Рассказываю про настройку защищенных беспроводных сетей MikroTik hAP AC в двух диапазонах: 2.4 ГГц и 5 ГГц.
Преамбула
Я ожидаю, что читатель знаком с устройствами RouterBOARD, операционной системой RouterOS, владеет инструментами их настройки (SSH или Winbox) или, по крайней мере, изучил предыдущие главы.
Убедитесь, что в разделе Interfaces у вас присутствуют неиспользуемые интерфейсы wlan1 и wlan2 .
Что такое профиль безопасности
Профили безопасности определяют процедуры аутентификации устройств и шифрования передаваемых данных.
Наиболее часто встречаются три режима аутентификации:
- открытый подразумевает свободное подключение клиентов;
- на основе общего ключа — так называемый Pre-Shared Key PSK , — тот самый пароль, запрашиваемый при подключении к сети;
- Extensible Authentication Protocol EAP использует проверку подлинности клиентских устройств с помощью внешних сервисов.
Алгоритмов шифрования больше:
- открытый (отсутствие шифрования, данные передаются в исходном виде);
- скомпрометированный WEP (а также его усовершенствованные версии CKIP и TKIP );
- AES/CCMP на основе AES256 .
Аббревиатуры WPA и WPA2 как раз определяют алгоритм шифрования: TKIP для первого и AES — для последнего.
В примере будут использоваться PSK , WPA2 и динамические ключи.
Настройка профиля безопасности
Wireless — Security Profiles содержит дефолтный профиль, задайте в его настройках наиболее строгие параметры.
Пароль для доступа к будущей беспроводной сети задается атрибутом WPA2 Pre-Shared Key. Используйте значение повышенной сложности; к сетям с этим профилем подключайте только доверенные устройства.
Настройка беспроводных интерфейсов
MikroTik hAP AC оснащен двумя трансиверами: wlan1 отвечает за диапазон 2.4 ГГц, wlan2 — за 5 ГГц. Процесс их конфигурирования практически не отличается, поэтому подробно будет рассмотрена настройка только одного из них.
В разделе Wireless — WiFi Interfaces откройте окно настройки интерфейса wlan1 . Переключитесь в расширенный режим, нажав кнопку Advanced Mode.
Вкладка «Wireless»
MikroTik поддерживает уйму режимов: от alignment-only для юстировки антенн до wds slave для построения распределенных беспроводных сетей. Для дома или офиса подойдет ap bridge .
Стандарт беспроводной сети определяет скорость передачи данных. По возможности используйте самый современный — 2GHz-only-N , избегайте устаревших с индексами B или G (при наличии соответствующих устройств будет выбран самый низкий для всех подключений).
Channel Width
Ширина канала влияет на скорость передачи данных, радиус покрытия и интерференцию. При использовании стандарта 2GHz-only-N стоит выбрать значение 20/40 MHz XX , в остальных случаях — оставить 20 MHz .
Индекс определяет направление увеличения емкости канала ( C — основной, e — дополнительный). Ce (расширение следующим каналом), eC (расширение предыдущим каналом) и XX (автоматический выбор направления).
Frequency
Несущая частота — один из немногих параметров, настройка которого может принести пользу. Кнопка Freq. Usage запускает утилиту мониторинга частотного диапазона, изучив картину которого вы сможете выбрать наиболее свободный канал. При отсутствии проблем дайте устройству сделать это самостоятельно — значение auto .
SSID и Radio Name
В имени беспроводной сети имеет смысл отразить используемый частотный диапазон; например: Mikrotik 2,4GHz .
Параметр Radio Name можно игнорировать: он используется только взаимодействующими между собой устройствами MikroTik.
Wireless Protocol
Устройства MikroTik поддерживают как общепринятые протоколы беспроводной связи, так и собственные. Проприетарные недоступны для устройств других марок, поэтому используйте 802.11 .
Security Profile
Выберите из списка уже настроенный профиль безопасности — default .
WPS Mode
Frequency Mode
Дополнительные настройки manual-txpower и superchannel частотного режима позволят управлять мощностью излучателя. regulatory-domain использует законодательные ограничения выбранной страны (для России это 20 dBm).
Country
Власти ряда стран (например, Франции) законодательно ограничивают возможность использовать полный частотный спектр. (В Японии — наоборот, разрешают лишний канал.) Старайтесь использовать актуальное значение — укажите страну, в которой эксплуатируется оборудование.
WMM Support
Если устройство используется дома, укажите enabled для поддержки Wi-Fi Multimedia; для офиса, кафе или конференц-зала — disabled .
Bridge Mode
Default Authenticate
Аутентифицировать клиентов, которых нет в белых списках; активируйте опцию.
Default Forward
Разрешить маршрутизацию для клиентов, отсутствующих в белых списках; активируйте опцию.
Multicast Helper
Для дома, где используется IPTV, укажите full . В иных случаях — default (что равноценно disabled ).
Multicast Buffering и Keepalive Frames
Главным образом служат для корректной доставки пакетов на мобильные устройства, переходящие в энергосберегающий режим со сниженным использованием доступа к беспроводным сетям. Активируйте оба пункта.
Advanced
Distance
Используйте indoors для всего «гражданского» оборудования.
Hw. Protection Mode (защита от скрытого узла)
Узнайте больше о «проблеме скрытого узла». Иначе используйте значение rts cts .
При использовании режима rts cts в диапазоне 5 ГГц мой Айфон примерно каждые двадцать минут (или в процессе интенсивной сетевой активности) терял соединение. Измените значение опции, если столкнулись с аналогичной проблемой.
Adaptive Noise Immunity
Позволяет снижать интерференцию и влияние радиошумов на работу сети. Используйте ap and client mode — хуже не будет.
Guard Interval
Используйте long для N -стандарта; иначе — any .
Nstreeme
Деактивируйте все опции.
Tx Power
Tx Power Mode
Если хотите снизить мощность передатчика, используйте all rates fixed и явно задайте значение Tx Power. Начинайте, например, с 2 dBm и плавно повышайте значение до обеспечивающего стабильное соединение в радиусе действия. Иначе оставьте default .
Настройка моста для обслуживания беспроводных интерфейсов
В разделе Bridge — Ports добавьте два элемента: по одному на каждый беспроводной интерфейс. Мост для обоих — bridge-private .
Очень часто у нынешних «Системных администраторов», возникает проблема с настройкой 802.11 оборудования, попробую объяснить на доходчивом уровне.
В данном посте попробую рассказать, как настроить обычную точку доступа на оборудовании MikroTIk 751,951,2011 etc 802.11 b/g/n
Я приведу пример готовой настройки и расскажу только об основных настройках, так как в рамках одной стати сложно описать весь принцип работы и настройки 802.11.
Прошу не считать данный пост как догму.
И так прежде чем настраивать MikroTik, я рекомендую, сбрось настройки WLAN.
Вкладка (Wireless)
Mode: — режим работы нашей карточки выбираем «ap bridge»
Band: — Какие стандарты будут поддерживаться нашей точкой доступа, выбираем «2ghz-b/g/n»
SSID: — Тут всё просто, название нашей сети
Wireless Protocol: какие протоколы для работы будет использоваться наша точка, тут стоит указать только 802.11, так как мы не будем делать «Новогоднюю ёлку из нашей точки доступа», а просто обычная точка доступа.
Country: Выбираем нашу страну. Наверняка возникает вопрос, а зачем? Ответ: Законодательством разных стран, разрешены разные частоты, чтобы нам не получить аплеуху от РОСКОМНАДЗОР-а, MikroTik не даст нам возможности работать с другими частотами.
Antenna Gain: Если у вас есть внешняя антенна обязательно укажите её усиление, с расчётом -0,5, на соединительный узел. А также если вы используете кабель, посмотрите маркировку на кабеле, затухание на единицу измерения (метр, 10 метров etc) кабеля и введите значение с учётом затухания кабеля.
WMM Support: Если вы будите использовать Multicast, то установите эту опцию в Enabled, это даст большие гарантии на доставление этого пакета. Если вы настраиваете MikroTik дома то включите эту опцию, если же это ресторан или конференц зал, то сожрать весь канал может один клиент.
Вкладка (Data Rates)
Здесь всё просто
Rate Selection: выбираем Legaсy расширенная поддержка (для старых устройств), без этой опции старый баркодер не как не хотел ужиться с Mikrotik-ом
Вкладка. (Advanced)
Distance: Очень интересный параметр, если клиенты находятся в одном помещении и примерно на одном расстоянии, ну допустим все в радиусе 20 метров от точки доступа то укажите indoors, если у вас открытая местность поле или конференц зал, и клиенты находятся на разных расстояниях более 0-20 метров то укажите значение dynamic. Ну и третье если клиенты находятся на одном расстоянии, допустим 1км, то так и укажите. Данная опция позволяет Mikrotik по вшитому алгоритму рассчитывать доставлен ли пакет до нужного адресата.
Periodic Calibration: Дело в том, что чип WiFi во время свое работы греется, и из-за этого может частота съезжать немного, соответственно включите эту опцию. Следующее поле оставьте равным одной минуте. Будет происходить калибровка частоты каждую минуту.
Не хотел писать про этот пункт.
Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts».
Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию.
Как пример представим себе некое поле (То которое на рабочем столе Windows XP).
На нём располагается точка доступа на рисунке красная точка, и её радиус бледно красным.
А также
Шрайбикус (A), Вася (B), Коля (С)
Шрайбикус и Вася могут быть нормальными участниками и работать в сети без сбоев, но, а вот из-за Коляна могут возникнуть проблемы у всех, дело в том, что Шрайбикус и Вася могут общаться напрямую и определять, кто из них будет вещать в данный промежуток времени. А вот Коля не видит не одного из участников нашей сети, и может смело вещать в любой момент даже в тот, когда Вася или Шрайбикус будут также вещать, из-за этого и появляются коллизии.
Вернёмся к настройке MikroTik значение rts cts, если просто то «Точка доступа сама будет управлять, кому вещать в данный момент», что решит проблему скрытого узла. Данный параметр слегка снизит пропускную способность, и увеличит нагрузку на точку доступа. (Обязательный параметр)
Adaptive Noise Immunity: этот параметр позволяет чипу 802.11, отфильтровывать шумы, ну как пример отражённый сигнал самой точки доступа от соседнего здания. Установите значение равное “ap and client mode”
Вкладка (HT)
Здесь поставить только две галки
HT Tx Chains – Установить галки в chain0 и chain1
HT Rx Chains – Установить галки в chain0 и chain1
У SOHO MikroTik обычно две встроенные антенны, соответственно данный параметр говорит через какие антенны принимать и передавать.
Вкладка (TX Power)
1W(по умолчанию обязательно убрать ) — Микроволновка ))))
Настоятельно рекомендую установить значение, равным 15 и если не будет хватать, то поднять не белее 17-19.
Собственно всё, мы почти закончили теперь нам необходимо выбрать канал (частоту) и ширину канала.
Именно на этом этапе чаще всего допускаю ошибки, поэтому оставил на конец.
И так откинем сразу шируну канала 5 и 10 MHz, так как половина домашнего оборудования на такой ширине работать не будет. В следующих постах расскажу, где можно использовать такую ширину.
Нам доступен следующий диапазон 2412-2472, хитрым математическим анализом мы узнали, что нам доступна ширина в 60MHz.
Давайте посмотрим спектральный анализ всего диапазона.
[admin@test] /interface wireless> spectral-history wlan1 range=2412-2472
Мы видим, что для нас оптимальный вариант это частоты 2425-2445 (2437)
Мы видим, что вроде всё хорошо, а теперь посмотри, кто и что сидят в эфире.
[admin@test] /interface wireless> scan wlan1
ADDRESS | SSID | BAND | CHANNEL-WIDTH | FREQ | SIG | NF | SNR | |
AP | AC:F1:DF:26:29:60 | sunchess | 2ghz -n | 20mhz | 2412 | -88 | -115 | 27 |
AP | 1C:AF:F7:28:55:32 | Irisha | 2ghz -n | 20mhz | 2412 | -45 | -115 | 70 |
AP | 54:E6:FC:CD:4D:70 | PAL | 2ghz -n | 20mhz | 2417 | -87 | -116 | 29 |
AP | 26:FF:3F:46:1B:74 | InterZet-107 | 2ghz -n | 20mhz | 2417 | -82 | -116 | 34 |
AP | A0:21:B7:BC:91:1A | 2ghz -n | 20mhz | 2422 | -82 | -117 | 35 | |
AP | 90:F6:52:99:AB:F4 | Igor | 2ghz -n | 20mhz | 2432 | -62 | -118 | 56 |
AP | 90:F6:52:C8:F2:30 | TP-LINK_C8F230 | 2ghz -n | 20mhz | 2437 | -78 | -118 | 40 |
P | 00:21:27:E9:C5:C4 | SeRgey-Net | 2ghz -n | 20mhz | 2437 | -89 | -118 | 29 |
AP | DE:71:44:4F:44:73 | DIRECT-hB[TV]UE32ES6307 | 2ghz -n | 20mhz | 2437 | -79 | -118 | 39 |
AP | 00:14:D1:3B:5C:B3 | TRENDnet | 2ghz -n | 20mhz | 2437 | -76 | -118 | 42 |
P | A0:F3:C1:84:C2:CA | Nos_FamilyNet | 2ghz -n | 20mhz | 2442 | -90 | -117 | 27 |
AP | F8:D1:11:43:94:00 | iz-gw-48312-160 | 2ghz -n | 20mhz | 2452 | -74 | -116 | 42 |
AP | B8:A3:86:1F:C3:AE | nasha | 2ghz -n | 20mhz | 2457 | -54 | -116 | 62 |
AP | 90:A4:DE:5C:1D:95 | Connectify-me | 2ghz -n | 20mhz | 2462 | -72 | -117 | 45 |
AP | 54:04:A6:C6:AC:94 | ASUS | 2ghz -n | 20mhz | 2462 | -58 | -117 | 59 |
00:00:00:00:64:00 | AC 2 2 0 0 FAC 4… | 2ghz -n | 20mhz | 2472 | -89 | -117 | 28 | |
P | BC:F6:85:3F:2A:9A | Dimitrakis | 2ghz -n | 20mhz | 2437 | -91 | -118 | 27 |
AP | E0:91:F5:E7:D8:72 | bui_family | 2ghz -n | 20mhz | 2437 | -90 | -118 | 28 |
В данном выводе меня смутил одни товарищ, который выделен, название очень смахивает на телевизор, если на телике смотрят видео, а не телетекст то на этом канале мы можем попрощаться с нормальной работой WIFI, так как мультикаст и потоковое видео будет занимать весь свободный канал. (поживём увидим)
В нашем случае оптимальный канал это 2437. мы будем делить канал между 2427-2447.
Ширина канала выбирается просто, если у нас во всём диапазоне всего пару точек, и всё они без каких, либо косяков, что-то вроде мультикаста и т.п.д.
Каналы 2412-2457 можно использовать как Above
Каналы 2432-2472 можно использовать как Below
Но такую ширину использовать только, когда действительно у вас частота чистая.
Также стоит ещё раз напомнить, что WIFI это единая среда передачи данных. Если вдруг на тех же частотах(2452-2472), появится клиент с 802.11 g, то все участники этой частоты, будут работать со скоростью, что и наш клиент со старенькой карточкой.
Настройка оборудования MikroTik производится через программу Winbox. Скачать ее можно по ссылке: http://router_address/winbox/winbox.exe (где router_address — адрес оборудования, соответственно). Или же можно зайти на устройство через веб-интерфейс и скачать winbox по предлагаемой там ссылке.
Первое, что мы делаем — это сбрасываем заводские настройки.
Сброс Mikrotik на заводские настройки
1. Если вы подключились к устройству первый раз, то соответствующее окно с заголовком RouterOS Default Configuration появится сразу при входе, для сброса настроек нужно нажать на кнопку Remove Configuration.
2. Если на устройство уже заходили, то такое окно по умолчанию не появляется. Заходим в меню New Terminal и с помощью команды system reset-configuration перезагружаем устройство (после перезагрузки появляется окно сброса настроек).
Или же идем в меню System, потом — в Reset Configuration. В окне выставляем галочку в пункте No Default Configuration и жмем на Reset Configuration.
Заводская конфигурация сброшена, начинаем настраивать.
Настройка в меню BR >Добавляем порты, чтобы проходящий через оборудование MikroTik трафик мог передаваться дальше по проводному и WiFi интерфейсу. Иначе наши устройства будут "общаться" только между собой.
Для этого в меню Bridge жмем на кнопку + (открывается окно как на картинке ниже), присваиваем бриджу имя и жмем Ок.
Переходим на вкладку Ports, нажимаем на + и добавляем порт Wlan1 в строке Interface. В строке Br >
Опять нажимаем на + и создаем уже порт Ether1:
Присваиваем IP-адрес бриджу:
Меню IP => подменю Adresses => кнопка "+", вписываем адрес бриджа и через слэш — маску подсети. Поле Network заполнять необязательно.
Настройка в меню Wireless
Выбираем пункт меню Wireless, открываем Wlan1.
1. Настройки на вкладке Wireless
Здесь настраиваются параметры беспроводного интерфейса:
Параметр | Описание | Варианты значений |
Mode | Режим работы |
Сейчас нас интересуют:
Bridge – режим БС для соединения точка-точка
AP Bridge – режим БС для соединения точка-многоточка.
Также здесь есть режимы для клиентских станций:
Station – режим для клиентского устройства.
Station WDS – режим для клиентского устройства с поддержкой WDS. Рекомендуется использовать на клиенте именно его.
Первая часть значения, до тире — это частота работы, вторая — поддерживаемые стандарты. Для стандартов рекомендуется выбирать значение only-N, чтобы поднять максимальную скорость.
На клиентском устройстве можно выбрать несколько вариантов стандартов, к примеру, выставить 2GHz-B/G/N, тогда при изменении настройки на БС клиенты переподключатся автоматически.
Стандартно ставится 20мгц. Если планируется более 100 Мбит/сек и используется гигабитное устройство — тогда можно использовать полосу 40мгц.
Выбирается из списка или прописывается вручную.
Имя сети. Именно его будут видеть абонентские устройства.
Имя устройства. Используется чаще всего для станций на стороне абонентов — с целью их последующей идентификации на базовой станции.
По умолчанию — default, при этом используются только стандартные каналы. Можно указать одну частоту, несколько (разделив запятой), диапазон (через тире), а также можно совместить. К примеру, значение «2424, 2300-2500» будет означать что устройство сначала начнет поиск БС на канале 2424, при отсутствии ответа перейдет на диапазон 2300-2500 и будет искать на нем.
802.11 – обычный протокол wi-fi, подходит для подключения к базовой станций клиентов с ноутбуками или USB адаптерами.
Nstreme – старый поллинговый протокол. Если он выставлен в настройках, к БС смогут подключиться только устройства, которые его поддерживают. С помощью ноута или юсб-адаптера подключиться нельзя.
NV2 – последний фирменный поллинговый протокол Микротик. Используем его. Опять же, соединение будет доступно для устройств, которые поддерживают данный вид протокола. С помощью ноута или юсб-адаптера подключиться нельзя.
Any – это режим выставляется у абонентов. Таким образом обеспечивается соединение с БС при любых выставленных на ней режимах.
Выбор способа шифрования.
Режим выбора доступных частот и мощностей
Manual Txpower – этот режим предусматривает возможность ручного изменения настроек мощности радиосигнала.
Regulatory Domain – выбор режима работы с параметрами мощности и частот, разрешенных для определенной страны.
Superchannel – в этом режиме можно изменять мощность, а также использовать все доступные частоты.
Ограничение мощности устройства.
При выставленной галочке — могут подключаться все устройства, при снятой — только те, которые есть в списке разрешенных.
Выставленная галочка — запрет обмена данными между подключенными клиентскими устройствами. Эта настройка работает только в режиме 802.11 для ноутбуков и устройств без поддержки WDS.
Выставленная галочка скрывает имя сети ( сеть не появляется в списке при сканировании). Чтобы подключиться, нужно вручную прописать имя на устройстве клиента.
2. Настройки на вкладке Data Rates
В случае если мы выбираем для устройств режим N-only, то все галочки на этой вкладке снимаются . Иначе — смотрим параметры настройки ниже.
Параметр | Описание | Варианты значений | |||||||||||||||||||||||
Rate Selection | Выбор модуляций | ||||||||||||||||||||||||
Supported Rates B | Разрешенные модуляции для стандарта B. | Галочки снимаем, чтобы устройства использовали только более скоростные стандарты G и N. | |||||||||||||||||||||||
Supported Rates A/G | Здесь проставляем все галочки. | ||||||||||||||||||||||||
Basic Rates B | Все галочки снимаем. | ||||||||||||||||||||||||
Basic Rates A/G |
Параметр | Описание | Варианты значений |
Max Station Count | Максимальное количество клиентских подключений | |
Distance | Максимальное расстояние до станций абонентов | |
Noise Floor Threshold | Ручная корректировка уровня шума на канале. | |
Periodic Calibration | Автоматическая корректировка шума на канале. | Рекомендуется всегда включать этот параметр (enabled), так устройство будет автоматически подстраиваться под повышение/понижение уровня помех. |
Calibration Interval | Рекомендуется выставлять 10 сек. Дефолтно стоит 1 минута. | |
Hw. Retries | Количество повторов отправки данных, если не приходит подтверждение получения. | |
Hw. Protection Mode | Всегда выставляем RTS/CTS. | |
Adaptive Noise Immunity | Фильтрация помех средствами радиокарты. | Рекомендуется активировать параметр AP and client mode для защиты от помех, если рядом находятся несколько базовых станций. |
Disconnect Timeout | ||
On Fail Retry Time | Время ожидания устройства перед повторной пересылкой данных. | Рекомендуется оставлять 100 мс. |