Роутер mikrotik

Обновление прошивки

После очистки настроек я рекомендую сразу выполнить обновление прошивки роутера Mikrotik. Для этого идем в раздел Download официального сайта и скачиваем нужный файл. В данном случае это платформа mipsbe, пакет для загрузки Main package. Загружаем его на компьютер и подключаемся к роутеру с помощью winbox. Выбираем слева раздел Files. Затем открываем рядом два окна — один с файлом прошивки, второй с winbox и перетаскиваем мышкой файл из папки в winbox в список файлов.

Дожидаемся окончания загрузки прошивки и перезагружаем микротик через раздел меню System -> Reboot. Прошивка обновится во время загрузки роутера. Подождать придется минуты 3. Поле этого снова подключаемся к устройству. После обновления прошивки, нужно обновить загрузчик. Делается это в пункте меню System — RouterBoard. Заходите туда, проверяете строки Current Firmware и Upgrade Firmware. Если они отличаются, то жмете кнопку Upgrade. Если одинаковые, то можно ничего не делать. Изменения вступят в силу после перезагрузки.

Проверить версию установленной прошивки можно в разделе System — Packages.

В моем случае версия прошивки — 6.43.4. В будущем, когда на роутере будет настроен интернет, обновляться можно автоматически в этом разделе, нажимая на Check For Updates.

Прошивку обновили, можно приступать к настройке.

Ограничение скорости по IP адресу определенному пользователю

Если вам нужно определенному пользователю, например, директору сделать скорость выше чем у остальных, то выполните следующее:

1. Откройте меню Queues.
2. На вкладке Simple Queues нажмите синий плюсик.
3. В появившемся окне на вкладке General в поле Name укажите название ограничения boss.
4. В поле Target пропишите IP адрес компьютера, для которого будет действовать ограничение.
5. В поле Max Limit в колонке Target Upload укажите необходимую скорость отдачи.
6. В поле Max Limit в колонке Target Download укажите необходимую скорость загрузки.
7. Нажмите кнопку OK.

Если у вас есть правило, которое ограничивает скорость для всех пользователей подсети, то правило для определенного пользователя нужно поднять выше этого правила, чтобы оно сработало. Для этого перетяните его левой кнопкой мыши вверх.

Теперь запустите на компьютере директора speedtest и проверьте скорость. Если на компьютере запустить закачку, то скорость в MikroTik можно посмотреть на вкладке Traffic:

1. Откройте правило и перейдите на вкладку Traffic.
2. В поле Rate в колонке Target Upload видим скорость отдачи.
3. В поле Rate в колонке Target Download видим скорость загрузки.

DHCP сервер через какое-то время может назначить компьютеру другой IP адрес, если истечет время его аренды. Поэтому для указанного IP адреса перестанут действовать необходимые ограничения. Чтобы этого не произошло, нужно привязать IP адрес к MAC адресу конкретного устройства. Как это сделать, написано ниже.

Настройка безопасности MikroTik. Защита от сканирования портов

Давайте немного модифицируем нашу конфигурацию firewall, что позволит защитить MikroTik от сканирования портов. Сканирование портов – это попытки подключиться на разные порты с целью определения их доступности.

Сканирование портов может осуществляться разными способами, каждый из которых имеет свои особенности. Настроим защиту от большинства известных видов сканирования.

Не буду вдаваться в теорию, а просто покажу готовое решение, которое успешно работает многие годы.

Чтобы не запутаться перед каждым новым условием я буду писать заголовок, который, будет служить комментарием к нему.

Port scanners to list:

Защиту от сканирования портов для MikroTik можно настроить с помощью опции Port Scan Detection (PSD):

NMAP FIN Stealth scan:

SYN/FIN scan:

SYN/RST scan:

FIN/PSH/URG scan:

ALL/ALL scan:

NMAP NULL scan:

Осталось создать запрещающее правило, которое заблокирует соединения для IP-адресов из списка “ BAN_black_list”:

Меню “Advanced” в пункте Src. Address List из выпадающего меню выберем наш адрес лист (BAN_black_list):

Далее:

Данное условие firewall необходимо добавить в цепочки “Input” и ”Forward”. Правильное расположение всех правил можно посмотреть на рисунке ниже:

Скачать полную конфигурацию firewall MikroTik с настроенной защитой от сканирования, перебора паролей и DoS-атак можно тут.

А также рекомендуем изучить статьи:

• Настройка DHCP на MikroTik;
• MikroTik настройка L2TP Server;
• MikroTik NTP Server.

Настройка firewall на MikroTik закончена. Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.

Подключение к Internet

После обновления RouterOS мы можем приступить к ее настройке.
Прежде всего нам необходимо подключить устройство к интернету

Для этого нам важно знать какой тип подключения нам предлагает наш оператор связи. Если этой информации нет, необходимо выяснить это в технической поддержке Вашего оператора связи

У оператора связи ForceLine используется комбинация DHCP и PPPoE, т.е. необходимо настроить оба типа подключения.
Рассмотрим несколько возможных:
DHCP — когда мы все настройки от оператора получаем автоматически. Заходим в раздел IP — DHCP Client. Добавляем клиента, обязательно указав интерфейс (порт), в который подключен кабель, приходящий от оператора связи.

PPPoE — когда нам при подключении необходимо вводить логин и пароль, выданные оператором.
Заходим в раздел PPP. Во вкладке Interface добавляем PPPoE Client. В открывшемся окне обязательно выбираем интерфейс подключения к интернету, вводим логин и пароль, а, так же, ставим галочку Use Peer DNS.

Настройка DHCP и пула адресов

Для того, чтобы пользователи, устройства могли работать в вашей локальной сети нам необходимо произвести настройку микротика, чтобы у него был пул IP-адресов, который он мог выдавать, принтерам, ноутбукам, телефонам. Для этого перейдите в раздел «IP — Pool»

Создаем новый пул, указываем его имя и саму адресацию, в моем примере, это 192.168.100.50-192.168.100.200, нажимаем OK.

Далее настроим наш DHCP сервер. Для этого переходим в «IP — DHCP Server».

Задаем настройки DHCP:

• Name — Имя DHCP сервера
• Interface — выбираем наш мост
• Lease Time — время аренды, настройте под себя, если в офисе не особо большая текучка устройств, то можете настроить день или два, если проходимость большая, то выставите минут 30 или 60
• Address Pool — Выбираем созданный ранее пул адресов

Сохраняем настройки DHCP сервера на вашем роутере MikroTik RB4011iGS

В списке появился мой новый DHCP сервер.

Далее переходим на вкладку «Network», нажимаем добавить новую. Пишем в:

• Address — адрес вашей сети и маску
• Gateway — указываем шлюз, который будет у клиентов, у нас это будет адрес MikroTik RB4011iGS 192.168.100.1
• Netmask — маска сети
• DNS Server — первым DNS сервером ставим наш роутер микротик 192.168.100.1, потом какие угодно, провайдерские, или гугловские. Сохраняем настройки.

Открываем командную строку Windows и с помощью команды ipconfig, мы посмотрим текущий ip-адрес на моем ноутбуке. Как видим это APIPA адрес 169.254.7.146 и 192.168.43.61.

Теперь давайте запросим новый ip-адрес у DHCP сервера, для это введите команду:

ipconfig /renew

Сразу моя система Windows 8.1 нашла новую сеть 4, что означает, что я получил новый IP-адрес.

Снова выполняем команду ipconfig и мы видим, что я получил IP-адрес 192.168.100.200.

Хочу отметить, что на роутере Mikrotik адреса раздаются с последнего в пуле, такая специфика работы оборудования

На вкладке «Leases» вы увидите список всех ваших арендованных адресов у DHCP сервера.

Через правый клик по IP-адресу вы можете выбрать «Detail Mode»

Будет выведено больше информации о клиентском подключении.

Так же вы можете заранее задать нужный IP-адрес, который будет присвоен определенному клиенты, так например можно поступить с принтерами, зная их MAC-адрес, вы легко к нему привяжите нужный IP.

MikroTik firewall. Общее описание

Основное назначение брандмауэра является то, что на основании правил разрешать или запрещать передачу данных из одной сети в другую.

Что не умеет брандмауэр MikroTik:

• Блокировать сайты по категориям;
• Сканирование на вирусы в режиме реального времени;
• Создание отчетов;
• Биллинг;

Настройка безопасности маршрутизатора MikroTik может быть реализована двумя способами:

• Нормально открытый. Данный способ организации защиты предполагает, что все будет разрешено, что не запрещено;
• Нормально закрытый. При этом виде настройки firewall все запрещено, что не разрешено.

Для данной статьи мы рассмотрим пример нормально закрытого брандмауэра. Так как, на мой взгляд, нормально открытый имеет ряд недостатков:

• Большие затраты для решения, что запрещать;
• Из-за большого количества условий может значительно снизиться производительность роутера.

В случае неправильной настройки бранмауэра и потери доступа к устройству, данная функция поможет восстановить подключение, отменив внесенные изменения. Подробнее узнать о безопасном режиме можно в материале: MikroTik Safe Mode.

Место брандмауэра на Packet Flow:

Firewall на MikroTik. Порядок расположения правил

Работу брандмауэра MikroTik условно можно разделить на две части: условие (если…) и действие (то…). Могут содержать несколько условий, при этом, чтобы правило сработало должны быть выполнены все условия.

Правила должны состоять в цепочке (chain):

• одной из трех предопределенных: Input, Output, Forward;
• пользовательской (action=jump).

А также подразделяются на терминирующие и нетерминирующие:

• терминирующие: accept, drop, fasttrack, reject, tarpit;
• нетерминирующие: add dst to address list, add source to address list, jump, log, return, passthrough.

Терминирующие правила содержат окончательное действие – принять, отклонить.

Нетерминирующие – просто производят какой-то процесс – занести в лог, добавить в address list.

При настройке firewall MikroTik важно соблюдать последовательность правил, так как обрабатываются они по порядку и сразу с нужной цепочки. Обработка заканчивается после первого совпадения с терминирующим правилом

Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика

Обработка заканчивается после первого совпадения с терминирующим правилом. Если совпадения нет, то пакет отправляется на следующий этап обработки по схеме прохождения трафика.

Переименование сетевых интерфейсов

Раздел Interfaces содержит список всех интерфейсов устройства. У модели hAP AC их восемь: один SFP, пять Ethernet и два беспроводных Atheros. Если вы не планируете использовать SFP — деактивируйте его.

Вы облегчите процесс настройки переименовав ethernet-порты в соответствии с их реальным назначением. Порт подключения провайдера ether1 переименуйте в wan1 . Оставшиеся четыре пронумеруйте от единицы, используя префикс lan: lan1 , lan2 , lan3 и lan4 .

В приведенном примере видно, что подключения активны на первом ( wan1 — провайдерском) и пятом ( lan4 — для рабочего компьютера) портах.

Режимы кнопки RESET

Прошу заметить, что у разных девайсов, пункт 4 может отличаться. Чтобы это понять, предлагаю углубиться в режимы, в которые вы попадаете, в зависимости от времени зажатия кнопки:

1. Зажатие в 3 сек – загрузка резервного загрузчика Routerboard. Бывают ситуации, когда загрузчик слетел (RouterBOOT) и нужно загрузиться чтобы это пофиксить.
2. Зажатие 5 сек – продолжаем жать ещё 5 сек пока светодиодный индикатор не начнёт моргать. Отпускаем кнопку и на выходе получаем дефолтную конфигурацию.
3. Держим ещё 5 сек – попадаем в режим CAPsMAN Client. Если вы не хотите настраивать его в RouterOS, то вам сюда. Отпускаем кнопку, как только загорится индикатор.
4. Продолжаем жать ещё 5 сек – тут мы попадаем в последний режим – NetInstall.Отпускаем, когда лампочка перестанет гореть.

Быстрая настройка MikroTik CPE

Режим Quick Set CPE предназначен для быстрой настройки MikroTik в качестве репитера(усилителя) WiFi . Радиомодуль WiFi будет подключаться к существующему WiFi и передать сигнал дальше

В режиме работы репитера(усилителя) WiFi важно правильно расположить MikroTik, т.к. недостаточный уровень сигнала между основным передатчиком и репитером(усилителем) будет отражаться на скорости WiFi клиентов, которые использует репитер(усилитель)MikroTik как точку доступа

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Поддержка настройки Quick Set CPE

1. Выбрать точку доступа, к которой будет происходить подключение;
2. Указать пароль WiFi, параметр WiFi Password;
3. Нажать кнопку Connect;
4. Выбрать режим работы, параметр Mode;
5. Присвоить IP адрес типа LAN, параметр IP Address;
6. Указать маску подсети для LAN порта, параметр Netmask;
7. Объединить все порты в Bridge, параметр Bridge All LAN Ports;
8. Обновить прошивку, кнопка Check For Updates;
9. Указать пароль администратора, кнопка Password.

Сброс настроек

Если вы что-то перемудрили с настройками и не можете зайти в устройство, выполните его сброс к заводским настройкам.

1. Отключите питание;
2. Зажмите и держите кнопку Reset;
3. Подайте питание;
4. Дождитесь пока начнет мигать светодиод;
5. Отпустите кнопку Reset;
6. После перезагрузки подключитесь к устройству с помощью программы Winbox по MAC адресу, т.к. у устройства может быть IP адрес 0.0.0.0. В этом случае вы не сможете попасть в настройки через Web-интерфейс по стандартному IP адресу 192.168.88.1.
7. В Winbox в появившемся окне нажмите кнопку OK, чтобы применить настройки по умолчанию. В некоторых прошивках данное окно может не появится, а сразу применится стандартная конфигурация.

После этого устройству присвоится стандартный IP адрес 192.168.88.1, и появится доступ к настройкам через Web-интерфейс.

Процессор и память

Роутер редко рассматривают в качестве компьютера. Тем не менее, как и для любого компьютера, характеристики процессора и объем оперативной памяти играют огромную роль. В современной семье может быть немало устройств, которым необходимо беспроводное соединение. Потоковое видео и онлайн-игры требуют передачи по сети больших объемов данных. Справится со всем этим наилучшим образом сможет роутер, вычислительная мощность которого достаточно высока.

Обращайте внимание на число ядер процессора. Чем их больше, тем лучше

Важная также и тактовая частота, измеряемая в мегагерцах или гигагерцах. Здесь также следует отдавать предпочтение модели с более высоким показателем. Это же касается и оперативной памяти. Все это прекрасно знакомо вам по компьютерам, но в отношении маршрутизаторов об этом моменте часто забывают.

Настройка роутера для «Ростелекома»

Наладка для работы с «Ростелеком» и PPPoe:

1. Входим в устройство через Winbox, указываем айпи и логин: Admin.
2. Соединяемся. Переключаемся на интерфейс и устанавливаем PPPoe-клиент.
3. Осуществляем регулирование MTU/MRU, в окне интерфейса определяем необходимый порт интернет-провайдера.
4. Открываем вкладку Dial Out и заполняем сведения «Ростелекома»: имя и пароль.
5. Устанавливаем статус: connected.
6. Переходим к настройке Firewal и добавляем условие (плюс) в Chain.
7. Устанавливаем input и соединение PPPoe.
8. Настройка роутера Mikrotik для «Ростелекома» продолжается, далее открываем окно Action и устанавливаем drop и нажимаем «Готово».
9. Во вкладке «Фривол» находим NAT кликнуть (плюс) и устанавливаем «Готово».
10. Следуем в «Экшион» и устанавливаем Masquerade. Далее кликнуть «Готово».
11. В устройстве теперь определился ай-пи автоматически.
12. Настраиваем DHCP-сервер, прописываем статику из его подсети.

Регистрация в сети провайдера

Соглашение. Скорее всего, ваш провайдер использует DHCP. Это распространенная практика, поэтому в рамках этой главы настройка VPN-подключения к шлюзу провайдера рассмотрена не будет.

В разделе IP — DHCP Client добавьте новый элемент. В поле Interface выберите порт подключения провайдера — wan1 .

В обновленном списке вы увидите ряд параметров текущего соединения: статус, IP-адрес и срок его «аренды».

Вопрос безопасности. Как только роутер прошел регистрацию в сети провайдера, он стал «виден» в сетях общего пользования. Более того — еще и в интернете, учитывая наличие у вас статического «белого» IP-адреса. Поэтому, пока вы не настроили файрвол, вас «защищает» только смененное имя пользователя и надежный пароль.

С помощью утилиты Ping, доступной в разделе Tools, можете проверить работоспособность подключения. Как значение параметра Ping To подойдет любой «белый» IP-адрес (например, гугловый 8.8.8.8 ). После нажатия кнопки Start роутер начнет посылать пакеты; если все работает, картина будет примерно следующая:

Автоматический способ через Winbox

1. Вставить сетевой кабель в 1-й порт роутера.
2. Подсоединить компьютер к LAN (во 2-5 порты на выбор).
3. Подключить шнур питания в разъем Power на маршрутизаторе.
4. Установить на компьютер утилиту Winbox.
5. Ввести логин и IP-адрес в двух верхних строках.
6. Нажать на кнопку Connect.

1. Нажать на вкладку Neighbors, расположенную ниже.
2. Дождаться, пока пропишется MAC Address.
3. Кликнуть на строку, в которой он показан, и на Connect.

Чтобы отрегулировать роутер быстро, заводские настройки лучше не трогать: нажать OK и двигаться дальше.

В открывшемся окне есть опция Quick Set – она находится в верхнем левом углу. Нажать на нее и выбрать Home AP. В этой вкладке все данные систематизированы по разделам, каждый из которых заполняют последовательно.

Беспроводная сеть (Wireless)

1. Имя сети.
2. Частоту.
3. Стандарт b/g/n.
4. Страну.
5. MAC-адрес.
6. Типы шифрования из четырех предложенных (желательно отметить все).
7. Пароль.

Internet

1. Static.
2. Automatic.
3. PPPoE.

В роутерах заводской конфигурации настройки по умолчанию и не менялись. Выбор – Automatic.

Иногда провайдеры делают привязку к MAC-адресу – в этом случае его тоже прописывают в одноименной строке электронного поля.

Во вкладку Static данные вносят вручную – их предоставляет провайдер.

При использовании РРРоЕ параметры придумывает пользователь и вводит вручную:

1. Use – логин.
2. Password – пароль.
3. Servise Name – имя соединения.

Local Network

После заполнения нужно поставить галочки рядом в окошках:

1. DHCP Server.
2. NAT.

Дальше – нажать на Apply и перезагрузить компьютер, чтобы настройки начали действовать.

Пароль администратора

1. Найти в программе Winbox раздел System.
2. Войти в него и перейти в Users.
3. В открывшемся окне User Admin нажать на кнопку Password.
4. Придумать и ввести пароль.
5. Подтвердить его повторным вводом.
6. Нажать Apply и OK.

Режим Local-forwarding

Отдельно рассмотрю настройку local-forwarding. Если он активирован, то всем трафиком клиентов точки доступа управляет сама точка, не контроллер. И большинство настроек datapath не используются, так как до контроллера трафик не доходит. Если этот параметр не установлен, то весь трафик на wifi интерфейсах точек инкапсулируется и отправляется по сети на контроллер. Он виден на его виртуальных интерфейсах. Управляется (firewall, qos и т.д.) в зависимости от настроек.

Обработка трафика на точке более распространенный и простой вариант. В этом случае нагрузка на каналы связи с контроллерами и на сам контроллер минимальна. Так же отключать local-forwarding не рекомендуется, если клиенты wifi сети ходят на какие-то локальные ресурсы, а контроллер у вас совершенно в другом сегменте сети, возможно удаленном с не очень толстым каналом связи. Пускать на него весь трафик клиентов бессмысленно. Это увеличит отклик и забьет канал связи с контроллером. Например, сотрудник пришел в офис и работает за ноутбуком по wifi. При этом активно использует сетевой диск. Вам нет смысла этот трафик гонять на контроллер.

Другой вариант, когда у вас все клиенты wifi сети это обычные пользователи интернета, например, гостевой сети. Никакого локального трафика у них нет. Да еще и сам контроллер находится рядом со шлюзом в интернет. Тогда можно их всех пропускать через Capsman и удобно управлять всем трафиком.

Зачем нужен сброс Микротик к заводским настройкам?

Современные сетевые устройства включают в себя очень внушительный арсенал технологических решений и состоят из сложнейшей программно-аппаратной архитектуры. Эта сложность обеспечена высокотребовательными задачами, возлагаемыми на них. И чем сложнее механизм, тем он более подвержен сбоям и поломкам. Самый простейший способ решить определенный ряд проблем и вернуть нормальную работу точки доступа или роутера Микротик – это сбросить все его настройки, с целью вернуть его в исходное состояние, в котором его выпустил производитель.

Итак, в каких же случаях может понадобиться возврат роутера к первоначальным настройкам?

1. Если мы где-то в настройках зашли в тупик и ничего не остается кроме как сбросить текущую конфигурацию.
2. Если мы что-то настраивали, тестировали, и проще не возвращать всё пошагово назад, а достаточно вернуть роутер к исходному состоянию просто сбросом;
3. Если MikroTik не хочет прошиваться через веб-интерфейс или Winbox.
4. Если нам просто что-то не нравится в устройстве: как оно работает, как оно реагирует на наши настройки и т. д.

Итак. Сбрасываем Mikrotik в дефолт.

Создание первого сетевого моста

В нынешней ситуации устройства на локальных портах физически неспособны коммуницировать друг с другом; эту возможность даст сетевой мост (bridge).

Соглашение. Для именования сетевых мостов, адресных пространств и других подобных сущностей будут использоваться постфиксы. Например, private или guest .

В разделе Bridge откройте окно создания нового моста. В качестве имени используйте bridge-private , установите значение reply-only в поле ARP; остальные параметры оставьте как есть.

Вы создали интерфейс, который объединит клиентов; осталось буквально подключить их. На вкладке Ports добавляйте новые элементы, указывая значения параметров Interface (каждый из lan -портов) и Bridge (созданный мост bridge-private ).

Через несколько секунд после создания связи между мостом и интерфейсом подключения компьютера, роутер разорвет соединение Winbox. Это штатное поведение; нажмите Reconnect и, если необходимо, добавьте недостающие записи.

VPN для маршрутизаторов

Настройка VPN l2tp на роутере Mikrotik обеспечивает конфиденциальность и безопасность в интернете, предоставляя полную свободу в сети и мгновенный доступ к потоковой передаче контента.

Настройка L2TP на маршрутизаторе:

1. Войти в маршрутизатор, используя стандартное имя пользователя admin с пустым паролем.
2. Нажать вкладку PPP в меню слева. Откроется вкладка «Интерфейс».
3. Нажать на знак «+» и выбирать L2TP Client. Откроется окно «Новый интерфейс», заполнить поле Name. В этом поле можно ввести все, что нравится, например SaferVPN L2TP. Тип: клиент L2TP. L2 MTU: Пусто. Макс. MTU: оставьте его по умолчанию, т. е. 1450. Макс. MRU: оставьте его по умолчанию.
4. Перейти на вкладку Dial Out и выполните следующие действия. Connect To: выберите любой IP-адрес сервера или имя хоста на одном из серверов SaferVPN. Обратитесь к разделу «Как найти IP-адрес SaferVPN». Пользователь: имя пользователя SaferVPN. Пароль: пароль L2TP SaferVPN. Профиль: Шифрование по умолчанию. Keepalive Timeout : 60 Allow: проверка всех методов проверки подлинности.
5. Нажмите OK после проверки всех входов.
6. Продолжить настройку VPN на роутере Mikrotik и перейдите на вкладку IP на панели слева и выберите «Брандмауэр». Нажмите вкладку NAT, а затем «плюс».
7. Увидите настройки General, выполните следующие действия. Chain: Выберите Srcnat из выпадающего меню. Out Interface: выберите имя только что созданного соединения SaferVPN L2TP.
8. Выберите вкладку «Действие» в открывающемся меню. Нажмите «ОК».
9. Вернуться в окно брандмауэра, щелкнуть вкладку Mangle, а затем — знак «плюс».
10. В окне «Новое правило привязки» перейдите на вкладку «Общие» и выполните следующие действия. Цепочка: выберите «Предварительный просмотр» в раскрывающемся меню. Src. Адрес: здесь нужно ввести диапазон IP, который нужно проложить по VPN-соединению. Например: 192.168.5.150 — 192.168.5.250 (при условии, что маршрутизатор 192.168.5.5).
11. Нажмите «OK» после проверки входов.

Проверка работы бесшовного wifi роуминга

Теперь можно взять телефон на андроиде, поставить на него программу Wifi Analyzer и походить по всей покрываемой wifi территории, протестировать мощность сигнала, переключение от точки к точке. Переключение происходит не сразу, как только сигнал новой точки будет сильнее предыдущей. Если разница не очень большая, то переключение к новой не произойдет. Но как только разница начинает быть существенной, клиент перескакивает. Эту информацию можно наблюдать на контроллере.

После анализа зоны покрытия можно подкорректировать мощность точек доступа. Иногда может быть полезно настроить разную мощность на разных точках, в зависимости от схемы помещений. Но в общем и целом даже в базовой настройке все работает вполне стабильно и качественно. К данным моделям микротик (wAP ac) могут подключаться и комфортно работать по 10-15 человек. Дальше могут быть нюансы в зависимости от нагрузки. Эти цифры я привел из своих примеров реальной работы.

Подготовка

Получение статического «белого» IP-адреса

Для использования всех возможностей роутера вам потребуется статический «белый» IP-адрес; закажите эту услугу у интернет-провайдера.

Соглашение. Провайдером выделен адрес 79.79.79.79

Загрузка клиента для настройки RouterOS

Обязательно скачайте программу Winbox 2 до начала проведения любых нижеописанных манипуляций. К сожалению, она доступна только для Windows, но может быть запущена в виртуальной машине.

Подключение роутера

Подключите устройство к питанию, кабель провайдера установите в первый порт. Также патч-кордом соедините ваш компьютер с роутером, используя любой свободный порт. (В этой инструкции используется пятый.)

MikroTik hAP AC минимально настроен по умолчанию, поэтому компьютер получит внутренний IP-адрес из специфической подсети 192.168.88.0/24 . Запустите Winbox.

Во вкладке Neighbors представлен список роутеров; подключайтесь к единственному доступному, используя адрес 192.168.88.1 , имя пользователя admin и пустой пароль. В открывшемся окне вы увидите описание базовой конфигурации.

Настройка Firewall и безопасность сетей

Если firewall дефолтный, то его нужно донастроить, чтобы все работало. От него будем отталкиваться.

Если CAPsMAN контроллер работает на самом Wi-Fi устройстве, нужно разрешить входящий udp трафик на порты 5246,5247 с адреса 127.0.0.1 на 127.0.0.1 (сам на себя)

Внимание! Разрешающий правила нужно ставить до запрещающих!

Для остальных сетей нужно разрешить DNS (udp 53 порт)Объединяем их в Interfaces -> Interface ListСоздаем лист Bridge-Ext

Добавляем в Bridge-Ext: bridgeWork, bridgeHotSpot, bridgeGuest
IP -> Firewall разрешим входящий трафик с листа Bridge-Ext до udp 53

Создадим правило для bridgeWork

Chain: forwardIn. Interface: bridgeWork
Dst. Address List: До списка адресов

Address Lists можно заполнять вручную в IP -> Firewall -> Address Lists
Либо указывать в DHCP, если контроллер является таковым
Запрещаем трафик из списка интерфейсов Bridge-Ext в интерфейсы, кроме WAN

Запрещаем хождение трафика из списка LAN в Bridge-Ext

Настройка 5GHz

Конфигурация WiFi 5GHz в Микротик полностью идентична настройке 2.4G. Перейдем на вкладку интерфейсов и откроем свойства wlan2. Переключаем в Advanced Mode.

Задаем параметры:

• Mode – ap bridge;
• Band – 5GHz-A/N/AC;
• Channel Width – 20/40/80MHz eeeC – означает что ширина канала будет расти вверх забирая частоты выше;
• Frequency – просканировав эфир, понял, что я тут один и могу вставать где хочу;
• SSID — WiFi_5;
• Wireless Protocol – 802.11;
• Security Profile – General WiFi;
• Country – russia3.

Параметр WPS Mode отвечает за передачу пароля по воздуху. Есть 4 режима:

• Выключено;
• Нажать на кнопку 1 раз;
• Держать кнопку 5 сек;
• Виртуальное нажатие через WPS Accept.

Смотрим на антенны.

Применяем и включаем. Можно увидеть, что клиент подключился к wlan2.

Маршрутизатор MikroTik hAP aclite

Он в настоящее время применяется в качестве серверов DHCP, эффективно разделяя сеть в двух локальных сетях и также сконфигурирован в качестве моста для 192.168.88.xxxLAN. Чтобы избежать проблем с двойным NAT, можно перенастроить их в качестве переключателя уровня 2. Есть преимущества, связанные с двойным NAT. Все DHCP и NAT должны обрабатываться исключительно Fritz Box. Кроме того, протокол должен иметь статический IP-адрес в одном и том же локальном диапазоне IP, поэтому им можно управлять через веб-интерфейс.

Настройка роутера Mikrotik hap через конфигурацию Fritz Box не является проблемой, так как подробно расписана производителем устройства. Но нужно настроить DNS, чтобы он мог разрешить DNS-запрос и мог работать как DNS-сервер.

Шаги для настройки DNS:

1. Перейти в меню IP> DNS. Появится окно настроек DNS. В этом окне ввести адрес DNS-сервера, который получен от компании — поставщика услуг интернета, или можно использовать общедоступный IP-адрес DNS (8.8.8.8) в поле ввода сервера.
2. Можно поместить вторичный IP-адрес DNS-сервера, нажав кнопку добавления нового значения (выпадающая кнопка), расположенную в окне ввода сервера.
3. При желании настройка роутера Mikrotik hap может дать использовать маршрутизатор в качестве DNS-сервера.
4. Нажать «Разрешить удаленные запросы», затем кнопку «Применить» и «ОК», после чего все IP-адреса могут использоваться как IP-адрес DNS-сервера, включая IP-адрес WAN, который является публичным.
5. Однако если кто-либо из локальной сети пользователя будет использовать его IP-адрес WAN в качестве DNS-IP, то он сможет применять это решение DNS, используя платную пропускную способность сети. Таким образом, лучше остановить запрос DNS за пределами локальной сети.
6. Чтобы остановить запрос DNS за пределами пользовательской локальной сети, нужно применить правила брандмауэра, которые выведут все DNS-запросы, исходящие из пользовательского интерфейса WAN (ether1).
7. Перейти в меню IP> Брандмауэр и нажать кнопку добавления новой кнопки (PLUS Sign). Появится новое окно «Правила брандмауэра».
8. На вкладке «Общие» выберите «Цепочка: вход», протокол: udp,Dst. Порт: 53 и дюйм. Интерфейс: ether1.
9. Настройка роутера Mikrotik rb951g 2hnd позволяет сделать широкий выбор.
10. Выбрать «Действие»: открыть вкладку «Действие» и нажать «Применить» и «ОК».
11. Теперь нужно создать другое подобное правило для TCP-соединения.
12. Нажать «Добавить новую кнопку» (PLUS Sign) еще раз и выбрать «Цепочка: вход», «Протокол»: tcp, Dst.Port: 53 и «In». Интерфейс: ether1, затем выбрать «Действие»: открыть вкладку «Действие» и нажать «Применить» и « ОК».
13. Теперь ваш DNS-сервер безопасен вне локальной сети.

Настройка роутера Mikrotik rb951ui 2hnd и конфигурация DNS завершена.