我的家庭网络由桥接的 ISP 路由器组成,后面是我的 Mikrotik 主路由器。通过以太网连接,有一个配置为接入点的华硕路由器,提供普通 wifi 和访客 wifi。我想知道访客 wifi 在内部是如何与网络的其余部分分开的。主网络是 192.168.0.0/24,现在我尝试从路由、地址列表、NAT 规则、接口等方面了解我的 Mikrotik,我想知道如何在 AP 设置中单独创建一个看不到其他设备的单独网络。它不是也在同一个子网中运行吗?或者 AP 是否正在创建一个新的接口,其规则只允许通过网关进行传出连接。也许有人可以给我提示一下这些规则应该是什么样的?
答案1
每个 SSID 自动成为单独的接口。(与 VLAN 非常相似。)它们可以桥接到同一子网,也可以具有单独的 IP 配置。在 RouterOS 中通过 Winbox,您可以创建一个Virtual接口以添加其他 SSID。
/interface/wireless/add name=wlan-guest master-interface=wlan2ghz ...
实现访客 Wi-Fi 网络的一种方法是不是将“访客 SSID” wlan 接口桥接到主 LAN 桥,但为其分配不同的 IP 子网(例如,访客 Wi-Fi 的 IP 子网为 192.168.7.0/24),然后设置标准防火墙规则(/ip/firewall/filter)阻止从一个子网到另一个子网的访问。
另一个选择是将两个 SSID 桥接到主 LAN,但要实现桥接层过滤 – 在 Linux(和 RouterOS)上,这不仅限于 MAC 层,如果启用了特殊选项,系统可以将常规(IP 和更高层)iptables 规则应用于桥接数据包。因此,您可以制定一条防火墙规则,丢弃从 wlan1_guest 到 192.168.0.0/24 的所有数据包。