paolodaniele.it – linux & networking
Ormai sempre più router permettono la gestione del multi-ssid per differenziare le reti (es. rete privata da rete ospiti in un albergo). Nel caso non si necessiti di un sistema di hotspot (che vedremo in un prossimo articolo) è possibile organizzare il tutto utilizzando le VLAN.
Le Virtual LAN sono considerate come un gruppo di host che, indipendentemente dalla posizione fisica, comunicano come se fossero terminate su uno stesso cablaggio.
Le VLAN riguardano il livello 2, mentre le subnet interessano il livello 3, ma molto spesso ad una VLAN corrisponde una sola sottorete, completando il metodo di assegnazione basato sulla porta dello switch, che è il modello sicuramente più diffuso.
Se lo switch gestisce il livello 3, le VLAN possono comunicare tra di loro tramite routing, senza dover introdurre un elevato numero di router sulla rete.
Bando alle parole, passiamo ai fatti.
In questo esempio utilizzo una routerboard Mikrotik RB951.
Ecco le reti che vogliamo realizzare:
WIFI-privata (WPA/WPA2) -> 192.168.10.x/24
WIFI-guest (open) -> 192.168.20.x/24
Configuriamo l’interfaccia Wireless principale, assicurandoci che sia in modalità AP BRIDGE e assegnando un SSID ed un SECURITY PROFILE:
Per questo esempio definiamo un security profile aperto (perchè sto facendo una rete Guest) e un security profile con WPA2.
Per la rete principale, lasciamo il security profile di default senza password e la usiamo per la rete guest, mentre creiamo un nuovo security profile per la seconda rete, quella privata:
Adesso aggiungiamo il secondo SSID creando un VAP (Virtual AP):
Al nuovo virtual AP diamo un ssid e il security profile WPA2 appena creato.
Adesso andiamo alla parte networking creando le VLAN:
/interface vlan
add interface=ether1-gateway name=ether1.10 vlan-id=10
add interface=ether1-gateway name=ether1.20 vlan-id=20
Ora aggiungiamo i bridge:
/interface bridge
add name=vlan10
add name=vlan20Aggiungiamo le interfacce ai bridge:
/interface bridge port
add bridge=vlan10 interface ether1.10
add bridge=vlan10 interface wlan1.10
add bridge=vlan20 interface ether1.20
add bridge=vlan20 interface wlan1.20Il gioco è fatto!
Quello che manca è assegnare gli indirizzi IP ai bridge:
/ip address
add address=192.168.10.1/24 comment="privata" interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 comment="guest" interface=vlan20 network=192.168.20.0E poi il DHCP Server (se necessario):
/ip pool
add name=hs-pool-1 ranges=192.168.10.2-192.168.10.254
add name=hs-pool-2 ranges=192.168.20.2-192.168.20.254
/ip dhcp-server
add address-pool=hs-pool-1 disabled=no interface=vlan10 lease-time=1h name=dhcp-privata
add address-pool=hs-pool-2 disabled=no interface=vlan20 lease-time=1h name=dhcp-guestEnjoy!
Buongiorno complimenti per tutto ciò che condividi.
ho una MikroTik RouterBOARD 951Ui-2HnD con n°2 ssid clienti e personale.
vorrei che durante la scansione wifi i clienti vedessero solo l’ssd clienti” e non l’ssd personale” e viceversa
potresti aiutarmi
ti ringrazio
Ciao,
Doppio click sull’interfaccia Wireless.
Nel Tab Wireless devi spuntare “Hide SSID”
P.
ciao paolo,scusami sono stato infelice nell’esprimermi,
in realtà vorrei vedere entrambe ma vorrei che si agganciasse solo al ssid personale e non clienti.
grazie ancora
ciro,
per te sarà clienti = rete guest
personale = rete privata
e poi distribuisci la chiave privata al personale
ciao Paolo complimenti per il tuo impegno, ho usato questa guida per configurare un Sxt2 per farlo lavorare con due ssid , una privata e una ospite su due vlan come da guida la ospite mi fa apparire il captive portal e la privata invece va dritta dopo la password, però ho una estrema lentezza della rete wireless, mentre già cavo direttamente va benissimo, non capisco dove sia il collo di bottiglia, grazie e saluti
Ciao Paolo, la spiegazione mi sembra perfetta per realizzare il mio progetto.
Mi come qualora volessi aggiungere Ap per raggiungere più distanze …. devo per passare ad AP molto più professionali che gestiscono VLAN e quindi anche più costosi ?
Grazie mille
Ciao Stefano,
dipende sempre dalle distanze, ma devo dire che anche com Mikrotik ci sono apparati che ti permettono di coprire distanze più elevante.
In genere però informati sull’uso delle frequenze per non interferire con operatori WISP (sia per non dare problemi a loro sia per non dare problemi a te).
Oppure puoi usare apparati un po’ più costosi in transparent bridge e mettere due Mikrotik sotto.
Ciao Paolo,
Alla fine mi sono convinto e ho acquistato il modello che pubblicizzi nel esempio riportato .
Il mio scopo era quello di avere due reti Wi-Fi con diversi ssid e classi tra loro separate e un’interfaccia wan in dhcp così da essere libero di cambiare gestore senza troppe configurazioni .
Ho riscontrato due problemi .
1)Le due reti si parlano e parlano anche con il router , devo fare qualche regola sul firewall oppure c’e Una opzione che non trovo per separale definitivamente?
2) spesso perdo internet da entrambe le rete ( test eseguito solo Wi-Fi ) la sensazione è che il router non mi permetta di navigare , come se fosse già impegnato . La
Cosa strana è che riavviamo il mikrotic il problema si risolve per poi magari ripresentarsi dopo un paio d’ore.
Ti viene in mente qualcosa ?
Grazie mille.
Ciao Stefano,
perdonami ma non tengo “sotto monitoraggio” sempre il sito.
1) puoi fare una regola sul fw dove fai una drop se dalla rete x cerchi di raggiungere la rete y e viceversa.
2) Verifica il ppp lato modem e collegati con il cavo e vedi se con il cavo hai lo stesso problema.
Ciao!
Ciao, vorrei installare un Mikrotik hEX lite RB750r2 a casa e collegarlo a 2 switch: un netgear 24 porte gigabit e un tplink 8 porte con POE. Sul netgear sono collegate periferiche come pc, stampanti e nas mentre sul tplink sono connessi sulle porte POE 2 access point. Sugli AP vorrei creare 2 reti wifi (privata e ospiti)… è possibile?
Ciao, se hai già questo a cosa ti serve la Mikrotik? Vuoi farla come concentratore per la rete internet? Se il tuo obiettivo è separare le reti devi assicurarti che il tp-link supporti le vlan. Così puoi bypassare. Al massimo collega gli ap che sono poe sulle poe della hex (occhio a verificare i W e i V di alimentazione richiesti dagli AP!)
buongiorno,
chiedo gentilmente aiuto !!!!! ho acquistato questo router RB4011iGS+5HacQ2HnD-IN mikrotik per la mia azienda, ma non era specificato che era da configurare. Io non sono un tecnico e con qualche tutorial sono riuscito a farlo funzionare abbastanza, necessito però di una rete guest per i visitatori/clienti. Ho provato a configurarla, ora la vedo MA non si connette a internet.
C’è qualcuno che mi può aiutare ? Penso ci sia un errore nel dns oppure ho letto che bisogna configurare il nat e firewall ma per me è quasi arabo 🙁
attualmente è configurato come bridge con indirizzo ip assegnato manuale e dhcp spento in quanto assegnati dal modem per la fibra TIM.
grazie mille a tutti per l’aiuto
Giuseppe
Buongiorno,
può usare il quick-set di Mikrotik che aiuta. Per il resto, conviene usare il forum di mikrotik.
A presto,
P.
Buonasera Paolo,
tutto conforme però io sto riscontrando difficoltà perche su entrambe le Vlan chi dispaccia il dhcp è il router dell’operatore e, sebbene io metta le porte su vlan diverse non mi fa diversificare i dhcp serer.
mi puoi dare una mano?
grazie
Marco
Buonasera Marco,
vuol dire che hai messo nel bridge la eth del tuo router che dovrebbe essere la WAN.
Togli quella. Se non hai necessità di rete cablata non metti nessuna eth nel bridge.
A presto,
P.
ciao
sono Alberto calvi lavoro presso ambasciata americana a Roma
ho un richiesta da farti
ti posso inviare email con la richiesta
Già risposto! 🙂
Ciao Paolo e complimenti per la spiegazione…. ho provato a configurare l’RB con le tue indicazioni chiarissime. Due soli dubbi in quanto non mi funziona l’implementazione delle vlan:
1) come devi impostare la porta sullo switch a cui eè attaccata l’RB? (Io l’ho configurata con vlan privata default e untagged e vlan Guest tagged (per me le vlan sono (1 privata untegged e 50 tagged Guest switch Cisco).
2) come imposti il client dhcp in modo che prenda un IP dal server impostato sul router sia per la vlan privata che per la Guest.