📡 Wireless WiFi AP trên MikroTik
Cấu hình WiFi AP với WPA2-PSK, Multi-SSID, VLAN mapping – chuẩn bị cho RADIUS ở Chương 6.
5.1 Lý thuyết Wireless MikroTik
🔐 WPA2-PSK (Personal)
Pre-Shared Key – 1 mật khẩu chung cho tất cả người dùng. Đơn giản, phù hợp WiFi nội bộ nhỏ.
⚠️ Nhược điểm: ai cũng có thể share mật khẩu
🔏 WPA2-Enterprise (802.1X)
Mỗi user có credential riêng, xác thực qua RADIUS server. Bảo mật cao, phù hợp doanh nghiệp.
✅ Khuyến nghị cho doanh nghiệp – Chi tiết ở Chương 6
🌐 Open (Hotspot)
Không mã hóa – dùng kết hợp với Captive Portal/Hotspot. Phổ biến cho WiFi khách hàng.
📊 Wireless Modes
ap-bridge: AP mode (phát WiFi)
station: Client mode
bridge/wds: Point-to-point/multipoint
5.2 Tạo Security Profile
# Tạo Security Profile cho WiFi nội bộ (WPA2-PSK)
/interface wireless security-profiles
add name=prof-staff \
mode=dynamic-keys \
authentication-types=wpa2-psk \
wpa2-pre-shared-key="OfficeStaff@2025!" \
unicast-ciphers=aes-ccm \
group-ciphers=aes-ccm \
comment="Staff WiFi Profile"
# Security Profile cho Guest (Open – chuẩn bị cho Hotspot)
add name=prof-guest \
mode=none \
comment="Guest Open Profile" 5.3 Cấu hình WiFi AP cơ bản (WPA2-PSK)
# Cấu hình WiFi AP cơ bản (wlan1 = interface wireless)
/interface wireless set wlan1 \
mode=ap-bridge \
ssid="OFFICE-STAFF" \
band=2ghz-b/g/n \
channel-width=20/40mhz-XX \
frequency=auto \
security-profile=prof-staff \
disabled=no
# Gán IP cho wlan1 (nếu AP standalone không qua bridge)
/ip address add address=192.168.10.1/24 interface=wlan1 comment="WiFi-Staff-GW" 5.4 Multi-SSID – Nhiều SSID trên 1 AP
Doanh nghiệp thường cần ít nhất 2-3 SSID: nhân viên, khách, quản trị. Mỗi SSID map vào một VLAN riêng.
# ══ Multi-SSID Configuration ══
# wlan1 = Master interface (đã cấu hình ở trên)
# SSID 1: OFFICE-STAFF → VLAN 10 (nhân viên)
/interface wireless set wlan1 \
ssid="OFFICE-STAFF" \
security-profile=prof-staff \
vlan-mode=use-tag \
vlan-id=10
# SSID 2: OFFICE-GUEST → VLAN 30 (khách, mở không mật khẩu)
/interface wireless add \
name=wlan-guest \
master-interface=wlan1 \
mode=ap-bridge \
ssid="OFFICE-GUEST-FREE" \
security-profile=prof-guest \
vlan-mode=use-tag \
vlan-id=30 \
disabled=no
# SSID 3: OFFICE-MGMT → VLAN 99 (quản trị – ẩn SSID)
/interface wireless add \
name=wlan-mgmt \
master-interface=wlan1 \
mode=ap-bridge \
ssid="OFFICE-MGMT" \
security-profile=prof-staff \
hide-ssid=yes \
vlan-mode=use-tag \
vlan-id=99 \
disabled=noℹ️ Multi-SSID trên MikroTik yêu cầu card wireless hỗ trợ Virtual AP. Hầu hết RouterBOARD hAP series đều hỗ trợ tốt.
5.5 Bridge WiFi vào VLAN
# Bridge tất cả WiFi SSID vào Bridge chung để nhận DHCP từ MikroTik
/interface bridge add name=bridge-wifi comment="WiFi Bridge"
/interface bridge port add bridge=bridge-wifi interface=wlan1
/interface bridge port add bridge=bridge-wifi interface=wlan-guest
# Hoặc map trực tiếp vào VLAN interface (tùy topology)
# wlan1 với vlan-id=10 sẽ tự forward lên vlan10-IT interface5.6 Cấu hình Hotspot (Captive Portal) cho Guest
# ══ Cấu hình Hotspot cho Guest WiFi ══
# Hotspot = Captive Portal: user phải đăng nhập trước khi vào Internet
/ip hotspot setup
# Wizard sẽ hỏi:
# → HotSpot Interface: wlan-guest
# → Local Address: 192.168.30.1/24
# → Address Pool: yes (auto)
# → DNS Name: hotspot.office.local
# → DNS servers: 8.8.8.8
# → SMTP server: (bỏ trống)
# Tạo user Hotspot đơn giản
/ip hotspot user add name=guest01 password=guest123 profile=default comment="Guest User"
/ip hotspot user add name=guest02 password=vip456 profile=default5.7 Verify & Monitoring
# Kiểm tra Wireless interface
/interface wireless print
/interface wireless registration-table print
# Kiểm tra clients đang kết nối
/interface wireless registration-table print detail
# Monitor signal strength
/interface wireless monitor wlan1 once
# Kiểm tra Hotspot users
/ip hotspot active print
/ip hotspot user print⚠️ Trong PNETLab, MikroTik CHR không có wireless interface thực. Bạn cần dùng MikroTik hAP hoặc RouterBOARD thực, hoặc test bằng cách cấu hình script rồi deploy lên phần cứng thật.
💡 Luôn đặt hide-ssid=yes cho SSID Management/Admin để tránh người dùng thông thường nhìn thấy.
| Tình huống | Giải pháp |
|---|---|
| WiFi không phát SSID | Kiểm tra disabled=no và frequency không bị block |
| Client kết nối nhưng không có IP | Kiểm tra DHCP server cho VLAN tương ứng |
| Client kết nối nhưng không vào Internet | Kiểm tra NAT rule và route |
| Hotspot không hiện trang login | Kiểm tra DNS redirect trong hotspot profile |
| Multi-SSID không hoạt động | Card wireless phải hỗ trợ Virtual AP (check spec) |