Гостевой Wifi

Создаем гостевой профиль безопасности

Имя guest,Пароль 987654321 
/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=guest supplicant-identity="" wpa2-pre-shared-key=987654321

Добавить новый виртуальный интерфейс wlan-guest

Указать MAC-адрес, который следует взять у физического беспроводного интерфейса. 
/interface/wireless
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:D8:E6:8B master-interface=wlan1 multicast-buffering=disabled name=wlan-guest \
    security-profile=guest ssid=SEA_Guest wds-cost-range=0 wds-default-cost=1 wps-mode=disabled

Если у вас двухдиапазоvнная точка доступа и вы желаете создать в каждом из них гостевые сети, то создайте еще один виртуальный беспроводной интерфейс и укажите в качестве Master Interface второй беспроводной адаптер.

Рабочую частоту, ширину канала, мощность и прочие настройки виртуальный адаптер наследует от физического интерфейса. Т.е. гостевая сеть будет работать на том же канале и с такими же параметрами, как и основная.

Создадать новый сетевой мост bridge-guest

/interface bridge
add arp=reply-only name=bridge-guest

Добавить в мост bridge-guest созданный ранее виртуальный беспроводной интерфейс wlan-guest

/interface bridge port
add bridge=bridge-guest interface=wlan-guest

Настройка базовых сетевых служб: DHCP, DNS, NAT

  1. Назначить IP-адрес 
    /ip address
add address=192.168.134.1/24 interface=wlan-guest  network=192.168.134.0
  2. Создать pool_guest 
    /ip pool
add name=pool_guest ranges=192.168.134.100-192.168.134.199
  3. DHCP 
    /ip dhcp-server network
add address=192.168.134.0/24 dns-server=8.8.8.8 gateway=192.168.134.1

/ip dhcp-server
add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest name=dhcp_guest
  4. Добавить гостевую сеть в address-list 
    /ip firewall address-list
add address=192.168.134.0/24 list=Guest
  5. NAT 
    /ip/firewall/nat 
add action=masquerade chain=srcnat out-interface=lo out-interface-list=WAN src-address-list=Guest
  6. Фильтр

    Не забыть поднять правили выше... 

    /ip/firewall/filter
add action=accept chain=forward comment="Acsess form LAN" src-address-list=Guest
  7. Изолируем гостевую сеть при помощи брандмауэра 
    /ip firewall filter
add action=drop chain=forward in-interface=bridge-guest out-interface=bridge_lan