Настройка роутера hAP lite (RB941 2nd)

В данной статье будет рассмотрена базовая настройка роутера MikroTik hap lite (rb941 2nd) в конфигурации «для дома».

Маршрутизатор Wi-Fi
MikroTik hAP lite classic

3 414Р3 603 Р

подробнее

Домашняя сеть будет разделена на сеть с ограничениями (для детей) и на сеть без ограничений (для все остальных). Сеть для детей будет отфильтровывать нежелательный контент с помощью функций яндекс.dns семейный, использовать техники black list, white list, а также возможности фильтра Layer7, динамических адрес листов. Дополнительно на сеть для детей могут быть наложены различные ограничение:

• по времени использования ребенком сети Интернет
1. по расписанию
2. по общей продолжительности в день\неделю\месяц
• по объему трафика в день\неделю\месяц
• по скорости

Все эти возможности и их комбинации позволят вам гибко настроить безопасный Интернет для ваших детей.

Настроим стандартную конфигурацию на MikroTik hAP lite. Для этого скачаем программу для управления с официального сайта MikroTik.com.

Запустим ее и подключимся к роутеру. WinBox→Neighbors(1)→RB941-2nD(2)→Connect(3).

Применим стандартную конфигурацию:

Стандартная конфигурация развернута. Вы должны были получить полностью рабочий роутер. Если у вас тип получения IP параметров не автоматический или вы по каким-то другим причинам не имеете выхода в Интернет, то вам необходим вот этот материал. Как только вы настроите выход в Интернет, можно будет вернуться к этому разделу.

Итак, на данный момент мы имеем стандартную конфигурацию без разделения сети. Для того чтобы разграничить нашу локальную сеть, создадим сегмент(часть) сети для детей. Для этого выберем в меню winbox→ Bridge(1)→Bridge(2)→plus(3)→General(4)→ и в поле name(5) добавим имя bridge-child. Сохраним изменения - OK.

Подготовим интерфейсы (порты), для включения в bridge-child. В нашей конфигурации, для ребенка будет настроен четвёртый порт ether4 и дополнительная детская сеть wifi. Это означает что, подключившись в четвертый порт кабелем и\или к детской сети по WiFi вы будите иметь детский доступ к сети Интернет через эти интерфейсы.

Настроем security Profile для детской сети WiFi. WinBox→Wireless(1)→Security Profiles(2)→plus(3)→General(4)→в поле Name(5) введем child→в поля WPA(6) и WPA2(6) введем будущий пароль на Wifi детской сети. Сохраним настройки- OK.

Добавим новую сеть wifi. WinBox→Wireless(1)→Interfaces(2)→plus(3)→Virtual AP(4)→Wireless(5)→введем имя детской сети WiFi в поле SSID(6)→ выберем security profile(7) для нашей сети. Сохраним настройки - ОК.

Настроим интерфейс ether4. Winbox→Interfaces(1)→Interface(2)→кликнем два раза левой кнопкой по ehter4(3) и войдем в настройки интерфейса→выберем none в поле Master Port(4). Применим настройки – OK.

Далее включим наши интерфейсы в подготовленный bridge-child. Winbox→Bridge(1)→Ports(2)→plus(3)→добавим интерфейс ether4 (4)→ в Bridge(5) bridge-child. Также сделаем и для интерфейса wlan2(6)(7). Сохраним все изменения - ОК.

Назначим интерфейсу bridge-child внутренний address. WinBox→IP(1)→address(2)→plus(3)→заполним поля(4),(5),(6) в соответствии со скриншотом.

Теперь необходимо назначить DHCP сервер на детский сегмент сети, для автоматической настройки IP параметров клиентов сети. Для этого необходимо Winbox→IP(1)→DHCP server(2)→DHCP(3)→DHCP Setup(4)→ в поле dhcp Server Interface(5) выбрать интерфейс bridge-child.

После этого необходимо нажать кнопку Next и следовать по мастеру настройки DHCP сервера ничего не меняя. Как только вы достигните до окна Select lease time:

Здесь нужно изменить стандартное время аренды на 3d 00:10:00 и закончить настройку DHCP сервера.

Если вы все сделали правильно, к этому моменту вы должны иметь два сегмента сети:

Детская сеть LAN-4; wifi. Адресация - 192.168.99.0/24 Взрослая сеть LAN-2, LAN-3; wifi. Адресация - 192.168.88.0/24

Сейчас эти две сети не имеют никаких ограничений и полностью равноправны. Что бы приступить к настройке ограничительных функций к детской сети, необходимо завершить предварительные настройки роутера, а именно:

• Установить пароль и SSID (имя сети) на взрослую сеть wifi
• Установить пароль на пользователя Admin
• Обновить роутер до последней версии.

Если вы затрудняетесь сделать это самостоятельно, вы можете найти пошаговую инструкцию настройки этих параметров в этой статье.

Яндекс DNS семейный это сервис от Яндекса, который дает возможность защитить вашу сеть от нежелательного контента. Работает это следующим образом. Все запросы с вашей сети перенаправляются на сервер Яндекса, который в свою очередь фильтрует опасный контент, таким образом осуществляется модерация сети Интернет. Более подробно, как это работает, вы можете почитать на официальной странице сервиса.

Настроим перенаправление запросов на сервер Яндекса. Winbox→IP(1)→Firewall(2)→NAT(3)→plus(4).

Во вкладке General(1) настроим параметры пересылки, и во вкладке Action(2) действие по переадресации запросов на сервер Яндекса DNS семейный.

На этом данный этап завершен, и если вы все сделали правильно при попытке зайти на опасный ресурс вы должны получить «заглушку» от Яндекса:

Так же будет ограничен вывод запросов в поисковой машиной Яндекс:

Динамические адрес листы — это мощный функционал от MikroTik, который был внедрен в RouterOS совсем недавно. Для их использования должна быть установлена одна из последних версий RouterOS. С помощью них мы можем с легкостью разрешать (white list) или запрещать (Black list) посещение различных ресурсов в сети Интернет.

Для примера рассмотрим ситуацию, когда мы хотим ограничить доступ детям к социальным сетям в вечернее время на буднях. Для этого необходимо создать динамический лист. Winbox→IP(1)→Firewall(2)→Address Lists(3)→plus(4)→появиться окно где необходимо в поле Name ввести имя адрес листа и в поле Address ввести доменное имя нашего сайта.

• Для блокировки facebook введите три доменных имени – facebook.com, www.facebook.com, ru-ru.facebook.com.
• Для блокировки ВКОНТАКТЕ введите два доменных имени – vk.com, m.vk.com.
• Для блокировки Instagram потребовалось добавить IP адрес 87.245.208.160, т.к. он не использует доменное имя в своей работе (мобильная версия).

Создадим блокирующее правило. Перейдем во вкладку Filter Rules(1)→General(2)→plus(3)→ в полях Chain и Src. Address заполним значения как на скриншоте.

Во вкладке Advanced, нужно выбрать в поле Dst. Address List, созданный нами динамический адрес лист.

Во вкладке Extra, необходимо настроить расписание действия запрещающего правила.

Во вкладке Action выберем действие drop. Сохраним изменения - OK.

После применения настроек, запрещающее правило необходимо «перетащить» вверх в списке правил firewall, как на скриншоте.

Что бы расписание работало корректно, необходимо настроить время на роутере MikroTik hAP lite rb941 2nd. WinBox→System(1)→SNTP Client(2)→ввести в поле Primary NTP Server - pool.ntp.org для синхронизации времени.

На данном этапе я заканчиваю первую часть статьи безопасный Интернет для детей на роутере Микротик hAP lite. В следующей части будет рассмотрен пример с использованием hotspot от микротик, который имеет более расширенный функционал по контролю и управлению использования сети Интернет.