Итак, что мы имеем:

1) Mikrotik RouterBoard rb2011 в качестве шлюза в интернет и dhcp сервера
2) 5 тарелок WiFi UniFi AP Pro
3) Свитч DLINK DES 1210-28P  в который воткнуты устройства локальной сети, в том числе UniFi тарелки WiFi
4) Компьютер с которого все настраиваем

Для начала, втыкаем кабель провайдера с интернетом в первый порт Mikrotik. Второй порт из микротика соединяем патч-кордом с любым портом DLINK'а (я воткнул в 25). В третий порт Mikrotik'а втыкаем компьютер, с которого будем все настраивать.

К Dlink'у так же подключаем WiFi тарелки UniFi. (я занял порты 20-24)

Получилась следующая конфигурация:

 Mikrotik по умолчанию имеет адрес 192.168.88.1, IP компьютеру должен выдать автоматически (проверьте чтобы в настройках ipv4 сетевой карты стояло Получить IP-адрес автоматически)

Заходим браузером в настройки роутера, набрав в адресной строке 192.168.88.1.

Выполнить настройку роутера MikroTik можно разными способами:

• Winbox — настройка с помощью специальной программы для ОС Windows;
• Webfig — настройка через Web интерфейс;
• Telnet — настройка по телнету.

Мы будем настраивать роутер Mikrotik с помощью программы Winbox, поэтому в окне браузера выбираем Winbox, сохраняем программу и запускаем.

Подключаемся к роутеру MikroTik:

1. Нажимаем кнопку ... для отображения устройств MikroTik;
2. Выбираем в списке наш роутер;
3. Нажимаем кнопку Connect. Login по умолчанию admin, пароль пустой.

Выбираем самый верхний пункт меню QuickSet

В разделе Wireless указываем параметры Wi-Fi точки доступа MikroTik:

• SSID - введите свое название точки доступа;
• Security - настройки шифрования. Для лучшей безопасности поставьте галочку WPA2;
• Pre-Shared Key - введите пароль для доступа к Wi-Fi точке доступа. 

Все остальное можно не трогать

а) Если интернет провайдер выдает Вам сетевые настройки автоматически по DHCP, то в разделе Internet выполните следующие настройки:

• Address Acquisition - выберите DHCP;
• MAC Address - если ваш провайдер блокирует доступ по MAC адресу, то введите в этом поле разрешенный MAC адрес.

б) Если вы используете статические сетевые настройки, в разделе Internet выполните следующие настройки:

• Address Acquisition - выберите Static;
• WAN IP Address - введите IP адрес и маску;
• Gateway - введите адрес шлюза;
• DNS Servers - введите адреса DNS серверов;
• MAC Address - если ваш провайдер блокирует доступ по MAC адресу, то введите в этом поле разрешенный MAC адрес.

в) Если вы используете клиентское PPPoE соединение, в разделе Internet выполните следующие настройки:

• Address Acquisition - выберите PPPoE;
• PPPoE User - введите имя пользователя;
• PPPoE Password - введите пароль;
• MAC Address - если ваш провайдер блокирует доступ по MAC адресу, то введите в этом поле разрешенный MAC адрес.

Чтобы роутер автоматически выдавал сетевые настройки компьютерам и Wi-Fi устройствам и давал доступ к интернету, необходимо в разделе LAN/WLAN настроить DHCP сервер и NAT:

• LAN IP Address - IP адрес роутера. Можно оставить без изменений;
• DHCP Server - поставьте галочку, чтобы включить DHCP сервер;
• DHCP Server Range - диапазон IP адресов, которые будут выдаваться подключаемым устройствам. Оставьте без изменений;
• NAT - поставьте галочку, чтобы дать доступ в интернет подключаемым устройствам.

Чтобы никто, кроме администратора не смог войти в настройки роутера MikroTik и изменить их, необходимо изменить пароль.

Для этого в разделе System в поле Password введите новый пароль и подтвердите его в поле Confirm Password.

После выполненных настроек нажмите кнопку Apply Configuration, чтобы применить все настройки.

Это было довольно просто. И если Вы когда нибудь настраивали любые роутеры, то вопросов возникнуть не должно.

Настраиваем VLAN - виртуальную сеть для клиентов

 Функция VLAN позволяет в коммутаторах или роутерах создать несколько виртуальных локальных сетей на одном физическом сетевом интерфейсе (Ethernet, Wi-Fi интерфейсе и т.п.) . С помощью VLAN можно построить логическую топологию сети, которая не зависит от физической топологии.

На Microtik в программе Winbox выполните следующее:

1. Откройте меню Interfaces;
2. В появившемся окне перейдите на вкладку VLAN;
3. Нажмите "+"
4. В поле Name напишите название виртуальной сети (я делал 30) vlan30;
5. В поле VLAN ID укажите индификатор виртуальной сети 30.
6. В поле Interface укажите, на каком сетевом интерфейсе создать виртуальную сеть. Мы создадим виртуальную сеть на втором порту роутера MikroTik, который называется ether2-master. Этот интерфейс, как Вы помните подключен к 25 порту свитча DLINK DES 1210-28P
7. Нажмите кнопку OK, чтобы добавить виртуальную сеть VLAN30.

 После этого в списке виртуальных интерфейсов появится интерфейс vlan30.

В перечне всех сетевых интерфейсов под интерфейсом  ether2-master также появится vlan1.

Присвоим созданной виртуальной сети vlan30 IP-адрес 10.10.10.1/24:

1. Откройте меню IP - Addresses;
2. В появившемся окне нажмите "плюсик";
3. Во всплывающем окне в поле Address введите IP адрес 10.10.10.1/24;
4. В списке Interface выберите интерфейс vlan30;
5. Нажмите кнопку OK, чтобы применить IP адрес.

 Чтобы пользователи виртуальной сети имели доступ во внешнюю сеть, настроим NAT:

1. Откройте меню IP - Firewall;
2. Перейдите на вкладку NAT;
3. Нажмите на "красный плюсик";
4. В списке Chain выберите srcnat;
5. В поле Src. Address укажите IP адрес виртуальной сети 10.10.10.0/24;
6. Нажмите кнопку OK.

 И последнее, что нужно сделать - добавить DHCP нашему VLAN, чтобы пользователи автоматически получали адреса:

В winbox открываем IP -> DHCP-Server. В появившемся окне нажимаем кнопку DHCP Setup:

После чего выбираем сетевой интерфейс, который у нас будет слушать DHCP сервер с последующей выдачей IP адресов, в нашем случае это будет VLAN30

DHCP Address space: 10.10.10.0/24

next

Gateway for DHCP  Network: 10.10.10.1

next

Relay - оставляем пустым

Готово, появляется второй DHCP сервер для клиентского WiFi:

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Я сделал это с помощью с помощью Route Rules.

1. Откройте меню IP - Routes;
2. Перейдите на вкладку Rules;
3. Нажмите "красный плюсик";
4. В поле Src. Address укажите гостевую подсеть 10.10.10.0/24;
5. В поле Dst. Address укажите офисную подсеть 192.168.88.0/24;
6. В списке Action выберите unreachable;
7. Нажмите кнопку OK.

Для большей надежности стоит еще запретить заходить на Mikrotik из внешней сети, для этого добавим правило:

1. Откройте меню IP - Services;
2. Двойным щелчком откройте строку с сервисом www
3. В поле Available From укажите офисную подсеть 192.168.88.0/24;
4. Нажмите кнопку OK.

 Настройку виртуальной гостевой сети VLAN на Mikrotik RouterBoard rb2011 мы закончили.

Теперь нам нужно сказать свитчам DLINK DES 1210-28P работать с VLAN 30.

1. Подключаем компьютер, с которого будет производиться настройка, к любому порту.
2. По умолчанию адрес свитча 10.90.90.90, поэтому меняем ip адрес на компьютере на адрес в этой подсети, например на 10.90.90.89
3. Через web-браузер заходим на коммутатор по адресу http://10.90.90.90
4. Вводим пароль по умолчанию: admin

5. Попадаем в Smart Wizard, где настраиваем сеть свитча, я задал ему адрес 192.168.88.202, чтобы можно было управлять из внутренней сети.

6. Далее задаем новый пароль для доступа к настройкам

7. В главном меню выбираем VLAN->802.1Q VLAN, нажимаем кнопку add, задаем VID = 30, VLAN Name = VLAN30 и переключаем radiobuttons в состояние tagged у портов, к которым подключены наши WiFi тарелки UniFi. В нашем случае это порты 20,21,22,23,24 а так же у порта который скроссирован с Mikrotik, у меня это 25

 Теперь свитч пропускает VLAN30 на указанных портах.

И последнее, что нам нужно сделать, настроить сами WiFi тарелки UniFi.

Установка UniFi контроллера

 Контроллер лучше устанавливать не с диска, идущего в комплекте с UniFi, а скачать свежую версию с сайта производителя. Для этого зайдите на сайт www.ubnt.com в раздел Downloads. Далее выберите Вашу модель и скачайте последнюю версию контроллера для Вашей операционной системы:

После установки и запуска контроллера появится окно, в котором нужно нажать кнопку Launch a Browser to Manage Wireless Network для перехода к настройке контроллера.

Откроется браузер для выполнения настройки. В браузере принимаем сертификат контроллера и приступаем к настройке.

Выбираем язык интерфейса и вашу страну. Нажимаем кнопку Next.

Задаем параметры гостевой Wi-Fi сети:

• Secure SSID — название точки доступа, к которой будут подключаться клиенты (запароленная);
• Security Key — пароль для подключения к точке доступа;
• Enable Guest Access — разрешить гостевой доступ;
• Guest SSID — название виртуальной точки доступа, к которой будут подключаться гости (без пароля).

В следующем окне вводим имя администратора Admin Name, пароль Password и подтверждаем пароль в поле Confirm. Нажимаем Next.

В конце будет указано имя вашей беспроводной сети и имя администратора. Нажимаем Finish.

 В следующем окне вводим имя администратора Admin Name и пароль Password, который указали ранее.

После этого перед вами откроется Web интерфейс контроллера, в котором выполняется настройка системы UniFi. 

Подключение точек доступа UniFi к контроллеру в одной подсети

Присоединим точки доступа к контроллеру. Нужная нам точка доступа находится под управлением другого контроллера. Установим над ней контроль: войдем в меню Devices, кликнем по ней, в появившемся справа окне свойств нажмем Advanced Options:

Введем ее логин и пароль (по умолчанию - ubnt/ubnt) и нажмем Adopt:

Спустя полминуты точка доступа присоединится к нашему контроллеру:

Новые точки доступа, подключенные к сети, подключаются аналогичным образом, только для них не нужно вводить логинов и паролей - достаточно просто скомандовать Adopt.

Теперь между точками доступа уже работает роуминг клиентов. WiFi-сеть уже вещается, клиенты могут переходить из зоны покрытия одной точки доступа в зону покрытия другой, при этом не теряя соединение.

Теперь перейдем к настройкам контроллера. Внизу слева кликнем по Settings.

Все что нам остается сделать, это установить у существующих WiFi сетей VLAN30.

Нажимаем на кнопку Edit напротив сети, попадаем в настройку беспроводной сети, где ставим галку напротив Use VLAN и указываем ID нашей виртуальной сети (у нас как Вы помните 30)

Все готово. Пробуем подключиться к нашей новой WiFi сети и проверяем что ip-адрес выдается из подсети 10.10.10.0/24 и интернет работает, а так же недоступна внутренняя сеть для гостей.

P.S. Получилось многовато текста, если где то что то перепутал и не учел или у Вас останутся вопросы, пишите в комментариях, постараюсь ответить и исправить недочеты.