mercoledì , Agosto 21 2019
Ultime Notizie
Home / Wireless & Networking / Mikrotik / Wifi, multi-ssid e VLAN su Mikrotik

Wifi, multi-ssid e VLAN su Mikrotik

Ormai sempre più router permettono la gestione del multi-ssid per differenziare le reti (es. rete privata da rete ospiti in un albergo). Nel caso non si necessiti di un sistema di hotspot (che vedremo in un prossimo articolo) è possibile organizzare il tutto utilizzando le VLAN.

Le Virtual LAN sono considerate come un gruppo di host che, indipendentemente dalla posizione fisica, comunicano come se fossero terminate su uno stesso cablaggio.

Le VLAN riguardano il livello 2, mentre le subnet interessano il livello 3, ma molto spesso ad una VLAN corrisponde una sola sottorete, completando il metodo di assegnazione basato sulla porta dello switch, che è il modello sicuramente più diffuso.

Se lo switch gestisce il livello 3, le VLAN possono comunicare tra di loro tramite routing, senza dover introdurre un elevato numero di router sulla rete.

Bando alle parole, passiamo ai fatti.

In questo esempio  utilizzo una routerboard Mikrotik RB951.

Ecco le reti che vogliamo realizzare:

WIFI-privata (WPA/WPA2) -> 192.168.10.x/24

WIFI-guest (open) -> 192.168.20.x/24

Configuriamo l’interfaccia Wireless principale, assicurandoci che sia in modalità AP BRIDGE e assegnando un SSID ed un SECURITY PROFILE:

mik2b

Per questo esempio definiamo un security profile aperto (perchè sto facendo una rete Guest) e un security profile con WPA2.

Per la rete principale, lasciamo il security profile di default senza password e la usiamo per la rete guest, mentre creiamo un nuovo security profile per la seconda rete, quella privata:

mik2

Adesso aggiungiamo il secondo SSID creando un VAP (Virtual AP):

mik1

Al nuovo virtual AP diamo un ssid e il security profile WPA2 appena creato.

Adesso andiamo alla parte networking creando le VLAN:

/interface vlan
add interface=ether1-gateway name=ether1.10 vlan-id=10
add interface=ether1-gateway name=ether1.20 vlan-id=20

 

Ora aggiungiamo i bridge:

/interface bridge
add name=vlan10
add name=vlan20

Aggiungiamo le interfacce ai bridge:

/interface bridge port
add bridge=vlan10 interface ether1.10
add bridge=vlan10 interface wlan1.10
add bridge=vlan20 interface ether1.20
add bridge=vlan20 interface wlan1.20

Il gioco è fatto!

Quello che manca è assegnare gli indirizzi IP ai bridge:

/ip address
add address=192.168.10.1/24 comment="privata" interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 comment="guest" interface=vlan20 network=192.168.20.0

E poi il DHCP Server (se necessario):

/ip pool 
add name=hs-pool-1 ranges=192.168.10.2-192.168.10.254 
add name=hs-pool-2 ranges=192.168.20.2-192.168.20.254 
/ip dhcp-server 
add address-pool=hs-pool-1 disabled=no interface=vlan10 lease-time=1h name=dhcp-privata
add address-pool=hs-pool-2 disabled=no interface=vlan20 lease-time=1h name=dhcp-guest

Enjoy!

Info Paolo Daniele

Ingegnere delle Telecomunicazioni, appassionato di informatica fin da piccolo ho trasformato la passione in lavoro. Con il PHP faccio tutto (o quasi...) ma non disprezzo altri linguaggi all'occorrenza. Se vi piace il mio sito, o vi è utile, o vi sto simpatico, offritemi una birra!

Ti potrebbe interessare

Mikrotik VLAN e Switch

Ciao Ragazzi, ritorno a scrivere dopo qualche tempo per parlarvi della “nuova” gestione delle VLAN …

9 Commenti

  1. Buongiorno complimenti per tutto ciò che condividi.
    ho una MikroTik RouterBOARD 951Ui-2HnD con n°2 ssid clienti e personale.
    vorrei che durante la scansione wifi i clienti vedessero solo l’ssd clienti” e non l’ssd personale” e viceversa
    potresti aiutarmi
    ti ringrazio

    • Paolo Daniele

      Ciao,
      Doppio click sull’interfaccia Wireless.
      Nel Tab Wireless devi spuntare “Hide SSID”

      P.

      • ciao paolo,scusami sono stato infelice nell’esprimermi,
        in realtà vorrei vedere entrambe ma vorrei che si agganciasse solo al ssid personale e non clienti.
        grazie ancora

  2. stefano barbanera

    Ciao Paolo, la spiegazione mi sembra perfetta per realizzare il mio progetto.
    Mi come qualora volessi aggiungere Ap per raggiungere più distanze …. devo per passare ad AP molto più professionali che gestiscono VLAN e quindi anche più costosi ?
    Grazie mille

    • Paolo Daniele

      Ciao Stefano,
      dipende sempre dalle distanze, ma devo dire che anche com Mikrotik ci sono apparati che ti permettono di coprire distanze più elevante.
      In genere però informati sull’uso delle frequenze per non interferire con operatori WISP (sia per non dare problemi a loro sia per non dare problemi a te).
      Oppure puoi usare apparati un po’ più costosi in transparent bridge e mettere due Mikrotik sotto.

      • stefano barbanera

        Ciao Paolo,
        Alla fine mi sono convinto e ho acquistato il modello che pubblicizzi nel esempio riportato .
        Il mio scopo era quello di avere due reti Wi-Fi con diversi ssid e classi tra loro separate e un’interfaccia wan in dhcp così da essere libero di cambiare gestore senza troppe configurazioni .
        Ho riscontrato due problemi .
        1)Le due reti si parlano e parlano anche con il router , devo fare qualche regola sul firewall oppure c’e Una opzione che non trovo per separale definitivamente?
        2) spesso perdo internet da entrambe le rete ( test eseguito solo Wi-Fi ) la sensazione è che il router non mi permetta di navigare , come se fosse già impegnato . La
        Cosa strana è che riavviamo il mikrotic il problema si risolve per poi magari ripresentarsi dopo un paio d’ore.
        Ti viene in mente qualcosa ?
        Grazie mille.

        • Paolo Daniele

          Ciao Stefano,
          perdonami ma non tengo “sotto monitoraggio” sempre il sito.
          1) puoi fare una regola sul fw dove fai una drop se dalla rete x cerchi di raggiungere la rete y e viceversa.
          2) Verifica il ppp lato modem e collegati con il cavo e vedi se con il cavo hai lo stesso problema.
          Ciao!

  3. Ciao, vorrei installare un Mikrotik hEX lite RB750r2 a casa e collegarlo a 2 switch: un netgear 24 porte gigabit e un tplink 8 porte con POE. Sul netgear sono collegate periferiche come pc, stampanti e nas mentre sul tplink sono connessi sulle porte POE 2 access point. Sugli AP vorrei creare 2 reti wifi (privata e ospiti)… è possibile?

    • Paolo Daniele

      Ciao, se hai già questo a cosa ti serve la Mikrotik? Vuoi farla come concentratore per la rete internet? Se il tuo obiettivo è separare le reti devi assicurarti che il tp-link supporti le vlan. Così puoi bypassare. Al massimo collega gli ap che sono poe sulle poe della hex (occhio a verificare i W e i V di alimentazione richiesti dagli AP!)

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *