Abbiamo ospiti a casa che ci chiedono la possibilità di collegarsi alla nostra rete WiFi. Vorremmo però limitare l’accesso alle nostre risorse locali (stampanti, tv, dispositivi smart, ecc). Buona norma è configurare una rete guest separata ed isolata dalla rete principale. In questa guida vedremo in pochi semplici passi come configurarla su un router MikroTik, attraverso la configurazione una subnet IP dedicata, relativo server DHCP e di un SSID WiFi dedicato.
Creare il bridge
Come primo step procederemo con la creazione di un bridge che ci consentirà di mettere in comunicazione le interfacce virtuali WiFi per la rete 2,4 e 5 GHz.
Dal WinBox, andiamo nel menu Bridge e creiamo uno nuovo assegnandone un nome: bridge-guest
Lasciamo tutti gli altri parametri invariati e salviamo.
Definire una subnet IP per gli ospiti
Ora dobbiamo scegliere una classe IP da dedicare agli ospiti. In questa guida utilizzeremo la subnet 192.168.2.0/24, ed assegneremo al router l’IP 192.168.2.1 ed un range IP da .100 a .199.
Definiamo l’IP per il router aprendo il menu IP -> Addresses, ed aggiungiamo l’IP 192.168.2.1/24 sull’interfaccia bridge-guest.
Per configurare il server DHCP ti rimando alla guida qui presente. Il server DHCP dovrà essere assegnato al bridge precedentemente creato.
Configurare le interfacce virtuali Wireless
In questa fase creeremo una o più interfacce virtuali per il WiFi.
Andiamo nel menu Wireless e spostiamoci sulla scheda Security Profiles. Creeremo qui un nuovo profilo di sicurezza il quale definisce la password della nostra rete WiFi.
Inseriamo i seguenti parametri:
- Name: guest-security
- Mode: dynamic keys
- Authentication Types: WPA2 PSK
- WPA2 Pre-Shared Key: (la nostra password)
Lasciamo invariati gli altri parametri e salviamo.
Procediamo ora con la creazione delle interfacce virtuali dalla scheda WiFi Interfaces. Facciamo click sull’icona + e selezioniamo come interfaccia la tipologia Virtual.
Inseriamo i seguenti parametri:
- Scheda General:
- Name: guest-wlan-2.4ghz
- Scheda Wireless:
- Mode: ap bridge
- SSID: (SSID che vogliamo associare alla rete guest)
- Master Interface: (selezionare l’interfaccia fisica relativa al modulo a 2,4 GHz)
- Security Profile: guest-security
Lasciamo invariati gli altri parametri e salviamo.
Se si intende abilitare la rete ospiti anche a 5 GHz, ripetere questa procedura impostando come Master Interface l’interfaccia fisica relativa al modulo a 5 GHz.
Aggiungere interfacce al bridge
L’ultimo passo consiste nell’aggiungere le interfacce virtuali appena create all’interno del nostro bridge per poterle mettere in comunicazione tra di loro e con il server DHCP.
Andiamo nuovamente nel menu Bridge ed infine sulla scheda Ports.
Qui aggiungiamo una nuova porta al bridge selezionando esclusivamente l’interfaccia ed il bridge bridge-guest.
Seguendo questa procedura aggiungere al bridge le interfacce guest-wlan-2.4ghz e guest-wlan-5ghz (se creata).
Conclusione
La nostra rete ospiti è ora attiva e funzionante.
In base alle regole di firewall attive sul nostro router potrebbe essere necessario aggiungere nuove regole per bloccare il traffico tra la LAN principale e la rete ospiti. La soluzione più veloce consiste nel creare una regola nel chain forward che blocchi (con azione drop) il traffico in ingresso dall’interfaccia bridge-guest in uscita verso l’interfaccia (o bridge) della LAN principale. Esempio:
/ip firewall filter add chain=forward in-interface=bridge-guest out-interface=bridge-lan action=dropSe si vuole bloccare anche il traffico nel verso opposto, ripetere lo stesso comando invertendo le interfacce.
Nel caso non sia possibile navigare su Internet, assicurarsi anche della presenza di una regola che mascheri il traffico in uscita sulla WAN. Esempio:
/ip firewall nat add chain=srcnat in-interface=bridge out-interface=wan action=masquerade
Grazie. Guida preziosa e senza fronzoli