Инструкция по настройке MikroTik через Quick Set. Описание режимов Home AP, Wisp AP, CAP, CPE.
- Описание режимов Quick Set
- Home AP
- Home AP Dual
- CPE
- CAP
- Вопросы по быстрой настройке
Quick Set – это простая страница мастера настройки, которая подготавливает роутер(маршрутизатор) MikroTik или точку доступа WiFi за несколько кликов. Это первый экран, который видит пользователь, открывая IP-адрес по умолчанию 192.168.88.1 в веб-браузере.
Quick Set доступен для всех устройств, у которых есть заводская конфигурация по умолчанию. Устройства, для которых нет конфигурации, необходимо настраивать вручную. Самый популярный и рекомендуемый режим – Home AP (или Home AP dual, в зависимости от устройства). Этот режим быстрой настройки обеспечивает простейшую терминологию и наиболее общие параметры для домашнего пользователя.
Режимы быстрой настройки Quick Set
В зависимости от модели роутера(маршрутизатора), коммутатора(свитча) или точки доступа WiFi выпадающий список режимов в меню Quick Set может иметь разные состав:
- CAP: Controlled Access Point, устройство AP, которое будет управляться централизованным сервером CAPsMAN. Используется только в том случае, если уже настроен сервер CAPsMAN;
- CPE: клиентское устройство, которое будет подключаться к устройству точки доступа (AP). Предоставляет возможность поиска и подключения устройств AP . Это режим адаптирован под работу репитера(усилителя);
- Home AP: страница конфигурации точки доступа по умолчанию, подходит для большинства домашних пользователей. Предоставляет меньше вариантов и упрощенную терминологию. Этим режимом настраивается функция роутера(маршрутизатора) в MikroTik;
- Home AP dual: двухдиапазонные устройства (2 ГГц / 5 ГГц). Страница конфигурации точки доступа по умолчанию для большинства домашних пользователей. Предоставляет меньше вариантов и упрощенную терминологию;
- Home Mesh: создана для создания больших сетей Wi-Fi. Включает сервер CAPsMAN в маршрутизаторе и помещает локальные интерфейсы WiFi под управление CAPsMAN. Для подключения других точек доступа MikroTik WiFi необходимо загрузить их с нажатой кнопкой сброса. После чего, они присоединятся к этой сети Home Mesh;
- Ethernet: настройка функции роутера для оборудования MikroTik, которые не имеет WiFi модуля.
- PTP Bridge AP: когда нужно прозрачно соединить два удаленных местоположения вместе в одной сети, нужно установить одно устройство в этот режим, а другое устройство в следующий (PTP Bridge CPE) режим. Это режим моста для передатчика;
- PTP Bridge CPE: если необходимо прозрачно соединить два удаленных местоположения вместе в одной сети, нужно установить одно устройство в этот режим, а другое устройство в предыдущий режим (точка доступа PTP Bridge). Это режим моста для приёмника;
- WISP AP: аналогичен режиму Home AP, но предоставляет более расширенные возможности и использует стандартную отраслевую терминологию, такую как SSID и WPA.
Быстрая настройка MikroTik Home AP
Режим Quick Set Home AP является самый распространённым режимом мастера настройки MikroTik. Именно Home AP произведёт конфигурирование устройства в качестве роутера(маршрутизатора). Первый порт роутера MikroTik будет принимать подключение от интернет провайдера, остальные порты будет являться LAN, а WiFi модуль обеспечит доступ к локальной сети и интернета для беспроводных устройств.
Поддержка настройки Quick Set Home AP в MikroTik
- Задать имя WiFi сети(SSID), параметр Network Name;
- Указать пароль WiFi, параметр WiFi Password;
- Выбрать тип интернет соединения, параметр Address Acquisition;
- Установить MAC адрес для порта провайдера, параметр MAC Address;
- Присвоить IP адрес типа LAN для роутера, параметр IP Address;
- Указать маску подсети для LAN порта роутера, параметр Netmask;
- Определить настройки DHCP сервера, параметр DHCP Server;
- Установить параметр NAT.
- Обновить прошивку роутера, кнопка Check For Updates;
- Указать пароль администратора для роутера, кнопка Password.
Быстрая настройка MikroTik Home AP Dual
Режим Quick Set Home AP Dual это второй по популярности режим для быстрой настройки роутера MikroTik. Его отличие от Quick Set Home AP в поддержке радиомодуля WiFi 5ГГц.
Поддержка настройки Quick Set Home AP Dual в MikroTik
- Задать имя WiFi сети(SSID) для 2ГГц и 5ГГц, параметр Network Name;
- Указать пароль WiFi, параметр WiFi Password;
- Выбрать тип интернет соединения, параметр Address Acquisition;
- Установить MAC адрес для порта провайдера, параметр MAC Address;
- Присвоить IP адрес типа LAN для роутера, параметр IP Address;
- Указать маску подсети для LAN порта роутера, параметр Netmask;
- Определить настройки DHCP сервера, параметр DHCP Server;
- Установить параметр NAT.
- Обновить прошивку роутера, кнопка Check For Updates;
- Указать пароль администратора для роутера, кнопка Password.
Быстрая настройка MikroTik CPE
Режим Quick Set CPE предназначен для быстрой настройки MikroTik в качестве репитера(усилителя) WiFi . Радиомодуль WiFi будет подключаться к существующему WiFi и передать сигнал дальше. В режиме работы репитера(усилителя) WiFi важно правильно расположить MikroTik, т.к. недостаточный уровень сигнала между основным передатчиком и репитером(усилителем) будет отражаться на скорости WiFi клиентов, которые использует репитер(усилитель)MikroTik как точку доступа.
Поддержка настройки Quick Set CPE
- Выбрать точку доступа, к которой будет происходить подключение;
- Указать пароль WiFi, параметр WiFi Password;
- Нажать кнопку Connect;
- Выбрать режим работы, параметр Mode;
- Присвоить IP адрес типа LAN, параметр IP Address;
- Указать маску подсети для LAN порта, параметр Netmask;
- Объединить все порты в Bridge, параметр Bridge All LAN Ports;
- Обновить прошивку, кнопка Check For Updates;
- Указать пароль администратора, кнопка Password.
Быстрая настройка MikroTik CAP
Режим Quick Set CAP предназначен для быстрой настройки MikroTik для подключение к контроллеру “бесшовного” WiFi – CAPsMAN. Этот режим будет работать только в том случае, если в сети присутствует CAPsMAN, принцип подключения – Discovey Interfaces.
Поддержка настройки Quick Set CAP
- Выбрать тип адресации, параметр Address Acquisition;
- Указать источник DHCP, параметр Address Source;
- Объединить все порты в Bridge, параметр Bridge All LAN Ports;
- Обновить прошивку, кнопка Check For Updates;
- Указать пароль администратора, параметр Password и Confirm Password.
Вопросы по быстрой настройке Quick Set
Чем Quickset отличается от вкладки Webfig, где появляется целый ряд новых меню?
Если нужны дополнительные параметры, не используйте никаких настроек Quick Set, нажмите Webfig, чтобы открыть интерфейс расширенной конфигурации.
Можно ли использовать Quickset и Webfig вместе?
В чем разница между режимами Router и Bridge?
Должны ли имена сетей 2 ГГц и 5 ГГц в режиме Home AP быть одинаковыми или разными?
Есть вопросы или предложения по настройке Quick Set MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий →
Для начала давайте разберёмся, что же такое режим WISP? Это определённый мод маршрутизатора, при котором он может принимать интернет сигнал и подключаться к сети провайдера путём радиоволн по стандартам Wi-Fi. Если раскрыть аббревиатуру, то она звучит так – «Wireless Internet Service Provider», что дословно можно перевести как «беспроводной интернет сервис провайдера».
Данная технология достаточно редкая, но появилась давно. Давайте покажу на примере. У провайдера есть большая антенна с мощным передатчиком на несколько квадратных километров. Клиент настраивает роутер и подключается к беспроводной сети. То есть в данном случае роутер принимает сигнал не через WAN порт по проводу, а именно путём Wi-Fi сигнала.
Далее при подключении он принимает сигнал и распределяет на все сегменты сети: на компьютеры, ноутбуки телефону и т.д. Интернет раздаётся как по проводам, так и по WiFi. Теперь перед настройкой роутера, именно в этом режиме сразу – скажу, что проблемой является в разных названиях модов. Компании, которые выпускают эти аппараты, по разному называют этот «мод» из-за чего клиент может запутаться. Также не все роутеры имеют данный режим и поддерживают его, поэтому перед покупкой обязательно убедитесь, что он сможет работать как повторитель WISP.
Содержание
- MikroTik
- WISP на других маршрутизаторах
- «AP client router» на ASUS
- TP-Link
- Zyxel Keenetic
- Задать вопрос автору статьи
WISP AP на роутере MikroTik – что это такое? У «Микротик» данный «мод» обозначает немного другое значение. Раз вы задаетесь таким вопросом, то скорее вы уже приступили к настройке этого чудного аппарата через «Quick Set». Эта функция позволяет быстро настроит роутер без муторных, педантичных конфигураций. Можно сказать некий «Быстрый старт».
В верхней части можно выбрать несколько вариантов:
- CAP – управляемая точка доступа.
- CPE — вот данный режим и отображает реальный «WISP», кагда клиентский аппарат подключается к другой вайфай сети.
- HomeAP – обычный домашнего роутера с меньшим количеством настроек.
- PTP Bridge APCPE – тут все понятно – «Режим моста». Для организации нужно два аппарата, один будет работать в AP, а второй в CPE.
- WISP AP – по сути это HomeAP, но там конфигурация более детальная, для более продвинутых пользователей.
- Basic AP – пуста конфигурация для развертывания.
Для настройки заполняем конфигурацию в левом блоке «Wireless» для настройки беспроводного мода. Вписываем имя сети и пароль от неё. Чтобы появилась строка ввода пароля укажите типа шифрования как WPA2 и WPA. Тут ничего сложного нет все как на других роутерах.
Справа идут настройки IP, маски и DNS адресов. По идее эти настройки роутер должен получать от провайдера. Тогда просто ставим режим «Automatic». Если у вас статический IP с маской, то ставим «Static» и вписываем данные с листа. В разделе «Local Network» идёт настройка «айпи» адреса шлюза или нашего Микротика и диапазон локальных адресов.
WISP на других маршрутизаторах
«AP client router» на ASUS
На аппаратах Асус к сожалению название не адаптивно и не понятно. Может быть это связано с переводом. Но на русской версии мод называется «Беспроводной сетевой адаптер». Для настройки вы можете использовать «Быструю настройку» – просто нажмите на волшебную палочку в левом углу окна. Или нажмите на «Режим работы» в самой верхней части на главной странице.
TP-Link
На TP-Link можно включить двумя способами. Заходим в «Operation Mode» или по-русски – «Рабочий режим». Далее выбираем наш мод. После этого переходим в «Сеть» – «WAN» и ставим динамический IP.
Второй способ – заходим в «Беспроводной режим». Теперь нажимаем «Включить WDS». Далее все просто, нужно просто подключиться к беспроводной сети провайдера. Для этого впишите данные вай-фай.
Zyxel Keenetic
- Нажимаем на значок планетки в самом низу.
- Находим вкладку «ВИСП» и активируем.
- Выбираем кнопку обзора сетей и выбираем нужную из списка.
- Далее вписываем пароль в поле «Ключ сети».
- Настройка IP и DNS стоит в автономном режиме, но вы всегда можете настроить вручную эти параметры. В качестве ДНС можно использовать параметры от Google: 8.8.8.8 и 8.8.4.4.
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
- CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
- CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
- HomeAP [dual] — Режим домашней точки доступа, тут количество настроек уменьшено, а их названия приближены к сленгу «домашних пользователей»
- PTP Bridge APCPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
- WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
- Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Дальше мы будем в основном настраивать HomeAPWISP AP, но советы пригодятся и в других конфигурациях.
Безопасность
Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:
Доступность на внешних интерфейсах
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.
Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
/interface list add exclude=dynamic name=discover
Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:
В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:
Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=jump chain=input connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3
add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик отк таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
/ip firewall address-list
add address=10.0.0.0/8 list="RFC 1918"
add address=172.16.0.0/12 list="RFC 1918"
add address=192.168.0.0/16 list="RFC 1918"
/ip firewall filter
add action=drop chain=input comment="Drop RFC 1918" in-interface-list=WAN src-address-list="RFC 1918"
add action=drop chain=forward comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN
add action=drop chain=output comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WANПоместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
UPnP
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:
SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:
В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):
/interface list
set ISP1TUN include=""
set ISP include=""
set TUN include=""
:delay 2
set ISP1TUN include=ISP1,TUN1
set ISP include=ISP1
set TUN include=TUN1WiFi
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes
Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.
P.S. статья взята от сюда https://habrahabr.ru/post/353730/
Построение сети HotSpot на Mikrotik. Настройка CAPsMAN, удаленное конфигурирование точек доступа Wi-Fi
Чуть ранее мы опубликовали инструкцию по созданию и настройке HotSpot на маршрутизаторах Mikrotik под управлением операционной системы RouterOS. В рамках предыдущей публикации был рассмотрен вариант самого простого конфигурирование точек доступа. Пришло время рассмотреть инструмент CAPsMAN, который позволяет осуществлять централизированное управление большим количеством точек доступа.
Обратите внимание! В основе этой публикации лежит конфигурация HotSpot, описанная в предыдущей публикации.
Пакет CAPsMAN предустановлен на большинство маршрутизаторов Mikrotik. Проверить его наличие можно в разделе System – Packages, пакет wireless-fp. При активации wireless-fp, стандартный пакет wireless будет отключен.
После активации пакета и перезагрузки маршрутизатора, в меню появится раздел CAPsMAN. Открываем его и нажимаем кнопку «Manager», в появившемся окне необходимо установить опцию «Enabled» для включения сервера.
Дальнейшую конфигурацию можно производить в разной последовательности и разными методами, как прямо указав параметры в основном меню, так и используя дополнительные профили. Для примера мы будем использовать более сложное конфигурирование с дополнительными профилями.
Первым делом, настроим список беспроводных каналов. Для этого открываем вкладку Channels (каналы) и добавляем существующие стандартные каналы для частоты 2.4 ГГц. Этого можно и не делать, но если у вас большое количество точек доступа и некоторые из них вы предлагаете использовать на разных каналах, удобнее всего оперировать номерами каналов, а не их частотой.
Ниже приведен список стандартных каналов.
| Номер канала | Частота, МГц |
| 1 | 2412 |
| 2 | 2417 |
| 3 | 2422 |
| 4 | 2427 |
| 5 | 2432 |
| 6 | 2437 |
| 7 | 2442 |
| 8 | 2447 |
| 9 | 2452 |
| 10 | 2457 |
| 11 | 2462 |
| 12 | 2467 |
| 13 | 2472 |
Как вы, наверное, заметили, каналы идут с шагом в 5 МГц, хотя на практике точка доступа работает с шириной канала 20/40 МГц. При этому полностью либо частично затрагиваются соседние каналы. Из-за особенностей модуляции, неперекрывающимися каналами в диапазоне 2.4 ГГц являются только 1, 6 и 11.
Каналы с 1 по 11 используются по всему миру для устройств Wi-Fi 802.11 b/g/n. Канал 12 и 13 разрешены к применению в Европе и странах Азии, при этом в США эти каналы разрешено использовать только для маломощных устройств и антенн по причине возможного перекрытия со специальным 14-м каналом. Ряд устройств может вообще не поддерживать эти каналы, что необходимо учитывать при конфигурировании оборудования. Сам 14-й канал разрешен к применению только в Японии.
Для примера мы добавили все 13 каналов. При этом вы можете использовать следующие дополнительные настройки.
- Name – желаемое название канала;
- Frequency – рабочая частота канала;
- Width – ширина канала, указываем 20 МГц. Параметр можно и не указывать, при этом 20 МГц будет принято в качестве значения по-умолчанию.
- Band – выбор канала 2.4/5 ГГц с указанием стандартов. Для лучшей совместимости следует указывать 2ghz-b/g/n, при такой настройке, к беспроводной сети смогут подключиться как старые, так и новые устройства. Если вы предпочитаете подключать только новые устройства, выберите параметр 2ghz-onlyn, что позволит работать принудительно в стандарте 802.11n. При этом учтите, старые устройства без поддержки этого стандарта подключиться не смогут.
- Extension Channel – задает правило расширения канала до 40 МГц. Значение Ce (Above) задает расширение по частоте вверх от главного канала, eC (Below) – наоборот, вниз от главного канала.
- Tx. Power – задает выходную мощность передатчика в дБм. Данный параметр позволяет ограничить максимальную мощность передающего устройства, что достаточно актуально для коммерческого использования в Украине. Указав 20 дБм, вы установите ограничение в 100 мВт, 22 дБм соответствует 150 мВт.
Раздел Datapaths (потоки данных) предназначен для опытных администраторов, он позволяет установить режим обработки данных, а также задавать VLAN.
Существуют 2 основные варианта конфигурирования:
- Local Forwarding Mode предполагает обработку данных непосредственно на точке доступа (CAP). Это наиболее распространенный вариант, который подойдет для большинства сетей и позволяет распределить нагрузку, связанную с маршрутизацией между точками доступа.
- Manager Forwarding Mode реализует обработку данных на контроллере, при этом точка доступа отправляет все данные с беспроводного интерфейса непосредственно на контроллер и уже там производится обработка. На точке доступа беспроводной интерфейс отключается и появляется на маршрутизаторе с CAPsMAN, сам контроллер получает полный доступ к управлению данными. При таком варианте использования существенно повышается нагрузка как на сам контроллер, так и канал между контроллером и точками доступа.
Если вы используете Virtual AP, каждая точка доступа может одновременно использовать сразу 2 режима – для каждой беспроводной сети свой.
Для своей сети мы указываем режим Local Forwarding и разрешаем клиентам обмениваться данными – Client to Client Forwarding. Для работы в режиме Manager Forwarding опцию Local Forwarding необходимо снять и заведомо выбрать мост (параметр Bridge), в который необходимо подключать CAP.
Переходим к настройкам безопасности, для чего открываем вкладку Security Cfg. Здесь необходимо создать профиль с настройками безопасности беспроводной сети, либо несколько профилей, если предполагается использование нескольких сетей.
Параметры вполне стандартные и в особом разъяснении не нуждаются. Первый профиль использует аутентификацию WPA2 и шифрование AES, второй профиль – полностью открытая сеть (Open).
Раздел Access List позволяет создать дополнительные правила для клиентов Например, можно принимать или отбрасывать клиентов по MAC и/или уровню сигнала.
Пришло время создать новую беспроводную сеть со своей конфигурацией, делается это в разделе Configurations.
Новая сеть получила название lanmarket-hotspot, присваиваем ей SSID «Free Wi-Fi» для информирования пользователей, что это бесплатная сеть. Режим доступен только ap (Access Point), в настройках региона указываем Ukraine. Для HT Chains везде ставим галочки, это позволит задействовать все доступные каналы MIMO на конечных точках доступа.
На вкладке Channel можно задать параметры вручную, либо выбрать один из профилей, созданных на этапе добавлении каналов, что мы и делаем, выбирая 6-й канал.
Для Datapath делаем аналогично, выбрав заранее созданный профиль lanmarket-LF.
В последнем разделе Security выбираем наш профиль lanmarket-open.
На завершающем этапе необходимо создать развертывание, для этого переключаемся на раздел Provisioning.
Поле MAC не трогаем, настройка по-умолчанию будет применена для всех доступных точек доступа. Action (действие) следует указать create dynamic enabled. Далее можно указать одну или 2 конфигурации, т.к. мы создали 2 сети, указываем обе. Первая сеть – офисная, защищена паролем, вторая – гостевая с доступом через HotSpot.
Настройка точек доступа в режиме CAP
Настройка параметров на точках доступа производится достаточно просто. Заходим в раздел Wireless и нажимаем кнопку CAP (управляемая точка доступа). В появившемся окне необходимо установить опцию Enabled. При необходимости, можно указать адрес конкретного контроллера – параметр CAPsMAN Adress.
Эту операцию необходимо провести на всех точках доступа, которые вы желаете подключить к менеджеру.
Заранее в QuickSet точки доступа можно выбрать режим работы CAP, который автоматически сменится на Ethernet.
Просмотр сети и подключений в CAPsMAN
На главном устройстве в разделе CAPsMAN – Interfaces автоматически добавятся динамические виртуальные интерфейсы, которые будут соответствовать точкам доступа.
Вкладка Remote CAP отображает список подключенных управляемых точек доступа. Помимо MAC-адреса, здесь можно также увидеть модель точки доступа и версию установленного программного обеспечения RouterOS.
Колонка Radios указывает на количество радиоинтерфейсов, для абсолютного большинства точек доступа это значение равно 1.
Вкладка Radio менее информативна, она отображает сопоставление точек доступа и интерфейсов CAPsMAN.
Последняя вкладка – Registration Table, как следует из названия, этот раздел содержит сводную информацию о текущих подключениях на всех точках доступах.
Здесь можно посмотреть детальную информацию по каждому из клиентов: скорость, трафик, уровень сигнала и т.д.
В завершение
По завершению настройки можно проверить работу сети, используя любое устройство с беспроводным модулем.
Обе сети отображаются корректно и доступны для подключения. Поскольку обе точки доступа имеют одинаковый SSID и канал, для клиентов они отображаются как одна сеть. И только специализированное программное обеспечение выделяет разные точки доступа.
При использовании такой конфигурации, следует обеспечивать минимальное перекрытие двух точек, иначе они начнут мешать друг другу. Правильная настройка минимального уровня сигнала в Access List позволяет добиться быстрого переключение между AP в автоматическом режиме. Поиграйте с параметром Signal Range, например, можно выставить значение -80…120 или -90…120. Для создания бесшовного роуминга нужно прибегать к использованию Mesh и это уже тема для отдельной публикации.
Настройка Wi-Fi в MikroTik хоть и отличается от настроек в других устройствах, но не вызывает каких-либо затруднений, особенно после второго или третьего устройства. Но если на одной площадке надо развернуть несколько точек доступа Wi-Fi, то вместо индивидуальной настройки каждой точки лучше воспользоваться централизованной настройкой и управлением с помощью CAPsMAN.
CAPsMAN — контроллер точек доступа в устройствах MikroTik позволяющий выполнить единообразную настройку и управление точками доступа, авторизацию клиентов, переключение клиентов на точку с лучшим сигналом. В качестве контроллера может выступать любое устройство MikroTik с уровнем лицензии не ниже Level4, наличие модуля Wi-Fi в устройстве контроллере не обязательно.
Настройка CAPsMAN
Для настройки контроллера необходимо чтобы в разделе System -> Packages был включен пакет Wireless.
Настройка Channels. Переходим в раздел CAPsMAN -> Channels. Настраиваем канал 2.4GHz, задаем параметры:
- Name — наименование канала, задается произвольно.
- Frequency — частота радиоканала.
- Control Channel Width — Ширина используемого канала.
- Band — режим работы. В настоящее время режимы
b/g/nиg/nиспользуются только для возможности подключения старых устройств, для достижения максимальной скорости лучше использовать режимonlyn, но тогда устройства, не поддерживающие этот режим, не смогут подключиться. - Extension Channel — расширение канала (Ce — расширении вверх от главного канала, eC — расширение вниз от главного канала, XX — автоматический выбор направления).
- Tx Power — мощность передатчика в децибелах, иногда полезно задать значение ниже, чтобы несколько точек не глушили друг друга.
Аналогично настраивается канал на 5GHz.
Список частот 2.4GHz:
| Канал | Частота (MHz) |
|---|---|
| 1 | 2412 |
| 2 | 2417 |
| 3 | 2422 |
| 4 | 2427 |
| 5 | 2432 |
| 6 | 2437 |
| 7 | 2442 |
| 8 | 2447 |
| 9 | 2452 |
| 10 | 2457 |
| 11 | 2462 |
| 12 | 2467 |
| 13 | 2472 |
Список частот 5GHz:
| Канал | Частота (MHz) |
|---|---|
| 36 | 5180 |
| 40 | 5200 |
| 44 | 5220 |
| 48 | 5240 |
Стандарты IEEE 802.11:
- 802.11a — работает на частоте 5GHz, скорость подключения до 54 Мбит/с. Устаревший стандарт.
- 802.11b — работает на частоте 2.4GHz, скорость подключения до 11 Мбит/с. Устаревший стандарт.
- 802.11g — работает на частоте 2.4GHz, скорость подключения до 54 Мбит/с. Обратно совместим со стандартом 802.11b, т.е. устройства, поддерживающие этот стандарт, могут подключаться к точкам доступа работающим в режиме 802.11b.
- 802.11n — работает на частотах 2.4GHz и 5GHz, позволяет достигать скорости до 150 Мбит/с на каждую независимую антенну при ширине канала в 40MHz.
- 802.11ac — работает на частоте 5GHz, позволяет расширить пропускную способность от 433 Мбит/с на канал до 6.77 Гбит/с при использовании 8x MU-MIMO.
Настройка Datapaths. Переходим в раздел CAPsMAN -> Datapaths, задаем параметры:
- Name — наименование, задается произвольно.
- Bridge — бридж, в который будут добавляться интерфейсы CAP.
- Local Forwarding — при включенном параметре весь трафик обрабатывает сама точка доступа, поскольку этот трафик до контроллера не доходит, то большинство настроек Datapath не работает. При отключенной настройке весь трафик обрабатывается на контроллере, что создает несколько больший трафик в сети и увеличенную нагрузку на контроллер.
- Client to Client Forwarding — задает политику управления трафиком между клиентами точки доступа. При включении трафиком управляет точка доступа, при выключении — контроллер.
Если подразумевается использование нескольких SSID каждый из которых будет в своем бридже, то создаем несколько конфигураций Datapath.
Настройка безопасности. Переходим в раздел CAPsMAN -> Secure Cfg., задаем параметры:
- Name — наименование профиля безопасности, задается произвольно.
- Authentication Type — тип авторизации.
- Encryption — алгоритм шифрования Unicast Ciphers.
- Group Encryption — алгоритм шифрования Group Ciphers.
- Group Key Update — частота обновления группового ключа.
- Passphrase — пароль доступа к точке, WPA/WPA2 Pre-Shared Key.
- Disable PMKID — отключение PMKID из кадра EAPOL для повышения безопасности (есть рабочая схема атаки использующая включенный PMKID). Отключенный PMKID может вызвать проблему с устройствами использующие PMKID для подключения к точке.
При использовании нескольких SSID необходимо создать профиль безопасности для каждого из них.
Создание конфигурации. Переходим в раздел CAPsMAN -> Configurations., на вкладке Wireless задаем параметры для 2.4GHz:
- Name — наименование профиля конфигурации, задается произвольно.
- Mode — режим работы, единственный параметр — ap.
- SSID — имя Wi-Fi сети.
- Hw. Protection Mode — защита от скрытого узла.
- Country — в этом пункте должна быть выставлена страна russia3, это значение ограничивает силу мощности излучаемого сигнала в соответствии с законодательством РФ.
- Installation — для использования внутри помещений выбирается
indoors. - HT Tx Chains/HT Rx Chains — задействованные антенны.
Переходим на вкладку Channel, выбираем настроенный ранее канал:
На вкладке Datapath, выбираем настроенную ранее конфигурацию:
На вкладке Security, выбираем настроенную ранее конфигурацию:
Аналогично создаем конфигурацию для 5GHz, получится по два профиля конфигурации для каждого SSID при использовании каналов 2.4GHz и 5GHz.
На каждый дополнительный SSID необходимо создать свои профили конфигурации.
Создание конфигурации распространения настроек. Переходим в раздел CAPsMAN -> Provisioning., заполняем поля:
- RADIO MAC — MAC адрес устройства, к которому применимы настройки. 00:00:00:00:00:00 — любое устройство.
- Hw. Supported Modes — поддерживаемые режимы работы радиомодулем. Используется для идентификации радиомодуля и применения к нему правильных настроек.
- Action — действие с радиомодулем после подключения точки к контроллеру.
- Master Configuration — основная созданная конфигурация, применяемая по умолчанию к радиомодулю.
- Slave Configuration — дополнительная конфигурация, создание виртуальных интерфейсов с дополнительными SSID.
- Name Format — правило создания имени CAP интерфейсов.
- Name Prefix — префикс имени CAP интерфейсов.
Создаем подобную конфигурацию для интерфейсов 5GHz. Если необходимо создать на радиоинтерфейсе дополнительный виртуальный интерфейс со своим SSID, то в поле Slave Configuration добавляем подготовленную для этого конфигурацию.
Включение сервиса CAPsMAN. Включение сервиса производится в меню: CAPsMAN -> CAP Interface -> Manager.
Подключение точек доступа к контроллеру CAPsMAN
Подключение локальных радиоинтерфейсов. Для подключения и управления Wi-Fi интерфейсами, которые находятся на устройстве с CAPsMAN контроллером переходим в раздел Wireless -> CAP, заполняем поля:
- Interfaces — список интерфейсов, которые будут управляться контроллером CAPsMAN.
- CAPsMAN Addresses — адрес сервера CAPsMAN, для локального сервера: 127.0.0.1.
Подключение удаленных точек доступа. Удаленные точки доступа подключаются аналогично локальным, выбираются интерфейсы и указывается IP адрес устройства с развернутым контроллером CAPsMAN.
На случай смены контроллера или изменения его IP адреса, чтобы не перенастраивать все точки в поле Discovery Interface достаточно указать интерфейс, на котором следует искать контроллер.
В поле Bridge выбирается локальный бридж, в который следует поместить Wi-Fi интерфейсы при включенном режиме Local Forwarding в конфигурации Datapath, при этом настройка Bridge в разделе Datapath игнорируется.
Подключенные радиоинтерфейсы отображаются в CAPsMAN -> CAP Interface, подключенные устройства в CAPsMAN -> Remote CAP.
Заключение
После подключения к сети, состоящей из нескольких точек доступа, при ослаблении качества сигнала с точкой, к которой подключен клиент, переключение на точку с лучшим качеством сигнала произойдет автоматически. При переключении происходит отключение от одной точки и после этого подключение к другой, технология Wi-Fi не поддерживает так называемый бесшовный роуминг.
Если у вас не квартира студия где для покрытия достаточно одного роутера с Wi-Fi, то рекомендую сразу настраивать CAPsMAN, т.к. в будущем, если понадобится расширение покрытия, это сэкономит время на настройке.