Mikrotik wisp ap режимы работы

Mikrotik wisp ap режимы работы

Начиная с версии 5.15 в RouterOS появился новый раздел Quick Set (быстрая настройка), помогающий настроить роутер буквально за пару минут. Данная опция подойдет для неопытных пользователей, или тех кому нужно просто быстро настроить интернет на устройстве, глубоко не вдаваясь в процесс. Подробную инструкцию по установке смотрим здесь.

1) Заходим на устройство при помощи Winbox. Подключаемся по IP (по умолчанию: 192.168.88.1) или mac-адресу нажав клавишу «три точки». Логин: admin. Пароль отсутствует.

2) После авторизации в Winbox кликаем самый первый пункт меню «Quick Set» (быстрая настройка), выбираем один из режимов работы wi-fi:

CPE — в данном режиме микротик выступает в качестве клиента wi-fi для подключения к др. точкам доступа;

Home AP — режим работы точки доступа оптимизированный для домашнего использования (наиболее распространенный вариант);

PTP Br >Point-to-point bridge) — режим работы прозрачного радиомоста «точка-точка» используется для подключения к другим устройствам микротик, например с целью объединения двух офисов по беспроводной сети.

WISP AP (вероятно Wireless Internet Service Provider Access Point) — более продвинутый «провайдерский» режим работы точки доступа, где микротик выступает в качестве беспроводной базовой станции или сервера удаленного доступа предполагающий большое количество одновременно работающих клиентов.

Выбираем «Home AP», заполняем остальные поля как на скриншоте ниже, указав свои настройки.

Поле «Wireless»

«Network Name» — зададим имя сети;

«Frequency» — основная частота или преднастроенный канал. Ставим auto или своё значение;

«Band» — стандарт и режим работы беспроводной сети. Ставим самый продвинутый 2GHz-B/G/N;

«Country» — выбор региона — Russia;

«Use Access List (ACL)» — использовать список доступа. Доступ к WiFi только для определённых устройств. Включать или нет, решайте сами;

«Wi-Fi Password» — пароль для доступа к сети;

Поле «Guest Wireless Network»

«Guest Network» — опция создания гостевой wi-fi сети;

Поле «Internet»

Здесь прописываем свои настройки. Отмечаем галочки Firewall Router и Discovery;

Поле «Local Network»

Здесь задаем настройки локальной сети. Отмечаем так же галочку NAT — иначе интернет работать не будет;

UPnP (Universal Plug-n-Play) — автоматический проброс портов, отмечаем по своему усмотрению;

Поле «VPN»

Быстрая организация vpn-доступа к устройству. Необходимо всего лишь задать пароль. После чего можно будет подключаться к внутренней сети с любого места, где есть интернет, указав всего-лишь адрес и пароль.

Поле «System»

«Router Identity» — как роутер будет определяться другими устройствами;

«Check for Updates» — проверка обновлений прошивки;

«Reset Configuration» — сброс конфигурации по умолчанию и перезагрузка роутера.

«Password» — задать пароль админа для доступа к устройству.

После чего нажимаем Apply и OK для сохранения настроек.

Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:

Читайте также:  Ex machina что значит

  • CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
  • CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
  • HomeAP [dual] — Режим домашней точки доступа, тут количество настроек уменьшено, а их названия приближены к сленгу «домашних пользователей»
  • PTP Bridge APCPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
  • WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
  • Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)

Дальше мы будем в основном настраивать HomeAPWISP AP, но советы пригодятся и в других конфигурациях.

Безопасность

Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:

Доступность на внешних интерфейсах

Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.

Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:

Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.

Теперь настроим работу протокола, указав список discovery в его настройках:

В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:

Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.

Защита от DDoS

Теперь, добавим немного простых правил в пакетный фильтр:

И поместим их после правила defcon для протокола icmp.

Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.

RFC 1918

RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик отк таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.

Читайте также:  Ssh без пароля по ключу

Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.

Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:

SIP Conntrack

Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.

Динамические и вложенные списки интерфейсов

Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:

В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):

В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.

Bridge & ARP

Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes

Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.

Для начала давайте разберёмся, что же такое режим WISP? Это определённый мод маршрутизатора, при котором он может принимать интернет сигнал и подключаться к сети провайдера путём радиоволн по стандартам Wi-Fi. Если раскрыть аббревиатуру, то она звучит так – «Wireless Internet Service Provider», что дословно можно перевести как «беспроводной интернет сервис провайдера».

Данная технология достаточно редкая, но появилась давно. Давайте покажу на примере. У провайдера есть большая антенна с мощным передатчиком на несколько квадратных километров. Клиент настраивает роутер и подключается к беспроводной сети. То есть в данном случае роутер принимает сигнал не через WAN порт по проводу, а именно путём Wi-Fi сигнала.

MikroTik

WISP AP на роутере MikroTik – что это такое? У «Микротик» данный «мод» обозначает немного другое значение. Раз вы задаетесь таким вопросом, то скорее вы уже приступили к настройке этого чудного аппарата через «Quick Set». Эта функция позволяет быстро настроит роутер без муторных, педантичных конфигураций. Можно сказать некий «Быстрый старт».

WISP на других маршрутизаторах

«AP client router» на ASUS

На аппаратах Асус к сожалению название не адаптивно и не понятно. Может быть это связано с переводом. Но на русской версии мод называется «Беспроводной сетевой адаптер». Для настройки вы можете использовать «Быструю настройку» – просто нажмите на волшебную палочку в левом углу окна. Или нажмите на «Режим работы» в самой верхней части на главной странице.

Ссылка на основную публикацию
M3u8 чем открыть на андроид
вкл. 13 Август 2018 . Опубликовано в Менеджеры закачек M3U8 Loader - Программа скачает видео в несколько потоков. Для того...
Jquery как удалить элемент
С jQuery легко удалить существующие элементы HTML. Удалите Элементы/Контент Чтобы удалить элементы и контент, существует два основных метода jQuery: remove()...
Jquery последний элемент массива
Предположим, что у вас есть массив, подобный этому: Как получить последний элемент в массиве? В данном случае массив состоит из...
M2040dn печатает белые листы
Сделаем качество печати Kyocera как по заводу В блоге я уже неоднократно говорил о своей любви к печатным аппаратам японской...
Adblock detector