Как на RouterBoard сделать внутреннюю сеть и гостевую сеть?

Question

[Mercury13]

Есть Mikrotik RouterBoard, модель неизвестна (но видно, что простейший, даже без антенн снаружи). Задача.
1. Сделать домашнюю WiFi-сеть, обрабатываемую по 2-му уровню. Внутри сети комп под Windows, работающий сервером печати. Доступ к интернету налажен через ADSL D-Link, стоящий в другом помещении и покрывающий его. Обитатели обоих помещений могут печатать.
2. Сделать гостевую WiFi-сеть. Её можно обрабатывать как по 2-му уровню, так и по 3-му. Задача-минимум — чтобы сервер печати не раскрыл себя. Задача-максимум — чтобы никто из гостевой сети не имел доступа ни к домашней сети, ни к кому-либо из соседей.
Пока получилось только первое. Но я недоволен :(

Если нужен 3-й уровень, даже в Быстрой настройке можно найти гостевую сеть. А мне нужен второй, и точка. Сеть невелика (до 5 машин), обитатели совершенно не компьютéрики, и с таблицей маршрутизации ковыряться не хочется.

Ранее обе радиоточки стояли в одном помещении, схема сети та же, Mikrotik действовал как L3+NAT, и из-за глюков Mikrotik (которые я успешно поборол) печатник сидел на D-Link и из-за расстояния имел плохой интернет. Но поскольку он был снаружи внутреннего NAT’а, вполне можно было печатать из любой из сетей.

БЫЛО


СТАЛО


ХОЧУ

Answer 1

[CityCat4]

Если это вообще роутер от микротика (а не свитч, например), то банальной блокировкой всех или только некоторых пакетов от тех компов, которые нужно блокировать.

Comments

[Mercury13]

Роутер. Мне нужно в как можно более простом виде, с микротиками имею дело впервые.

[CityCat4]

Mercury13, доков, где расписывается, как на микротике задать правила того или сего полно. Поставьте winbox - будет немного проще, чем в консоли, правда советы обычно дают с консольными командами - их проще копипастить. Посмотрите ответ wiltko - там готовые правила приведены, но рекомендую все же сделать подобные самому, потому что скопипастив их не поймешь, как они работают.

Answer 2

[ТыжСисАдмин]

Есть Mikrotik RouterBoard, модель неизвестна
/system routerboard print

2. Сделать гостевую WiFi-сеть

Создаём виртуальный wlan.
Заводим свежий dhcp сервер и цепляем его на этот интерфейс.
в /ip route rule
прописываем дроп.

Answer 3

[wiltko]

/interface bridge filter
add action=drop chain=forward in-interface=wlan1 out-interface=wlan2
add action=drop chain=forward in-interface=wlan2 out-interface=wlan1

оба интерфейса должны быть в одном бридже.

Comments

[Mercury13]

Если быть буквоедом, уязвимым остаётся ноут в подсобке.

[wiltko]

Mercury13, с помощью bridge filter вы можете фильтровать ethernet фреймы по MAC адресу точно так же, как обычные IP пакеты по IP адресам в L3 фаерволе. Добавьте запрещающее правило для фреймов, адресованных из гостевой сети на MAC адрес ноутбука.

Answer 4

[Vladimir Zhurkin]

Задача-максимум — чтобы никто из гостевой сети не имел доступа ни к домашней сети, ни к кому-либо из соседей.

https://weblance.com.ua/226-guest-wi-fi-sozdanie-g...