Мы обозначили схему, которую нам необходимо реализовать.
Начнем мы с базового роутера MikroTik hAP ac.
Предварительно перед настройкой я заказал услугу Публичный статический IP адрес! Это важно, без него туннели будет сложно построить(DDNS)
Предположим провайдер назначил нам IP = 98.76.54.32 (Взят для примеров)
В данной статье я покажу основные настройки, чтобы роутер мог получать интернет и раздавать его клиентам.
Статья получится достаточно большая, поэтому запаситесь терпением )))
Настройка VPN будет в отдельной статье.
ВАЖНО!!!
Компания MikroTik довольно активно изменяет и добавляет новый функционал в свои изделия. От этого меняются версии прошивок и в них бывают настолько серьезные изменения, что статьи в некоторых местах теряют свою актуальность. Так вот данная статья написана для прошивки 6.39.3 из ветки Bugfix.
Именно ветка Bugfix стабильнее всего и реже всего обновляется. Я предпочитаю стабильность, вместо каких-то новых фич, которые еще не до конца протестированы.
Подключим роутер к ПК/Ноутбук через порт 2, а кабель провайдера в порт 1.
Синим – Internet, Красным – Локальный
На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.
Открываем утилиту WinBox
- ЕСЛИ НУЖЕН Multicast
Установим дополнительный пакет Multicast. Дальнейшие настройки Wi-Fi содержат поддержку передачи Multicast фреймов через Wi-Fi сеть.
Для этого необходимо скачать архив с дополнительными пакетами с официального сайта MikroTik со страницы загрузок: https://mikrotik.com/download
Напоминаю архитектуру роутера MikroTik hAP ac: MIPSBE
Скачать необходимо архив: Extra packages
Из него достать файл multicast-x.xx.x-mipsbe.npk, загрузить в память роутера и перезагрузить его.
Уже установленный Multicast
Сбрасываем все заводские настройки, они нам не понадобятся.
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.
После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:
- Настроим проводные интерфейсы:
Меню настройки интерфейсов:
Консольно:
/interface
Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений. Отдельно у нас еще стоят два Wi-Fi интерфейса и разъем SFP.
Выбираем интерфейс ether1 и переименовываем его в WAN
Меняем имя порта ether1
Консольно:
/interface ethernet
set [find default-name=ether1] name=WAN
Выбираем интерфейс ether2 и переименовываем его в LAN1-Ethernet
Начиная с прошивки 6.41 был изменен алгоритм работы сетевого моста, а именно добавлен режим Bridge Hardware Offloading
Никаких особых действий не требуется, пока просто меняем имена интерфейсов.
Меняем имя порта ether2
Консольно:
/interface ethernet
set [find default-name=ether2] name=LAN1-Ethernet
Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Ethernet, LAN3-Ethernet, LAN4-Ethernet
Для остальных делаем по аналогии
Консольно:
/interface ethernet
set [find default-name=ether3] name=LAN2-Ethernet
set [find default-name=ether4] name=LAN3-Ethernet
set [find default-name=ether5] name=LAN4-Ethernet
Отключим SFP порт, лично мне он ни к чему, просто, как приятный бонус. Вдруг потом пригодится.
Вы же можете докупить SFP модуль для обычного RJ-45 порта и использовать его для подключения кабеля провайдера. Вы ведь помните, что он на отдельной шине 1Gbit ))
Кнопка выключения
Консольно:
/interface ethernet disable sfp1
С проводными соединениями разобрались, перейдем далее…
2. Настроим Wi-Fi соединения
В модели hAP ac присутствует два вида Wi-Fi. Это 2.4GHz и 5GHz частоты. Соответственно в роутере мы имеем два Wi-Fi интерфейса – wlan1 и wlan2
Зайдя в настройки каждого, можно определить, какой из них какой.
2.4GHz
Модуль 2.4GHz
5GHz
Модуль 5Ghz
Консольно:
/interface wireless print
Для начала настроим профиль авторизации для наших Wi-Fi интерфейсов:
Wi-Fi интерфейсы и параметры
Настраиваем базовый профиль или добавляем свой
WPA2 Pre-Shared Key – это и будет Ваш пароль к Wi-Fi
Важное замечание по PMKID
(Известная информация по вопросу взлома WPA2 preshared key brute force attack [ENG forum]):
Вам придется решить включать ли PMKID в кадр EAPOL, отправленный точкой доступа. Отключение PMKID может привести к проблемам совместимости с устройствами, использующими PMKID для подключения к точке доступа. Но если Вы заботитесь о безопасности оставьте этот пункт включенным.
Если у Вас наблюдаются проблемы при подключении каких-то устройств к Wi-Fi, попробуйте снять галку с пункта Disable PMKID
Это свойство влияет только на режим Wi-Fi, как точки доступа.
Консольно:
/interface wireless security-profiles
set default mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2-pre-shared-key=”12345678″ management-protection=disabled group-key-update=1h disable-pmkid=yes
Теперь можно переходить к настройке самих интерфейсов Wi-Fi. Настроек много, глаза разбегаются, но ничего страшного, каждый пункт важен.
Начнем с интерфейса 2.4GHz.
Вкладка General: меняем имя интерфейса – LAN-wifi24ghz и активируем защитный режим!
Достаточно много настроек
Давайте пробежимся по параметрам:
Mode – Режим работы модуля Wi-Fi. Выбираем режим для работы как точки доступа в режиме моста.
Band – Стандарт Wi-Fi соединения. Есди у Вас нет старых ноутбуков или иных устройств работающих на стандартах b или g выбирайте максимально доступный. Лучше всего если у Вас нет устройств с b или g, выбирайте режим 2GHz-only-N.
Даже если у Вас нет таких устройств, но Вы оставили режим B/G/N, такие устройства могут быть у Ваших соседей и тогда у Вас “просядет” вся Wi-Fi сеть до самого низкого стандарта. Будьте внимательны!
Channel Width – Ширина канала. Тут подробнее:
Использование каналов расширения (например, Ce, eC и т. Д.) позволяет использовать дополнительные каналы расширения 20 МГц и, если они должны располагаться ниже или выше основного (основного) канала. Канал расширения позволяет устройствам стандарта 802.11n использовать до 40 МГц (802.11ac до 80 МГц) всего спектра, что увеличивает максимальную пропускную способность. Ширина канала с расширениями XX и XXXX автоматически сканируется для поиска менее переполненной частоты в зависимости от количества одновременных устройств, работающих на каждой частоте, и автоматически выбирает «C» – частоту управления.
Frequency – Рабочая частота.
SSID – Имя Вашей Wi-Fi сети
Radio Name – Имя радио интерфейса, будет отображаться в таблице регистрации при подключении по Wi-Fi к другому микротику. В принципе не нужен, работает только на Микротиках.
Wireless Protocol – Выбирайте 802.11 т.к. остальные это протоколы Микротика. unspecified использовался раньше в RouterOS 3 и 4 версий.
Security Profile – Выбираем наш профиль шифрования с паролями к Wi-Fi.
WPS Mode – Отключаем WPS мы не будем им пользоваться.
Frequency Mode – Частотный режим. Всего три режима (для конкретной страны, ручное назначение, суперканал). В принципе не важно, что Вы выберите, главное ничего не нарушать. И чтобы не нарушать законодательство нужно выбрать режим регулируется страной и ниже свою страну.
Country – Ограничивает доступные диапазоны, частоты и максимальную мощность передачи для каждой частоты в зависимости от страны.
Antenna Gain – Коэффициент усиления антенны в дБи, используемый для расчета максимальной мощности передачи в соответствии с национальными правилами.
WMM Support – Указывает, следует ли включать WMM.
Bridge Mode – Активируем режим моста для интерфейса.
Default Authenticate – Позволяем клиентам авторизовываться.
Default Forward – Возможность общения клиентов между собой.
Multicast Helper – Этот параметр можете выбрать самостоятельно. Если У Вас в сети используется IPTV по Wi-Fi, тогда без этой настройки не обойтись. Если ничего подобного нет, тогда можете отключить.
Тут настроек не много, но они важные
Distance – Как долго ждать подтверждения одноадресных фреймов, прежде чем считать передачу неудачной. Если используем в небольшом помещении, ставим indoors, если на улице или в цеху, то dynamic.
Adaptive Noise Immunity – Это свойство действует только для карт на базе чипсета Atheros.
Hw. Retries – Количество повторов отправки пакета до того, как отправка будет признана неудачной. В случае превышения этого значения, скорость соединения с удаленным устройством будет понижена, после чего снова будут предприняты попытки передачи пакета. Если была достигнута минимальная скорость соединения, но пакет не был передан, попытки передачи приостанавливаются на время, указанное в параметре On Fail Retry Time. После этого снова будут предприняты попытки передачи пакета до тех пор, пока не истечет время, указанное в параметре Frame Lifetime, либо удаленное устройство не будет отключено по превышению параметра Disconnect Timeout.
Значения от 1 до 5 – скорость работы сети выше, однако для абонентов с плохим сигналом стабильность связи ухудшится (от потери пакетов будет чаще отключать от точки доступа).
Значения от 5 до 10 – золотая середина.
Значения от 10 до 15 – максимальная гарантия доставки данных, но в сети с плохими условиями скорость будет снижаться.
Disconnect Timeout – Временной промежуток, через который клиент, не отвечающий на запросы, будет отключен. (подробнее выше в Hw. Retries)
On Fail Retry Time – Время ожидания устройства перед повторной пересылкой данных (подробнее выше в Hw. Retries).
Выбираем антенны для работы
Отключаем все. Этими настройками мы пользоваться не будем.
Специфические настройки для Nstreme
Настройка мощности передатчиков
На практике я понял, что разницы для квартиры особой нет, можно оставить и базовые значения, чтобы роутер самостоятельно настраивал мощность. Все и так работает, как часы!
Консольно:
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn basic-rates-b=”” channel-width=20/40mhz-XX country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN5-wifi24ghz radio-name=POINT24_1 ssid=POINT24GHZ supported-rates-b=”” wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled hw-retries=10 disconnect-timeout=15s on-fail-retry-time=1s
/interface wireless nstreme
set LAN5-wifi24ghz enable-polling=no
Сканирование 2.4GHz сетей роутером – для информации
Найти сканер можно тут
Судя по картине ниже, сеть 2.4GHz имеет 13 точек вокруг. Можно выбрать центральную частоту и вполне комфортно себя ощущать. Или оставить auto, как в статье.
Для тех кому интересно по распределению частот в 2.4GHz
Канал Wi-FI | Нижняя частота | Центральная частота | Верхняя частота |
1 | 2401 | 2412 | 2423 |
2 | 2406 | 2417 | 2428 |
3 | 2411 | 2422 | 2433 |
4 | 2416 | 2427 | 2438 |
5 | 2421 | 2432 | 2443 |
6 | 2426 | 2437 | 2448 |
7 | 2431 | 2442 | 2453 |
8 | 2436 | 2447 | 2458 |
9 | 2441 | 2452 | 2463 |
10 | 2446 | 2457 | 2468 |
11 | 2451 | 2462 | 2473 |
12 | 2456 | 2467 | 2478 |
13 | 2461 | 2472 | 2483 |
Общая диаграмма перекрытия частотных каналов Wi-Fi в 2.4 GHz
В полосе частот WiFi 2.4GHz доступны 3 неперекрывающихся канала: 1, 6, 11.
Данное выделение строится на требовании IEEE по обеспечению минимума в 25MHz для разнесения центров неперекрывающихся частотных каналов WiFi. При этом ширина канала составляет 22MHz.
C интерфейсом 2.4GHz закончили.
Переходим к интерфейсу 5GHz
Сразу напомню, что в ПК я использую PCI модуль Wi-Fi ASUS PCE-AC66. Он имеет три антенны и позволяет работать с AC стандартом.
5GHz еще может работать со стандартом N, но в этом случае скорости ~800-900 Мбит/сек Вам не светят.
Поэтому настройки у меня будут под чистый AC стандарт. Поехали…
Меняем имя интерфейса, MTU, и убеждаемся, что ARP включено
Также большой список в Advanced режиме
В принципе все настройки идентичны тем, что устанавливаются для 2.4GHz. Но есть ряд особенностей!
Данные параметры оказались самые стабильные для использования с PCE-AC66 от ASUS.
То же самое, что и для 2.4GHz
Аналогично 2.4 GHz
Аналогично 2.4GHz
Консольно:
/interface wireless
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-onlyac channel-width=20/40/80mhz-XXXX country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN6-wifi5ghz radio-name=POINT5_1 ssid=POINT5GHZ wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled hw-retries=10 disconnect-timeout=15s on-fail-retry-time=1s
/interface wireless nstreme
set LAN6-wifi5ghz enable-polling=no
Сканирование 5GHz сетей роутером – для информации
Решил посмотреть, что есть в эфире. Нашел пару точек от МГТС. На 5GHz места много, не будем мешать соседям и они нам
Сетка рабочих каналов Wi-Fi и частоты в 5GHz
Для вычисления центральной частоты канала WiFi можно использовать следующую формулу:
5000+(5*N) = X MHz
где, N это номер канала WiFi, например 36, 40 и т.д.
Формирование каналов WiFi в 5 GHz
Закончили с интерфейсом 5GHz.
При настройке Wireless интерфейсов через WinBox не забудьте их включить т.к. по умолчанию они выключены.
При настройке через консоль они включаются через параметр disabled=no
3. Создадим сетевой мост всех наших интерфейсов
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Создаем сетевой мост
Консольно:
/interface bridge
add name=”LAN-Bridge” comment=”LAN” mtu=1500 fast-forward=no igmp-snooping=yes protocol-mode=none
Начнем добавлять порты.
Нам нужно добавить порты:
LAN1-Ethernet
LAN2-Ethernet
LAN3-Ethernet
LAN4-Ethernet
LAN5-wifi24ghz
LAN6-wifi5ghz
Консольно:
/interface bridge port
add interface=LAN1-Ethernet bridge=LAN-Bridge
add interface=LAN2-Ethernet bridge=LAN-Bridge
add interface=LAN3-Ethernet bridge=LAN-Bridge
add interface=LAN4-Ethernet bridge=LAN-Bridge
add interface=LAN5-wifi24ghz bridge=LAN-Bridge
add interface=LAN6-wifi5ghz bridge=LAN-Bridge
В момент добавления интерфейса LAN1-Ethernet Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.
4. Разрешим нашему роутеру обрабатывать DNS
Разрешаем обработку DNS запросов
Консольно:
/ip dns
set allow-remote-requests=yes cache-size=4096
5. Подключение к провайдеру
У меня Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт, в который вставлен кабель провайдера (WAN)
Находим нужное меню и добавляем новое правило
Указываем нужный интерфейс
Параметров не много
В столбце IP Address мы должны увидеть свой статический IP от провайдера. Вы же помните, что для этого роутера нужно подключить Статический IP.
Консольно:
/ip dhcp-client
add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes
6. Доступ в Интернет
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall).
Переходим в межсетевой экран
Указываем основные сетевые параметры
Указываем последнее правило и жмем ОК
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.
Консольно:
/ip firewall nat
add chain=srcnat out-interface-list=Internet src-address=192.168.88.0/24 action=masquerade
7. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 1 будет следующий разброс:
IP адрес роутера: 192.168.88.1
IP адреса для клиентов: 192.168.88.5 – 192.168.88.29
24 адреса должно хватить для всех устройств в квартире, даже с избытком.
Переходим в меню IP адресов
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес
192.168.88.1 привязать к интерфейсу LAN-Bridge.
Консольно:
/ip address
add address=192.168.88.1/24 interface=LAN-Bridge
8. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов
Переходим в меню
Добавляем обозначенный диапазон
Теперь добавляем сам DHCP сервер
Переходим к добавлению DHCP
Задаем настройки DHCP сервера
Осталось еще узнать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS – В нашем случае и тем и другим будет выступать сам роутер.
Консольно:
/ip pool
add name=LAN-Pool ranges=192.168.88.5-192.168.88.29
/ip dhcp-server
add name=DHCP-Server disabled=no interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 dns-server=192.168.88.1
В принципе уже можно подключать устройства по Wi-Fi и любые другие, уже должен работать интернет.
Для затравки))))
Тут важно понимать, что это не практические скорости, а рассчитанные роутером. Эти параметры меняются при активном использовании Wi-Fi
На этом закончим статью, остальные настройки рассмотрим позже )) Сама статья получилась достаточно большая и если Вы дочитали до конца Вы определенно молодцы!
Источник оригинальной статьи: https://gregory-gost.ru/