Отключить wifi на роутере mikrotik

На домашнем роутере MikroTik возникла идея организовать автоматическое выключение и включение по расписанию имеющихся точки wifi и канала vpn.

WiFi


Включение/выключение точки wifi производится командами:

/interface wireless enable 0 – включить точку (интерфейс wifi);

/interface wireless disable 0 – выключить точку (интерфейс wifi).

0 – это номер интерфейса wireless (начинается с 0). А так как данный интерфейс является единственным, то к нему применяется значение 0.

Далее остаётся через «System – Sheduler» создать 2 события.

В параметрах события определяется время наступления события (Start Time), устанавливается интервал между событиями 24 часа (24:00:00 или 1d:00:00:00) и указывается действие по событию. Аналогичная запись создаётся и для выключения wifi.

Действие по событию: в поле On Event вписать /interface wireless enable 0 для включения wifi или /interface wireless disable 0 для его выключения (см. выше).

VPN

Канал vpn представляет из себя клиент, осуществляющий соединение через L2tp с удалённым рабочим сервером, к ресурсу которого осуществляется доступ с целью выполнения ряда производственных заданий.

После получения необходимых реквизитов для соединения с сервером предприятия было принято решение не создавать на компьютере ярлык для подключения, а возложить данную задачу на MikroTik.

Со временем возникла идея включать и выключать данный клиент по расписанию. Действия  аналогичны тем, которые были осуществлены для wifi:

/interface l2tp-client enable 0 – включение клиента;

/interface l2tp-client disable 0 – выключение клиента.

Например, для выключения клиента в планировщик внесено событие:

Оптимальный MTU для VPN. После подключения к серверу vpn были произведены тестовые пинги, продемонстрировавшие, что наилучшая связь с необходимым узлом vpn (имя_хоста_vpn) обеспечивается не с MTU=1450, с которым маршрутизатор соединяется с сервером vpn по умолчанию, а с MTU=1440.

Значение складывается из суммы полученного наилучшего значения пинга с компьютера пакетами с флагом запрета фрагментации

Linux:  ping -c 4 -M do -s 1412 имя_хоста_vpn

Windows:  ping имя_хоста_vpn – f –l 1412   (пояснение)

и дополнительных байтов, необходимые на формирование заголовков пакета и запроса, на выходе с маршрутизатора, то есть интерфейса L2TP. Учитывая сказанное, данное значение вырастает на 28 байт и приобретает значение 1440.

Примечание. Длину результирующего пакета можно увидеть в терминале Linux, в котором перед отображением очереди ответов присутствует запись 


PING имя_хоста_vpn (его адрес IP) 1412(1440) bytes of data.

Исходя из этого, правила Firewall были дополнены правилами Mangle для входящих и исходящих соединений. На рисунках ниже указано Mangle Rule для входящего соединения. Аналогичное правило создано и для исходящих соединений, то есть для Out. Interface.

Во вкладке Advanced:

Во вкладке Action:

Разберем несколько способов отключить (включить) сетевой интерфейс MikroTik или отключить интернет, по расписанию: правило Firewall, NAT, планировщик заданий MikroTik или скрипт.

Содержание

1. Firewall правило: как отключить (включить) интерфейс по расписанию
2. NAT: как разрешить (запретить) интернет по расписанию
3. Планировщик: отключение (включение) интерфейса по времени
4. MikroTik скрипт: как отключить (включить) интерфейс

Статья на других языках:
?? — MikroTik: How to disable (enable) the interface on a schedule
?? — MikroTik: Cómo deshabilitar (habilitar) la interfaz en un horario
?? — MikroTik: Comment désactiver (activer) l’interface selon un calendrier
?? — MikroTik: So deaktivieren (aktivieren) Sie die Schnittstelle nach einem Zeitplan
?? — MikroTik: Hoe de interface volgens een schema uit te schakelen (in te schakelen)

Firewall правило: как отключить (включить) интерфейс по расписанию

Чтобы отключить или включить интерфейсы по расписанию, можно использовать настройку правила межсетевого экрана (Firewall) на вкладке Extra.

⚠️ Для работы правила, интерфейс должен являться master интерфейсом.

Например: ограничим работу WiFi интерфейса (wlan2-5GHz) в нерабочее время, с 19:00 до 07:00.

Создайте правило:

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=forward, In. interface=wlan2-5GHz; Extra: Time=19:00:00-07:00:00; Comment="Blocking traffic on the interface, according to the schedule."]

в терминале:

/ip firewall filter add action=reject chain=forward in-interface=wlan2-5GHz reject-with=icmp-network-unreachable time=9h-7h,sun,mon,tue,wed,thu,fri,sat comment="Blocking traffic on the interface, according to the schedule."

Если вы желаете запретить работу интерфейса в субботу и воскресенье (полный день), установите значения времени:

[IP] -> [Firewall] -> [Filter Rules] -> [+] -> [General: Chain=forward, In. interface=wlan2-5GHz; Extra: Time=00:00:00-1d 00:00:00, Days=sun, sat; Comment="Blocking traffic on the interface, according to the schedule."]

в терминале:

/ip firewall filter add action=drop chain=forward in-interface=wlan2-5GHz time=0s-1d,sun,sat comment="Blocking traffic on the interface, according to the schedule."

NAT: как разрешить (запретить) интернет по расписанию

Вы можете запрещать или разрешать доступ к интернету по времени, используя настройку правила masquerade (NAT).

Отредактируйте правило masquerade, на вкладке Extra:

[IP] -> [Firewall] -> [NAT] -> [Extra: Time=19:00:00-07:00:00, Days: mon,tue,wed,thu,fri; Comment="Rule runs on schedule."]

в терминале:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=ExternalInterfaces time=8h-20h,mon,tue,wed,thu,fri comment="Rule runs on schedule."

Планировщик: выключение (включение) интерфейса по времени

Выключите WiFi интерфейс wlan2-5GHz после 20:00:00, используя Планировщик MikroTik:

[System] -> [Schedule] -> [+] -> [Name: "Interface: Disable WiFi"; Start Time: 20:00:00; Interval: 1d 00:00:00; Policy: read, write, policy, test; text: "[/interface set wlan2-5GHz disabled=yes]"; Comment: Disable the interface at the specified time]

или выполните в терминале:

/system scheduler add name="Interface: Disable WiFi" start-date=feb/22/2021 start-time=20:00:00 interval=1d on-event="[/interface set wlan2-5GHz disabled=yes]" policy=read,write,policy,test comment="Disable the interface at the specified time"

Включите WiFi интерфейс wlan2-5GHz с 08:00:00, используя Планировщик MikroTik:

[System] -> [Schedule] -> [+] -> [Name: "Interface: Enable WiFi"; Start Time: 20:00:00; Interval: 1d 00:00:00; Policy: read, write, policy, test; text: "[/interface set wlan2-5GHz disabled=no]"; Comment: Disable the interface at the specified time]

или выполните в терминале:

/system scheduler add name="Interface: Enable WiFi" start-date=feb/22/2021 start-time=08:00:00 interval=1d on-event="[/interface set wlan2-5GHz disabled=no]" policy=read,write,policy,test comment="Enable the interface at the specified time"

Выключать или включать интерфейс можно так же с помощью скрипта MikroTik и Планировщика заданий.

Создать скрипт

Укажите в скрипте следующие переменные:

1. InterfaceName — имя интерфейса (в примере wlan2-5GHz);
2. StartEnableTime — время начиная с которого интерфейс должен быть включен (в примере 08:00:00);
3. EndEnableTime — время после которого интерфейс должен быть выключен (в примере 20:00:00).

[System] -> [Scripts] -> [+] -> [Name: WorkTimeInterface] -> [Policy: read, write, test, policy]

Код скрипта:

# Name: WorkTimeInterface v1
# Description: Enable or disable the selected interface on a schedule.
# Author: Yun Sergey [MHelp.pro] © 2021
# License: GPL-3.0 License
# Description, purpose and questions: https://mhelp.pro/mikrotik-how-to-disable-enable-the-interface-on-a-schedule/
# More scripts Mikrotik: https://mhelp.pro/tag/mikrotik-scripts/
# Verified: RouterBOARD 952Ui-5ac2nD, RouterOS 6.48.1 (stable)

:local InterfaceName wlan2-5GHz;
:local StartEnableTime [:totime "08:00:00"];
:local EndEnableTime [:totime "20:00:00"];

:local StatusInterface [/interface get $InterfaceName disabled];
:local CurrenTime [/system clock get time];

#:log info "Script WorkTimeInterface running. Interface $InterfaceName disabled: $StatusInterface.";

:if ( $StartEnableTime < $CurrenTime and $CurrenTime < $EndEnableTime) do={
    #:log info "Script WorkTimeInterface: work time.";
    :if  ($StatusInterface) do={
        [/interface set $InterfaceName disabled=no];
        :log info "Script WorkTimeInterface: interface $InterfaceName was disabled, enabled the interface.";
    } else={
        #:log info "Script WorkTimeInterface: skip enable interface, $InterfaceName already enabled.";
    };

} else={
    #:log info "Script WorkTimeInterface: not work time";
    :if  (!$StatusInterface) do={
        [/interface set $InterfaceName disabled=yes];
        :log info "Script WorkTimeInterface: interface $InterfaceName was enabled, disabled the interface."
    }
}
#:log info "Script WorkTimeInterface finished. Interface $InterfaceName disabled: $StatusInterface.";

Если скрипт не работает или работает некорректно, раскомментируйте строки :log (удалите символ # перед началом строки) и проверьте лог MikroTik при запуске скрипта.

Добавить скрипт в Планировщик

Для запуска скрипта необходимы разрешения: read, write, test, policy.

[System] -> [Schedule] -> [+] -> [Name: "Interface: Enable/Disable WiFi"; Start Time: 00:00:50; Interval: 00:15:00; Policy: read, write, policy, test; text: "[/system script run WorkTimeInterface]"; Comment: "Run script Enable/Disable interface"]

? Как отключить или включить интерфейс MikroTik по расписанию или разрешить (запретить) доступ к интернету по времени, обсуждалось в этой статье. Надеюсь вы выбрали подходящий способ управления состоянием интерфейса. Однако, если вы столкнетесь с каким-то проблемами при настройке, не стесняйтесь написать в комментариях. Я постараюсь помочь.

Скрипт проверен: hAP ac lite [RouterBOARD 952Ui-5ac2nD], RouterOS 6.48.1 (stable).

Не знаю, действительно ли нужно именно выключение интерфейсов, потому что не очень понятно зачем дергать их туда сюда, только разве что из-за «страшного облучения»

которое в принципе регулируется путем правильной настройки мощности, но если цель все же получить недоступность вайфая в определенное время (что бы дети спали крепче по ночам, или еще кого-то контролировать), то есть штатные варианты гораздо изящней, например ограничение доступа через «access list», в функционал которого уже заложено время работы. Просто создайте правило, которое по умолчанию создается с максимально широким диапазоном разрешений на подключение и укажите в нем время работы. Так же, если все же речь идет про детей, таким способом можно лишить интернета именно их, а себе оставить, по крайней мере до тех пор пока они не найдут прекрасную опцию «каждый раз подключаться с новым маком», которая подкинет вам проблем, но решаемых, но это уже совсем другая история.)