Security
MikroTik 配置 - 將公共無線路由器(僅限 Internet)添加到辦公室 LAN
目標
為員工的個人設備提供網際網路訪問,而不提供對內部網路的訪問。
設備
- Netgear WNDR4500v2:用於訪客網路的無線路由器(具有無線隔離功能)
- MikroTik RB2011Ui AS-RM:該網路的主路由器。連接到它的是一些組成有線內部區域網路的交換機。這是我沒有管理權限的瞻博網路光纖設備的上游。
連接
Juniper -> MikroTik -> Cisco 交換機 -> 客戶端、列印機等
Netgear 目前連接到 MikroTik 的一個埠,該埠是 Cisco 交換機使用的同一主埠的從埠。改變這可能是解決方案的一部分,但我不確定。
我在哪裡
我將 Netgear 配置為使用無線隔離,並設置其內部 IP 範圍以匹配辦公室網路,然後將其連接到 MikroTik 路由器。我的意圖是讓對辦公資源的請求無法超出 Netgear 的範圍(例如,對 192.168.1.1 的請求將返回 netgear 管理面板而不是 mikrotik),但是當我連接它並切換到不同的範圍時,它進行了一些自動配置,所以現在我可以訪問 MikroTik 和 ping 辦公設備了。不是我要找的。
無論如何,這似乎是一種黑客方式,考慮到 MikroTik 可能有更優雅的能力。將我的無線路由器與此設備隔離的正確方法是什麼?
按照本文中的說明並在 RouterOS webgui 中找到等效命令來解決此問題。
步驟總結:
- 創建訪客橋
/interface bridge add name=bridge-guest
- 在網橋上創建 DHCP 伺服器
/ip address add address=172.16.0.1/24 interface=bridge-guest network=172.16.0.0 /ip pool add name=guest ranges=172.16.0.100-172.16.0.254 /ip dhcp-server add address-pool=guest disabled=no interface=bridge-guest name=guest /ip dhcp-server network add address=172.16.0.0/24 dns-server=172.16.0.1 gateway=172.16.0.1
- 制定一個 NAT 規則將流量路由到網際網路(我不需要這樣做,因為預設的偽裝規則已經這樣做了。原始文章中的 src-address 網路遮罩不正確。)
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=172.16.0.0/24
- 過濾從網橋到網關以外任何地方的所有流量
/ip firewall filter add action=drop chain=forward in-interface=bridge-guest out-interface=!ether1-gateway
- 在埠 80 上阻止從訪客橋到網關的流量,以防止訪客使用者訪問 MikroTik 控制台
/ip firewall filter add action=drop chain=input in-interface=bridge-guest dst-address=192.168.1.1 dst-port=80
請注意,在第 5 步中,
dst-address
應該是 MikroTik 路由器的地址,並且可能需要將協議設置為6(tcp)
結果
我現在在我的 MikroTik 路由器上有一個埠,它只允許網際網路訪問並阻止嘗試連接到管理面板。附帶的是具有標准設置的 Netgear 無線路由器。這種方法的好處是區域網路的安全性完全不依賴於無線路由器的安全性。