Гостевая Wi-Fi сеть

Q: Можно ли обойти изоляцию гостевой сети?

При правильной настройке — нет. Нужно убедиться, что роутер запрещает трафик между гостевым и основным сегментами на уровне L3, а не только скрывает SSID. В корпоративных системах проверяйте правила firewall между VLAN и включайте AP Isolation.

Q: Нужна ли идентификация по SMS для гостевой сети в офисе?

Требование по 152-ФЗ распространяется на сети для неопределённого круга лиц без договора. Корпоративные сети для сотрудников не требуют SMS-идентификации. Публичные точки для клиентов — требуют captive portal.

Q: Какой пароль ставить на гостевую сеть?

Простой пароль 8–10 символов, удобный для QR. Меняйте раз в 1–3 месяца. При смене достаточно обновить динамический QR-код — URL останется прежним.

Изолированная беспроводная сеть для посетителей, которая не имеет доступа к внутренней инфраструктуре организации. Раздаётся на отдельном SSID или VLAN, часто через QR-код в зоне ожидания, кассовой зоне или переговорной.

Гостевая Wi-Fi сеть — это отдельный беспроводной сегмент, изолированный от основной корпоративной или офисной сети. Технически изоляция реализуется двумя способами: через выделенный SSID на том же оборудовании (клиенты получают другой диапазон адресов и не видят LAN) или через VLAN с отдельными правилами маршрутизации на управляемом коммутаторе. Оба варианта запрещают гостям обращаться к файловым серверам, принтерам, IP-камерам и другим внутренним ресурсам.

В России публичные Wi-Fi сети, открытые для клиентов без договора, подпадают под требования 152-ФЗ и постановления правительства № 801: оператор обязан идентифицировать пользователей (как правило, по SMS на российский номер) и хранить логи подключений 12 месяцев. Это касается кафе, торговых центров, гостиниц и любых точек с открытой раздачей. Гостевая сеть, организационно отделённая от рабочей, упрощает выполнение этих требований — весь регулируемый трафик идёт через один сегмент.

Зачем разделять основную и гостевую

Защита файловых ресурсов. Посетитель не получит доступ к сетевым дискам, 1С или внутренним сервисам даже при желании.
Изоляция от сетевых атак. Заражённое устройство гостя не сможет распространить вирус или провести ARP-спуфинг внутри корпоративной подсети.
Ограничение пропускной способности. Большинство роутеров позволяют задать лимит скорости на гостевую SSID — клиенты получают комфортный доступ, не перегружая рабочий канал.
Отдельная политика DNS. Можно подключить фильтрующий DNS (например, Cloudflare for Families) только для гостей, не затрагивая корпоративные запросы.
Юридическое разделение. Логи гостевого трафика хранятся отдельно, что облегчает выполнение требований регулятора и ответы на запросы операторов связи.

Как настроить и раздать QR

В домашних и офисных роутерах гостевая сеть включается в разделе Guest Network (TP-Link, Keenetic) или Guest WLAN (Mikrotik): создаётся отдельный SSID, включается опция «изолировать клиентов от основной сети», при необходимости задаётся ограничение скорости. В корпоративных системах — Cisco Meraki, Ubiquiti UniFi, Ruckus — настройка детальнее: новый SSID привязывается к отдельному VLAN ID, на коммутаторе прописывается тегированный порт, а политика файрвола запрещает маршрутизацию между VLAN. Captive portal для SMS-идентификации подключается к гостевому сегменту, а не ко всей сети.

После настройки достаточно сгенерировать QR в формате WIFI:S:ИмяСети;T:WPA;P:Пароль;; — большинство генераторов, в том числе на странице создания QR для Wi-Fi, собирают эту строку автоматически. Распечатанный или наклеенный QR-код в зоне ожидания избавляет персонал от необходимости называть пароль вслух. Подробнее о том, как это выглядит на практике, — в статье QR для Wi-Fi: гайд по настройке и размещению.

Термин Wi-Fi QR описывает сам формат кода, а вопросы защиты от подделки и фишинговых точек доступа разобраны в разделе о безопасности QR.

Частые вопросы

Можно ли обойти изоляцию гостевой сети?

При правильной настройке — нет. Главное убедиться, что роутер реально запрещает трафик между гостевым и основным сегментами на уровне L3 (маршрутизации), а не только скрывает SSID. В бюджетных роутерах иногда включают «гостевую сеть», но забывают поставить галочку «блокировать доступ к локальной сети» — в этом случае изоляция номинальная. На оборудовании UniFi или Mikrotik проверяйте правила firewall между VLAN: должно быть явное DROP для трафика из гостевого VLAN в корпоративный. Дополнительно стоит включить AP Isolation, чтобы гостевые устройства не видели друг друга.

Нужна ли идентификация по SMS для гостевой сети в офисе?

Требование идентификации по 152-ФЗ / постановлению № 801 распространяется на сети, открытые для неопределённого круга лиц без договора об оказании услуг связи. Если Wi-Fi раздаётся только сотрудникам и идентифицированным партнёрам (корпоративный договор, учётные записи AD), идентификация по SMS не нужна. Если сеть открыта для любых посетителей — клиентов, курьеров, гостей торгового центра — формально требуется captive portal с SMS-авторизацией или другим способом идентификации абонента. На практике малый бизнес часто игнорирует это требование, однако при проверке Роскомнадзора штраф составляет до 300 000 ₽.

Какой пароль ставить на гостевую сеть?

Оптимальная стратегия — простой, но не тривиальный пароль длиной 8–10 символов, который удобно напечатать на табличке или воспроизвести через QR. Бессмысленно ставить 20-значный случайный пароль: клиенты всё равно будут просить персонал его повторить. Меняйте пароль раз в 1–3 месяца или при смене состава постоянных посетителей. После смены достаточно переклеить QR-наклейку или обновить динамический QR-код в личном кабинете генератора — URL останется тем же, изменится только зашитая строка WIFI:. Отдельный пароль от корпоративной сети при этом не меняется и не раскрывается гостям ни при каких обстоятельствах.

Все термины