Настройка виртуальной wi-fi точки доступа в mikrotik

Введение

Как я уже сказал, у меня есть материал на тему настройки capsman в mikrotik. В наше время в связи со скоростью развития информационных технологий информация очень быстро устаревает. И хотя статья все еще актуальна, ее регулярно читают и используют, сейчас есть что к ней добавить.

Вышла новая версия технологии Controlled Access Point system Manager (CAPsMAN) v2. Я расскажу немного о ней. В своей работе буду опираться на опыт предыдущей статьи и на официальный Manual:CAPsMAN с сайта производителя микротиков.

В моем распоряжении будут 2 роутера wAP ac, которые настроены в соответствии с моими инструкциями на эту тему. Рекомендую на всякий случай ознакомиться с ними, чтобы было общее представление о базовых настройках роутеров. На одном из этих роутеров я настрою контроллер точек доступа, другую подключу к этому контроллеру. Обе точки образуют единую бесшовную wifi сеть с автоматическим переключением клиентов к ближайшей точке.

Примера из двух точек доступа будет достаточно для общего представления о работе технологии. Дальше эта настройка линейно масштабируется на необходимое количество точек доступа.

Election process

The election process in MSTP can be divided into two sections, intra region and inter region. For MSTP to work properly there will always need to be a regional root, that is the root bridge inside a region, and a CIST root, that is the root bridge between regions. A regional root is the root bridge inside a region, regional root bridge will be needed to properly set up load balancing for VLAN groups inside a region. CIST root will be used to configure which ports will be alternate/backups ports (inactive) and which ports will be root ports (active).

Note: Between regions there is no load balancing per VLAN group, root port election process and port blocking between MSTP regions is done the same way as in (R)STP. If CIST has blocked a port that is inside a MSTP region to prevent traffic loops between MSTP regions, then this port can still be active for IST to do load balancing per VLAN group inside a MSTP region.

The following parameters are involved to elect a regional root bridge or root ports inside a MSTP region:

Property	Description
priority (integer: 0..65535 decimal format or 0x0000-0xffff hex format; Default: 32768 / 0x8000)	/interface bridge msti, MST Instance priority, used to elect a regional root inside a MSTP region.
internal-path-cost (integer: 1..4294967295; Default: 10)	/interface bridge port, path cost to the regional root for unknown VLAN IDs (MSTI0), used on a root port inside a MSTP region.
priority (integer: 0..240; Default: 128)	/interface bridge port mst-override, MST port priority for a defined MST Instance, used on a bridge port on the regional root bridge.
internal-path-cost (integer: 1..200000000; Default: 10)	/interface bridge port mst-override, MST port path cost for a defined MST Instance, used on a non-root bridge port inside a MSTP region.

The following parameters are involved to elect a CIST root bridge or CIST root ports:

Property	Description
priority (integer: 0..65535 decimal format or 0x0000-0xffff hex format; Default: 32768 / 0x8000)	/interface bridge, CIST bridge priority, used to elect a CIST root bridge.
priority (integer: 0..240; Default: 128)	/interface bridge port, CIST port priority, used on a CIST root bridge to elect CIST root ports.
path-cost (integer: 1..4294967295; Default: 10)	/interface bridge port, CIST port path cost, used on a CIST non-root bridge port to elect CIST root ports.

Note: The sequence of parameters in which MSTP checks to elect root bridge/ports are the same as in (R)STP, you can read more about it at the section.

Настройка времени

Я рекомендую устанавливать правильное время и включать его автоматическую синхронизацию. Это может пригодиться, если вам понадобится посмотреть какие-нибудь логи и сопоставить время. Если оно не будет установлено, то это трудно сделать. Так что настроим его. Идем в System -> Clock, устанавливаем вручную время, дату и часовой пояс.

Сделаем так, чтобы время автоматически обновлялось через интернет. Идем в раздел System -> SNTP Client. Ставим галочку Enabled, в поле с адресами серверов вводим 193.171.23.163 и 85.114.26.194. Жмем Apply и наблюдаем результат синхронизации.

Теперь часы роутера всегда будут иметь актуальное время.

На этом базовая настройка роутера mikrotik для домашнего пользования закончена. Можно устанавливать его на место и пользоваться. На всякий случай рекомендую посмотреть статью с разбором основных ошибок в микротике.

Настройка Firewall и NAT

Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.

Откройте меню New Terminal для ввода команд.

Настройка NAT выполняется следующими командами:

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

, где ether1 — это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.

Настройки NAT достаточно, чтобы заработал интернет.

Protect router — команды для защиты роутера:

ip firewall filter add action=accept chain=input disabled=no protocol=icmpip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=ether1ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=ether1ip firewall filter add action=drop chain=input disabled=no in-interface=ether1

Protect LAN — защита внутренней сети:

ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customerip firewall filter add action=accept chain=customer connection-state=established disabled=noip firewall filter add action=accept chain=customer connection-state=related disabled=noip firewall filter add action=drop chain=customer disabled=no

Назначаем типы интерфейсов для защиты внутренней сети (external — внешний, internal — внутренний LAN):

ip upnp interfaces add disabled=no interface=ether1 type=externalip upnp interfaces add disabled=no interface=ether2 type=internalip upnp interfaces add disabled=no interface=ether3 type=internalip upnp interfaces add disabled=no interface=ether4 type=internalip upnp interfaces add disabled=no interface=ether5 type=internalip upnp interfaces add disabled=no interface=bridge-local type=internal

Tag Stacking

In the we were adding a new VLAN tag that was different from the VLAN tag, but it is possible to add a new VLAN tag regardless of the packet contents. The difference between the regular VLAN tunnelling setup is that the bridge does not check if the packet is tagged or untagged, it assumes that all packets that are received on a specific port are all untagged packets and will add a new VLAN tag regardless whether a VLAN tag is present or not, this is called Tag Stacking since it «stacks» VLAN tags on top of the previous tag, regardless of the VLAN tag type. This is a very common setup for networks that do not support the IEEE 802.1ad standard, but still want to encapsulate VLAN traffic into a new VLAN.

The VLAN tag that is going to be added depends on ether-type and PVID. For example, if you have and on a port, then the bridge will add a new IEEE 802.1Q VLAN tag right on top of any other tag (if such are present). The same VLAN filtering principles still apply, you have to determine which ports are going to be your trunk ports and mark them as tagged port, determine your access ports and add them as untagged ports.

To explain how VLAN tagging and untagging works with tag stacking, lets use the same network topology as before:

Basic VLAN switching

What we want to achieve is that regardless what is being received on ether2 and ether3, a new VLAN tag will be added to encapsulate the traffic that is coming from those ports. What tag-stacking does is forces a new VLAN tag, so we can use this property to achieve our desired setup. We are going to be using the same configuration as in the , but with tag stacking enabled on the access ports:

/interface bridge
add name=bridge1 vlan-filtering=yes ether-type=0x8100
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2 tag-stacking=yes pvid=20
add bridge=bridge1 interface=ether3 tag-stacking=yes pvid=30
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether1 untagged=ether3 vlan-ids=30

Note: The added VLAN tag will use the specified ether-type. The selected EtherType will also be used for VLAN filtering. Only the outer tag is checked, but with tag stacking the tag checking skipped and assumes that a new tag must be added either way.

Lets assume that the devices behind ether2 and ether3 are sending tagged VLAN40 traffic. With this configuration ALL packets will get encapsulated with a new VLAN tag, but you must make sure that you have added the VLAN ID from the outer tag to the bridge VLAN table. The VLAN40 is not added to the bridge VLAN table since it is the inner tag and it is not checked, we are only concerned about the outer tag, which is either VLAN20 or VLAN30 depending on the port.

Similarly to other setups, the bridge VLAN table is going to be used to determine if the VLAN tag needs to be removed or not. For example, ether1 receives tagged VLAN20 packets, the bridge checks that ether2 is allowed to carry VLAN20 so it is about to send it out through ether2, but it also checks the bridge VLAN table whether the VLAN tag should be removed and since ether2 is marked as an untagged port, then the bridge will forward these packets from ether1 to ether2 without the VLAN20 VLAN tag.

Технические данные Mikrotik SXT SA ac

Новинка обладает достаточно незаурядными техническими данными. Ее рабочий частотный диапазон – 5 GHz, а максимальная выходная мощность составляет 1300 mW. Коэффициент усиления антенны составляет 13 dBi при ширине луча – 90⁰.

Чтобы справляться с высокой пропускной способностью, инженеры компании производителя построили RBSXTG-5HPacD-SA на базе мощного и нового сетевого процессора QCA9557 с тактовой частотой в 720MHz, и снабдили устройство 128 MB оперативной DDR2 памяти.

Как и большинство точек доступа серии SXTG, Routerboard SXTG-5HPacD-SA имеет 10/100/1000Mbit/s Gigabit Ethernet порт для связи с проводными сетями, и дополнительно – датчики температуры и напряжения, звуковой индикатор и ряд светодиодных индикаторов.

Начальная настройка WiFi 2.4ГГц и 5ГГц

В данной статье мы не будем глубоко погружаться в настройку WiFi. Для этого будет отдельная статья.

Остановимся на основных настройках. Этого будет достаточно, чтобы быстро запустить wifi дома или в небольшом офисе.  

Первым делом переходим на вкладку Quick Set и устанавливаем пароль. Для этого нужно выбрать стандарт безопасности WPA2 (для старых устройств, возможно, потребуется установить и WAP).

Winbox wifi wisp ap

После выбора типа шифрования откроется поле для ввода пароля и выбора алгоритма шифрования.  Вводим пароль, выбираем алгоритм шифрования «aes ccm», в поле «Country» (Страна) выбираем «russia» и не забываем указать название нашей сети в поле «Network Name» (в нашем примере это wifi-itobereg)

Обратите внимание, что длина пароля обязательно должна быть от 8 символов. .  Winbox WiFi WISP AP WPA2 aes

 Winbox WiFi WISP AP WPA2 aes

Если Ваш маршрутизатор работает только на частоте 2.4ГГц, остается нажать кнопку «Apply» (применить) и на этом настройку можно закончить.

Но если у Вас, как в нашем случае, двухдиапазонный маршрутизатор (работает на частотах 2.4ГГц и 5 ГГц), нужно выполнить ещё несколько действий. Если вы обратили внимание, имя для wifi сети в варианте настроек «WISP AP» указывается только для одной wifi-сети, которая работает на частоте 5ГГц, а имя для второй wifi-сети указать негде. Для того, чтобы настроить вторую wifi-сеть, нужно изменить  режим настроек «Quick Set» с «WISP AP» на «Home AP Dual».  В этом режиме появляется возможность настроить оба wifi интерфейса на 2.4ГГц и 5 ГГц

Указываем имена сетей и нажимаем кнопку «Apply» (применить).

Мы рекомендуем в названиях сетей указывать их частоту. В нашем примере это wifi-itobereg-2g и wifi-itobereg-5g.

Winbox Wifi Home AP Dual

На этом первоначальная настройка маршрутизатора закончена.

Важно понимать, что это всего лишь небольшой начальный набор действий для быстрого запуска локальной сети и wifi-сети дома или в небольшом офисе. 

Маршрутизаторы MikroTik имеют очень большой функционал, который может помочь решить вам самые сложные задачи. Об этом вы можете узнать у нас на сайте в разделе MikroTik  

Быстрая настройка MikroTik CPE

Режим Quick Set CPE предназначен для быстрой настройки MikroTik в качестве репитера(усилителя) WiFi . Радиомодуль WiFi будет подключаться к существующему WiFi и передать сигнал дальше

В режиме работы репитера(усилителя) WiFi важно правильно расположить MikroTik, т.к. недостаточный уровень сигнала между основным передатчиком и репитером(усилителем) будет отражаться на скорости WiFi клиентов, которые использует репитер(усилитель)MikroTik как точку доступа

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Поддержка настройки Quick Set CPE

1. Выбрать точку доступа, к которой будет происходить подключение;
2. Указать пароль WiFi, параметр WiFi Password;
3. Нажать кнопку Connect;
4. Выбрать режим работы, параметр Mode;
5. Присвоить IP адрес типа LAN, параметр IP Address;
6. Указать маску подсети для LAN порта, параметр Netmask;
7. Объединить все порты в Bridge, параметр Bridge All LAN Ports;
8. Обновить прошивку, кнопка Check For Updates;
9. Указать пароль администратора, кнопка Password.

Настройка WAN интерфейса MikroTik

Смена MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.

Изменить MAC адрес MikroTik

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

, где ether1 — имя интерфейса.

Вернуть родной MAC адрес MikroTik

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

1. Открываем меню IP;
2. Выбираем DHCP Client;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в списке Interface выбираем WAN интерфейс ether1;
5. Нажимаем кнопку OK для сохранения настроек.

Настройка DHCP клиента MikroTik

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Получение IP адреса по DHCP MikroTik

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

1. Открываем меню IP;
2. Выбираем Addresses;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Address прописываем статический IP адрес / маску подсети;
5. В списке Interface выбираем WAN интерфейс ether1;
6. Для сохранения настроек нажимаем кнопку OK.

Настройка статического адреса MikroTik

Настроим адрес интернет шлюза MikroTik:

1. Открываем меню IP;
2. Выбираем Routes;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Gateway прописываем IP адрес шлюза;
5. Нажимаем кнопку OK для сохранения настроек.

Настройка шлюза MikroTik

Добавим адреса DNS серверов MikroTik:

1. Открываем меню IP;
2. Выбираем DNS;
3. В появившемся окне нажимаем кнопку Settings;
4. В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
5. Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
6. В новом поле прописываем IP адрес альтернативного DNS сервера;
7. Ставим галочку Allow Remote Requests;
8. Нажимаем кнопку OK для сохранения настроек.

Настройка DNS MikroTik

Проверим, что есть доступ к интернету:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

1. Слева выбираем меню PPP;
2. Нажимаем кнопку Add (плюсик);
3. Выбираем PPPoE Client.

Настройка PPPoE MikroTik

Настраиваем параметры PPPoE соединения MikroTik:

1. В поле Name указываем имя соединения;
2. В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
   Выбор интерфейса PPPoE MikroTik
3. Переходим на вкладку Dial Out;
4. В поле User указываем имя пользователя;
5. В поле Password вводим пароль;
6. Ставим галочку Use Peer DNS;
7. Нажимаем кнопку OK.

Настройка пользователя и пароля PPPoE MikroTik

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

PPPoE соединение на MikroTik установлено

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Выбор режима работы

Сначала в левом верхнем углу выбираем режим CPE (клиент).

В разделе Configuration необходимо выбрать режим работы сети.

Режим Router — используют, когда подключаются к Wi-Fi точке или базовой станции провайдера и хотят скрыть клиентов, которые будут находится за точкой, в отдельную подсеть. Иначе каждому клиенту потребовалось бы заключать договор с провайдером на подключение к интернету. В этом режиме провайдер не видит абонентов, находящихся за клиентской Wi-Fi точкой. Беспроводная точка играет роль маршрутизатора (интернет шлюза) для клиентов.

Клиентская Wi-Fi точка позволяет подключить по кабелю только один компьютер. Но если к устройству подключить Wi-Fi роутер, то вы сможете раздавать интернет по Wi-Fi и по кабелю нескольким абонентам (компьютерам, смартфонам, телефонам).

Если вы используете Wi-Fi точку для подключения к соседскому Wi-Fi роутеру, рекомендуем использовать режим Router. Бывают ситуации, когда в режиме Bridge клиентская точка подключается к Wi-Fi роутеру и получает автоматические сетевые настройки, но компьютер не может получить настройки и выйти в интернет. В этом случае используйте режим Router.

Режим Bridge — используют, когда необходимо видеть все устройства, находящиеся за клиентской Wi-Fi точкой. При этом все абоненты находятся в одной сети и могут передавать данные друг другу.

Например, у вас есть главный офис и несколько удаленных складов, которые нужно объединить в общую компьютерную сеть. Для данной задачи больше подойдет режим Bridge. При использовании этого режима центральный роутер предприятия будет раздавать автоматические сетевые настройки всем компьютерам в сети, включая удаленные склады.

Mode station-pseudobridge

From the wireless connection point of view, this mode is the same as standard station mode. It has limited support for L2 bridging by means of some services implemented in station:

• MAC address translation for IPv4 packets — station maintains IPv4-to-MAC mapping table and replaces source MAC address with its own address when sending frame to AP (in order to be able to use 3 address frame format), and replaces destination MAC address with address from mapping table for frames received from AP. IPv4-to-MAC mappings are built also for VLAN encapsulated frames.
• single MAC address translation for the rest of protocols — station learns source MAC address from first forwarded non-IPv4 frame and uses it as default for reverse translation — this MAC address is used to replace destination MAC address for frames received from AP if IPv4-to-MAC mapping can not be performed (e.g. — non-IPv4 frame or missing mapping).

This mode is limited to complete L2 bridging of data to single device connected to station (by means of single MAC address translation) and some support for IPv4 frame bridging — bridging of non-IP protocols to more than one device will not work. Also MAC address translation limits access to station device from AP side to IPv4 based access — the rest of protocols will be translated by single MAC address translation and will not be received by station itself.

This mode is available for all protocols except nv2 and should be avoided when possible. The usage of this mode can only be justified if AP does not support better mode for L2 bridging (e.g. when non-RouterOS AP is used) or if only one end-user device must be connected to network by means of station device.

Настройка работы в режиме Router

В разделе Configuration выберите режим работы Router.

Если ваш провайдер выдает сетевые настройки автоматически по DHCP, то в разделе Wireless Network сделайте следующие настройки:

Address Acquisition — выберите Automatic.

Если провайдер использует статические сетевые настройки, в разделе Wireless Network сделайте следующие настройки:

• Address Acquisition — выберите Static;
• IP Address — введите IP адрес, который вам выдал провайдер. Обычно статические настройки указаны в договоре с провайдером;
• Netmask — укажите маску;
• Gateway — введите адрес шлюза;
• DNS Servers — укажите адреса DNS серверов.

Если провайдер использует соединение по PPPoE, в разделе Wireless Network сделайте следующие настройки:

• Address Acquisition — выберите PPPoE;
• PPPoE User — введите имя пользователя;
• PPPoE Password — введите пароль;
• PPPoE Service Name — введите имя сервиса.

Теперь выполним настройку локальной сети в разделе Local Network:

• IP Address — указываем IP адрес клиентской Wi-Fi точки. Оставим стандартный 192.168.88.1;
• Netmask — выберем стандартную маску для нашей подсети 255.255.255.0;
• DHCP Server — поставьте галочку, чтобы включить DHCP сервер. Он позволит автоматически раздавать сетевые настройки клиентам, находящимся за устройством;
• DHCP Server Range — диапазон IP адресов, которые будут выдаваться подключающимся клиентам. Вводим диапазон 192.168.88.10-192.168.88.254;
• NAT — ставим галочку, чтобы разрешить клиентам выход в интернет.

Изменение IP адреса

Если вы захотите раздавать интернет с репитера через сетевой порт (например, подключить к репитеру компьютер по кабелю), или захотите заходить в Web-настройки MikroTik со смартфона, то необходимо изменить стандартный IP адрес устройства 192.168.88.1 на IP адрес из подсети главного роутера.

Для этого откройте меню IP — Addresses и сделайте двойной клик на адресе по умолчанию. В появившемся окне в поле Address укажите необходимый IP адрес репитера MikroTik, а в поле Network укажите адрес подсети главного роутера. Далее нажмите кнопку OK.

После этого к LAN порту можно подключать компьютер или заходить со смартфона в настройки репитера по указанному IP адресу.

Как защитить Mikrotik?

Благо с базовой настройкой мы разобрались, интернет у нас работает и теперь мы можем перейти к защите нашего роутера, что бы никто посторонний, не смог завладеть нашим роутером.

Обновляем до последней версии

Начнем с обновления роутера до последней версии. Для этого перейдем в соответствующий пункт меню . В открывшемся меню нажимаем на

В появившемся окне выбираем в положение или если такого пункта нет, то — и жмем

ЛИБО, если у вас ранее Mikrotik нашел последнее обновление, то меню будет выглядеть сразу таким образом, где нам нужно будет нажать кнопку :

После нажатия данной кнопки начнется скачивание и установка последней версии обновлений, после чего ваш роутер автоматически перезагрузится.

Устанавливаем пароль администратора

Для того, что бы установить/поменять пароль администратору нужно зайти в меню System -> Users

Мы не будем устанавливать пароль администратору по умолчанию , так как это стандартный логин который знают все, что бы усложнить жизнь тем, кто попытается взломать наш роутер, мы создадим нового администратора и зададим ему пароль. А — банально, удалим.

Для того, что бы создать нового администратора либо пользователя — нажимаем на

В открывшемся окне задаем:

1. Имя нового администратора — Пример:
2. Выставляем полные права
3. Устанавливаем сложный пароль

Отлично, пользователя создали

Очень важно не забыть удалить старого пользователя admin. Для этого кликаем один раз на пользователя и нажимаем на красный минус

В итоге в списке пользователей у нас остается лишь новый администратор который мы создали ранее

Закрываем не нужные доступы

Не стоит забывать о том, что изначально на роутере открыты различные порты, а именно () через которые не только вы можете подключаться к нему, но и злоумышленники. Что бы закрыть доступ извне, или хотя бы жестко ограничить перейдем в пункт меню IP -> Services

Здесь мы можем видеть какие порты открыты, а какие нет. В нашем случае, думаю и в вашем здесь будет подобная картина.

Если вы не планируете подключаться к роутеру через , , или браузер, а будете использовать лишь WinBox (Что, кстати, правильно), тогда следуем следующим пунктам:

1. Для начала отключим все не нужные сервисы. Для этого кликаем на не нужный и нажимаем красный крестик. (В моем случае, не нужные ftp, ssh, telnet, www.) Кстати сервисы API и API-SSL можете не отключать, хотя, они нам тоже не нужны.

1. Так как мы будем использовать лишь подключение через Winbox нам нужно настроить сервис оставшийся сервис winbox, название как мы видим, говорит само за себя 🙂 Два раза кликаем на сервис, открывается новое окно

Для начала давайте изменим порт на какой-то другой, ибо все знают и постоянно сканируют. Зададим к примеру — . Уверен никто не будет заморачиваться пытаться подключиться к вашему роутеру через не стандартный порт.

Затем, в разделе Available From кликаем на пустое поле и задаем IP-адрес с которого можно будет подключаться к вашему роутеру. Будьте внимательны, вводя свой IP-адрес, так как одна левая цифра и к роутеру вы уже фиг подключитесь.

Вводим сперва IP-адрес нашей подсети вместе с маской. В нашем случае —

P.S. Здесь же можно задать несколько IP-адресов, просто нажимая стрелочку вниз (Справа от поля в которое мы вводили адрес). Лично я задаю вторым полем рабочий IP-адрес, что бы можно было подключаться к роутеру с рабочего места.

И нажимаем OK
Если вы все сделали правильно, у вас предыдущем окне появятся наши прописанные адреса

Супер, с этим разобрались. Теперь никто из посторонних людей не сможет к вам подключиться и сделать плохо вашему роутеру.

ВАЖНО Если вы при настройке порта для WinBox указали по мимо локального IP-адреса, дополнительный. Не забудьте открыть для него полный доступ к роутеру, ибо не сделав этого, вы не сможете подключиться удаленно к роутеру

Для этого заходим в меню IP -> Firewall и создаем новое правило:

В появившемся меню в первой вкладке изменяем параметр в положение Input.
Затем в Address прописываем IP адрес которому нужно разрешить подключение к роутеру. Так как я задавал IP-адрес () я прописываю его здесь.

Теперь можно нажать ОК и передвинуть правило практически в самый вверх списка всех правил

Настройка локальной сети MikroTik LAN

В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridg может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты роутер станет точкой доступа WiFi или свитчом.

Стоит учитывать, что такое объединение  управляется CPU. Этот факт важен при значительных нагрузках на CPU.

Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:

1. Объединение все локальных портов в Bridge;
2. Настройка локального IP адреса для роутера MikroTik;
3. Настройка DHCP сервера.

Настройка находится в основном меню Bridge→Bridge

добавление нового bridge

/interface bridge add name=bridge-1

добавление портов(LAN, VLAN, WLAN и тд)

/interface bridge port add bridge=bridge-1 hw=yes interface=ether2
/interface bridge port add bridge=bridge-1 hw=yes interface=ether3
/interface bridge port add bridge=bridge-1 hw=yes interface=ether4
/interface bridge port add bridge=bridge-1 hw=yes interface=ether5

/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2

Hardware Offload — аппаратная поддержка bridge отдельным чипом. .

По итогам, закладка Bridge→Ports должна иметь вид:

После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge-1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge-1.

Настройка находится в IP→Addresses

/ip address add address=192.168.0.1/24 interface=bridge-1 network=192.168.0.0

Настройка Virtual AP

Бывают ситуации, когда одного SSID мало или нужно разграничить каждого клиента на свою точку в сценариях сегментации сети по VLAN. Существует функционал виртуальной точки доступа (MikroTik Virtual AP). Поддерживается до 128 таких точек на одну физическую. Т.к. у нас устройство с двумя антеннами, то нам доступны 256. Чтобы создать виртуальную точку доступа нужно перейти в список беспроводных интерфейсов, нажать плюс и выбрать Virtual.

Так же переключаем в Advanced Mode. Бросается в глаза что функционала здесь не так много, как в предыдущих примерах. Мы можем выбрать:

• Режим работы;
• SSID;
• Основной интерфейс;
• Профиль безопасности;
• Ну и поиграться с VLAN.

После создания появляется зависимый интерфейс.

Теперь можно подключаться к виртуальной точке по заданному SSID.

F.A.Q

How is Quickset different from the Webfig tab, where a whole bunch of new s appear? If you need more options, do not use any Quickset settings at all, click on «Webfig» to open the advanced configuration interface. The full ality is unlocked. Can I use Quickset and Webfig together? While settings that are not conflicting can be configured this way, it is not ed to mix up these s. If you are going to use Quickset, use only Quickset and vice versa. What’s is difference between Router and Bridge mode? Bridge mode adds all interfaces to the bridge allowing to forward Layer2 packets (acts as a hub/switch). In Router mode packets are forwarded in Layer3 by using IP addresses and IP routes (acts as a router). In HomeAP mode, should the 2GHz and 5GHz network names be the same, or different? If you prefer that all your client devices, like TV, phones, game consoles, would automatically select the best preferred network, set the names identically. If you would like to force a client device to use the faster 5GHz 802.11ac connection, set the names unique.

MikroTik

WISP AP на роутере MikroTik – что это такое? У «Микротик» данный «мод» обозначает немного другое значение. Раз вы задаетесь таким вопросом, то скорее вы уже приступили к настройке этого чудного аппарата через «Quick Set». Эта функция позволяет быстро настроит роутер без муторных, педантичных конфигураций. Можно сказать некий «Быстрый старт».

В верхней части можно выбрать несколько вариантов:

• CAP – управляемая точка доступа;
• CPE — вот данный режим и отображает реальный «WISP», кагда клиентский аппарат подключается к другой вайфай сети;
• HomeAP – обычный домашнего роутера с меньшим количеством настроек;
• PTP Bridge APCPE – тут все понятно – «Режим моста». Для организации нужно два аппарата, один будет работать в AP, а второй в CPE;
• WISP AP – по сути это HomeAP, но там конфигурация более детальная, для более продвинутых пользователей;
• Basic AP – пуста конфигурация для развертывания.

Для настройки заполняем конфигурацию в левом блоке «Wireless» для настройки беспроводного мода. Вписываем имя сети и пароль от неё. Чтобы появилась строка ввода пароля укажите типа шифрования как WPA2 и WPA. Тут ничего сложного нет все как на других роутерах.

Справа идут настройки IP, маски и DNS адресов. По идее эти настройки роутер должен получать от провайдера. Тогда просто ставим режим «Automatic». Если у вас статический IP с маской, то ставим «Static» и вписываем данные с листа. В разделе «Local Network» идёт настройка «айпи» адреса шлюза или нашего Микротика и диапазон локальных адресов.

Описание SXT SA5 ac (RBSXTG-5HPacD-SA)

Одна из новейших моделей беспроводных точек доступа серии SXT от компании Mikrotik, поддерживающая работу одного из самых современных стандартов связи IEEE802.11ac и скорость передачи данных свыше 540 Mbit/s.

Особенности

Главной особенностью Routerboard SXTG-5HPacD-SA, как можно догадаться, является возможность работы с совершенно новым стандартом беспроводной связи IEEE802.11ac. Однако, устройство также может работать и со стандартами IEEE802.11a/n, и Nstream, и Nv2, тем самым обеспечивая полную совместимость с более ранними моделями беспроводных точек доступа Mikrotik.

А специфика данной модели заключается в широком угле излучения, который составляет 90⁰. Таким образом, SXT SA ac может быть использована в качестве секторной базовой станции для построения сетей с топологией точка-многоточка.