Сегодня хочу показать, как можно быстро настроить маршрутизаторы MikroTik в режиме точки доступа. Покажу на примере CAP AC, но действия будут точно такими же для любой модели.
Видеоуроки по настройке MikroTik
Нет возможности пройти очный тренинг MTCNA? Ему есть альтернатива. Минус – не будет официального сертификата. Плюсов гораздо больше. Во-первых, не надо никуда ехать, смотрите и пересматривайте видеоуроки тогда, когда вам удобно и столько раз, сколько нужно. Во-вторых, в курсе упор на практику, ее примерно в 4 раза больше, чем на очном обучении. Подробнее о курсе на странице «Настройка оборудования MikroTik», там же можно заказать бесплатно первые 25 уроков.
Если вы хотите настроить устройство в режиме роутера — то есть эта статья.
Для начала – обновимся – идем в system – packages, жмем check for updates, если есть обновления жмем download and install. Дожидаемся пока устройство перезагрузится.
После этого идем в system – routerboard и жмем кнопку Upgrade. После этого перезагружаем устройство — system -reboot.
Дальше сбросим все настройки – system – reset configuration. Ставим галки – no default configuration и do not backup. Дожидаемся очередной перезагрузки. И подключаемся, когда устройство появится в neighbors.
Первым делом, т.к. наше устройство будет работать в режиме точки доступа – добавим все интерфейсы в один бридж, и зададим ему ip адрес из вашей сети.
В меню bridge, в первой вкладке добавим новый мост (нужно нажать на плюс), назовем его к примеру lan, во второй вкладке ports – добавим интерфейсы к созданному бриджу, т.к. мы хотим добавить все интерфейсы – выбираем all.
Задаем адрес – ip – addresses, и для интерфейса lan прописываем свободный адрес из нашей сети.
После чего, чтобы у точки доступа был доступ к интернету, добавим маршрут по умолчанию. IP – Routes, в качестве шлюза нужно указать адрес вашего основного роутера, в моем случае это 192.168.1.1
Зададим адрес DNS сервера – IP – DNS, и указываем нужный адрес (это либо адрес вашего роутера, либо провайдера, либо, к примеру гугловый – 8.8.8.8)
Если вы не хотите задавать статический адрес, то можете настроить dhcp клиент. (ip-dhcp-client).
Далее идем в WiFi Interfaces и заходим в свойства каждого адаптера, выбираем mode – ap bridge, страну – Россия, что бы не нарушать закон, касательно мощности передатчиков, задаем ssid (видимое имя сети) и наш созданный ранее security profile, для 2.4 ГГц, я обычно ставлю ширину канала 20/40MHz CE, для 5ГГц – 20/40/80MHz Ceee. Если покажется что WiFi слабо бьет – можно будет поиграться с этим параметром. Чем уже канал, тем дальше точка доступа бьет, но тем медленнее будет интернет. Так же можно указать частоту, или канал, в зависимости от загруженности в вашем районе. Остальное можно пока оставить по умолчанию. С такими настройками WiFi должен работать и интернет на устройствах должен идти. Если хотите более глубоких настроек, то можете поиграться, с шириной канала, мощностью и т.д. Wiki от микротик в помощь, там все относительно подробно описано про каждый из параметров.
В заключение, дадим понятное имя роутеру, и зададим пароль, чтобы абы-кто не лез в настройки.
System – Identity – тут вбиваем имя устройства.
Видеоуроки по настройке MikroTik
Нет возможности пройти очный тренинг MTCNA? Ему есть альтернатива. Минус – не будет официального сертификата. Плюсов гораздо больше. Во-первых, не надо никуда ехать, смотрите и пересматривайте видеоуроки тогда, когда вам удобно и столько раз, сколько нужно. Во-вторых, в курсе упор на практику, ее примерно в 4 раза больше, чем на очном обучении. Подробнее о курсе на странице «Настройка оборудования MikroTik», там же можно заказать бесплатно первые 25 уроков.
Материал из MikroTik Wiki
- Введение
- Полезные материалы по MikroTik
- Через графический интерфейс
- Через консоль
- Проверка
- Полезные материалы по MikroTik
- Создание VirtualAP на RB751G-2HnD
- Настройка моста на RB751G-2HnD между VirtualAP и Ethernet
- Настройка hAP Lite
- Подключение hAP Lite к RB751G-2HnD через Wi-Fi
- Тесты производительности (версия RouterOS 6. 5 на обоих устройствах)
- Настройка защищенных беспроводных сетей MikroTik hAP AC
- Преамбула
- Что такое профиль безопасности
- Настройка профиля безопасности
- Настройка беспроводных интерфейсов
- Вкладка «Wireless»
- Channel Width
- Frequency
- SSID и Radio Name
- Wireless Protocol
- Security Profile
- WPS Mode
- Frequency Mode
- Country
- WMM Support
- Bridge Mode
- Default Authenticate
- Default Forward
- Multicast Helper
- Multicast Buffering и Keepalive Frames
- Advanced
- Distance
- Hw. Protection Mode (защита от скрытого узла)
- Adaptive Noise Immunity
- Guard Interval
- Nstreeme
- Tx Power
- Tx Power Mode
- Настройка моста для обслуживания беспроводных интерфейсов
- MikroTik настройка Wi-Fi на примере hAP ac2
- Настройка профиля безопасности
- MikroTik настройка WiFi
- Точка доступа MikroTik: настройка WiFi 2.4Ghz
- Wireless
- Advanced
- MikroTik настройка мощности WiFi
- Точка доступа MikroTik: настройка WiFi 5Ghz
- Выбор канала WiFi для 5Ghz
- Заключение
- Видео-инструкция
- Текстовая инструкция
- Замечания
- Возможные проблемы
- Режим «точка доступа клиент» (CPE)
- Записки IT специалиста
- Работа оборудования Mikrotik в режиме беспроводной станции (клиента)
- Режимы работы беспроводной станции в Mikrotik
- Режим station
- Режим station-bridge
- Режим station-pseudobridge
- Режим station-pseudobridge-clone
- Режим station-wds
- Дополнительные материалы:
- Mikrotik
- The Dude
Введение
В статьей разбирается настройка гостевой беспроводной сети с защитой WPA2 PSK. Пользователи которые подключаться к этой сети не будут иметь доступа в локальную сеть — им будет доступен только Интернет. Предполагается, что адресация и маршрутизация настроены, мы зададим лишь те настройки которые касаются гостевой сети. В этом примере предполагается, что гостевая сеть создается на том же маршрутизаторе который отвечает за выход в Интернет.
Полезные материалы по MikroTik
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. В апреле и мае 2023 будут разбираться темы Wi-Fi и QoS. Подписывайтесь
Через графический интерфейс
На «шаге 2» мы создаем виртуальный интерфейс, задаем ему имя (поле №4), далее нужно нажать кнопку Advanced Mode (поле №5) и перейти на вкладку Wireless (поле №6), в ней мы задаем имя беспроводной сети (поле №7), а также оптимальные параметры безопасности и производительности под цифрами 8 и 9.
На «шаге 3» мы создаем пул (массив) адресов для гостевой сети. Адресация в гостевой сети должна быть отличной от локальной.
На «шаге 4» и «шаге 5» показана настройка DHCP сервера под гостевую сеть. Адресация в гостевой сети должна быть отличной от локальной.
На «шаге 6» мы присваиваем адрес виртуальному интерфейсу беспроводной сети. Адресация в гостевой сети должна быть отличной от локальной.
При настройке файервола надо учитывать, что правила взаимосвязаны друг с другом. Это значит, что надо учитывать, что бы выше правил для блокировки трафика гостевой сети не оказалось правил, которые их разрешают.
На «шаге 7» мы создаем правила которые блокируют соединения между участниками локальной сети и гостевой сети. Должны быть созданы 2 правила в которых в полях Src.Address и Dst.Address (поля №4 и №6) должны быть зеркально (в первом правиле на месте Src.Address-адрес локальной сети, на месте Dst.Address — адрес гостевой сети, во втором правиле наоборот) прописаны адреса локальной и гостевой сетей. Для обоих правил должно быть выбрано действие drop (поля №8 и №10)
Через консоль
/interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\ profile_guest_wi-fi supplicant-identity="" wpa2-pre-shared-key=Pass55word! /interface wireless add disabled=no mac-address=00:00:00:00:00:00 master-interface=\ wlan1 name="Guest Wi-Fi" security-profile=profile_guest_wi-fi ssid=\ client wds-cost-range=0 wds-default-cost=0 wmm-support=enabled wps-mode=disabled /ip pool add name=dhcp_pool_guest ranges=10.11.12.101-10.11.12.150 /ip dhcp-server add address-pool=dhcp_pool_guest disabled=no interface="Guest Wi-Fi" \ lease-time=12h name=dhcp_guest /ip address add address=10.11.12.1/24 interface="Guest Wi-Fi" network=10.11.12.0 /ip dhcp-server network add address=10.11.12.0/24 dns-server=10.11.12.1,8.8.8.8 gateway=10.11.12.1 /ip firewall filter add action=drop chain=forward comment="Deny guest requests" dst-address=172.16.18.0/24 src-address=10.11.12.0/24 add action=drop chain=forward comment="Deny guest requests" dst-address=10.11.12.0/24 src-address=172.16.18.0/24
Проверка
Вы должны подключиться к беспроводной сети и у вас должен быть доступ в сеть Интернет и не должно быть доступа в локальную сеть.
Полезные материалы по MikroTik
На Telegram-канале Mikrotik сэнсей можно получить доступ к закрытой информации от официального тренера MikroTik. В апреле и мае 2023 будут разбираться темы Wi-Fi и QoS. Подписывайтесь
Ситуация: на Mikrotik на разных портах заведены свои сетки:
- ether2 — 192.168.2.0/24
- ether3 — 192.168.3.0/24
- ether4 — 192.168.4.0/24
- ether5 — 192.168.5.0/24
- wlan0 — 192.168.10.0/24
В этих сетях Mikrotik (модель RB751G-2HnD) раздаёт настройки по DHCP.
Задача: используя Wi-Fi подключить ещё оборудование так, чтобы оно оказалось в сети 192.168.3.0/24.
У меня такая задача возникла из-за того, что на балконе сетевое хранилище (NAS) подключено проводом к роутеру (сам роутер в прихожей). А в гостинной — медиапроигрыватель, который должен показывать фильмы с NAS-устройства. Но в гостинной Ethernet-кабеля нет (т.е. был, но я от него отказался).
Для этого будем использовать второй Mikrotik (модель hAP lite). Оба Mikrotik будут образовывать беспроводной сетевой мост. Для этого на основном Mikrotik создадим ещё один беспроводной интерфейс — виртуальную точку доступа (Virtual AP). В итоге схема должна получиться примерно такой:
Т.е. в этой схеме оборудование NAS и Comp должно находиться в сети 192.168.3.0/24. При этом NAS и Comp физически разнесены и подключены к разным Mikrotik.
ether1 на основном Mikrotik — источник Интернета.
В конце настройки средняя скорость между микротиками за 5 мин составила 220 Мбит/с (по данным утилиты ping test, входящей в RouterOS):
Здесь и далее Comp и медиапроигрыватель — это одно и то же.
Все настройки производились через веб-интерфейс администрирования (webfig).
Создание VirtualAP на RB751G-2HnD
Как указывалось выше, RB751G-2HnD изначально настроен на раздачу разных подсетей на разных физических портах. Это я подробно рассматривать не буду. Оно уже описано тут.
На RB751G-2HnD создадим и настроим VirtualAP.
Заходим в раздел Wireless->Security Profiles и жмём кнопку Add New. Задаём имя профиля и пароль на нашу будущую виртуальную точку доступа.
Второй роутер (hAP Lite) находится в гостиной. Именно для него и создаётся сеть. Поэтому профиль я назвал gostinnaya:
Далее создаём саму виртуальную точку доступа. Для этого заходим в Wireless->Interfaces и выбираем Add New->VirtualAP Указываем ранее созданный профиль и задаём мастер интерфейс по имени существующего беспроводного адаптера (у меня это wlan1).
После этого в списке беспроводных интерфейсов помимо wlan1 появится виртуальный интерфейс gostinnaya.
Настройка моста на RB751G-2HnD между VirtualAP и Ethernet
Нужно сделать сетевой мост, состоящий из интерфейсов:
- ether3
- gostinnaya
Для этого в разделе Bridge, нажмём Add New и заполним параметры. NAS находится на балконе, поэтому сетевой интерфейс я назвал bridge_balcon and gostinnaya_wi-fi
После чего у нас появится новый виртуальный интерфейс (у меня это bridge_balcon and gostinnaya_wi-fi).
Теперь нужно назначить какие реальные интерфейсы будут ассоциированы с созданным мостом. Заходим в Bridge->Ports, нажмём Add New. Выбираем нужный Ether (у меня ether3-slave-local). Снова жмёж Add New и выбираем ранее созданный VirtualAP интерфейс (у меня gostinnaya). Теперь оба выбранных интерфейса будут отображены во вкладке Ports
Настройка на RB751G-2HnD завершена.
Настройка hAP Lite
hAP Lite я настраивал таким образом, чтоб любое оборудование, подключённое к любому Ethernet-порту оказывалось в сети 192.168.3.0/24. Т.е. мне нужно создать сетевой мост, состоящий из всех Ethernet-портов + беспроводного соединения (через которое hAP Lite будет подключаться к RB751G-2HnD). Т.о. hAP Lite превращается в коммутатор. И будет иметь свой адрес в сетке 192.168.3.0/24.
У hAP Lite были заводские настройки, которые нужно изменить.
В IP->Firewall->NAT деактивируем правило сетевого маскарадинга
В IP->DHCP Server->DHCP удаляем (или делаем неактивным) существующую по-умолчанию настройку раздачи по DHCP:
Теперь нужно настроить получение адреса самому hAP Lite от его сородича (RB751G-2HnD) по DHCP. В IP->DHCP Client->DHCP Client нажмём Add New и зададим интерфейс сетевого моста (у меня bridge-local).
В сетевой мост пока не входит Ether1 — такова заводская настройка. Добавить его можно так. Зайти в Interfaces, кликнуть на Ether1 и в поле Master Port выбрать ether2-master-local
Подключение hAP Lite к RB751G-2HnD через Wi-Fi
Настройка в Wireless->Security Profiles производится аналогично тому как было на RB751G-2HnD. После этого во вкладке Wireless->Interfaces настроить существующий беспроводной интерфейс (у меня wlan1):
Если всё задано верно, то после настройки здесь же вы увидите строчку «connected to ess».
Далее в Bridge->Ports, нажмём Add New и выбираем только что настроенный беспроводной интерфейс (у меня wlan1)
При этом на MikroTik hap Lite к существующему по-умолчанию bridge-local (который создался при зажатии reset на устройстве для сброса в дефолтные настройки) добавил wlan1 и убрал DHCP сервер.
На hAP в настройках wlan1 поменять Mode со значения «station» на «Station bridge» или «Station pseudobridge». Работают оба варианта.
Настойки сетевого моста на hap Lite:
В итоге оборудование корректно получило настройки по DHCP из сети 192.168.3.0/24. NAS и Comp видят друг друга прекрасно.
На момент настроек на всех Mikrotik была прошивка RouterOS 6.29.1. Конфигурация прекрасно себя чувствует на RouterOS 6.33.5 (последняя доступная на текущий момент).
Тесты производительности (версия RouterOS 6. 5 на обоих устройствах)
Как я указывал в самом начале, средняя скорость между микротиками за 5 мин составила 220 Мбит/с (по данным утилиты ping test. Приведу ещё несколько цифр. Все тесты проходили без неуправлемого свитча, который показан на самом первом рисунке.
Средняя скорость между RB751G-2HnD и оборудованием за hAP lite (медиапроигрыватель): 54 МБит/с. Казалось бы — серьёзное падение скорости при транзите через hAP lite. На самом деле, не всё так плохо: у hAP lite порт Ethernet в настройках показывает скорость 100 МБит/с. Скорость между hAP lite и оборудованием за ним ((медиапроигрыватель) 85 МБит/с. Может, кого-то не устроит и такое падение в скорости. Но мне этого канала хватает, чтобы медиапроигрыватель показывал фильмы с NAS, средний размер которых 30-45 Гб.
UPD
Это был мой первый опыт создания беспроводного моста не только на Mikrotik, а в принципе. И я с первого раза был близок к рабочему решению. Вмешался досадный нюанс, забравший много времени и нервов. hAP в настройках wlan1 позиция Mode была установлена в «station». После того как поменял на «Station bridge» или «Station pseudobridge» всё починилось. Подробнее о проблеме и её проявлении тут.
Пожалуй, каждый рано или поздно сталкивается с ситуациями, когда либо интернет-провайдер осуществляет технические работы, либо на его линии возникают неполадки — и как итог домашний интернет перестает работать. На помощь в таком случае приходит мобильный интернет от сотового оператора. Все современные смартфоны поддерживают функционал «Точки доступа» — когда мобильное устройство может выступить в качестве точки доступа, а другие устройства — подключиться к нему обычным способом по wi-fi.
Но что делать, если на вашем компьютере нет wi-fi адаптера, и единственный вариант — подключение кабеля от вышестоящего роутера? С помощью этой инструкции вы сможете настроить mikrotik в режиме Wi-Fi клиента — чтобы это оборудование получало интернет со смартфона и раздавало его на все остальные устройства.
Если ваш микротик уже был настроен заранее — скорее всего на нем уже создан какой-либо бридж с собственной адресацией. По умолчанию это bridge (с адресацией 192.168.88.1/24). Адреса из прописанного пула будут получать все подключенные к интерфейсам данного бриджа устройства.
Далее нужно поднять интернет на самом микротике.
Зайдите на вашем смартфоне в настройки режима «Точка доступа / Мобильная точка доступа / Личная точка доступа» (на разных моделях устройств опция может отличаться). Пропишите желаемое название wi-fi сети и пароль (у нас — Test_client и 12345678 соответственно). Включите точку доступа.
Зайдите в настройки микротика, вкладка Wireless.
В меню Security Profiles создаем профиль, прописываем в нем пароль, который прописан на точке доступа смартфона.
В меню WiFi Interfaces открываем wlan1, вкладка Wireless:
значение Mode — выставляем station.
значение SSID — идентичное точке доступа смартфона имя.
значение security profile — созданный ранее профиль с паролем.
Далее остается лишь настроить раздачу интернета на микротик с вашей точки доступа.
В разделе IP -DHCP Client добавьте новый параметр: в качестве интерфейса выберите wlan1 (данный интерфейс не должен находиться в каком-либо бридже), в Add Default Route — yes.
Или же примените в New Terminal микротика скрипт:
/ip dhcp-client add interface=wlan1 disabled=no
Теперь при отключении проводного интернета, если на смартфоне включена настроенная точка доступа, микротик и все устройства, находящиеся за ним, будут выходить в интернет через нее.
Настройка защищенных беспроводных сетей MikroTik hAP AC
Рассказываю про настройку защищенных беспроводных сетей MikroTik hAP AC в двух диапазонах: 2.4 ГГц и 5 ГГц.
Преамбула
Я ожидаю, что читатель знаком с устройствами RouterBOARD, операционной системой RouterOS, владеет инструментами их настройки (SSH или Winbox) или, по крайней мере, изучил предыдущие главы.
Убедитесь, что в разделе Interfaces у вас присутствуют неиспользуемые интерфейсы wlan1 и wlan2 .
Что такое профиль безопасности
Профили безопасности определяют процедуры аутентификации устройств и шифрования передаваемых данных.
Наиболее часто встречаются три режима аутентификации:
- открытый подразумевает свободное подключение клиентов;
- на основе общего ключа — так называемый Pre-Shared Key PSK , — тот самый пароль, запрашиваемый при подключении к сети;
- Extensible Authentication Protocol EAP использует проверку подлинности клиентских устройств с помощью внешних сервисов.
Алгоритмов шифрования больше:
- открытый (отсутствие шифрования, данные передаются в исходном виде);
- скомпрометированный WEP (а также его усовершенствованные версии CKIP и TKIP );
- AES/CCMP на основе AES256 .
Аббревиатуры WPA и WPA2 как раз определяют алгоритм шифрования: TKIP для первого и AES — для последнего.
В примере будут использоваться PSK , WPA2 и динамические ключи.
Настройка профиля безопасности
Wireless — Security Profiles содержит дефолтный профиль, задайте в его настройках наиболее строгие параметры.
Настройка беспроводных интерфейсов
MikroTik hAP AC оснащен двумя трансиверами: wlan1 отвечает за диапазон 2.4 ГГц, wlan2 — за 5 ГГц. Процесс их конфигурирования практически не отличается, поэтому подробно будет рассмотрена настройка только одного из них.
В разделе Wireless — WiFi Interfaces откройте окно настройки интерфейса wlan1 . Переключитесь в расширенный режим, нажав кнопку Advanced Mode.
Вкладка «Wireless»
MikroTik поддерживает уйму режимов: от alignment-only для юстировки антенн до wds slave для построения распределенных беспроводных сетей. Для дома или офиса подойдет ap bridge .
Стандарт беспроводной сети определяет скорость передачи данных. По возможности используйте самый современный — 2GHz-only-N , избегайте устаревших с индексами B или G (при наличии соответствующих устройств будет выбран самый низкий для всех подключений).
Channel Width
Ширина канала влияет на скорость передачи данных, радиус покрытия и интерференцию. При использовании стандарта 2GHz-only-N стоит выбрать значение 20/40 MHz XX , в остальных случаях — оставить 20 MHz .
Индекс определяет направление увеличения емкости канала ( C — основной, e — дополнительный). Ce (расширение следующим каналом), eC (расширение предыдущим каналом) и XX (автоматический выбор направления).
Frequency
Несущая частота — один из немногих параметров, настройка которого может принести пользу. Кнопка Freq. Usage запускает утилиту мониторинга частотного диапазона, изучив картину которого вы сможете выбрать наиболее свободный канал. При отсутствии проблем дайте устройству сделать это самостоятельно — значение auto .
SSID и Radio Name
В имени беспроводной сети имеет смысл отразить используемый частотный диапазон; например: Mikrotik 2,4GHz .
Параметр Radio Name можно игнорировать: он используется только взаимодействующими между собой устройствами MikroTik.
Wireless Protocol
Устройства MikroTik поддерживают как общепринятые протоколы беспроводной связи, так и собственные. Проприетарные недоступны для устройств других марок, поэтому используйте 802.11 .
Security Profile
Выберите из списка уже настроенный профиль безопасности — default .
WPS Mode
Frequency Mode
Дополнительные настройки manual-txpower и superchannel частотного режима позволят управлять мощностью излучателя. regulatory-domain использует законодательные ограничения выбранной страны (для России это 20 dBm).
Country
Власти ряда стран (например, Франции) законодательно ограничивают возможность использовать полный частотный спектр. (В Японии — наоборот, разрешают лишний канал.) Старайтесь использовать актуальное значение — укажите страну, в которой эксплуатируется оборудование.
WMM Support
Если устройство используется дома, укажите enabled для поддержки Wi-Fi Multimedia; для офиса, кафе или конференц-зала — disabled .
Bridge Mode
Default Authenticate
Аутентифицировать клиентов, которых нет в белых списках; активируйте опцию.
Default Forward
Разрешить маршрутизацию для клиентов, отсутствующих в белых списках; активируйте опцию.
Multicast Helper
Для дома, где используется IPTV, укажите full . В иных случаях — default (что равноценно disabled ).
Multicast Buffering и Keepalive Frames
Главным образом служат для корректной доставки пакетов на мобильные устройства, переходящие в энергосберегающий режим со сниженным использованием доступа к беспроводным сетям. Активируйте оба пункта.
Advanced
Distance
Используйте indoors для всего «гражданского» оборудования.
Hw. Protection Mode (защита от скрытого узла)
При использовании режима rts cts в диапазоне 5 ГГц мой Айфон примерно каждые двадцать минут (или в процессе интенсивной сетевой активности) терял соединение. Измените значение опции, если столкнулись с аналогичной проблемой.
Adaptive Noise Immunity
Позволяет снижать интерференцию и влияние радиошумов на работу сети. Используйте ap and client mode — хуже не будет.
Guard Interval
Используйте long для N -стандарта; иначе — any .
Nstreeme
Деактивируйте все опции.
Tx Power
Tx Power Mode
Если хотите снизить мощность передатчика, используйте all rates fixed и явно задайте значение Tx Power. Начинайте, например, с 2 dBm и плавно повышайте значение до обеспечивающего стабильное соединение в радиусе действия. Иначе оставьте default .
Настройка моста для обслуживания беспроводных интерфейсов
В разделе Bridge — Ports добавьте два элемента: по одному на каждый беспроводной интерфейс. Мост для обоих — bridge-private .
MikroTik настройка Wi-Fi на примере hAP ac2
В данной статье мы поэтапно выполним настройку MikroTik Wi-Fi модулей 2.4Ghz и 5Ghz. Узнаем, как увеличить мощность WiFi передатчика, выбрать оптимальный канал связи при помощи встроенных средств MikroTik и многое другое.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Правильная настройка Wi-Fi на MikroTik тема очень объемная и сложная, но мы постараемся детально рассказать о нюансах и тонкостях конфигурирования опций беспроводной сети.
Начнем настройку точки доступа MikroTik с того, что создадим новый профиль безопасности для Wi-Fi сети.
Настройка профиля безопасности
Чтобы создать профиль безопасности, запустим Winbox и перейдем на вкладку:
Создание профиля безопасности закончено, переходим к следующему этапу настройки роутера MikroTik в режиме точки доступа.
MikroTik настройка WiFi
В следующим шаге конфигурирования на MikroTik Wi-Fi мы создадим беспроводные сети. Для этого необходимо выполнить тонкие настройки модулей 2.4Ghz (wlan1) и 5Ghz (wlan2). Начнем с wlan1.
Точка доступа MikroTik: настройка WiFi 2.4Ghz
- Wireless => Wifi Interfaces => wlan1.
Wireless
Band — лучше не использовать стандартные настройки и убрать все режимы кроме N, т.к. “B” и “G” уже изрядно устарели и имеют существенные недостатки, и их не желательно использовать, учитывая тот факт, что обычно диапазон 2Ghz изрядно забит соседними устройствами, и работа в режиме N, даёт дополнительные преимущества в борьбе с помехами от соседних передающих устройств.
И если нет совсем старых девайсов, требующих режима G, лучше отказаться от устаревших режимов.
Channel Width — определяет, как будет использован частотный диапазон, как известно в диапазоне, существует 13 каналов шириной 20MHz, при использовании полосы 20MHz и соответственно использованию одного канала, возможно соединение на скорости до 144.4Mbps.
Нужно учитывать, что это не скорость передачи “полезных” данных, т.к. существует необходимость передачи служебных данных, необходимости синхронизационных промежутков, ретрансляции поврежденных пакетов данных из-за помех.
В режиме 20/40 используется два частотных канала, основной (С) и дополнительный (e), и обозначение Ce означает, что дополнительный канал образуется в сторону увеличения номера канала по отношению к основному, а eC в сторону уменьшения, скорость линка до 300Mbps.
Следует учитывать, что при большом количестве помех использование режима 20/40 приводит к тому, что помехи будут собираться с обеих каналов, в итоге скорость передачи данных может оказаться ниже, чем при использовании одного 20MHz канала.
Поле “Country” определяет региональные ограничения на использование частотных каналов и допустимых мощностей передатчика. Выставляем новейшую редакцию для России, позволяет использовать все 13 каналов на мощности до 20dBm (100 mW) на каждый из 2х MIMO каналов.
Кол-во MIMO каналов можно узнать по документации на вашу модель роутера.
SSID — идентификатор беспроводной сети.
Security Profiles — выбираем ранее созданный профиль безопасности.
После включения “Advanced Mode” будут доступны настройки, которые позволят более тонко настроить параметры беспроводной сети.
Включаем “WMM Support”, может использоваться для задания приоритета над «обычными данными» для голосового трафика VoIP, видеотрафика, а также трафика негарантированной доставки от устройств, не имеющих механизма QoS.
Этот механизм обеспечивает сетевым пакетам мультимедийных приложений приоритет над обычными сетевыми пакетами данных, позволяя мультимедиа-приложениям работать устойчивее и с меньшим количеством ошибок.
К настройке WMM Support очень чувствительна техника продукции Apple.
В случае если ваш провайдер использует Multicast IP TV, то настройка “Multicast Helper” – full, позволит вам худо-бедно смотреть мультикастовый видеопоток через беспроводную сеть.
Из-за особенности строения мультикастового трафика следует избегать его использования через беспроводную сеть, т.к. это очень сильно расходуется частотный ресурс канала, из-за необходимости пересылки множества мелких пакетов данных, что приводит к чрезмерному возрастанию служебного трафика.
MikroTik настройка канала Wi-Fi
На MikroTik при настройке канала WiFi не рекомендуется ставить его номер в auto, а выбрать наименее загруженный, используя меню “Freq. Usage” из меню в правой части окна настроек интерфейса.
Стоит отметить, что при нажатии кнопки старт, все клиенты, подключенные на интерфейс wlan1 (из примера на изображении ниже) будут отключены. Это стоит учитывать при беспроводном подключении к маршрутизатору.
Advanced
Hw. Protection Mode защита от “скрытого узла” позволяет избегать взаимного глушения нескольких беспроводных устройств и уменьшать вероятность одновременной передачи данных и возникновения коллизий, в случае если девайсы “видят” точку доступа, но не “видят” друг друга и точка синхронизирует работу передатчиков устройств, подключенных к ней.
Adaptive Noise Immunity этот параметр позволяет микросхеме, отфильтровывать шумы, к примеру, отражённый сигнал самой точки доступа от предметов рядом.
Disconnect Timeout определяет скорость реакции на принятие решения о “браковке” беспроводного соединения при возникновении групповых ошибок передачи данных. Значение данной настройки позволяет более стабильно работать технике от Apple.
MikroTik настройка мощности WiFi
Настройка мощности сигнала Wi-Fi на MikroTik устанавливается на вкладке «Tx Power«.
Стоит учитывать, что высокий уровень мощности передачи, не гарантирует высокое качество передачи данных и дальность.
В условия множества помех и сложных переотражений собственного сигнала, высокая мощность, усугубит ситуацию.
Надо учитывать мощность клиентского оборудования, т.к. даже если благодаря высокой мощности передатчика точки доступа, клиентское устройство сможет принять её сигнал, и не сможет докричаться в ответ, получится ситуация, что телефон показывает хороший сигнал, но подключиться не состоянии, в итоге вывод о “плохом” Микротике.
Выставляем явно максимальную мощность передатчика 20dBm.
Точка доступа MikroTik: настройка WiFi 5Ghz
На MikroTik настройка WiFi 5Ghz происходит путем конфигурирования интерфейса wlan2. Сам принцип такой же, как описанный для диапазона 2.4Ghz.
Выбор канала WiFi для 5Ghz
Для сети 5Ghz рекомендуется выбирать каналы UNII-1, для большей совместимости с разными устройствами, которые выделенные жирным шрифтом, если захочется выбирать их вручную.
Для лучшего понимания качества подключения отдельных беспроводных клиентов, можно использовать встроенные инструменты диагностики.
Включим отображение качества соединения “CCQ” данная аббревиатура расшифровывается как Client Connection Quality, т.е. она нам говорит о том, насколько качественно используется канал конкретным клиентом.
Для корректной оценки CCQ между клиентом и точкой доступа должен идти трафик, чем ближе значение к 100% тем выше качество соединения, и меньше потерь на повтор фреймов из-за их повреждения помехами.
А также нужно обращать внимание на параметр Tx Signal (Rx отображается при соединении двух ROS устройств), он показывает уровень сигнал от клиентского устройства, приблизительно вариант интерпретации таков:
- менее 40: слишком сильный сигнал, возможна перегрузка канала приема, и высокий уровень переотраженного сигнала, что снижает качество передачи данных;
- 40-65: оптимальный уровень сигнала;
- 65-75: удовлетворительный уровень сигнала;
- 75-80: слабый уровень сигнала, сильное падение скорости передачи данных;
- 80-90: неустойчивая связь, низкая скорость и возможны провалы в передаче данных.
На этом настройка точки доступа MikroTik Wi-Fi (2.4GHz и 5GHz) закончена.
А так же вы можете ознакомиться, как конфигурируется на MikroTik настройка гостевой сети Wi-Fi.
Заключение
В данной статье мы изучили, как настроить точку доступа MikroTik, работающую в двух диапазонах (2.4, 5Ghz). А также показали, как правильно выбрать канал, увеличить мощность WiFi сигнала, отследить качество соединения между клиентом и точкой доступа. Какие параметры необходимо учитывать при наличии техники производителя Apple.
Надеюсь, данная статья была вам полезна.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Видео-инструкция
Текстовая инструкция
- Подключите маршрутизатор Mikrotik к Интернету портом ether1 (1). Компьютер подключите к порту ether2 (2). Установите и запустите Winbox.
- Загрузите последнюю прошивку, System — Packages — Check for Updates. В окне нажмите Download&Install. Необходима прошивка не менее версии 6.32, иначе маршрутизатор не сможет работать в режиме хотспота.
- Сбросьте настройки, System — Reset configuration. В меню установите флажки «No default configuration» и «Do not backup» и нажмите «Reset configuration».
- Запустите окно терминала New Terminal и вставьте туда код, размещенный в ЛК на странице редактирования хотспота.
- Настройка закончена.
Замечания
По умолчанию в качестве WAN-порта указан ether1, тип WAN подключения DHCP. Через Wi-Fi (wlan1), а так же порты ether3, ether4 и ether5 будет работать авторизация. Если у вас большая территория, то остальные wifi точки подключаются в эти порты, можно использовать простой неуправляемый коммутатор для увеличения количества портов. На порту ether2 авторизация отключена.
Генерируемая конфигурация по умолчанию подразумевает в маршрутизаторе наличие 5 портов ethernet и Wi-Fi модуля. Однако наша конфигурация универсальна и также подходит для иных моделей Микротик, отличающихся количеством интерфейсов. Так, при применении конфигурации на однопортовом Mikrotik wAP на авторизацию будет настроен непосредственно wlan1, а на 10-портовом оборудовании вы можете самостоятельно добавить в бридж с авторизацией (hs-bridge) 6-10 порты — или же обратиться к нам за помощью.
Возможные проблемы
Конфигурация собралась криво: либо mikrotik не был подключен к Интернету, либо рекомендация по использованию портов была нарушена, вернитесь к началу статьи.
Если при попытке авторизации выдаёт ошибку 404: Mikrotik не смог создать некоторые файлы. Просто повторите процедуру ещё раз с самого начала.
Если маршрутизатор сконфигурирован верно, вы должны увидеть примерно такие настройки:
Режим «точка доступа клиент» (CPE)
Продолжаю цикл публикаций из серии FAQ. Чуть раньше я рассмотрел два варианта работы Микротика как «точка доступа» (AP, access point). Логично продолжить и написать про режим Acess Point Client, этот режим еще иногда называют CPE (ведомый), более правильно называть этот режим WISP client. Иными словами, это тот режим, когда порт WAN — порт WiFi, то есть мы подключаемся к провайдеры по WiFi. Дома такой режим тоже может быть: вы хотите организовать мост по WiFi от основного роутера до удаленного потребителя. Помните, что большинство готовых моделей Микротика имеет один радиомодуль, а значит, что они могут только принять канал WiFi, а отдать его могут только по проводу. Однако, если есть необходимость WiFi в обе стороны, то можно собрать роутер самому из запчастей, предлагаемых Микротиком. Но если вам это нужно, и вы до этого доросли, то данный фак вы вряд ли читаете.
Итак, задача: получить интернет по WiFi от Маршрутизатора1 (и это необязательно Микротик) на Микротик2 и отдать его (интернет) потребителям. При этом, клиенты Микротика2 будут подключены к нему по проводу, а IP должны получить от DHCP сервера Маршрутизатора1.
Дальше я предполагаю, что конфиг Микротика полностью очищен.
1. Настраиваем мост WiFi.
Включаем интерфейс WiFi (я надеюсь вы помните, что после очистки конфига на Микротике интерфейс wlan1 по-умолчанию отключен).
Как только в списке появится сет, к которой нужно подключится, выделите ее и нажмите кнопку Connect.
Окно поиска сетей закроется, а все необходимые параметры в основную настройку WiFi будут занесены автоматически.
Обратите внимание на параметр Mode, он обязательно должен быть station bridge.
Нажимаем кнопку ОК.
Переходим на вкладку Security Profiles, дважды щелкаете строку default и заполняете параметры безопасности сети, к которой вы подключаетесь.
Перейдите на вкладку Registration и убедитесь, что Микротик2 успешно подключился к Маршрутизатору1.
2. IP адрес Микротика2.
Для удобства эксплуатации Микротка2 назначим ему IP адрес. Это можно сделать вручную, но я настрою DHCP client, так интереснее.
Особое внимание уделите параметру Interface, там должен быть интерфейс wlan1. Как только вы нажмете ОК или Apply, интерфейс должен получить IP адрес от Маршрутизатора1 и вы это видите на рисунке в неактивном окне.
После этого Микротик2 будет доступен в сети. Проверим командой ping доступность Маршрутизатора1, понятно, что он доступен, иначе как бы Микротик2 получил IP адрес, но сделаем это, для собственного удовлетворения.
Пусть вас не смущает адрес 192.168.220.220, пример я делаю на реально действующем оборудовании.
3. Последний шаг.
Объединяем все интерфейсы в бридж.
4. Клиенты, подключенные по проводу к Микротику2 начали получать IP адреса от Маршрутизатора1.
И на клиентах появился интернет
5. Возможен и более сложный вариант.
Он описан выше в режиме «точка доступа». На Микротике2 может быть свой DHCP сервер и клиенты по проводу получают от него IP адреса из другой сети, отличной от сети Маршрутизатора1. Ну дальше NAT и все многочисленные возможности ROS.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
- Главная
- Работа оборудования Mikrotik в режиме беспроводной станции (клиента)
Работа оборудования Mikrotik в режиме беспроводной станции (клиента)
Режим беспроводной станции (клиента) используется в Mikrotik гораздо реже, чем режим точки доступа, но часто, когда возникает в этом потребность, администраторы сталкиваются с различного рода затруднениями. Во многом это происходит из-за недостаточного понимания особенностей работы беспроводного оборудования в данном режиме. Поэтому в рамках данной статьи мы решили познакомить читателей с теорией и практикой применения роутеров данного производителя в качестве беспроводной станции и ответить на часто задаваемые вопросы.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Начнем с того, что с беспроводным оборудованием далеко не все так просто. Существует набор стандартов IEEE 802.11, более известный как Wi-Fi, который описывает требования для беспроводных сетей передачи данных и наличие его поддержки гарантирует совместимость устройств различных производителей. Проще говоря если у вас на точке доступа и на клиентском устройстве написано, что они поддерживают стандарт 802.11n, то они будут работать вместе, иначе — нет.
На самом деле устройства поддерживают не один, а целую группу стандартов для целей обратной совместимости и поэтому можно с уверенностью говорить, что любое купленное устройство с заявленной поддержкой Wi-Fi будет работать с другим таким же устройством в рамках протоколов 802.11.
Но кроме обязательной поддержки стандарта многие производители реализуют собственные проприетарные решения для беспроводных устройств, при этом мы даже не будем касаться таких протоколов как Nstream и NV2, достаточно несоответствующих стандарту возможностей в рамках протокола 802.11. Следует понимать, что такие возможности поддерживаются только оборудованием определенного производителя и будут работать с другими устройствами. Это не хорошо и не плохо, но вы всегда должны четко знать, что именно из предоставляемых оборудованием функций соответствует стандарту 802.11, а что добавлено от производителя.
И, наконец, даже у одного производителя могут быть различные линейки или режимы работы беспроводного оборудования, имеющие ограниченную совместимость даже с собственными решениями. У Mikrotik это программный контроллер беспроводной сети CAPsMAN. И если вы применяете подобные решения, то также требуется принимать во внимание их особенности и ограничения.
Режимы работы беспроводной станции в Mikrotik
Оборудование Mikrotik предоставляет достаточно богатый набор режимов для беспроводной станции, часть из них являются стандартными, другая часть содержит проприетарные расширения, поэтому мы подготовили небольшую таблицу совместимости, позволяющую быстро оценить применимость того или иного режима.
Колонка 802.11 показывает возможность работы беспроводной станции со стандартным оборудованием других производителей, RouterOS — совместимость с точками доступа Mikrotik в обычном режиме, а CAPsMAN — в режиме программного контроллера. Совместимость с протоколами Nstream и NV2 нами не рассматривается, так как далеко выходит за рамки данной статьи.
Режим station
Самый простой режим работы, при котором беспроводной модуль устройства выполняет роль обычного Wi-Fi адаптера, подключаясь к точке доступа как клиентское устройство. Режим полностью совместим с 802.11, что позволяет подключаться клиентом к оборудованию других производителей, также поддерживается работа с точками доступа управляемыми CAPsMAN.
Но в данном режиме беспроводной интерфейс не является прозрачным для L2 трафика, даже если вы поместите его в мост и объединить сети на канальном уровне таким образом не получится. Для того, чтобы устройства сегмента LAN2 на схеме ниже могли получить доступ к сегменту LAN1 или интернету вам потребуется маршрутизатор (роутер) один из сетевых интерфейсов которого будет работать в режиме беспроводной станции.
Какие-либо сложности при настройке данного режима отсутствуют, вам нужно указать SSID сети, рабочую частоту (канал), ширину канала и режим работы. Для поиска доступных к подключению беспроводных сетей можно воспользоваться кнопкой Scan, параметры безопасности задаются выбором соответствующего Security Profile, также не забудьте указать режим использования частотного диапазона в Frequency Mode, наиболее правильным решением будет использование варианта regulatory-domain — использование ограничений в соответствии с национальными требованиями. Здесь же указываем нужный региональный шаблон, для России сегодня это russia3.
Для чего можно использовать данный режим? Прежде всего для подключения к оборудованию сторонних производителей, например, если провайдер предоставляет вам доступ по радиоканалу или вам нужно подключиться к публичной сети. Второй вариант — подключение к собственному оборудованию Mikrotik в тех случаях, когда требуется разделить подключаемые сегменты, наличие маршрутизатора между сетями позволяет гибко настроить ограничения и фильтровать по заданным правилам проходящий трафик.
Режим station-bridge
Это проприетарный режим прозрачной станции, поддерживаемый только точками доступа Mikrotik и несовместимый с CAPsMAN. Основным ее отличием от простой станции является поддержка режима моста L2 для трафика устройств находящихся за станцией, в данном случае вы можете добавить беспроводной интерфейс в мост и все устройства сегмента LAN2 получат прозрачный доступ на канальном уровне в сегмент LAN1 как-бы находясь с ними в единой сети.
Фактически беспроводной канал используется в режиме моста, но со стандартными настройками точки доступа, которая может продолжать принимать подключения от обычных клиентов. Данный режим обычно используется для объединения собственных сетей, когда иного варианта доступа, нежели беспроводной канал, нет.
Каких-либо особенностей или отличий в настройках беспроводного модуля от режима station нет.
Режим station-pseudobridge
Достаточно интересный режим псевдопрозрачного моста, к плюсам которого можно отнести совместимость с оборудованием сторонних производителей и CAPsMAN. Но на этом плюсы заканчиваются, далее идут многочисленные и очень серьезные ограничения. В режиме псевдомоста станция заменяет исходные MAC-адреса кадров на собственный адрес и ведет таблицу сопоставления MAC — IPv4 для обратной трансляции, для протоколов отличных от IPv4 выполнить сопоставление невозможно и для обратной замены используется MAC-адрес первого полученного кадра с отличным от IPv4 содержимым.
Таким образом прозрачный доступ на канальном уровне будет иметь только одно устройство, чей кадр был получен первым, остальные узлы сети будут иметь ограниченный доступ на уровне служб IPv4.
Производитель советует по возможности избегать этого режима и использовать только тогда, когда иные возможности создания L2 моста недоступны или за станцией находится только одно сетевое устройство. На практике данный режим следует использовать исключительно для прозрачного доступа единственного экземпляра оборудования в беспроводную сеть на оборудовании стороннего производителя или управляемую CAPsMAN при отсутствии иных возможностей подключения.
Режим station-pseudobridge-clone
Еще один вариант псевдопрозрачного моста, но в данном случае станция заменяет MAC-адреса источника на адрес одного из узлов сети, который либо задан в настройках, либо был получен из первого перенаправленного кадра. Со стороны точки доступа это будет выглядеть как будто к ней непосредственно присоединился данный узел. Фактически данный режим дает возможность прозрачного моста для единственного выбранного устройства, а возможность явно задать нужный MAC-адрес исключает элемент случайности.
Для указания MAC-адреса клиента перейдите на закладку Advanced беспроводного интерфейса и заполните поле Station Bridge Clone MAC.
Используя данный режим будьте осторожны, так как у вас появляется два устройства с одинаковым MAC-адресом и при одновременном подключении их к сети вы можете получить самые неожиданные последствия.
Режим station-wds
Также является проприетарным и поддерживается только точками доступа под управлением RouterOS, не работает с CAPsMAN. Мы сейчас не будем подробно разбирать режим WDS (Wireless Distribution System) — это устаревшая технология расширения покрытия беспроводной сети, в данном случае от WDS сохранилось больше название и общие принципы, сама технология значительно переработана Mikrotik.
Это единственный режим, поддержку которого нужно включать со стороны точки доступа. Но в чем его преимущества и какие возможности он дает? Основное отличие данного режима в том, что между точкой доступа и беспроводной станцией создается соединение точка-точка и отдельный WDS-интерфейс для него. Это позволяет точке раздельно направлять данные к WDS-клиентам, а наличие отдельных интерфейсов позволяет использовать фильтрацию трафика, маршрутизацию и т.д. и т.п. При этом соединение остается прозрачным для L2 трафика, но добавляет возможность работы с Bridge Firewall.
Для использования режима WSD его потребуется включить на точке доступа, для этого на закладке WDS беспроводного интерфейса установите параметр WDS Mode в dynamic для динамического создание WDS-интерфейсов, или static если вы будете создавать их вручную. Опция WDS Default Bridge определяет мост, к которому по умолчанию будут подключаться WDS-интерфейсы.
Со стороны станции настройки ничем не отличаются от стандартных. Но теперь при подключении станции на точке доступа будет автоматически создан новый интерфейс и включен в указанный в настройках мост.
При ручном создании WDS интерфейса вам следует перейти в Wireless — Wi-Fi Interfaces и нажатием на «плюс» создать новый WDS, в настройках которого на одноименной вкладке в поле Master Interface следует выбрать желаемый беспроводной интерфейс, а в поле WDS Address следует указать MAC-адрес беспроводного интерфейса клиентской станции.
Говорить о практическом использовании режима station-wds можно долго, благодаря наличию отдельного сетевого интерфейса для каждого клиента вырисовываются перспективы построения достаточно сложных сетевых конфигураций. Но не забывайте о рациональности, не следует усложнять там, где это не нужно и если вам нужен просто беспроводной L2-мост, то лучше использовать station-bridge.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Дополнительные материалы:
Mikrotik
The Dude
Помогла статья? Поддержи автора и новые статьи будут выходить чаще: