#Что нужно сделать
Уже есть настроенная точка доступа Wi-Fi, которая работает в единой сети с проводными клиентами. Встала задача разнести проводных и беспроводных клиентов по разным сетям. Беспроводные клиенты будут иметь только выход в Интернет без доступа в локальную сеть предприятия. Как настраивался Wi-Fi можно посмотреть здесь: Настройка сети Wi-Fi на Mikrotik
#Настройка сетевого моста
В Bridge - New создаю новый сетевой мост (Bridge)
Name - bridge Wi-Fi
ARP - reply-only эта настройка ограничит беспроводных клиентов, они будут работать только если их настройки получены от роутера, если вписывать их самостоятельно на устройстве, то ответа от роутера не будет.
Порты Wi-Fi добавляю в новый мост в Bridge - Ports для wlan1 и wlan2
Для моста указываю диапазон адресов с которыми он будет работать IP - Addresses - New
Address - 192.168.100.1/24 диапазон адресов для гостевой сети. Он не должен пересекать с сетями, которые уже есть в настройках роутера.
Network - 192.168.100.0 тогда запись сети будет иметь такой вид
Interface - bridge Wi-Fi тот что создали на предыдущем шаге
#Настройка DHCP
Создаю новый DHCP сервер, который будет раздавать адреса в гостевой сети.
IP - Pool - New здесь добавляю новый пул адресов
Name - pool wi-fi название пула адресов
Addresses - 192.168.100.10-192.168.100.254 диапазон адресов от и до, которые DHCP сервер будет выделять беспроводным устройствам
IP - DHCP Server - Networks - New добавляю параметры сети для раздачи
Address - 192.168.100.0/24 диапазон адресов для гостевой сети
Gateway - 192.168.100.1 адрес шлюза новой сети
DNS Servers - 192.168.100.1 адрес DNS сервера. Так как гостевая сеть будет изолирована, и для неё нужен только выход в Интернет есть смысл поставить здесь какие-нибудь публичные адреса, вроде Яндекс DNS. Но я оставлю адрес DNS сервера роутера, возможно потом нужны будут какие-нибудь настройки в будущем.
И создаю сам новый DHCP сервер IP - DHCP Server - New
Name - server wifi название сервера
Interface - bridge Wi-Fi тот что создали на предыдущем шаге
Lease Time - 00:30:00 время аренды ip-адресов поставил время побольше, чтобы клиенты не дёргали сетку лишний раз
Address Pool - pool wi-fi название пула адресов из предыдущего шага
Add ARP Fo Leases - включено и это важно, так как раньше указал в настройках Bridge параметр reply-only, теперь сервер будет добавлять MAC-адреса и они смогут работать в новой сети. То есть логика тут следующая - если DHCP сервер добавил MAC адрес в свою таблицу, то устройство сможет работать через сетевой мост.
#Настройка правил роутера
Теперь надо выпустить устройства гостевой сети в Интернет, для этого иду в IP - Firewall - NAT, создаю новое правило
Chain - srcnat
Src. Address - 192.168.100.0/24 диапазон гостевой сети (см. выше)
Out. Interface List - WAN здесь я выбрал список интерфейсов, потому что у меня уже есть настроенная дублирующая сеть для Интернета, в других случаях выбрать Out. Interface - ether1 или WAN внешний интерфейс на котором настроен выход в Интернет
и на вкладке Action выбираю действие masquerade
Изолирую гостевую сеть от основной через добавление правил в фильтрах файрвола.
Открываю IP - Firewall - Filter Rules, добавляю новое правило
Chain - forward
In. Interface - bridge Wi-Fi выбираю сетевой мост гостевой сети
Out. Interface - bridge выбираю сетевой мост основной сети
и на вкладке Action выбираю действие drop, таким образом блокирую трафик из гостевой сети в основную
Добавлю правила доступа из гостевой сети до самого Mikrotik, чтобы он отдавал адреса от своего DHCP и DNS сервера.
Открываю IP - Firewall - Filter Rules, добавляю новое правило
Chain - input цепочка для запросов к роутеру
Protocol - 17 (udp) запросы по UDP протоколу
Dst. Port - 53, 67 порты на котором отвечают DHCP и DNS сервер
In. Interface - bridge Wi-Fi выбираю сетевой мост гостевой сети
и на вкладке Action выбираю действие accept, разрешаю эти запросы к роутеру
В итоге получаю гостевую сетку для Wi-Fi устройств, которые имеют только доступ в Интернет без доступа в локальную сеть.