа)
- SSID конфигурации
- Настройки VLAN для гостевого сегмента
- Список подключенных устройств
2. Проверка статуса сети:
-
На Mikrotik:
bash# Проверка DHCP сервера /ip dhcp-server lease print # Проверка подключений /ip connection print # Проверка маршрутов /ip route print -
На Keenetik:
- Проверка статуса DHCP клиента
- Проверка подключения к Mikrotik
- Проверка работы гостевой сети
3. Частые ошибки и их решения:
-
Ошибка: “Device is not receiving DHCP address”
- Причина: Неправильная настройка VLAN
- Решение: Проверить VLAN пометку на портах Mikrotik
-
Ошибка: “No internet access”
- Причина: Отсутствие маскарадинга или неправильные firewall правила
- Решение: Добавить правила NAT и разрешить трафик в firewall
Примеры конфигураций
1. Полная конфигурация Mikrotik для гостевой сети:
# Создание VLAN интерфейса
/interface vlan
add name=vlan-guest vlan-id=20 interface=bridge
# IP адрес для гостевой сети
/ip address
add address=192.168.20.1/24 interface=vlan-guest
# DHCP пул для гостей
/ip pool
add name=dhcp-guest ranges=192.168.20.100-192.168.20.200
# DHCP сервер
/ip dhcp-server
add address-pool=dhcp-guest disabled=no interface=vlan-guest name=dhcp-guest
# Настройка моста
/interface bridge
add name=bridge-guest
# Добавление VLAN в мост
/interface bridge port
add bridge=bridge-guest interface=vlan-guest
# Firewall - разрешение DHCP
/ip firewall filter
add action=accept chain=input dst-port=67,68 protocol=udp
# Firewall - разрешение интернета для гостей
add action=accept chain=forward in-interface=vlan-guest out-interface=wan \
connection-state=established,related
add action=accept chain=forward in-interface=vlan-guest out-interface=wan \
connection-state=new
# Firewall - блокировка доступа к домашней сети
add action=drop chain=forward in-interface=vlan-guest \
src-address=192.168.20.0/24 dst-address=192.168.1.0/24
# NAT - маскарадинг для гостей
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan src-address=192.168.20.0/24
2. Настройка Keenetik через CLI:
# Включение режима ретранслятора
system configuration change operating-mode extender
# Создание гостевого SSID
interface WifiMaster0/AccessPoint3
mac access-list type none security-level protected authentication wpa-psk guest123 encryption enable encryption wpa2
ip dhcp client dns-routes
ip dhcp client name-servers
ssid GUEST-NETWORK up
3. Проверка конфигурации:
# Проверка DHCP сервера Mikrotik
/ip dhcp-server lease print
# Проверка подключений Keenetik
/ip neighbor print
# Проверка маршрутизации
/ip route print
Заключение
-
Основное решение проблемы с гостевой сетью заключается в правильной настройке VLAN на Mikrotik и изоляции гостевого сегмента через firewall правила.
-
Для корректной работы DHCP в гостевой сети необходимо создать отдельный VLAN интерфейс, настроить DHCP сервер и обеспечить правильную маршрутизацию трафика.
-
Настройка Keenetik в режиме ретранслятора требует включения DHCP сервера на главном маршрутизаторе и правильной конфигурации VLAN на сетевых портах.
-
Для диагностики используйте команды проверки DHCP серверов, firewall правил и маршрутизации на обоих устройствах.
-
Рекомендуется начать с минимальной конфигурации - одного Keenetik и простого гостевого SSID, затем добавлять остальные устройства после проверки работоспособности.
Источники
- MikroTik: Setup Guest (VLAN) WiFi – Marthur
- VLAN setup for WiFi AP guest SSID separation - MikroTik Forum
- Mikrotik RouterOS: Simple Guest Vlan Configuration - TheseBytes
- Guest network – Keenetic
- Repeater/Extender Mode – Keenetic
- System operating modes – Keenetic
- Can’t access the Internet from the Guest network – Keenetic