Настройка и защита сетевой инфраструктуры на базе MikroTik hAP ac lite

Моя цель: развернуть дополнительную, безопасную и сегментированную сеть для домашних устройств. Я хотела расширить действие основной сети, обеспечить стабильный доступ в интернет и, главное, полностью изолировать не доверенное IoT-устройство — мою IP-камеру.

Используемое оборудование

• Основное устройство: Роутер MikroTik hAP ac lite
• Источник интернета: Роутер TP-Link Archer С6
• Клиенты: 2 настольных ПК, 1 IP-камера Tapo C200

Этап 1: Первичная настройка безопасности MikroTik

Для начала я сфокусировалась на усилении безопасности самого роутера:

1. Я отключила доступность на всех внешних интерфейсах. Сейчас доступны только WinBox и SSH, при этом я изменила порт по умолчанию для SSH.
2. Также я ограничила обнаружение роутера с помощью поиска соседей.
3. Я отключила UPnP. Этот протокол работает без контроля и авторизации, что часто снижает безопасность.
4. Кроме того, деактивировала модуль conntrack SIP, поскольку он может вызывать проблемы в работе VoIP-телефонии.

Этап 2: Конфигурация основного шлюза

Далее роутер MikroTik получил интернет и начал работать как шлюз.

1. Я настроила роутер MikroTik для работы в режиме Wi-Fi клиента (Station mode). Он принимает интернет от TP-Link по беспроводной сети 5 ГГц (wlan2).
2. Затем я сконфигурировала трансляцию сетевых адресов (NAT/Masquerade). Это дало проводным клиентам (ПК) доступ в интернет через основную локальную сеть.

Этап 3: Сетевая сегментация и изоляция IoT

Это был самый важный шаг — полное разделение трафика.

1. Я создала отдельную, полностью изолированную Wi-Fi сеть (виртуальную сеть) специально для IP-камеры. Это предотвращает несанкционированный доступ к моей основной, доверенной сети.
2. Я провела сегментацию, используя отдельные Bridge-интерфейсы и IP-подсети. Для ПК я выделила подсеть 192.168.88.0/24, а для камеры — 192.168.99.0/24. Кроме того, для каждого сегмента настроены отдельные DHCP-серверы.
3. В результате, я добавила несколько правил фаервола (Firewall Filter Rules). Во-первых, я полностью заблокировала трафик между сетью камеры и основной локальной сетью, обеспечив их взаимную изоляцию.
4. Чтобы гарантировать безопасность, я настроила «белый список» (whitelist) для доступа камеры в интернет. С помощью анализа реального трафика (Torch, Firewall Logging) я выявила и разрешила только критически необходимые серверы и протоколы (DNS, NTP, P2P UDP). Таким образом, весь остальной исходящий трафик с камеры был заблокирован.
5. И наконец, я настроила правила, предотвращающие несанкционированный доступ к камере как из интернета, так и из локальной сети. Это включает блокировку попыток подключения через RTSP-протокол (VLC плеер).