Гость просит пароль от WiFi. Вы даёте — и он оказывается в вашей сети: видит NAS с фотографиями, сетевой принтер, может попробовать зайти на роутер. Это не паранойя — это то, как работает обычный домашний WiFi.
Правильное решение — отдельная гостевая сеть. Гости получают интернет, ваши устройства они не видят. Настраивается за 15 минут в WinBox без командной строки.
Что получится в итоге
Две WiFi-сети на одном роутере:
- Основная (например, Home) — ваши устройства, NAS, принтеры. Только для своих.
- Гостевая (например, Home_Guest) — отдельный пароль, интернет работает, в основную сеть попасть невозможно.
Схема работает на любом MikroTik со встроенным WiFi: hAP ac², hAP ax², RB951, RB750 с USB-адаптером и другие. RouterOS 7.
Шаг 1. Создать второй WiFi-интерфейс
Откройте WinBox. Перейдите в Wireless. Вы увидите основной интерфейс — обычно wlan1. Нам нужно создать второй, виртуальный.
Шаг 1. Нажмите кнопку Add Virtual (или плюс → Virtual). Откроется окно нового интерфейса.
Шаг 2. Заполните поля:
- Name: wlan-guest
- Master Interface: выберите wlan1 (ваш основной WiFi)
- SSID: введите название гостевой сети, например Home_Guest
- Security Profile: создайте новый профиль с паролем для гостей (кнопка Security Profiles → Add → Mode: dynamic keys, укажите пароль)
Шаг 3. Нажмите OK. В списке появится wlan-guest.
Результат: Вторая WiFi-точка создана, гости её видят, но IP-адреса ещё не получают.
Шаг 2. Создать отдельный Bridge для гостей
Чтобы гостевой трафик был полностью изолирован от основной сети, нужен отдельный мост. Это ключевой момент — без него изоляции не будет.
Шаг 1. Перейдите в Bridge → вкладка Bridge → нажмите +.
Шаг 2. Задайте имя: bridge-guest. Всё остальное оставьте по умолчанию. Нажмите OK.
Шаг 3. Перейдите на вкладку Ports → нажмите +. Выберите:
- Interface: wlan-guest
- Bridge: bridge-guest
Нажмите OK.
Результат: Гостевой WiFi привязан к отдельному мосту, изолированному от основной сети.
Шаг 3. Назначить IP-адрес гостевой сети
Основная сеть MikroTik по умолчанию — 192.168.88.0/24. Для гостей выберем другую подсеть, чтобы они не пересекались.
Шаг 1. Перейдите в IP → Addresses → нажмите +.
Шаг 2. Заполните:
- Address: 192.168.100.1/24
- Interface: bridge-guest
Нажмите OK.
Результат: Роутер получил адрес в гостевой подсети. Теперь он будет шлюзом для гостей.
Шаг 4. Настроить DHCP — чтобы гости получали IP автоматически
Шаг 1. Перейдите в IP → Pool → нажмите +:
- Name: pool-guest
- Addresses: 192.168.100.10-192.168.100.100
Нажмите OK.
Шаг 2. Перейдите в IP → DHCP Server → вкладка DHCP → нажмите +:
- Name: dhcp-guest
- Interface: bridge-guest
- Address Pool: pool-guest
Нажмите OK.
Шаг 3. Перейдите на вкладку Networks → нажмите +:
- Address: 192.168.100.0/24
- Gateway: 192.168.100.1
- DNS Servers: 8.8.8.8, 8.8.4.4
Нажмите OK.
Результат: Гости подключаются и автоматически получают IP из диапазона 192.168.100.10–100.
Шаг 5. Настроить NAT — чтобы гости выходили в интернет
Без этого шага гости получат IP, но интернета у них не будет. NAT «маскирует» гостевой трафик под адрес роутера при выходе в интернет.
Шаг 1. Перейдите в IP → Firewall → вкладка NAT → нажмите +.
Шаг 2. Вкладка General:
- Chain: srcnat
- Src. Address: 192.168.100.0/24
- Out. Interface: выберите ваш WAN-интерфейс (обычно ether1 или pppoe-out)
Шаг 3. Вкладка Action:
- Action: masquerade
Нажмите OK.
Результат: Гости выходят в интернет через роутер.
Шаг 6. Заблокировать доступ к основной сети
Гости уже изолированы мостом — они не видят ваши устройства напрямую. Но без правила файрвола они смогут обратиться к роутеру и через него попасть в основную подсеть. Закроем это.
Шаг 1. Перейдите в IP → Firewall → вкладка Filter Rules → нажмите +.
Шаг 2. Вкладка General:
- Chain: forward
- Src. Address: 192.168.100.0/24
- Dst. Address: 192.168.88.0/24
Шаг 3. Вкладка Action:
- Action: drop
Нажмите OK.
Шаг 4. Убедитесь, что новое правило стоит выше правила accept в списке. Перетащите его вверх мышью если нужно.
Результат: Гости выходят в интернет, но попасть к вашим компьютерам, NAS или принтерам не могут.
Проверка
Подключите телефон к гостевой сети Home_Guest. Проверьте:
- IP-адрес из диапазона 192.168.100.x — значит DHCP работает
- Интернет открывается — NAT настроен правильно
- Адрес 192.168.88.1 (роутер основной сети) недоступен — изоляция работает
Итого
- Wireless → Add Virtual — создать wlan-guest с отдельным SSID и паролем
- Bridge → bridge-guest — добавить wlan-guest как порт нового моста
- IP → Addresses — назначить 192.168.100.1/24 на bridge-guest
- IP → Pool + DHCP Server — раздавать адреса 192.168.100.10–100
- IP → Firewall → NAT → masquerade — srcnat для 192.168.100.0/24
- IP → Firewall → Filter → drop — запретить forward из гостевой в основную сеть
Напишите в комментариях: какая модель MikroTik и какая версия RouterOS? Если что-то пошло не так на конкретном шаге — разберём.