Конфигурация MikroTik - добавить общедоступный беспроводной маршрутизатор (только Интернет) в офисную локальную сеть

Цель

Предоставлять доступ в Интернет для личных устройств сотрудников без доступа к внутренней сети.

Оборудование

Netgear WNDR4500v2: беспроводной маршрутизатор, предназначенный для гостевой сети (имеет функцию изоляции беспроводной сети)
MikroTik RB2011Ui AS-RM: Основной маршрутизатор для этой сети. К нему прикреплено несколько переключателей, составляющих проводную внутреннюю сеть. Перед этим оптоволоконным устройством Juniper, к которому у меня нет административного доступа.

Подключения

Juniper -> MikroTik -> Коммутаторы Cisco -> Клиенты, принтеры и т. Д.

Netgear в настоящее время подключен к порту MikroTik, который является подчиненным портом того же главного порта, который используется коммутаторами Cisco. Изменение этого может быть частью решения, но я не уверен.

Где я нахожусь

Я настроил Netgear на использование беспроводной изоляции и установил его внутренний диапазон IP в соответствии с офисной сетью, а затем подключил его к маршрутизатору MikroTik. Мое намерение состояло в том, чтобы запросы на офисные ресурсы не выходили за пределы диапазона Netgear (например, запрос на 192.168.1.1 возвращал бы панель администратора netgear, а не mikrotik), но он произвел некоторую автоконфигурацию, когда я подключил его и переключился на другой диапазон, так что теперь я могу получить доступ к офисным устройствам MikroTik и ping. Не то, что я ищу.

В любом случае это казалось хакерским способом, учитывая, что MikroTik, вероятно, способен на что-то более элегантное. Как правильно изолировать мой беспроводной маршрутизатор от этого оборудования?

Решил это, следуя инструкциям в Эта статья и найти эквивалентные команды в веб-интерфейсе RouterOS.

Сводка шагов:

Создать гостевой мост

/interface bridge 
add name=bridge-guest

Создать DHCP-сервер на мосту

/ip address 
add address=172.16.0.1/24 interface=bridge-guest network=172.16.0.0

/ip pool 
add name=guest ranges=172.16.0.100-172.16.0.254

/ip dhcp-server 
add address-pool=guest disabled=no interface=bridge-guest name=guest

/ip dhcp-server network 
add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1

Создайте правило NAT для маршрутизации трафика в Интернет (мне не нужно было этого делать, так как правило маскарада по умолчанию уже сделало это. Сетевая маска src-address неверна в исходной статье).
```
/ip firewall nat 
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=172.16.0.0/24
```
Фильтровать весь трафик, идущий от моста куда угодно, кроме шлюза
```
/ip firewall filter 
add action=drop chain=forward in-interface=bridge-guest out-interface=!ether1-gateway
```
Блокировать трафик, идущий от гостевого моста к шлюзу через порт 80, чтобы гостевые пользователи не могли получить доступ к консоли MikroTik.
```
/ip firewall filter 
add action=drop chain=input in-interface=bridge-guest dst-address=192.168.1.1 dst-port=80
```

Обратите внимание, что на шаге 5 dst-address должен быть адресом маршрутизатора MikroTik, и, возможно, потребуется установить протокол 6(tcp)

Результат

Теперь у меня есть порт на моем маршрутизаторе MikroTik, который разрешает только доступ в Интернет и блокирует попытки подключения к панели администратора. К нему прикреплен беспроводной маршрутизатор Netgear со стандартными настройками. Преимущество этого подхода заключается в том, что безопасность локальной сети вообще не зависит от безопасности беспроводного маршрутизатора.