Cómo configurar una red wifi para invitados con CAPsMAN activo
Aeizoon del grupo “Mikrotik España (Spain)” de telegram nos cuenta cómo configurar una red wifi para invitados con CAPsMAN activo.
Paso al paso de la guía
Esquema de lo que queremos hacer
Tenemos una red con varios router Mikrotik con sus redes wifi gestionadas por la herramienta Capsman. Funcionalmente son visibles dos redes: una de 2,4 Ghz y otra de 5Ghz.
Vamos a crear otra red wifi virtual para que nuestras visitas puedan acceder a internet en el improbable caso de que no les interese el vídeo de nuestras últimas vacaciones.
Nuestra nueva wifi “invitados” tendrá las dos frecuencias bajo el mismo nombre y con una misma contraseña, aunque podrían ser distintos tanto los nombres como las contraseñas.
¿Por qué Capsman?
Con la configuración CAPsMAN vamos a conseguir que el router principal gestione de todas la redes wifi como una sola.
Posteriormente la podemos trocear o gestionar pero desde este mismo router principal.
Si no tienes instalado CAPsMAN y quieres hacerlo, visita la guía: «Cómo configurar una red Capsman para mortales«.
Consideraciones previas
Valora hacer una copia de la configuración por si algo se tuerce en el Menu/Files (1). Pulsas botón Backup (2) y en la nueva ventana le pones nombre a la copia. No creo que necesites encriptación. Pulsas Backup y se crea un nuevo archivo en la raíz. Si ese archivo lo guardas en el PC o en la nube también parece buena idea.
Si tienes dudas sobre este paso, visita el tutorial: «Cómo realizar una copia de seguridad (backup) en una Mikrotik«.
Vamos a crear una nueva red dentro de nuestra red doméstica sólo para los invitados. Es como un nuevo barrio de dispositivos por lo que necesitamos:
- Un puente (BRIDGE) para que el nuevo barrio tenga salida a Internet.
- Un callejero para ordenar las visitas (Addresses)
- Y un distribuidor de la información (DHCP server).
Además, crearemos una regla de filtro para que los vecinos de este nuevo barrio salgan a internet pero no entren a través de la wifi invitados en nuestros dispositivos.
Paso 1: Creamos una nueva red INVITADOS
Paso A: El bridge
En el menú principal de la izquierda de Winbox pulsamos Bridge y se nos abre una ventana:
En la primera pestana llamada “Bridge” pulsamos el +
En la pestaña General de esta nueva ventana cubrimos en el campo Name el nombre de nuestro nuevo puente. En el ejemplo “brigde_inv”
Guardas con
y cerramos todas las ventanas tras asegurarnos de que el puente ha sido creado.
Paso B: Asignar ip al bridge de los invitados
Volvemos al menú principal en IP/Addresses y pulsamos:
Pulsamos el + (esta vez sí) y creamos una nueva línea:
Cubriendo así los tres campos:
Fíjate que ponemos un rango distinto de nuestra red, si ya tienes el 2 ocupado puedes poner el 192.168.3.0/24 o el que quieras:
Guardas con
y ya tienes tu nueva línea configurada
Paso C: Crear un DHCP server
Vamos a signarla un DHCP server a la nueva red. Nos vamos al menú principal en IP/DHCP server y pulsamos:
En la pestaña DHCP de la nueva ventana pulsamos el botón DHCP Setup (ojo!!! NO pulsamos el +, que ibas de cabeza y esta vez no toca :p)
Te saldrán varias ventanas que cubres así:
Seleccionamos el puente de nuestra nueva red y pulsas Next
Fíjate que ponemos el rango seleccionado en el paso anterior de configurar la Ip. Next
La puerta de entrada a la nueva red. Next
Se pone en número de clientes posibles en este ejemplo entre el 2 y el 25. Next
Pones los DNS servers que te plazcan.
En “lease time” se reproduce el texto. Next
Nos aparece nuestro nuevo DHCP server (para la red de invitados)
Paso D: Crear un filtro en el Firewall
Vamos a poner una regla en el Firewall para que el tráfico de esta nueva red Invitados salga a internet pero se les deniegue el paso si intentan entrar en los equipos de nuestra casa.
En Ip/Firewall pestaña Filter rules: pulsas el +
En la nueva pestaña la completas de la siguiente manera:
- “Chain”: forward.
- «Src Address” la Ip de la nueva red invitados que hayas elegido.
- “Out Interface List” activas la casilla exclamación que significa “selección inversa” o “todo lo que no sea” y en el campo pones tu interface de salida a internet. En algunas configuraciones no está disponible “Out Interface List” y se debe cubrir a nivel del campo “Out. Interface”.
Pulsamos Apply y pasamos a la pestaña “Action” donde elegimos drop en el desplegable. Apply de nuevo y Ok
Así se creará una nueva línea en el Firewall. Lo puedes consultar en IP/Firewall pestaña Filter Rules
Paso 2. Creamos una red wifi virtual INVITADOS
En el menú principal de la izquierda de Winbox pulsamos Capsman y se nos abre la ventana:
Nos vamos a la pestaña Security CFG
Se pulsa en + para crear una nueva clave de seguridad. En Name le pones un nombre, activas las casillas de la foto y pones en Passphrase la contraseña elegida para dar a tus invitados.
Guardas con
Se pulsa en +, en la pestaña emergente, pones un Name y en el campo bridge pones el puente de nuestra nueva red Invitados.
Ahora vamos a hacer dos configuraciones una para 2,4Ghz y otra para 5Ghz:
Se pulsa en + para crear una nueva línea. En la pestaña Wireless a nivel del campo “name” pones un nombre y el SSID que será el nombre visible de la red wifi virtual para los invitados.
En la pestaña Channel de esta misma ventana eliges la frecuencia correcta: 2,4 Ghz
En la pestaña Datapath eliges INVITADOS
En la pestaña Security el perfil creado en el primer paso.
Pulsas
pero no cierres en OK pues vas a copiar esta configuración para la red de 5GHz.
Para la red 5Ghz
Pulsas COPY y en la nueva ventana vas a las pestaña Wireless y le cambias el nombre a:
SI quieres que la red de 5ghz tenga distinto nombre que la de 2,4 Ghz este es el momento cambiándolo en el campo SSID, en nuestro ejemplo tendrá el mismo:
En la pestaña Channel de esta misma ventana eliges la frecuencia de 5 Ghz en el desplegable.
Las otras pestañas ya están configuradas del paso anterior. Puedes pulsar OK
En la pestaña Pestaña Provisioning seleccionas la línea de 2,4GHZ y la apagas (no borrar) dándole al aspa roja x
Haces doble click sobre esta línea atenuada y pulsas el botón Copy a la derecha de la ventana que ha aparecido. En el campo ”Slave Configuration” seleccionas en el desplegable la configuración recién creada para la red invitados de 2,4Ghz. En nuestro ejemplo había otra red virtual creada previamente .
Asegúrate de que queda activa esta nueva línea en la pestaña Provisioning con el campo Slave Configuration con las redes virtuales y no la líneas sin redes virtuales. Si quedase atenuada la seleccionas y pulsas la casilla de verificación v
Repites los pasos con la línea de la pestaña Provisioning para la red de 5 Ghz pero cambiando la Slave Configuration por la configuración “Inv_5Ghz”
Guardas con
Al final la pestaña provisioning debería quedar así:
Seleccionas todas las líneas con click mientras pulsas la tecla Control y pulsas el botón Provision para que los caps vuelvan a perdir la configuración al servidor CAPsMAN.
Si todo va bien en la pestaña del “Cap Interface” se verá algo así:
Y en Wireless del menú principal de winbox algo así:
Comprueba con tu móvil (con la red de datos 3G o 4G) desconectada que te puedes conectar por wifi a la red invitados y que navegas por internet.
Luego pon la IP de un equipo de tu red doméstica en el navegador de tu móvil para confirmar que el Firewall bloquea este acceso.
Agradecimientos
Agradecer a nuestro amigo F. Cadenas del grupo “Mikrotik España (Spain)” de telegram la recopilación de información para hacer posible este tutorial.
Para cualquier duda o consulta tienes disponible el grupo de telegram «Domoticz a lo Spain» para entrar, ponerte cómodo y participar cuanto quieras.
Cualquier duda, sugerencia o comentario será bien recibida en la web!