Как настроить гостевой Wi-Fi на MikroTik: безопасная сеть для посетителей

Создание отдельной гостевой Wi-Fi сети на оборудовании MikroTik — это не роскошь, а необходимость для защиты основной локальной сети от несанкционированного доступа, вирусов или случайных утечек данных. В отличие от бытовых роутеров с упрощёнными настройками, MikroTik RouterOS предлагает гибкие инструменты для тонкой настройки гостевого доступа: от изоляции клиентов друг от друга до ограничения пропускной способности и перенаправления на страницу авторизации.

В этой статье вы найдёте пошаговую инструкцию с учётом особенностей последних версий RouterOS 7.x, актуальных для моделей hAP ac², RB4011, CCR2004 и других. Мы разберём два сценария: простую гостевую сеть с паролем и продвинутую конфигурацию с HotSpot-авторизацией, ограничением по времени и блокировкой нежелательных сайтов. Все команды приведены в формате CLI и с визуальными скриншотами из WinBox.

Зачем нужен гостевой Wi-Fi на MikroTik?

Основная сеть вашего офиса или дома содержит конфиденциальные данные: доступ к NAS-хранилищам, IP-камерам, принтерам или корпоративным ресурсам. Подключение посторонних устройств к этой сети чревато:

  • 🔍 Утечками данных — гость может случайно или намеренно сканировать локальную сеть и получать доступ к общим папкам.
  • 🦠 Распространением вирусов — заражённое устройство посетителя может заразить другие гаджеты в сети.
  • 🚫 Нарушением политики безопасности — в корпоративных сетях подключение сторонних устройств часто запрещено внутренними регламентами.
  • 🐢 Перегрузкой канала — гости могут потреблять львиную долю трафика, тормозя работу основных пользователей.

Гостевой Wi-Fi на MikroTik решает эти проблемы за счёт:

  • 🔒 Изоляции трафика — гостевые устройства не видят основную сеть и друг друга (AP Isolation).
  • 📉 Ограничения скорости — вы можете выделить гостям фиксированную полосу пропускания (например, 5 Мбит/с на устройство).
  • ⏱️ Контроля времени доступа — автоматическое отключение по расписанию (например, только в рабочие часы).
  • 🌐 Перенаправления на страницу согласия — обязательное принятие правил использования перед подключением.
📊 Для чего вам нужна гостевая сеть?
Для офиса/кафе
Для дома (друзья, родственники)
Для аренды (Airbnb, гостиница)
Пробую функционал MikroTik

Бонус: гостевая сеть может служить маркетинговым инструментом. Например, в кафе или гостинице вы можете перенаправлять пользователей на страницу с акциями или требовать лайк в соцсетях для подключения.

Подготовка роутера: проверка оборудования и версий

Перед настройкой убедитесь, что ваше оборудование поддерживает создание нескольких Wi-Fi сетей (Multiple SSID). Это возможно на всех устройствах MikroTik с беспроводным модулем, включая:

  • hAP ac² (RB962UiGS-5HacT2HnT)
  • RB4011iGS+5HacQ2HnD
  • Audiences (RBcAPGi-5acD2nD)
  • CCR2004-1G-12S+2XS (с подключённым Wi-Fi модулем)

Также проверьте:

  1. Версию RouterOS — минимальная рекомендуемая версия: 6.48.6 (стабильная) или 7.1+ (для новых функций). Проверить версию можно командой: 
    /system resource print
  2. Наличие свободных IP-адресов — гостевой сети потребуется отдельный диапазон (например, 192.168.90.0/24).
  3. Свободный Wi-Fi интерфейс — если у вас одночастотный роутер (например, только 2.4 ГГц), гостевая сеть будет работать в том же диапазоне, что может снизить производительность.

☑️ Подготовка к настройке гостевого Wi-Fi

Выполнено: 0 / 4
⚠️ Внимание: Если ваш MikroTik используется в качестве CAPsMAN-контроллера (централизованное управление точками доступа), настройка гостевой сети выполняется через Datapath и Security профили. Инструкция для такого сценария отличается — обратитесь к разделу "Гостевой Wi-Fi в CAPsMAN".

Способ 1: Простая гостевая сеть с паролем (без HotSpot)

Этот метод подходит для домашнего использования или небольших офисов, где не требуется авторизация через портал. Мы создадим отдельную SSID с изоляцией клиентов и ограничением скорости.

Шаг 1: Создание моста для гостевой сети

Гостевой трафик будем направлять через отдельный мост (bridge), чтобы изолировать его от основной сети:

/interface bridge add name=guest-bridge

/interface bridge port add bridge=guest-bridge interface=ether2  # Замените ether2 на ваш физический порт, если нужно

Шаг 2: Настройка Wi-Fi интерфейса

Добавим виртуальный Wi-Fi интерфейс для гостевой сети. Если у вас двухдиапазонный роутер (2.4 + 5 ГГц), повторите шаги для обоих диапазонов:

/interface wireless security-profiles add name=guest-security wpa2-pre-shared-key=ВашПароль123

/interface wireless add name=guest-wifi master-interface=wlan1 security-profile=guest-security ssid=GuestWiFi

Где:

  • wlan1 — ваш основной Wi-Fi интерфейс (проверьте в /interface wireless print).
  • GuestWiFi — имя гостевой сети (можно изменить).
  • ВашПароль123 — пароль для подключения (минимум 8 символов).

Шаг 3: Привязка Wi-Fi к мосту

Теперь свяжем гостевой Wi-Fi с созданным мостом:

/interface wireless set guest-wifi master-interface=wlan1 disabled=no

/interface bridge port add bridge=guest-bridge interface=guest-wifi

Шаг 4: Настройка DHCP и firewall

Назначим гостям отдельный IP-диапазон и запретим доступ к локальной сети:

/ip pool add name=guest-pool ranges=192.168.90.2-192.168.90.254

/ip dhcp-server add name=guest-dhcp interface=guest-bridge address-pool=guest-pool lease-time=1h


/ip dhcp-server network add address=192.168.90.0/24 gateway=192.168.90.1 dns-server=8.8.8.8,1.1.1.1



Блокируем доступ гостей к основной сети


/ip firewall filter add chain=forward src-address=192.168.90.0/24 dst-address=192.168.88.0/24 action=drop comment="Block guest to LAN"


/ip firewall filter add chain=forward src-address=192.168.90.0/24 dst-address=192.168.90.0/24 action=drop comment="Block guest to guest"

Шаг 5: Ограничение скорости (опционально)

Чтобы гости не потребляли весь канал, ограничим их скорость до 5 Мбит/с на устройство:

/queue simple add name=guest-limit target=192.168.90.0/24 max-limit=5M/5M

Готово! Теперь у вас есть изолированная гостевая сеть с паролем. Подключитесь к ней с телефона и проверьте, что:

  • 📶 Есть доступ в интернет.
  • 🚫 Нет доступа к устройствам в основной сети (например, к роутеру по 192.168.88.1).
  • 📉 Скорость ограничена (при настройке лимита).

Способ 2: Гостевой Wi-Fi с HotSpot (портал авторизации)

Если вам нужно, чтобы пользователи принимали правила использования или вводили логин/пароль (например, в отеле или кафе), используйте встроенный HotSpot сервер MikroTik. Этот метод сложнее, но предоставляет больше контроля.

Шаг 1: Создание моста и Wi-Fi интерфейса

Повторите Шаги 1–3 из предыдущего способа, чтобы создать мост guest-bridge и Wi-Fi интерфейс guest-wifi. Пароль для Wi-Fi можно сделать простым (например, guest123), так как основная авторизация будет через портал.

Шаг 2: Настройка HotSpot сервера

Установим HotSpot на гостевой мост:

/ip hotspot setup

Выберите интерфейс guest-bridge


Задайте IP-адрес для HotSpot (например, 192.168.90.1)


Укажите диапазон для клиентов (например, 192.168.90.2-192.168.90.254)


Введите DNS-серверы (8.8.8.8, 1.1.1.1)


Создайте пользователя для теста (например, login: user, password: 123)

После настройки отредактируем профиль HotSpot, чтобы добавить страницу согласия:

/ip hotspot profile set [find default=yes] login-by=cookie,http-chap html-directory=flash/hotspot

Шаг 3: Кастомизация страницы авторизации

По умолчанию MikroTik показывает стандартную страницу входа. Чтобы заменить её на свою (с логотипом, правилами или рекламой):

  1. Скачайте шаблон страницы с официального сайта.
  2. Отредактируйте файлы (например, login.html) в любом текстовом редакторе.
  3. Загрузите файлы на роутер: 
    /file print  # Проверьте свободное место

    /tool fetch url=http://ваш-сервер/login.html dst-path=flash/hotspot/login.html

Пример кода для страницы согласия

Добавьте этот блок в login.html, чтобы показать правила использования перед авторизацией: 

<div>

<h3>Правила использования Wi-Fi</h3>


<p>Подключаясь к сети, вы соглашаетесь не распространять незаконный контент и не пытаться взломать сеть.</p>


<label><input type="checkbox" id="accept" required> Я принимаю условия</label>


</div>

Чтобы checkbox работал, добавьте JavaScript-проверку в форму авторизации.

Шаг 4: Настройка firewall для HotSpot

Разрешим гостям только доступ к HotSpot-порталу и интернету:

/ip firewall filter add chain=forward src-address=192.168.90.0/24 dst-port=80,443,53 action=accept comment="Allow HotSpot and DNS"

/ip firewall filter add chain=forward src-address=192.168.90.0/24 out-interface=pppoe-out1 action=accept comment="Allow Internet"


/ip firewall filter add chain=forward src-address=192.168.90.0/24 action=drop comment="Drop all other guest traffic"

Шаг 5: Тестирование

Подключитесь к гостевой сети GuestWiFi. Вы должны увидеть:

  1. Страницу авторизации вместо доступа в интернет.
  2. Поле для ввода логина/пароля (если настроили) или кнопку "Принять правила".
  3. После авторизации — полный доступ в интернет, но без возможности увидеть локальные устройства.
⚠️ Внимание: Если вы используете MikroTik в общественном месте (кафе, гостиница), обязательно настройте логирование подключений: 
/ip hotspot user profile set [find default=yes] shared-users=10 idle-timeout=5m keepalive-timeout=2h

Это позволит автоматически отключать неактивных пользователей и ограничивать количество устройств на один аккаунт.

Дополнительные настройки: ограничения и безопасность

Базовой настройки гостевой сети может быть недостаточно для защиты от злоумышленников или оптимизации трафика. Рассмотрим продвинутые опции.

1. Блокировка нежелательных сайтов

Чтобы запретить доступ к торрентам, соцсетям или взрослому контенту, используйте Layer7 фильтр или DNS-блокировку:

/ip firewall layer7-protocol add name=torrent regexp="^.(BitTorrent|peer_id=|announce.php?|torrent)." regexp="^.(xunlei|XLLiveUD).$"

/ip firewall filter add chain=forward src-address=192.168.90.0/24 layer7-protocol=torrent action=drop comment="Block Torrent"

Для блокировки по DNS добавьте правило:

/ip dns static add name=vk.com address=0.0.0.0 disabled=no

/ip dns static add name=facebook.com address=0.0.0.0 disabled=no

2. Ограничение по времени

Например, разрешим гостевой доступ только с 9:00 до 18:00:

/ip firewall filter add chain=forward src-address=192.168.90.0/24 time=09:00:00-18:00:00,mon,tue,wed,thu,fri,sat,sun action=accept comment="Allow guests only in working hours"

/ip firewall filter add chain=forward src-address=192.168.90.0/24 action=drop comment="Drop guests outside schedule"

3. Изоляция клиентов (AP Isolation)

По умолчанию устройства в гостевой сети могут общаться друг с другом. Чтобы запретить это:

/interface wireless set guest-wifi hide-ssid=no security-profile=guest-security default-authentication=yes \

default-forwarding=no  # Это отключает взаимодействие между клиентами

4. Мониторинг подключений

Чтобы видеть, кто подключён к гостевой сети, используйте:

/ip hotspot active print  # Для HotSpot

/ip dhcp-server lease print  # Для простой гостевой сети

Параметр Значение для гостевой сети Значение для основной сети
IP-диапазон 192.168.90.0/24 192.168.88.0/24
Шлюз 192.168.90.1 192.168.88.1
DNS-серверы 8.8.8.8, 1.1.1.1 192.168.88.1 (локальный)
Доступ к локальным ресурсам 🚫 Заблокирован ✅ Разрешён
Ограничение скорости 5 Мбит/с на устройство Без ограничений

Гостевой Wi-Fi в режиме CAPsMAN (для управляемых точек доступа)

Если ваш MikroTik управляет несколькими точками доступа через CAPsMAN, настройка гостевой сети выполняется централизованно. Основные шаги:

  1. Создайте отдельный Datapath: 
    /caps-man datapath add bridge=guest-bridge local-forwarding=yes name=guest-datapath
  2. Настройте Security профиль: 
    /caps-man security add name=guest-security encryption=aes-ccm authentication-types=wpa2-psk passphrase=ВашПароль123
  3. Добавьте гостевой SSID в конфигурацию: 
    /caps-man configuration add country=russia datapath=guest-datapath name=guest-config security=guest-security ssid=GuestWiFi
  4. Привяжите конфигурацию к точкам доступа: 
    /caps-man provisioning add action=create-dynamic-enabled master-configuration=guest-config slave-configurations=guest-config

Остальные настройки (firewall, DHCP, HotSpot) выполняются аналогично предыдущим разделам, но применяются к мосту guest-bridge.

Устранение неполадок

Если гостевая сеть не работает, проверьте:

  • 🔌 Физическое подключение: Убедитесь, что Wi-Fi модуль включён (/interface wireless print должен показывать running=yes).
  • 📡 Сигнал: Проверьте уровень сигнала на клиентском устройстве. Если слабый, уменьшите мощность передачи (/interface wireless set wlan1 tx-power=20).
  • 🔒 Firewall: Временное отключение всех правил firewall поможет выявить блокировку: 
    /ip firewall disable [find]
  • 🔄 DHCP: Убедитесь, что клиенты получают IP-адрес. Проверьте лог: 
    /log print | find "dhcp"

Типичные ошибки:

  • Гости не получают IP: Проверьте, что DHCP-сервер привязан к правильному интерфейсу (guest-bridge).
  • Нет доступа в интернет: Убедитесь, что в firewall есть правило, разрешающее выход в WAN для диапазона 192.168.90.0/24.
  • HotSpot не показывает страницу: Проверьте, что в настройках профиля указан login-by=http-chap и файлы HTML загружены в /flash/hotspot.
⚠️ Внимание: Если вы используете VLAN для гостевой сети, убедитесь, что порт, к которому подключены точки доступа, настроен как trunk и пропускает тегированный трафик. Пример настройки для ether2: 
/interface bridge port set [find interface=ether2] pvid=100  # Где 100 — VLAN ID для гостей

/interface bridge vlan add bridge=guest-bridge tagged=guest-bridge,ether2 untagged=guest-wifi vlan-ids=100

FAQ: Частые вопросы по гостевому Wi-Fi на MikroTik

Можно ли сделать гостевой Wi-Fi без пароля, но с обязательной авторизацией через HotSpot?

Да. Настройте Wi-Fi с открытой сетью (security-profile без пароля), но включите HotSpot на мосту. Пользователи смогут подключиться к сети без пароля, но для доступа в интернет им потребуется принять правила или ввести логин/пароль на портале.

Как ограничить количество подключённых устройств к гостевой сети?

Для HotSpot используйте параметр shared-users в профиле пользователя: 

/ip hotspot user profile set [find default=yes] shared-users=5

Это ограничит количество устройств на один аккаунт. Для общей сети без HotSpot настройте connection-limit в DHCP-сервере.

Можно ли перенаправлять гостей на свою страницу (например, с рекламой) перед доступом в интернет?

Да. Для этого:

  1. Настройте HotSpot как описано в Способе 2.
  2. Отредактируйте файл login.html в /flash/hotspot, добавив свой контент.
  3. Чтобы перенаправить пользователей на внешний сайт после авторизации, используйте: 
    /ip hotspot wall-garden ip add dst-host=ваш-сайт.ru action=accept disabled=no
Как сделать, чтобы гостевой Wi-Fi автоматически отключался ночью?

Используйте планировщик (Scheduler) для отключения Wi-Fi интерфейса: 

/system scheduler add name=guest-wifi-off start-time=23:00:00 interval=1d on-event="/interface wireless disable guest-wifi"

/system scheduler add name=guest-wifi-on start-time=07:00:00 interval=1d on-event="/interface wireless enable guest-wifi"

Поддерживает ли MikroTik гостевой Wi-Fi на частоте 6 ГГц (Wi-Fi 6E)?

Да, но только на устройствах с поддержкой Wi-Fi 6E, таких как RB5009UG+S+IN или Audiences TriBand. Для настройки используйте интерфейс wlan6ghz и убедитесь, что ваша страна разрешает использование 6 ГГц (проверьте в /interface wireless info country-info).

📖 Читайте также

Как подключить Time Capsule к WiFi: пошаговая инструкция Подробное руководство, как настроить Apple Time Capsule в режиме моста, чтобы интегрировать накопите Вай фай сеть временно недоступна: 7 способов решения Почему вай фай сеть временно недоступна? Разбираем причины ошибки на Windows, Android и iPhone. Наст Как играть в CSS через Wi-Fi: настройка локальной сети Подробная инструкция, как играть в Counter-Strike Source по локальной сети через Wi-Fi роутер. Решен Как изменить пароль Wi-Fi на роутере TP-Link: пошаговая инструкция Подробное руководство по смене пароля Wi-Fi на роутерах TP-Link через веб-интерфейс или приложение. Как перепрошить Wi-Fi роутер на Android: полная инструкция Подробное руководство по прошивке роутеров на Android. Сброс, установка OpenWrt, риски и пошаговый а Настройка роутера Huawei WS5200: пошаговая инструкция и секреты Wi-Fi Полное руководство по настройке роутера Huawei WS5200. Узнайте, как подключить интернет, настроить W