Микротик может ли включаться и выключаться в определенное время: MikroTik — автоматически выключаем и включаем WiFi в заданное время

MikroTik — автоматически выключаем и включаем WiFi в заданное время

Внимание! Данный пост был опубликован более года назад и, возможно, уже утратил свою былую
актуальность. Но это не точно.

Маршрутизатор от Mikrotik, должен признать — интересный зверь. То, что в “домашних роутерах” поставляется прямо из коробки — здесь в ряде случаев приходится доделывать ручками. Зато имеется огромный функционал в плане “настраивается всё что хочешь”.

Допустим, что у нас стоит задача выключать WiFi на ночной период. Так мы и ресурс экономим, и потребление энергии, да и вообще — ночью надо бы спать, а не втыкать в гаджеты 🙂 Для решения этой задачи нам потребуется выполнить несколько простых шагов:

1. Написать скрипт, который будет проверять текущее время, и в соответствии с ним выполнять требуемое действие;
2. Убедиться, что он корректно работает;
3. Добавить задание, которое будет выполнять этот скрипт с заданным промежутком времени.

Написание скрипта

За основу был взят скрипт от тов. Base122, адаптирован под версию 6.30.1 и опционально доработан:

Переходим в секцию System → Scripts и жмякаем на Add New. Заполняем поля следующим образом:

• Name: RadioOnOff
• Policy: [X] read, [X] write, [X] policy
• Source: [Вставить содержимое скрипта]
• Comment: Script to ensure wireless lan radio is ON or OFF

В верхней секции скрипта выставляем необходимые настройки времени (включения и выключения). Скрипт проверяет синхронизировано ли время с помощью ntp клиента. Если синхронизация времени не доступна — выстави в UseNTPClientStatus значение no.

Проверка

Для проверки запускай терминал или подключись к маршрутизатору с помощью SSH, после чего выполни:

[[email protected]] > /system script run RadioOnOff
[[email protected]] > /log print

И посмотри чтоб в логе всё было хорошо. Если не работает как надо — раскомментируй дополнительное логирование (#:log info "...";) в скрипте и проанализируй вывод.

Добавление задания

Для того чтоб добавить задание на периодический запуск скрипта переходим в System → Scheduler и так же нажимаем Add New. Настраиваем:

• Enabled: [X]
• Name: RadioOnOff
• Start Date: [Текущая дата, встает автоматически]
• Start Time: [Текущее время, встает автоматически]
• Interval: 00:05:00
• On Event: /system script run RadioOnOff
• Policy: [X] read, [X] write, [X] policy
• Comment: Script to ensure wireless lan radio is ON or OFF

После чего подожди ~6 минут, и посмотри в логе — должны появиться соответствующие записи о том что скрипт успешно выполняется.

MikroTik. Отключение интернета по расписанию

Здравствуйте, дорогие друзья и читатели блога navertel.net. Сегодня я хочу показать простой способ владельцам MikroTik, как без лишних хлопот настроить отключение и включение интернета, определённых портов, а также вещание wifi по расписанию. Для этого, само собой, нам потребуется планировщик микротика. Первым делом, нужно зайти в настройки. Либо используете веб-интерфейс, либо Winbox. Настройки будут одинаковые, так что на ваш вкус 🙂

В моем случае, Winbox.
Перед тем, как задать правила, нужно проверить системное время. (System->Clock)

Если время настроено неверно, то поправляете.
Теперь идём в планировщик (System->Scheduler)

Добавляем новое задание. Нажимаем на красный плюсик (add)
name — название вашего задания. Например, inetoff
start date — число месяца, когда задание начинает выполняться. По умолчанию проставляется сегодняшний день.
start time — время, в которое будет запускаться задание
interval — периодичность запуска. Если в начале укажите 1d — будет равнозначно «ежедневно». Запись типа 1d 08:30:00 говорит о том, что задание выполняется ежедневно в 8:30 утра.
Ну и в «On Event» пишите само задание:

/interface wireless disable 0 - отключаем вещание wifi-сети
/interface wireless enable 0 - включаем вещание wifi-сети
/interface ethernet disable ether1 - отключаем wan-порт
/interface ethernet enable ether1 - включаем wan-порт

1 строка — 1 задание!
Соответственно, всегда нужно создавать не менее 2 заданий. Например, в 2:00 у меня отключается ether1 (wan-порт), а раз интернет на роутере выключается, то и wifi на ночь не нужен, в 2:01 отключается вещание wifi. Далее в 8:00 включается wan-порт, следом в 8:01 включается wifi.
Таким образом, вы можете настроить, например, ночной реконнект. Отключать инет/wifi на ночь. Или просто выключить интернет на одном из 4 lan-портов, если вместо ether1 укажете другой порт.
Рад помочь. Всем добра!

Расписание работы Wi-Fi на роутере Asus. Автоматическое выключение Wi-Fi на ночь

На роутерах компании Asus, есть возможность настроить работу Wi-Fi сети по расписанию. Очень полезная функция, которой я сам пользуюсь. Эта функция позволяет задать время, когда Wi-Fi модуль будет работать, а когда нет. Мы можем настроить работу Wi-Fi по дням, и по часам. Самое распространенное применение, этот отключение Wi-Fi на ночь. Этой функцией я и пользуюсь. У меня настроено автоматическое выключение Wi-Fi в 12 часов ночи, и автоматическое включение раздачи Wi-Fi в 6 часов утра. Такие настройки стоят на все дни недели.

Не на всех роутерах есть такая возможность. Например, в Tp-link я такой возможности не видел. Не знаю правда как там сейчас в новых версиях, скорее всего уже сделали. А вот в Asus, функция отключения Wi-Fi по расписанию сделана очень классно и понято. Я покажу настройку на устройствах с новой прошивкой (темной).

Часто спрашивают, нужно ли отключать Wi-Fi на ночь. В плане влияния на здоровья. Я считаю так: если есть желание, и роутер поддерживает выключение/включение радиомодуля по расписанию, то почему бы не настроить. Тем более, если у вас ночью никто не пользуется интернетом по беспроводной сети. А если специально перед сном отключать беспроводной модуль, или сам роутер, то считаю что это лишнее. Хотя, решать вам.

Из минусов такого отключения, это если вам вдруг ночью (когда сеть будет отключена роутером) понадобится Wi-Fi, то придется подключаться к роутеру по кабелю, заходить в настройки, и менять расписание. У меня раз был случай, когда пришлось подключить ночью новое устройство, а Wi-Fi сети просто не было. Посмотрел, роутер включен. Перезагрузил, Wi-Fi на минуту появился и пропал. Что я уже только не делал, пока не вспомнил, что у меня он по расписанию после 12 ночи отключается.

Автоматическое выключение и включение Wi-Fi на роутере Asus (по времени)

В роутерах Asus, эта функция называется «Беспроводной планировщик». Вот его мы и будем настраивать.

Подключитесь к своему роутеру, и зайдите в настройки по адресу 192.168.1.1. Вот подробная инструкция по входу в панель управления. В настройках нам сначала нужно задать правильный часовой пояс. Для этого, перейдите на вкладку Администрирование — Система. В поле Часовой пояс выберите свой, и нажмите на кнопку Применить.

Кстати, на этой вкладке, мы можем назначить для кнопки WPS на роутере Asus другую функцию – выключение и включение Wi-Fi сети. Достаточно установить переключатель возле Вкл./Выкл. Wi-Fi и применить настройки. После этого, вы сами сможете отключать и включать беспроводную сеть кнопкой на роутере. Если вы не пользуетесь функцией WPS.

Для настройки беспроводного планировщика перейдите на вкладку Беспроводная сеть — Профессионально, и установите переключатель возле Да, напротив пункта Включить беспроводный планировщик. Появится ссылка Time Setting. Нажмите на нее.

Здесь все очень просто. Есть таблица с временем и днями. И мы прямо на этой таблице выделяем время, когда Wi-Fi сеть будет отключена. Можно выделять ячейки и снимать выделение. Сверху есть разъяснение: Allow – Wi-Fi включен. Deny – беспроводная сеть отключена. Выделяем нужные ячейки, и нажимаем кнопку Ok. Настройка отключения беспроводного модуля с 12 ночи до 6 утра, на все дни будет выглядеть так:

Нажимаем на кнопку Применить, и все готово. Настройка закончена.

После этих настроек, роутер сам, в заданное время полностью отключит беспроводную сеть. И включит ее в заданное в настройках время. Думаю, вы найдете полезное для себя применение этой функции. Если остались какие-то вопросы, то спрашивайте в комментариях.

Как Отключить WiFi По Расписанию на Роутере За 1 Минуту?

В этой статье поговорим о том, как отключить WiFi сеть на роутере TP Link, Asus, Zyxel Keenetic и Tenda. Полностью или автоматически по расписанию. Когда меня спрашивают по этой теме, то я сразу задаю наводящий вопрос — какая цель у данного действия? Если мы хотим отключить WiFi из-за мнимой «вредности излучения», то это одно. Если же мы не хотим, чтобы кто-то пользовался беспроводным сигналом, то это немного другое.

Как отключить WiFi на маршрутизаторе?

Полностью отключить сеть WiFi на маршрутизаторе можно двумя способами:

• Физически кнопкой на корпусе, если таковая имеется на модели роутера
• Дистанционно из админки — также полностью, либо по расписанию.

С первым вариантом все понятно — нажимаем кнопку на корпусе и WiFi отключается. Нажимаем еще раз — включается. Вот как выглядит эта кнопка на роутере Tenda AC6

Также во многих моделях есть отдельная настройка для отключения беспроводного сигнала вайфай. Она выполняет ту же самую функцию, но для экономии производитель не привязал к ней физическую кнопку.

Отключение WiFi в маршрутизаторе дистанционно по расписанию на ночь

Возможность отключения wifi сигнала дистанционно по расписанию предусмотрена во многих роутерах. Например, на то время, пока вы им не пользуетесь, или на ночь.

Я уже писал о безопасности wifi для здоровья, однако многие пользователи до сих пор думают, что от него исходит какой-то вред.

Но выключать wifi постоянно вручную кнопкой на роутере или дистанционно из панели управления не очень практично. А вот настроить отключение wifi автоматически и даже задать расписание на его работу очень удобно. Например, отключить роутер на ночь.

Как отключить по расписанию WiFi на роутере TP-Link?

На роутере TP-Link в новой версии панели отключение wifi происходит в разделе «Дополнительные настройки — Беспроводной режим — Настройки беспроводного режима». Здесь просто надо снять галочку с пункта «Включить беспроводное вещание» в каждом из диапазонов — 2.4 и 5 ГГц.

Для дистанционной активации работы по времени переходим в этой же рубрике в подраздел «Расписание беспроводного вещания» и активируем его тумблером-переключателем. Далее нажимаем на ссылку «Редактировать расписание»

и на наглядном календаре отмечаем, в какие дни и часы будет работать ретрансляция wifi

После этого нажимаем на кнопку «Сохранить» и еще раз на такую же на основной странице расписания.

В старой админке для выключения сигнала нужно зайти в меню «Выбор рабочей частоты» и так же снять пометки

Для отключения wifi по расписанию заходим в меню «Контроль доступа — Расписание» и жмем на «Добавить»

Придумываем название для расписания и назначаем время — либо выставив промежуток времени и дни через выпадающие списки, либо вручную на календарике

Как отключить Wi-Fi на роутере Asus по расписанию?

Выключить wifi модуль на роутере Asus можно из раздела «Беспроводная сеть» на вкладке «Профессионально». Здесь есть функция как полного отключения радиомодуля, так и создания расписания для работы сети — отдельно для рабочих дней (week days) и для выходных (weekend).

Как отключить WiFi на роутере Tenda?

Для того, чтобы назначить расписание, когда включать, а когда отключать WiFi на роутере Tenda, заходим в раздел «Настройки WiFi — Расписание WiFi»

Активируем режим работы по расписанию и назначаем дни и время выключения WiFi.

Сохраняем настройки и ждем, пока роутер перезагрузится, после чего расписание вступит в силу.

Те же самые настройки можно выполнить и через мобильное приложение Tenda WiFi

Отключаем сеть WiFi по расписанию на роутере Zyxel Keenetic

У Zyxel Keenetic полностью отключить вайфай совсем просто — заходим в настройки «Сеть Wi-Fi» и снимаем флажок с «Включить точку доступа»

Если же требуется выключить WiFi только в определенное время, то на помощь придет раздел «Расписание» — тоже довольно гибкие настройки по времени и дням недели, а также можно назначить несколько расписания для отдельных устройств.

В свежей версии ПО Keenetic эта настройка находится непосредственно в конфигураторе «Домашней сети»

Вот и все — теперь вы знаете, как автоматически отключить wifi по расписанию или полностью раздачу сигнала на роутере. По мере появления у меня других моделей я буду добавлять сюда инструкции по их настройке, так что следите за обновлениями!

Видео инструкция по отключению вайфай

Спасибо!Не помогло

Цены в интернете

Александр

Опытный пользователь WiFi сетей, компьютерной техники, систем видеонаблюдения, беспроводных гаджетов и прочей электроники. Выпускник образовательного центра при МГТУ им. Баумана в Москве. Автор видеокурса «Все секреты Wi-Fi»

Задать вопрос

Настройка тревожной кнопки ZEL-Услуги: примеры, скрипты, подробности

В свете всё больше возникающих вопросов вокруг мобильного приложения «Тревожная кнопка ZEL-Услуги» для устройств на базе Android, мы решили подробно рассмотреть реальные решения и практические примеры использования сервиса.

Напоминаем, что с помощью тревожной кнопки вы можете использовать возможности мгновенной рассылки SMS-ключей, SMS-уведомлений и TCP-пакетов на заданные адреса, а также получить экстренную помощь ИТ-специалистов в форс-мажорных обстоятельствах.

Мы рекомендуем пользоваться приложением для быстрого разрешения непредвиденных ситуаций с ИТ-оборудованием. Например, оно находится на высокой мачте и его необходимо перезагрузить, либо обнаружена подозрительная вирусная активность в удалённом филиале, а может и вообще требуется срочное вмешательство в работу серверов, когда в офисе никого нет. Во всех этих ситуациях мобильный сервис «тревожной кнопки ZEL-Услуги» будет незаменим.

Используем тревожную кнопку по назначению

Чтобы не рассматривать каждый вероятный случай в частности, предположим, что мы используем оборудование Mikrotik (в примерах используется CCR1009-8G-1S-1S+ с RouterOS 6.43.16, но работа проверена и на других моделях, оснащённых портами USB, например 951G-2HnD), USB-модем М150-2 от компании Мегафон и сервер на базе Windows.

Подразумевается, что человек, читающий эту статью, обладает хотя бы базовыми навыками работы с Mikrotik и серверными ОС Windows, без особого труда сможет разобраться, как адаптировать предложенное решение для своих нужд.

Рассмотрим несколько примеров в деталях. Мы также рекомендуем определённые скрипты к использованию, которые вы можете модифицировать для того, чтобы заставить Mikrotik оперативно выполнять какие-то иные заранее определённые действия:

• инициировать запись каких-то заранее настроенных журналов (чтобы упростить диагностику периодически возникающей проблемы),
• проигрывать мелодию и «мерцать» светодиодами для поиска устройства среди аналогичных,
• проводить замеры скорости,
• изменять сетевые маршруты,
• включать резервные мощности
• и многое другое.

Пример первый

Удалённое отключение VPN-туннеля на Mikrotik с помощью SMS и приложения «Тревожная кнопка ZEL-Услуги».

1. Предположим, что у нас есть два телефонных номера: +79261111111 и +79672222222.
2. Они будут отключать интерфейс «L2TP-Tunnel1», закреплённый за первым VPN-туннелем.
3. У каждого телефонного номера свой уникальный ключ: «KeyNumber1» и «KeyNumber2» соответственно (его вы внесли в соответствующие поля).
4. Теперь нужно ввести внешний IP-адрес вашего роутера (или соответствующее DNS-имя).

На этом минимально необходимая часть настройки приложения закончена, переходим к настройке роутера с помощью консоли Winbox.

1. Запустите Winbox.
2. Откройте меню “Tools” → “SMS”.

3. Отметьте галочкой «Receive Enabled» (разрешён приём SMS сообщений):

   Type: Serial
   Port: serial0
   Channel: 0
   Keep Max SMS: 9

4. Теперь зададим пароль (Secret) на доступ к Mikrotik через SMS.

   К нашим скриптам он не имеет отношения, однако нужен в целях безопасности роутера. Использовать можно только английские буквы, цифры и простые символы:

   Secret: Very-Very-Big-Secret

5. Поле «Allowed Number» в нашем случае можно оставить пустым, т. к. контролировать телефоны, с которых будем принимать нужные команды, будем с помощью скрипта, который я приведу ниже.

Теперь нужно создать скрипт, который будет обрабатывать SMS сообщения.

1. Откройте меню “System” → “Scripts”.
2. Создайте скрипт с названием «SMS» (на это имя далее будет ссылаться задание в планировщике)и отметьте все галочки Policy.

3. Содержимое скрипта:

   /tool sms set receive-enabled=yes (разрешаем приём SMS. Если этого не сделать, то после перезагрузки Mikrotik SMS приниматься не будут)
   :local messageSMS1 «KeyNumber1»; (ключ для первого телефонного номера)
   :local messageSMS2 «KeyNumber2»; (ключ для второго телефонного номера)
   :local phoneSMS1 «+79261111111»; (первый телефонный номер)
   :local phoneSMS2 «+79672222222»; (второй телефонный номер)
   :local defNameInterface1 «L2TP-Tunnel1»; (имя интерфейса, отключаемого SMS, полученным от первого телефонного номера)
   :local defNameInterface2 «L2TP-Tunnel1»; (имя интерфейса, отключаемого SMS, полученным от второго телефонного номера. В нашем примере это один и тот же интерфейс, но вы можете вписать другой, например «SSTP-Tunnel2», тогда второй телефонный номер будет своим ключом отключать интерфейс «SSTP-Tunnel2»)
   :local countMSG1 [/tool sms inbox print count-only where message=$messageSMS1 phone=$phoneSMS1]; (проверяем количество SMS с первого телефонного номера с текстом, содержащим ключ)
   :local countMSG2 [/tool sms inbox print count-only where message=$messageSMS2 phone=$phoneSMS2]; (проверяем количество SMS со второго телефонного номера с текстом, содержащим ключ)
   :if ($countMSG1 > 0) do={ (если количество SMS с первого телефонного номера с текстом, содержащим ключ, больше нуля, то выполняем:) /interface disable $defNameInterface1; (отключение интерфейса L2TP-Tunnel1)
   }
   :if ($countMSG2 > 0) do={ (если количество SMS со второго телефонного номера с текстом, содержащим ключ, больше нуля, то выполняем:) /interface disable $defNameInterface2; (отключение интерфейса L2TP-Tunnel1, который мы в нашем примере могли заменить на «SSTP-Tunnel2»)
   }
   /tool sms inbox remove [find]; (удаляем все полученные сообщения)

4. Теперь откройте меню “System” → “Sheduler”
5. Создайте новое задание, которое будет запускать наш скрипт каждые 10 секунд.

   Name: SMS (здесь имя не принципиально)
   Start date: Jan/01/1970 (важный момент – если поставить иную дату, а время у роутера собьётся, то задание может не работать)
   Start Time: startup (выполнить задание сразу после включения роутера)
   Interval: 00:00:10 (каждые 10 секунд)

6. Отметьте все галочки Policy

   Содержимое задания:
   /system script run SMS

7. Практика показывает, что USB-модемы плохо переносят круглосуточную работу и имеют свойство зависать, поэтому имеет смысл создать ещё одно задание, которое будет каждые 28 минут выключать их на 2 минуты.

   Name: USB_PowerReset (здесь тоже имя не принципиально)
   Start date: Jan/01/1970
   Start Time: startup
   Interval: 00:28:00 (каждые 10 секунд)

8. Отметьте все галочки Policy

   Содержимое задания:
   /system routerboard usb power-reset duration=120s

9. Мы решили вопрос с SMS, теперь можно научить наш роутер делать то же самое после получения IP-пакета с ключом. Нам нужно разрешить роутеру принимать IP-пакеты по порту 80, но при этом в целях безопасности запретить на них отвечать кому ни попадя, потому что этот порт может быть использован злоумышленниками для взлома роутера.
10. Откройте меню “IP”→”Services”.
11. Найдите там сервис WWW.

    Если вы не планируете использовать сервис WWW, то можно просто отключить. Если вы используете его пусть даже внутри локальной сети, то настоятельно рекомендую не делать этого, так как все данные (включая пароли), передаваемые таким способом, отправляются в открытом виде и легко могут быть перехвачены. Если я так и не смог вас убедить выключить этот сервис, то откройте сервис WWW и в полях «Available From» укажите те IP-адресы или подсети, с которых вы разрешаете доступ, чтобы ваш роутер не был доступен «снаружи», например, как это показано на скриншоте:

12. Теперь создадим два правила Firewall, которые будут обрабатывать IP-пакеты с нужными данными.
13. Откройте “New Terminal” и дайте две команды:

    /ip firewall filter add action=add-dst-to-address-list address-list=Panic-List1 address-list-timeout=2w chain=input content=KeyNumber1 dst-port=80 protocol=tcp
    /ip firewall filter add action=accept chain=input dst-port=80 protocol=tcp

14. Вы только что создали 2 новых правила Firewall. Давайте на них посмотрим.
15. Откройте меню “IP”→”Firewall”
16. Они будут находиться в первой вкладке «Filter Rules», в самом низу. Схватите их мышкой и поднимите на самый верх.

17. Первое правило будет обрабатывать любой внешний запрос, приходящий на порт 80TCP и содержащий текст “KeyNumber1 ” приведёт к тому, что IP-адрес отправителя будет занесён в список IP-адресов «Panic-List1».

    Посмотреть этот список можно в том же меню “Firewall” на вкладке “Address Lists”.

18. Второе правило просто разрешает приём таких TCP-пакетов, без него первое правило работать не будет.
19. Вы можете добавить ещё одно правило для второго ключа «KeyNumber2», дав вот такую команду:

    /ip firewall filter add action=add-dst-to-address-list address-list=Panic-List2 address-list-timeout=2w chain=input content= KeyNumber2 dst-port=80 protocol=tcp

20. Поднимите это правило на самый верх. Оно будет отслеживать второй ключ и занесёт IP-адрес отправившего запрос с ключом в лист адресов под названием «Panic-List2». Новое правило можно поставить перед первым или после – это не важно, главное чтобы оно было выше нашего правила, разрешающего приём таких TCP-пакетов. При отсутствии других правил это будет выглядеть так:

21. Теперь нам остаётся всего лишь проверить, попал ли какой-нибудь IP в наши адрес-листы и, если попал, отключить интерфейсы L2TP-Tunnel1 и SSTP-Tunnel2.
22. Создайте скрипт с названием «List» (на это имя далее будет ссылаться задание в планировщике) и отметьте все галочки Policy.
23. Содержимое скрипта для TCP-пакетов:

    :local listPanic1 «Panic-List1»; (задаём имя первого листа IP-адресов)
    :local listPanic2 «Panic-List2»; (задаём имя второго листа IP-адресов)
    :local defNameInterface1 «L2TP-Tunnel1»; (имя интерфейса, который будем отключать первым ключом)
    :local defNameInterface2 «SSTP-Tunnel2»; (имя интерфейса, который будем отключать вторым ключом)
    :local countPanic1 [/ip firewall address-list print count-only where list=»Panic-List1″]; (считаем к-во IP-адресов в первом листе)
    :local countPanict2 [/ip firewall address-list print count-only where list=»Panic-List2″]; (считаем к-во IP-адресов во втором листе)
    :if ($countPanic1 > 0) do={ (проверяем — если к-во IP-адресов в первом IP-листе больше нуля, то)
    /interface disable $defNameInterface1; (выключаем интерфейс L2TP-Tunnel1)
    /ip firewal address-list remove [find where list~»Panic-List1″] (очищаем все записи в листе Panic-List1)
    }
    :if ($countPanic2 > 0) do={ (проверяем — если к-во IP-адресов во втором IP-листе больше нуля, то)
    /interface disable $defNameInterface2; (выключаем интерфейс SSTP-Tunnel2)
    /ip firewal address-list remove [find where list~»Panic-List2″] (очищаем все записи в листе Panic-List2)
    }

24. Нам осталось настроить этот скрипт на выполнение каждые 10 секунд.
25. Откройте меню “System” → “Sheduler”
26. Создайте новое задание, которое будет запускать наш скрипт каждые 10 секунд.

    Name: List (здесь имя не принципиально)
    Start date: Jan/01/1970 (важный момент – если поставить иную дату, а время у роутера собьётся, то задание может не работать)
    Start Time: startup (выполнить задание сразу после включения роутера)
    Interval: 00:00:10 (каждые 10 секунд)

27. Отметьте все галочки Policy
28. Содержимое задания:

    /system script run List

Разобравшись с этим вы без труда сможете изменять скрипты под свои нужды.

Пример второй

Удалённое отключение сервера Windows с помощью SMS, используя Mikrotik и приложение «Тревожная кнопка ZEL-Услуги».

Идея в том, чтобы при получении сигнала Тревоги роутер отключил какой-либо IP –адрес. Скрипт, работающий на сервере, проверяет доступность этого IP-адреса и, в случае его недоступности, запускал определённую команду, например, перезагружался.

Мы уже научились создать скрипты для выключения туннелей, поэтому я не буду останавливаться подробно, приведу лишь вариант слегка изменённых скриптов – вместо отключения интерфейсов мы будем включать правило Firewall, ограничивающее доступ сервера к нужному нам IP-адресу Mikrotik.

Предположим, что IP-адрес 10.1.40.255 принадлежит вашему серверу, а для Mikrotik вы добавляете дополнительный IP-адрес 10.1.40.99.

1. Откройте «IP»→”Addresses”
2. Добавьте нужный IP-адрес и не забудьте про маску.
3. Откройте “New Terminal” и дайте команду:

   /ip firewall filter add action=drop chain=input protocol=icmp src-address=10.1.40.255 dst-address=10.1.40.99 disabled=yes

4. Откройте меню “IP”→”Firewall”
5. Новое правило будет находиться в первой вкладке «Filter Rules», в самом низу.

   Оно выключено, поэтому будет подсвечено серым цветом. Обратите внимание – самый левый столбец указывает на порядковый номер правила. Схватите правило мышкой и поднимите выше. В нашем случае оно должно получить порядковый номер 0. Этот номер очень важен, так как на него будет завязан скрипт. На скриншоте порядковый номер правила я подчеркнул красным:

Теперь нам нужно добавить скрипты и установить их в планировщик задач. Аналогичные работы мы уже проделывали выше, поэтому ограничусь приведением самих скриптов. Обратите внимание – они не сильно отличаются от тех, что я уже приводил.

Скрипт для SMS:

• /tool sms set receive-enabled=yes (разрешаем приём SMS. Если этого не сделать, то после перезагрузки Mikrotik SMS приниматься не будут)
• :local messageSMS1 «KeyNumber1»; (ключ для первого телефонного номера)
• :local messageSMS2 «KeyNumber2»; (ключ для второго телефонного номера)
• :local phoneSMS1 «+79261111111»; (первый телефонный номер)
• :local phoneSMS2 «+79672222222»; (второй телефонный номер)
• :local countMSG1 [/tool sms inbox print count-only where message=$messageSMS1 phone=$phoneSMS1]; (проверяем количество SMS с первого телефонного номера с текстом, содержащим ключ)
• :local countMSG2 [/tool sms inbox print count-only where message=$messageSMS2 phone=$phoneSMS2]; (проверяем количество SMS со второго телефонного номера с текстом, содержащим ключ)
• :if ($countMSG1 > 0) do={ (если количество SMS с первого телефонного номера с текстом, содержащим ключ, больше нуля, то выполняем:)
• /ip firewall filter enable 0; (включаем правило Firewall под номером 0)
• }
• :if ($countMSG2 > 0) do={ (если количество SMS со второго телефонного номера с текстом, содержащим ключ, больше нуля, то выполняем:)
• /ip firewall filter enable 0; (включаем правило Firewall под номером 0)
• }
• /tool sms inbox remove [find]; (удаляем все полученные сообщения)

Скрипт для TCP-пакетов:

• :local listPanic1 «Panic-List1»; (задаём имя первого листа IP-адресов)
• :local listPanic2 «Panic-List2»; (задаём имя второго листа IP-адресов)
• :local countPanic1 [/ip firewall address-list print count-only where list=»Panic-List1″]; (считаем к-во IP-адресов в первом листе)
• :local countPanic-List2 [/ip firewall address-list print count-only where list=»Panic-List2″]; (считаем к-во IP-адресов во втором листе)
• :if ($countPanic1 > 0) do={ (проверяем — если к-во IP-адресов в первом IP-листе больше нуля, то)
• /ip firewall filter enable 3; (включаем правило Firewall под номером 3)
• /ip firewal address-list remove [find where list~»Panic-List1″] (очищаем все записи в листе Panic-List1)
• }
• :if ($countPanic2 > 0) do={ (проверяем — если к-во IP-адресов во втором IP-листе больше нуля, то)
• /ip firewall filter enable 3; (включаем правило Firewall под номером 3)
• /ip firewal address-list remove [find where list~»Panic-List2″] (очищаем все записи в листе Panic-List2)
• }

Настройка сервера под «Тревожную кнопку ZEL-Услуги»

Теперь перейдём к настройке сервера Windows. Нам нужно добавить в планировщик заданий запуск bat-файла с правами администратора и перезапускающий задание, если оно перестало выполняться. Как это сделать — не тема этой статьи, тем более что такая информация легко ищется поисковиками, поэтому перейду сразу к содержимому файлов.

Пример 1

Вам нужно выключить сервер. Здесь надо уточнить два важных момента.

1. Для снижения риска ложного срабатывания лучше делать ~5 попыток пинга. Если хоть одна окажется успешна, то выключения не произойдёт.
2. Время перезагрузки Mikrotik иной раз бывает больше 1 минуты. Значение параметра n тождественно 1 попытке в секунду, а нам надо сделать так, чтобы проверка срабатывала не чаще 1 раза в 2 минуты, поэтому перед каждым циклом делаем ping 127.0.0.1 -n 120

• Set pingip=10.1.40.99
• :END
• ping 127.0.0.1 -n 120
• ping -n 5 %pingip% | Find «TTL=»&&Goto END
• :ELSE
• shutdown -s -f -t 60
• Goto END

Пример 2

Нам нужно остановить процесс «pass2. exe», исполняемый файл которого находится по адресу C:\Pass\pass2.exe

• Set pingip=10.1.40.99
• Set Process=pass2.exe
• :END
• ping 127.0.0.1 -n 120
• ping -n 25 %pingip% | Find «TTL=»&&Goto END
• :ELSE
• taskkill /f /im %Process% && start «» /d C:\Pass\pass2.exe
• Goto END

Обратите внимание, что все примеры рассмотрены в варианте при работе с оборудованием Mikrotik. Скриптовую часть вы можете изменять так, как этого требует конкретная ситуация. Главная задача инструкции — определиться с командами и научиться пользоваться сервисом «Тревожная кнопка ZEL-Услуги».

Компания ZEL-Услуги

Для получения подробной консультации и помощи обратитесь к экспертам нашей компании.

Настройка MikroTik CAPsMAN на hAP ac с роумингом (Handover)

Обновление от:

Упрощенная схема CAPsMAN сети

В данной статье я не буду глубоко погружаться в настройки Mikrotik, а акцентирую свою внимание на настройке CAPsMAN v2 и особенно на моментах которые мне были непонятны.

Статья рассчитана на начинающих пользователей, которые ещё не сталкивались с CAPsMAN. Она поможет сделать первые шаги в изучении данного продукта, понять архитектуру и принципы работы. В статье приведён один из вариантов настройки Wi-Fi сети на базе CAPsMAN, но на самом деле вариантов больше и под каждую конкретную задачу можно выбрать оптимальный вариант настройки.

MikroTik постоянно улучшает функционал CAPsMAN и с каждой новой версией ROS появляются новые возможности и настройки, так что, не удивляйтесь, если в процессе настройки CAPsMAN у вас будут отличаться параметры или появятся новые, которые не описаны в статье.

Статья постоянно обновляется и дополняется. В случае появления новых функций в CAPsMAN я вношу информацию о них в статью.

Используемое оборудование и ПО:

• MikroTik hAP ac lite (RouterBOARD 952Ui-5ac2nD) версии 6.35.4 (дополнения к статье делаются уже на актуальных версиях).
• Для работы с CAPsMAN v2, необходимо активировать пакет wireless-cm2 или wireless-rep (с версии ROS 6. 37 пакет wireless-cm2 удалён, а пакет wireless-rep переименован в пакет wireless, так что на ROS 6.37 и старше, используем пакет wireless).

Важно всегда использовать актуальную версию RouterOS ветки (channel) «long term» (для критически важных объектов, где в первую очередь важна стабильность работы) или ветки «stable»!

ВНИМАНИЕ! Обновление Firmware!

После обновления RouterOS не забываем обновить и Firmware! Это очень важное замечание, т.к. если вы обновили RouterOS но не актуализировали Firmware, может быть множество непонятных глюков! Firmware, это что-то типа BIOS на компьютере, а RouterOS уже операционная система.

Обновление RouterOS

Меню System > Package. Мы увидим какая версия ROS установлена и какие используются пакеты.

Нажимаем Check For Updates (1), выбираем ветку с которой будем делать обновление (2) и нажимаем кнопку Check For Update (3).

Если у вас не актуальная версия RouterOS то появится информация с изменениями в новой версии (What’s new) и кнопка Download&Install, нажмите её.

Команды в консоли

/system package update set channel=bugfix 
/system package update check-for-updates
  
          channel: bugfix
  current-version: 6.40.8
   latest-version: 6.40.8
           status: System is already up to date

/system package update download
/system package update install

Обновление Firmware

Обновление firmware Mikrotik

Меню System > Routerboard. Далее смотрим, если у вас отличаются версии Current firmware и Upgrade firmware (1), тогда нажимаем кнопку Upgrade (2) и перезагружаем роутер (меню System > Reboot).

Команды в консоли

/system routerboard print 

       routerboard: yes
             model: Groove A-52HPn
     serial-number: 410D02BC6FB2
     firmware-type: ar9340
  factory-firmware: 3. 07
  current-firmware: 3.41
  upgrade-firmware: 3.41

/system routerboard upgrade
/system reboot

Временно отключите Firewall

В ROS 6.44 и старше исправили ниже описанную проблему:

*) capsman - always accept connections from loopback address;

Для ROS младше 6.44:

На время настройки отключите все правила Firewall на MikroTik с CAPsMAN!

Из-за некорректной настройки Firewall (цепочка input) могут быть проблемы с подключением локального CAP к CAPsMAN.

Настройте CAPsMAN, проверите что всё работает, а дальше корректно настроите Firewall.

Проблема появляется в случае, если у вас присутствует правило запрещающее (drop) весь входящий трафик (цепочка input). Даже если у вас разрешен входящий трафик из локальной сети, этого недостаточно.

Подробнее о проблеме и решение:

Если у вас локальный CAP (который находится на самом CAPsMAN) не подключается к CAPsMAN, но подключается при отключении Firewall, то можете сделать ниже приведенные рекомендации с использованием IP адреса loopback.

1. В настройке CAP укажите адрес CAPsMAN: 127.0.0.1

/interface wireless cap set caps-man-addresses=127.0.0.1

2. Добавьте правила в Firewall (данные правила должны быть в самом верху).
Разрешаем хождение траифка от локального CAP к CAPsMAN.

/ip firewall filter add chain=output action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247
/ip firewall filter add chain=input action=accept protocol=udp src-address=127.0.0.1 dst-address=127.0.0.1 port=5246,5247

Ссылки на подробную информацию:

Или можно применить рекомендации приведенные на официальном ресурсе

Если у вас используется конфигурация по умолчанию:

/ip firewall filter
add action=accept chain=input dst-address-type=local src-address-type=local place-before=[/ip firewall filter find where comment="defconf: drop all not coming from LAN"]

Если вы не используете конфигурацию по умолчанию:

/ip firewall filter
add action=accept chain=input dst-address-type=local src-address-type=local

Подробнее: https://wiki. mikrotik.com/wiki/Manual:Simple_CAPsMAN_setup#CAP_in_CAPsMAN

Вернитесь к этой заметке если сталнётесь с этой проблемой.

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

Команды в консоли

/system identity 
set name=CAPsMAN-CAP1

Настройка бриджа

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес. Wi-Fi интерфейсы сами добавятся в нужный бридж.

Акцентировать на этом внимание не буду, всё стандартно.

Во время настройки бриджа и добавления в него портов может отвалится WinBox. Просто переподключитесь.

Команды в консоли

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5

/ip address
add address=192.168.88.1/24 interface=bridge1 network=192. 168.88.0

Wi-Fi интерфейс и bridge

Не добавляйте в bridge Wi-Fi интерфейсы. CAPsMAN, в зависимости от настроек Local Forwarding в Datapath, сам добавит или нет Wi-Fi интерфейсы в bridge.

Если вы вручную добавите Wi-Fi в bridge, могут быть проблемы и сообщения в логах:

bridge port received packet with own address as source address (4f:5e:0d:15:60:6s), probably loop

Настройка CAPsMAN на hAP ac lite

Иерархическая структура настроек CAPsMAN

Что бы было проще ориентироваться в приведенных настройках CAPsMAN, опишу иерархию настроек.

Все настройки Wireless интерфейсов объединяются в Groups (профили настроек), Groups привязываются к Configuration, а уже Configuration ассоциируется с Provisioning.

Provisioning это правила настройки CAP’ов. Когда CAP подключается с CAPsMAN он подгружает (динамически или статически) свой Provisioning и с помощью него получает все необходимые настройки.

Configuration могут быть Master и Slave. Master это основная конфигурация, Slave дополнительная, например для гостевой сети.

Groups (профили настроек) в CAPsMAN:

• Channels  — настройки каналов (частоты), шириной канала, мощность и т.д..
• Datapaths — как и куда будет терминироваться трафик от Wi-Fi клиентов.
• Security — безопасность Wi-Fi. Ключи и типы шифрования.

Groups, Configuration и Provisioning может быть множество для разных задач.

В нашем случае, будет созданы две Master Configuration для 2.4 Ghz и 5 Ghz диапазонов и два Provisioning для CAP с двумя радиокартами 2.4 Ghz и 5 Ghz. Slave конфигурация не используется.

Подробнее: CAPsMAN Configuration Concepts

Включаем CAPsMAN

Выбираем меню CAPsMAN (1), нажимаем кнопку Manager (2) и включаем CAPsMAN (3).

Таблица распределения частот 2.4 Ghz и 5 Ghz

Таблица распределения частот 2.4 Ghz и 5 Ghz

Поддерживаемые частоты/каналы для выбранной страны

Поддерживаемые страны

/interface wireless info country-list 
  countries: no_country_set,albania,algeria,azerbaijan,argentina,australia,austria,bahamas,bahrain,bangladesh,armenia,barbados,belgium,bermuda,bolivia,bosnia and 
             herzegovina,brazil,belize,brunei darussalam,bulgaria,belarus,cambodia,canada,sri lanka,chile,china,taiwan,colombia,mayotte,costa rica,croatia,cyprus,czech 
             republic,denmark,dominican republic,ecuador,el salvador,estonia,finland,france,french guiana,france res,french polynesia,georgia,germany,greece,greenland,
             grenada,guadeloupe,guam,guatemala,haiti,honduras,hong kong,hungary,iceland,india,indonesia,iran,ireland,israel,italy,japan,japan1,japan2,japan3,japan4,japan5,
             kazakhstan,japan6,jordan,kenya,north korea,korea republic,korea republic2,korea republic3,kuwait,lebanon,latvia,liechtenstein,lithuania,luxembourg,macau,
             malawi,malaysia,malta,martinique,mexico,monaco,montenegro,morocco,debug,oman,nepal,netherlands,netherlands antilles,aruba,new zealand,nicaragua,panama,norway,
             pakistan,papua new guinea,paraguay,peru,philippines,poland,portugal,puerto rico,qatar,reunion,romania,russia,rwanda,saudi arabia,serbia,singapore,slovakia,
             viet nam,slovenia,south africa,zimbabwe,spain,sweden,switzerland,syria,thailand,trinidad and tobago,united arab emirates,tunisia,turkey,uganda,ukraine,
             macedonia,egypt,united kingdom,tanzania,united states,united states2,united states (public safety),uruguay,uzbekistan,venezuela,yemen,us 5. 8 direct,uk 5.8 
             fixed,germany 5.8 fixed p-p,germany 5.8 ap,us 2.4 crossroads,norway 5.8 p-p,brazil-922,etsi 2.4 rb411uahr rb411ar,brazil direct,indonesia 5.7-5.8,moldova,us 
             2.4 rb951g,etsi 5.5-5.7 outdoor,etsi 2.4 5.5-5.7,us 2.4 5.8,brazil-anatel,russia2,indonesia2,united states3,etsi 5.7-5.8 srd,egypt 5.8,russia3,new zealand 
             5.8 fixed p-p,etsi1,indonesia3,etsi2

Поддерживаемые частоты для выбранной страны

/interface wireless info country-info russia2
  ranges: 5815-6425/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
          2402-2482/b,g,gn20,gn40(20dBm)
          2417-2457/g-turbo(20dBm)
          5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/passive,indoor
          5250-5330/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
          5650-5710/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive
          5755-5815/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
          5190-5310/a-turbo(20dBm)/dfs
          5180-5300/a-turbo(20dBm)/dfs
          5520-5680/a-turbo(27dBm)/dfs,passive

Таблица распределения 2.

4 Ghz частот и каналов

Wi-Fi 2.4 ГГц. Схема распределения каналов

Wi-Fi 2.4 ГГц. Таблица распределения частот

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 2.4 Ghz (20 Mhz)

Выбираем закладку Channel (1) добавляем канал (2).

Указываем имя группы каналов, частоту, ширину канала (20 Mhz), поддерживаемые стандарты 802.11 (b/g/n), мощность (20).

Мы создали первый канал (канал 1) для первого CAP’а, теперь нам необходимо создать второй не пересекающийся канал (канал 6) для второго CAP’а.

Настраиваем его аналогичным образом.

Результат будет таким:

Автоматический выбор канала

Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.

/caps-man channel add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462,2437,2412 name=channel_2.4Ghz reselect-interval=1d tx-power=20

Таблица распределения 5 Ghz частот и каналов

Wi-Fi 5 ГГц. Схема распределения каналов

Wi-Fi 5 ГГц. Таблица распределения частот

Старайтесь не использовать частоты с DFS.

Частоты UNII-3 на некоторых старых устройствах могут быть недоступны (были проблемы на iPAD), перед использованием тестируйте.

Используйте частоты разрешённые в вашем регионе!

Настройка Channel для 5 Ghz (40 Mhz)

Настройки аналогичны настройкам для 2.4 Ghz. Добавляем канал 36 (5180 Mhz) и потом канал 44 (5220 Mhz).

Обратите внимание как устанавливается ширина канала. Эта настройка весьма не очевидна. Если нам нужно 40 Mhz, то мы в Width ставим 20, а в Extension Channel указываем куда будем расширять канал. Выше (Ce) или ниже по каналам (eC).

Если вам нужно 80 Mhz то будет Ceee или eeeC, а в Width всё те же 20 и т. д. Подробно данная тема обсуждалась на форуме MikroTik тут и тут.

Результат будет таким:

Если у вас не стоит задача вручную разносить CAP’ы на непересекающиеся каналы, то можно создать только по одному Channel для 2.4 Ghz и 5 Ghz, а поле Frequency оставить пустым. Тогда CAPsMAN будет сам, автоматически, распределять между CAP’ами частотные каналы. Но я считаю, что лучше вручную распределить каналы. Выбор за вами. Ниже я опишу процесс присваивания индивидуального канала для каждого CAP’а.

Автоматический выбор канала

Если вы хотите чтобы CAPsMAN сам выбирал свободный канал из заранее определённых каналов, можно сделать следующее:

/caps-man channel add band=5ghz-a/n/ac frequency=5180,5220,5745,5785 name=channel_5Ghz reselect-interval=1d save-selected=yes skip-dfs-channels=no tx-power=20

В этом случае, CAPsMAN будет выбирать самый удачный в данный момент канал и менять его, если необходимо, раз в сутки.

Настройка Datapaths

Настраиваем как будет ходить трафик от Wi-Fi клиентов.

Выбираем закладку Datapaths (1), добавляем новый (2), выбираем ранее созданный Bridge (3) и устанавливаем Local Forwarding (3) и Client To Client Forwarding (4).

Client To Client Forwarding — разрешаем или нет Wi-Fi клиентам видеть друг-друга в рамках одного радиомодуля (радиоинтерфейса).

Local Forwarding — если включён Local Forwarding, то Wi-Fi интерфейс добавится в локальный бридж конкретной CAP и трафик от Wi-Fi клиентов подключённых к данной CAP будет терминироваться локально.

CAPsMAN: Local Forwarding: On

Если Local Forwarding выключен, то организуется туннели от CAP до CAPsMAN. Wi-Fi интерфейсы CAP’ов добавятся в бридж CAPsMAN’а и весь трафик со всех CAP’ов, через туннели, пойдёт централизованно через CAPsMAN.

В этом случае значительно вырастают требования к аппаратным ресурсам для CAPsMAN т.к. весь трафик от клиентов проходит через него, а также требуются дополнительные ресурсы на инкапсуляцию пакетов в туннели и шифрование.

Если аппаратных ресурсов не будет хватать, то будет снижение скорости у Wi-Fi клиентов и высокая загрузка процессора у CAPsMAN.

Но тут есть и плюсы. Один из них, это то, что весь трафик от Wi-Fi клиентов пойдёт через CAPsMAN и его проще контролировать, т.к. CAPsMAN это единственная точка входа/выхода для всего трафика клиентов.

CAPsMAN: Local Forwarding: Off

Пример, когда выключен Local Forwarding и все CAP’ы динамически добавлены в bridge CAPsMAN’а:

Настройка Security

Всё стандартно и понятно, останавливаться подробно не буду.

CAPsMAN log: disconnected, group key timeout

Некоторые Wi-Fi клиенты отключаются от точки доступа примерно раз в 5 минут и в этот момент в логе MikroTik появляется запись:

caps,info 28:FF:4E:BD:CA:4F@cap3 disconnected, group key timeout

Необходимо увеличить параметра group-key-update (как часто, точка доступа обновляет и передаёт клиентам новый групповой ключ). Данный параметр появился с версии ROS 6.38.

Подробнее в статье: Mikrotik: disconnected, group key exchange timeout

В случае возникновения подобных проблемы установите параметр group-key-update равный одному часу.

Пример:

/caps-man security set security1 group-key-update=1h

Создание Configuration для 5 Ghz

В закладке Configurations (1) добавляем конфигурацию (2) для 5 Ghz диапазона.

Задаём имя конфигурации (3), режим работы Wi-Fi радио карты (4), SSID (5), страну (6) и антенны (7).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 36. В дальнейшем мы сможем задать свой собственный канал для каждой CAP.

Создание Configuration для 2.4 Ghz

Настройки аналогичны настройкам для 5 Ghz, задаём только своё имя конфигурации (1).

В закладках Channel, Datapath и Security выбираем выше созданные Groups (профили настроек).

По умолчанию, все новые CAP’ы динамически подключенные к CAPsMAN будут использовать канал 1. В дальнейшем мы сможем задать свой собственный канал для каждой CAP. В результате мы получим две конфигурации для 2.4 и 5 Ghz диапазонов.

Настройка Provisioning

Возможности Provisioning весьма широкие, в данном примере показан один из простых примеров — всем CAP присваивать одинаковую конфигурацию на основе их аппаратных возможностей (используемых радиомодулей).

Но можно создавать более сложные правила Provisioning’а, например:

• на основе MAC адреса радиомодуля — выделить какому-то конкретному CAP персональную конфигурацию (например распределить меду CAP частотные каналы на основе их MAC адресов радиомодулей),
• присвоить конфигурацию CAP’ам на основе их Identity,
• сделать несколько вторичных конфигураций для CAP’ов (SSID), например для гостевой сети,
• задать правила присвоения имен CAP’ам,
• и другие вариант.

И так, мы создали группы с настройками для каналов (Channel), безопасности (Security), группы с правилами хождения трафика (Datapath) и объединили эти группы в конфигурации (Configuration) для двух диапазонов 2.4 Ghz и 5 Ghz.

Теперь необходимо создать правила настройки CAP’ов (Provisioning). Каким CAP’ам, какие конфигурации будут присваиваться (конфигураций может быть много с разными настройками).

Делается это с помощью Provisioning.

Для того, что бы одному устройству с двумя радиомодулями (2 ГГц и 5 ГГц) присвоить конфигурацию для двух диапазонов, нужно создать два раздельных Provisioning. Каждый провижининг привязывается к MAC адресу нужного радиомодуля (2 и 5 ГГЦ).

Создадим два Provisioning для 2.4 и 5 Ghz диапазонов.

Provisioning для MikroTik с 5Ghz радиокартами

• Мы можем указать конкретный MAC адрес радиомодуля (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
• Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11a, n и ac.
• Параметр Action (3) указываем как на скриншоте.
• Выбираем ранее созданную конфигурацию для 5 Ghz (4).

Provisioning для MikroTik с 2.4 Ghz радиокартами

• Мы можем указать конкретный MAC адрес радиомодуля (1) CAP’а, которому будет присваиваться конкретное правило настройки (Provisioning). В данном случае, MAC всё нули, т.е. применять для всех CAP’ов с любым MAC.
• Указываем для каких радиокарт (2) действует данное правило настройки (Provisioning). В нашем случае для карт 802.11b, g и n.
• Параметр Action (3) указываем как на скриншоте.
• Выбираем ранее созданную конфигурацию для 2.4 Ghz (4).

В результате мы получим следующий список Provisioning:

Команды в консоли

/caps-man manager
set enabled=yes

/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name=\
    channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=\
    channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 \
    tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 \
    tx-power=20 width=20

/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath2

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=12345678

/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath2 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2. 4G_1 country=russia datapath=datapath2 mode=ap name=\
    cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2.4G

На этом, базовые настройки CAPsMAN закончены.

Настройка локальных Wireless интерфейсов для работы с CAPsMAN

Мы настроили CAPsMAN на первом hAP ac lite, теперь настроим на нём Wireless интерфейс (локальный CAP), которая будет под контролем CAPsMAN.

• Заходим в меню Wireless (1).
• Нажимаем кнопку CAP (2).
• Включаем работу CAP с CAPsMAN (3).
• Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2.4Ghz и wlan2 — 5Ghz).
• Для локального CAP, указываем локальный (loopback) IP адрес CAPsMAN (5) [И если нужно настраиваем firewall для пропуска локального трафика от CAP к CAPsMAN. Подробнее тут]. IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
• Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.

Команды в консоли

/interface wireless cap
set bridge=bridge1 caps-man-addresses=127.0.0.1 enabled=yes interfaces=\
    wlan1,wlan2

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1)

/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name=\
    channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=\
    channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 \
    tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 \
    tx-power=20 width=20
/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: 2keep. net, local forwarding
set [ find default-name=wlan1 ] disabled=no
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan2 ] disabled=no
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath2
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=12345678
/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath2 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2.4G_1 country=russia datapath=datapath2 mode=ap name=\
    cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2. 4G
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/system identity
set name=CAPsMAN-CAP1
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

Ошибка — «possible regulatory info mismatch with CAP»

Если появилась ошибка — «possible regulatory info mismatch with CAP» , то отключите CAP от CAPsMAN и сделайте «Reset Configuration» в «Wireless» и подключите обратно CAP к CAPsMAN.

Mikrotik: Wireless Reset Configuration

Команды в консоли

/interface wireless reset-configuration wlan1

Настройка идентификатора MikroTik’а

Прописываем идентификатор MikroTik’а, что бы в дальнейшем было проще ориентироваться.

Команды в консоли

/system identity
set name=CAP2

Как и для CAPsMAN создаем бридж.

Создаем bridge, добавляем в него интерфейсы (все кроме Wi-Fi) и присваиваем IP адрес.

Wi-Fi интерфейсы сами добавятся в нужный бридж.

Команды в консоли

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5

/ip address
add address=192.168.88.2/24 interface=bridge1 network=192.168.88.0

Настройка Wireless интерфейсов для работы с CAPsMAN

Настройки Wireless интерфейсов для работы с CAPsMAN, точно такие же, как и для CAP1.

• Заходим в меню Wireless (1).
• Нажимаем кнопку CAP (2).
• Включаем работу CAP с CAPsMAN (3).
• Выбираем Interfaces (4) которые будут под контролем CAPsMAN (wlan1 — 2. 4Ghz и wlan2 — 5Ghz).
• Указываем IP адрес CAPsMAN (5). IP можно не указывать, а указать только Discovery Interfaces. CAP будет искать CAPsMAN в той сети, где находится Discovery Interfaces.
• Указываем Bridge (6) в который будет добавляться Wireless интерфейс если включен Local Forwarding в Datapath.

Команды в консоли

/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2

В результате мы видим, что Wireless интерфейсы wlan1 и wlan2 находятся под управлением CAPsMAN.

Полный конфиг второго hAP ac lite (CAP2)

/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(20dBm), SSID: 2keep. net, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.2/24 interface=bridge1 network=192.168.88.0
/system identity
set name=CAP2
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

На этом настройки второго hAP ac lite закончены, и Wi-Fi сеть должна работать, но правда на одном канале. Нас это не устраивает. Продолжаем дальше…

Мы настроили CAPsMAN и две Wi-Fi точки доступа (CAP1 — находится на том же hAP что и CAPsMAN и CAP2 — на втором hAP’е). Если вы всё правильно настроили, то они подключились к CAPsMAN.

Открываем CAPsMAN на закладке Interfaces и видим 4 динамически (буква D (1)) созданных интерфейса (у нас два CAP’а и каждый с двумя радиоинтерфесами).

Описание букв в левой колонке

M - master
D - dynamic
B - bound
X - disabled
I - inactive
R - running

Wi-Fi сеть уже работает, но все CAP’ы находятся на одном канале (2), а нам нужны разные.

Применить индивидуальные конфигурации для CAP (а частотный канал, это один из параметров конфигурации), можно как в статическом режиме, так и в динамическом.

Статическое распределение персональных частотных каналов (конфигураций)

Сейчас CAP’ы прописаны в CAPsMAN динамически (автоматически) и соответственно каналы прописались те, что мы указали ранее в конфигурации (groups channel).

В данный момент все CAP’ы подключены к CAPsMAN динамически (буква D) и в связи с этим на них нельзя менять параметры. Параметры можно менять только на статически привязных CAP’ах к CAPsMAN.

Открываем свойства интерфейса cap1 (он у нас на 2.4Ghz на CAP1), нажимаем Copy (1) и в окне параметров нового интерфейса, производим необходимые настройки. Дадим более понятное имя интерфейсу (2) и частоту канала (3).

Теперь выбираем cap2 интерфейс (он у нас на 5Ghz на CAP1). Так же указываем имя и канал.

Повторяем такие же манипуляции для CAP2 (соответственно выбираем другие частотные каналы).

В результате видим следующее:

У каждой CAP свой канал для 2.4Ghz и для 5Ghz (1), но интерфейсы неактивны (буква I) (2).

Изменения в новых настройках интерфейсов CAP’ов мы сделали, теперь нужно присвоить новые конфигурацию CAP’ам.

Заходим в закладку Remote CAP (1), выбираем первый CAP (2) и нажимаем кнопку Provision (3).

Повторяем такие же манипуляции для CAP2.

Команды в консоли

Создам статические интерфейсы (функции Copy как в Winbox, я не нашел,
будем прописывать вручную).

/caps-man interface
add arp=enabled channel=channel_2.4G_1 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:F4:64 master-interface=none mtu=1500 \
    name=cap-2.4G-1 radio-mac=E4:8D:8C:D6:F4:64
add arp=enabled channel=channel_2.4G_6 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:EE:2F master-interface=none mtu=1500 \
    name=cap-2.4G-2 radio-mac=E4:8D:8C:D6:EE:2F
add arp=enabled channel=channel_5G_36 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:F4:63 master-interface=none mtu=1500 name=\
    cap-5G-1 radio-mac=E4:8D:8C:D6:F4:63
add arp=enabled channel=channel_5G_44 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:EE:2E master-interface=none mtu=1500 name=\
    cap-5G-2 radio-mac=E4:8D:8C:D6:EE:2E

Присваиваем конфигурацию CAP'ам (Provision)

[admin@CAPsMAN-CAP1] > /caps-man remote-cap print
 # ADDRESS                     NAME                       STATE  RADIOS
 0 192. 168.88.1/35280          [E4:8D:8C:D6:F4:5E]        Run    2
 1 192.168.88.2/45776          [E4:8D:8C:D6:EE:29]        Run    2

[admin@CAPsMAN-CAP1] > /caps-man remote-cap provision numbers=0

[admin@CAPsMAN-CAP1] > /caps-man remote-cap provision numbers=1

В результате мы видим, что все интерфейсы привязались к своим CAP (буква B) и у каждой CAP свой канал (частота).

Полный конфиг первого hAP ac lite (CAPsMAN-CAP1) со статической привязкой CAP

/caps-man channel
add band=2ghz-b/g/n extension-channel=disabled frequency=2412 name=\
    channel_2.4G_1 tx-power=20 width=20
add band=2ghz-b/g/n extension-channel=disabled frequency=2437 name=\
    channel_2.4G_6 tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5180 name=channel_5G_36 \
    tx-power=20 width=20
add band=5ghz-a/n/ac extension-channel=Ce frequency=5220 name=channel_5G_44 \
    tx-power=20 width=20
/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2412/20/gn(20dBm), SSID: 2keep. net, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac(20dBm), SSID: 2keep.net, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath2
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=12345678
/caps-man configuration
add channel=channel_5G_36 country=russia datapath=datapath2 mode=ap name=\
    cfg_5G rx-chains=0,1,2 security=security1 ssid=2keep.net tx-chains=0,1,2
add channel=channel_2.4G_1 country=russia datapath=datapath2 mode=ap name=\
    cfg_2.4G rx-chains=0,1 security=security1 ssid=2keep.net tx-chains=0,1,2
/caps-man interface
add arp=enabled channel=channel_2.4G_1 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:F4:64 master-interface=none mtu=1500 \
    name=cap-2.4G-1 radio-mac=E4:8D:8C:D6:F4:64
add arp=enabled channel=channel_2. 4G_6 configuration=cfg_2.4G disabled=no \
    l2mtu=1600 mac-address=E4:8D:8C:D6:EE:2F master-interface=none mtu=1500 \
    name=cap-2.4G-2 radio-mac=E4:8D:8C:D6:EE:2F
add arp=enabled channel=channel_5G_36 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:F4:63 master-interface=none mtu=1500 name=\
    cap-5G-1 radio-mac=E4:8D:8C:D6:F4:63
add arp=enabled channel=channel_5G_44 configuration=cfg_5G disabled=no l2mtu=\
    1600 mac-address=E4:8D:8C:D6:EE:2E master-interface=none mtu=1500 name=\
    cap-5G-2 radio-mac=E4:8D:8C:D6:EE:2E
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/caps-man access-list
add action=accept disabled=no interface=all signal-range=-79..120 \
    ssid-regexp=""
add action=reject disabled=no interface=all signal-range=-120..-80 \
    ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac \
    master-configuration=cfg_5G
add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg_2. 4G
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface wireless cap
set bridge=bridge1 caps-man-addresses=192.168.88.1 enabled=yes interfaces=\
    wlan1,wlan2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/system identity
set name=CAPsMAN-CAP1
/system routerboard settings
set cpu-frequency=650MHz init-delay=0s protected-routerboot=disabled

Динамическое распределение персональных частотных каналов (конфигураций)

При больших инсталляциях, будет удобней использовать персональные правила динамического провижининга для каждой CAP на основе MAC адреса радиомодуля CAP.

Т.е. есть у нас 50 CAP’ов, то создаём для них 100 персональных правил провижининга (одно правило для 2.4ГГц, второе для 5ГГц, в сумме 100 правил).

Пример создания правила:

Создание правила Provisioning

1. Указываем MAC радиоинтерфейса CAP.
2. Тип/технология радиоинтерфейса.
3. Конфигурация которая будет присваиваться данной CAP.
4. Можно указать дополнительную конфигурацию для CAP (например для гостевой сети).
5. Задаём правило формирования имени которое присваивается CAP’у.
6. Задаём имя для CAP.
7. В результате видим, что у нас появился радионтерфейс.

Команды в консоли

/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn,b master-configuration=cfg_channel6 name-format=prefix name-prefix=cap2g radio-mac=4C:5E:0C:B2:C5:3D

Результат

Текущие радиоинтерфейсы:

[admin@CAPsMAN-CAP1] > /caps-man interface print detail
Flags: M - master, D - dynamic, B - bound, X - disabled, I - inactive, R - running 
 0 MDB  name="cap2g1" mac-address=4C:5E:0C:B2:C5:3D arp-timeout=auto radio-mac=4C:5E:0C:B2:C5:3D master-interface=none configuration=cfg_channel6 l2mtu=1600 
        current-state="running-ap" current-channel="2437/20-Ce/gn(20dBm)" current-rate-set="CCK:1-11 OFDM:6-54 BW:1x-2x SGI:1x-2x HT:0-15" 
        current-basic-rate-set="OFDM:6 BW:1x HT:0-7" current-registered-clients=0 current-authorized-clients=0 

Текущие активные конфигурации:

[admin@CAPsMAN-CAP1] > /caps-man actual-interface-configuration print 
Flags: M - master, D - dynamic, B - bound, X - disabled, I - inactive, R - running 
 0 MDB  name="cap2g1" mac-address=4C:5E:0C:B2:C5:3D arp-timeout=auto radio-mac=4C:5E:0C:B2:C5:3D master-interface=none configuration. mode=ap configuration.ssid="2keep.net" 
        configuration.tx-chains=0,1,2 configuration.rx-chains=0,1,2 configuration.country=russia2 configuration.distance=indoors security.authentication-types=wpa2-psk 
        security.encryption=aes-ccm security.group-encryption=aes-ccm security.passphrase="youPSK" l2mtu=1600 datapath.client-to-client-forwarding=yes 
        datapath.bridge=bridge1 datapath.local-forwarding=no channel.frequency=2437 channel.control-channel-width=20mhz channel.band=2ghz-onlyn channel.tx-power=20

Настройки закончены, можно подключаться к сети.

Используя такую же методику, можно изменять любые параметры на конкретных CAP’ах. Например, у всех CAP’ов в сети ширина канала 40 Mhz, но для одного CAP’а нам нужно сделать 20 Mhz.

В CAPsMAN закладке Registration Table, можно посмотреть какие пользователи, с какими параметрами и к какому интерфейсу подключены.

Команды в консоли

[admin@CAPsMAN-CAP1] > /caps-man registration-table print
 # INTERFACE          SSID           MAC-ADDRESS       UPTIME      RX-SIGNAL
 0 cap-2. 4G-1         2keep.net      18:87:96:83:79:B9 4s810ms       -56

[admin@CAPsMAN-CAP1] > /caps-man registration-table print detail
 0 interface=cap-2.4G-1 ssid="2keep.net" mac-address=18:87:96:83:79:B9 tx-rate-set="CCK:1-11 OFDM:6-54 BW:1x HT:0-7"

Замечание на тему Wi-Fi роуминага:

Переход от одной AP к другой AP (роуминг) — прерогатива самого клиента. Именно клиент принимает решение, когда ему переходить с одной точки на другую и нужно ли вообще переходить.  На разных Wi-Fi клиентах, данный процесс может быть по разному реализован или не реализован вообще.

Стандарты 802.11r/k/v предоставляют клиенту только информацию помогающую в роуминге, они не заставляют клиента выполнить процедуру роуминга. Как клиент поступит с этой информацией, остаётся на совести клиента.

Для тех, кто хочет лучше разобраться в процессе роуминга в Wi-Fi сетях, рекомендую к прочтению цикл статей:

В MikroTik нет поддержки протоколов роуминга (802. 11r/k/v, OKC и др.). Так же, как их нет и у конкурента в своём ценовом диапазоне — Ubiquiti. В своё время, Ubiquiti разрабатывала свой протокол роуминга — Zero Handoff, но сейчас отказалась от него в новых версиях AP AC Gen2 (не оправдал ожидания и только создавал новые проблемы), а на старых AP не рекомендует его использовать:

«First, the ‘ZH’ feature isn’t not recommended in the vast majority of deployments…»

http://community.ubnt.com/t5/UniFi-Wireless/Unifi-AP-Zero-Handoff-Decision/m-p/1536502/highlight/true#M155829

Ubiquiti в новых AP AC Gen2 не планирует реализовывать ZHO, а сосредоточится на 802.11r :

Re: Zero Handoff: Support for UAP-AC-PRO?
Options
‎02-18-2016 09:41 AM

@esseph is right. Currently there are no plans for ZHO on gen2 AC products. The focus will be 802.11r/v/k.

Cheers,
Mike https://community.ubnt.com/t5/UniFi-Wireless-Beta/Zero-Handoff-Support-for-UAP-AC-PRO/m-p/1486351#M23046

Обновление от 01/2020: В даташите на точки доступа UniFi появилась информация о поддержки протоколов 802. 11r/k/v, но с ограничениями. 802.11v поддерживается только если включить band-steering (а это часто не нужно), 802.11k работает только когда включен 802.11r (в терминологии Ubiquiti — fast roaming). С 802.11r бывают проблемы и если его не включать, то отдельно 802.11k не включается. Обсуждение на форуме тут и тут.

Но вернёмся к Mikrotik. На форуме Mikrotik я встречал упоминание, что они тоже работают над 802.11r, но точных ссылок на эту информацию не дам. Может в RouterOS 7 что-то и появится, посмотрим.

Замечание на тему 802.11r

802.11r в сети из зоопарка клиентских устройств, может создать дополнительные проблемы. Не на всех Wi-Fi клиентах корректно реализован 802.11r или не реализован вообще и такие устройства не будут подключаться к вашей Wi-Fi сети.

Так что, поддержка 802.11r не обязательно решит ваши проблемы с роумингом (хендовером), а может ещё и создать новые проблемы с жалобами о невозможности подключения к Wi-Fi.

Вернёмся к реализации «роуминга». Что можно сделать в случае, если с роумингом возникают проблемы.

В Mikrotik есть возможность, с помощью access-list’ов «сбросить» пользователя с CAP, по достижению пользователем, заранее заданного минимального уровня сигнала. Т.е. клиент не будет держаться до последнего за конкретный CAP (точку доступа), а принудительно отключится от него и подключится к соседнему CAP’у с большим уровнем сигнала (у Ubiquiti сейчас такая же реализация).

По моему опыту, во время переключения теряется 1 пинг.

Функция сброса клиента по уровню сигнала, актуальна для старый Wi-Fi клиентов, современные Wi-Fi клиенты не нужно принудительно сбрасывать (в большинстве случаев), они самостоятельно будут переходить с CAP на CAP. Но бывают случаи когда без access-list’ов ни куда. Подробнее будет ниже в главе: Комментарии на тему роуминга и Access-List’ов
Дополнительные материалы по роумингу

Создаём Access List с ограничениями по уровню сигнала

В CAPsMAN заходим в закладку Access List и создаем два правила:

1. Правило разрешающее — accept (2) — подключение клиентов с уровнями сигналов лучше чем -79 dBm (2).
2. Правило запрещающее — reject (4) — подключение клиентов с сигналом хуже чем -80 dBm (3).

Команды в консоли

/caps-man access-list
add action=accept disabled=no interface=all signal-range=-79..120 \
    ssid-regexp=""
add action=reject disabled=no interface=all signal-range=-120..-80 \
    ssid-regexp=""

Если в радиусе действия клиента будет другой CAP, он зарегистрируется на нём. В логах и Registration Table можно смотреть процесс переключения клиента.

На форумах встречал утверждение, что правила Access List’а проверяются только в момент подключения клиента к Wi-Fi сети и что если уровень сигнала клиента, изменится когда клиент уже подключен, то правила Access List’а не сработает.

Данное утверждение неверно, Access List постоянно контролирует клиента и если его уровень сигнала опустится ниже настроенного уровня, то клиент будет сразу отброшен Access List’ом.

В версии ROS 6. 42 появилась опция allow-signal-out-of-range, она позволяет реализовать проверку уровня сигнала клиента только в момент подключения к Wi-Fi сети.

Опция Access-List’а: allow-signal-out-of-range

C версии ROS 6.42 в реализации Wi-Fi c CAPsMAN для Access List’ов появилась опция «allow-signal-out-of-range». Она пока ещё не описана в документации. Данная опция позволяет, настроить проверку уровня сигнала клиента с помощью Access List только в момент подключения клиента к Wi-Fi или указать время в течении которого Mikrotik будет игнорировать снижение уровня сигнала от клиента.

Например: Если данный параметр поставить 10s и у клиента кратковременно упадёт сигнал (например рукой антенну закрыл), то Mikrotik не отбросит его сразу, но если от клиента уровень сигнала будет низкий больше 10 секунд, то его отключат от AP.

Пример настройки

В данном случае, клиент отключится от Wi-Fi AP если его уровень сигнала в течении 10 секунд будет хуже -75 dBm.

Если установить «always», то проверяться уровень сигнала Wi-Fi клиента, будет только в момент подключения клиента к Wi-Fi AP, далее его изменения игнорируются.

CAPsMAN Access-List с опцией allow-signal-out-of-range

Команды в консоли

/caps-man access-list
...
add action=reject allow-signal-out-of-range=10s disabled=no interface=any signal-range=-120..-75 ssid-regexp=""

Тестирование роуминга (с ограничением по уровню сигнала)

Имеется два CAP’а под управлением CAPsMAN (CAP5 и CAP6). В настройках Bridge выключен Local Forwarding. В Access List’е настроены минимальные уровни сигнала при которых клиент может работать с нашей Wi-Fi сетью.

Для тестирования были следующие уровни сигнала:

/caps-man access-list
add action=accept disabled=no interface=all signal-range=-74..120 ssid-regexp=""
add action=reject disabled=no interface=all signal-range=-120. .-75 ssid-regexp=""

С помощью смартфона, я подключился к CAP5 и стал перемещаться к CAP6. На смартфоне запущен ping.

Как только на CAP5, уровень сигнала от смартфона опустился ниже указанного порога, я сразу переключился на CAP6.

Лог:

20:04:30 caps,info 71:03:A8:3C:27:F1@cap5 connected 
20:04:30 dhcp,info dhcp1 deassigned 10.10.10.11 from 71:03:A8:3C:27:F1 
20:04:30 dhcp,info dhcp1 assigned 10.10.10.11 to 71:03:A8:3C:27:F1 
20:04:50 caps,info 71:03:A8:3C:27:F1@cap5 disconnected, too weak signal 
20:04:50 caps,info 71:03:A8:3C:27:F1@cap6 connected

В логе видно:

• CAPsMAN отключил от CAP5 клиента в связи с низким уровнем сигнала: cap5 disconnected, too weak signal
• и в ту же секунду, клиент подключился к CAP6 без повторного DHCP запроса.

В этот момент на клиенте был потерян один ICMP пакет (ping)

Mikrotik Wi-Fi роуминг

Описание протоколов Wi-Fi-роуминга

В статье, достаточно подробно описаны различные механизмы реализации роуминга их отличия друг от друга и особенности. Данное описание применительно не только для оборудования Cisco.

Если у вас используются современные Wi-Fi клиенты, то вам скорей всего не понадобятся Access List’ы (с ограничением по уровню сигнала) и мало того, они вам могут навредить (клиенты будут постоянно то подключаться то отключаться от AP, когда от них падает уровень сигнала).

Access-List’ы нужны для принудительного отключения Wi-Fi клиента который «намертво» зацепился за Wi-Fi AP и висит на ней до последнего, пока уровень сигнала не упадёт до нуля. Современные Wi-Fi адаптеры в клиентских устройствах, обычно таким поведением не страдают и сами, без дополнительного «пинка», переключаются на соседнюю AP.

Для чего я бы рекомендовал использовать Access-List’ы

1. Использовать Access-List’ы стало удобно с опцией «allow-signal-out-of-range» . Вы можете ограничить подключение к Wi-Fi по уровню сигнала от клиента. Клиенты только с указанным уровнем сигнала смогут подключиться, но уже подключенные клиенты не будут отключаться от Wi-Fi, если их уровень сигнала упал в процессе работы (т. е. не будет прыганье клиентов с AP на AP). Данная опция удобна, если вы не хотите, что бы к вашей Wi-Fi сети подключались далёкие клиенты со слабым сигналом, которые находятся на границе зоны покрытия вашей Wi-Fi сети. Такие клиенту могут снизить производительность всей вашей Wi-Fi сети и лучше не разрешать им регистрироваться.
2. Если у вас используются старые Wi-Fi устройства, которые сами не переключаются с AP на AP и просаживают всю Wi-Fi сеть, да и сами плохо работают из-за слабого сигнала. Мне попадались с подобным поведением старые Wi-Fi IP телефоны и какие-то терминалы для сканирования штрих кодов. Вы можете настроить ограничение по уровню сигнала в Access-List’ах только для таких устройств (по MAC адресам).

Когда развернёте Wi-Fi сеть, протестируйте как работают ваши Wi-Fi клиенты и тогда уже принимайте решение с какими настройками использовать Access-List’ы или не использовать их вообще.

Часто возникает вопрос: как при одном SSID для 2.4 и 5 ГГц клиентское устройство выбирает частоту к которой подключаться?

Выбор частоты является ответственностью клиентского устройства.

Я проводил эксперименты на разных устройствах и конфигурациях сети. Результаты были следующие:

Если уровень сигнала на 5 ГГц удовлетворяет требованиям клиента, то он всегда подключается к 5 ГГц, если уровень сигнала падает до неприемлемого уровня, то он переключится на 2.4 ГГц. Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматически ¹ не переключится к нему с 2.4 ГГц, переключить можно только принудительно — отключить и обратно включить Wi-Fi на клиентском устройстве.

Если вы создадите два SSID — отдельно для 2.4 и 5 ГГц и зарегистрируете клиента в обоих SSID, то клиентское устройство будет работать абсолютно так же — всегда будет пытаться подключиться к 5 ГГц и, если нет… тогда уже к 2.4 ГГц.

Комментарий от 18/02/20181 — Я уже сомневаюсь в правильности моих утверждений на тему — «Если уровень сигнала на 5 ГГц вернулся в норму, то клиент автоматические не переключится к нему с 2.4 ГГц».

Автоматически переключиться может на 5 ГГц, но не на всех клиентских устройствах. Всё зависит от реализации Wi-Fi на конкретном клиентском устройстве.

Провёл эксперимент, который опроверг категоричность моего утверждения. Суть эксперимента в в следующем:

В Wi-Fi сети, под управлением CAPsMAN есть два разных SSID для 2.4 и 5 ГГц. Когда я перезагрузил CAPsMAN, то радиомодуль на 2.4 ГГц (cap1) поднялся сразу и к нему подключился ноутбук, а вот модуль на 5 ГГц (cap2) выполнял процедуру Radar Detection и поднялся позже.

В этот момент, ноутбук увидел SSID с 5 ГГц и автоматически переключился с 2.4 GHz (cap1) на 5 GHz (cap2).

Лог:

21:16:31 caps,info 28:AF:5E:3D:BA:BF@cap1 connected 
21:16:56 caps,debug cap2: radar not detected on channel 5260/20-Ce/an/DP(20dBm) 
21:17:24 caps,info 28:AF:5E:3D:BA:BF@cap1 disconnected, received disassoc: sending station leaving (8) 
21:17:25 caps,info 28:AF:5E:3D:BA:BF@cap2 connected

Так что, не всё так однозначно в этом вопросе…

Многое, а если точнее — почти всё, зависит от реализации Wi-Fi на клиентском устройстве и в этом одна из самых больших проблем Wi-Fi. Не может Wi-Fi точка доступа или контроллер управлять клиентским устройством, клиент сам решает как ему работать, какие частоты выбирать, как производить процедуру роуминга и т.д.

Похожие записи…

The following two tabs change content below.

В профессиональной сфере занимаюсь всем, что связанно с IT. Основная специализация — VoIP и сети передачи данных. Стараюсь не заниматься Windows серверами (но иногда приходится) и 1С.

MikroTik — Базовая конфигурация MikroTik (CLI)

Hard: «MikroTik RB/CCR».
OS: «RouterOS v6».

Задача: создать простейшую конфигурацию маршрутизатора «MikroTik» для обеспечения работы типового небольшого офиса с парой десятков пользователей и двумя-тремя серверами.

Сразу после запуска ненастроенного (или сброшенного до заводского состояния) устройства для доступа к его конфигурации есть два пути: включиться в один из портов (обычно второй и следующие, в зависимости от модели) ethernet-порт (как правило по умолчанию на устройстве запущен DHCP-сервер, выдающий клиентам сетевой адрес) или воспользоваться более простым и надёжным RS-232 (через кабель DB-9). Я предпочитаю последний способ — это не вынуждает меня выключаться из сети, в которой я уже нахожусь:

$ minicom —device /dev/ttyUSB0 —baudrate 115200 —8bit —noinit

Прежде всего, если устройство только что поступило на полное реконфигурирование, есть смысл предварительно зачистить его настройки, и уже после этого приступать к дальнейшим действиям:

> /system reset-configuration

Аналогичного эффекта сброса настроек до заводских можно достигнуть следующей последовательностью действий:

1. Выключаем питание.
2. Зажимаем кнопку «Reset».
3. Удерживая кнопку «Reset» включаем питание.
4. Отпускаем кнопку «Reset», пока ещё мигает индикатор загрузки.

При входе на устройство сразу после сброса «мастером настройки» будет предложено применить «конфигурацию по умолчанию», но нам это не нужно — отказываемся путём нажатия клавиши «r».

Ознакомиться с текущей конфигурацией проще всего посредством команды экспортирования всего набора команд для воссоздания таковой:

> /export

Обращаю внимание, что в версии «RouterOS v6. 41″ аппаратную L2-коммутацию полностью перенесли на bridge-интерфейсы, отменив ранее использовавшиеся switch-группировки (через опции «master port») — новая реализация «прозрачного моста» поддерживает «аппаратную разгрузку (hardware offload)». Настоятельно рекомендую обновиться до версии v6.41 и выше, так описываемая здесь конфигурация основана уже на новом функционале мостового интерфейса.

Первичные настройки доступа.

Устанавливаем пароль для текущего пользователя «admin»:

> /password old-password=»»

Заводим дополнительного пользователя и выдаём ему полномочия суперпользователя:

> /user add name=superuser group=full password=»<userPassword>»

Выключаем все сервисы управления устройством, кроме SSH, «winbox» и COM-порта:

> /ip service disable telnet,ftp,www,www-ssl,api,api-ssl

Активируем повышенный уровень шифрования сеансов SSH и запрещаем транзитные подключения:

> /ip ssh set strong-crypto=yes
> /ip ssh set forwarding-enabled=no

Ради повышения уровня пассивной безопасности разрешаем обращения к «winbox» только из локальной сети — для настройки извне достаточно SSH:

> /ip service set winbox address=192. 168.1.0/24

Настраиваем сетевое именование.

Задаём символическое сетевое имя (FQDN) устройству:

> /system identity set name=mrtr0.example.net

Задаём набор NS-серверов, к которым следует отправлять DNS-запросы (в примере Google и Yandex):

> /ip dns set servers=8.8.8.8,8.8.4.4

Разрешаем обслуживание маршрутизатором рекурсивных DNS-запросов от пользователей:

> /ip dns set allow-remote-requests=yes

Устанавливаем точное системное время.

Наверняка изначально может потребоваться явно указать желаемый часовой пояс (пример для Новосибирска):

> /system clock set time-zone-autodetect=no time-zone-name=Asia/Novosibirsk

Задаём внешний источник данных для автоматической синхронизации времени:

> /system ntp client set enabled=yes server-dns-names=0.asia.pool.ntp.org

Сразу по применению новых параметров даты и времени система попытается синхронизировать его с указанными time-серверами.

Позволяем маршрутизатору делиться сведениями о точном времени, активируя NTP-Server:

> /system ntp server set enabled=yes

Об аппаратных чипах и логике коммутации.

Ранее (до «RouterOS v6.41») на большинстве «Mikrotik» в настройках по умолчанию была предустановлена схема из двух уровней коммутации: группа ethernet-интерфейсов собирается в «switch-group» (трафик которой обслуживается только в рамках подключения к физическому чипу коммутации, коих может быть несколько), а порты «switch-group» через произвольный «master-port» (таковым может быть назначен любой из портов группы) вводятся в мостовой виртуальный интерфейс «bridge», коммутирующий (уже на уровне центрального процессора) пакеты «switch-group», автономных ethernet-интерфейсов и беспроводного интерфейса, предоставляя им единое L2 адресное пространство.

С внедрением «hardware offload» в мостовых интерфейсах прослойка «switch-group» была исключена из схемы, что сильно упростило её с точки зрения первичного конфигурирования — теперь по умолчанию все сетевые интерфейсы (кроме WAN) введены в виртуальный «прозрачный мост».

Такая реализация упрощает запуск устройства в работу, но не обеспечивает хорошей сетевой производительности из-за узкого места — CPU, через который будет пропускаться вся паразитная широковещательная коммутация, которой в реальной сети с количеством узлов за пару десятков не избежать.

Рекомендую сразу разделить по разным группам коммутации проводные и беспроводные интерфейсы (помним, что по умолчанию они сведены в «прозрачный мост») с тем, чтобы иметь возможность подключающихся беспроводных клиентов в любых комбинациях изолировать от работающих в проводной сети пользователей, а порты последней распределить в соответствии с назначением, функционально изолировав их в рамках аппаратных чипов.

Планируем распределение сетевых интерфейсов по задачам.

В дальнейшей настройке будем исходить из потребности в следующих сущностях:

WAN1  — интерфейс для подключения к первому провайдеру;
WAN2  — интерфейс для подключения ко второму провайдеру;
LAN1  — виртуальный интерфейс для обслуживания локальной сети;
DMZ1  — виртуальный интерфейс для подключения DMZ-сети;
WLAN1 — интерфейс беспроводного контроллера.

Если устройство начального уровня, то в нём немного физических портов и может статься, что каждый из них будет задействован в своей задаче с индивидуальной сетевой IP-адресацией. Если ethernet-портов больше, чем задач, что часть из них можно свести в группы коммутации, получив в итоге картину вроде нижеследующей:

switch2 — первый чип коммутации (GigabitEthernet):
  WAN1:
    ether1 — первый провайдер;
  LAN1:
    bridge1 — группа коммутации:
      ether2 — первый клиентский коммутатор;
      ether3 — второй клиентский коммутатор;
      ether4 — рабочая станция;
      ether5 — сетевой принтер;
switch3 — второй чип коммутации (FastEthernet):
  WAN2:
    ether6 — второй провайдер;
  DMZ1:
    bridge2 — группа коммутации:
      ether7  — первый сервер;
      ether8  — второй сервер;
      ether9  — сетевая АТС;
      ether10 — СХД;
WLAN1:
  wlan1 — беспроводная сеть.

Конфигурируем локальные сетевые подключения.

Переименовываем сетевые интерфейсы для удобства восприятия их функциональной привязки, в соответствие с вышеприведённой схемой:

> /interface ethernet
> set [ find default-name=ether1 ] name=ether1-WAN1
> set [ find default-name=ether2 ] name=ether2-LAN1
> set [ find default-name=ether3 ] name=ether3-LAN1
> set [ find default-name=ether4 ] name=ether4-LAN1
> set [ find default-name=ether5 ] name=ether5-LAN1
> set [ find default-name=ether6 ] name=ether6-WAN2
> set [ find default-name=ether7 ] name=ether7-DMZ1
> set [ find default-name=ether8 ] name=ether8-DMZ1
> set [ find default-name=ether9 ] name=ether9-DMZ1
> set [ find default-name=ether10 ] name=ether10-DMZ1

Создаём «мостовые интерфейсы», которые будут играть роль виртуальных коммутаторов:

> /interface bridge add auto-mac=yes name=BR-LAN1 protocol-mode=rstp
> /interface bridge add auto-mac=yes name=BR-DMZ1 protocol-mode=rstp

Подключаем к виртуальным «мостовым интерфейсам» соответствующие сетевые физические интерфейсы:

> /interface bridge port
> add bridge=BR-LAN1 interface=ether2-LAN1
> add bridge=BR-LAN1 interface=ether3-LAN1
> add bridge=BR-LAN1 interface=ether4-LAN1
> add bridge=BR-LAN1 interface=ether5-LAN1
> add bridge=BR-DMZ1 interface=ether7-DMZ1
> add bridge=BR-DMZ1 interface=ether8-DMZ1
> add bridge=BR-DMZ1 interface=ether9-DMZ1
> add bridge=BR-DMZ1 interface=ether10-DMZ1

Проверяем, получилось ли задуманное распределение интерфейсов:

> /interface print

. .. R — running, S — slave
….
0    ether1-WAN1  ether …
1  S ether2-LAN1  ether …
2  S ether3-LAN1  ether …
3  S ether4-LAN1  ether …
4 RS ether5-LAN1  ether …
5    ether6-WAN2  ether …
6  S ether7-DMZ1  ether …
7  S ether8-DMZ1  ether …
8  S ether9-DMZ1  ether …
9  S ether10-DMZ1 ether …
10 sfp1           ether …
11 X wlan1        wlan …
12 R BR-DMZ1      bridge …
13 R BR-LAN1      bridge …

В следующем выводе сведений об участниках имеющихся «прозрачных мостов» хорошо видно, для каких интерфейсов (всех в примере) активна «аппаратная разгрузка (hardware offload)» — это значит, что между интерфейсами в рамках обоих групп коммутации пакеты будут передаваться с максимальной скоростью — обрабатываемые на аппаратном уровне, без привлечения медленного центрального CPU:

> /interface bridge port print

… I — inactive, H — hw-offload
….
0 I H ether2-LAN1  BR-LAN1 …
1 I H ether3-LAN1  BR-LAN1 . ..
2 I H ether4-LAN1  BR-LAN1 …
3   H ether5-LAN1  BR-LAN1 …
4 I H ether7-DMZ1  BR-DMZ1 …
5 I H ether8-DMZ1  BR-DMZ1 …
6 I H ether9-DMZ1  BR-DMZ1 …
7 I H ether10-DMZ1 BR-DMZ1 …

Назначаем «мостовым интерфейсам» локальных сетей IP-адреса:

> /ip address add address=192.168.1.1/24 interface=BR-LAN1
> /ip address add address=10.10.1.1/24 interface=BR-DMZ1

Результат наших действий по назначению IP-адресов:

> /ip address print

# ADDRESS        NETWORK     INTERFACE
0 192.168.1.1/24 192.168.1.0 BR-LAN1
1 10.10.1.1/24   10.10.1.0   BR-DMZ1

Конфигурируем беспроводное сетевое подключение.

Беспроводной интерфейс по умолчанию переведён под управление модуля CAPsMAN (Controlled Access Point system Manager) — контроллера беспроводных точек, призванного упростить настройку и управление единой Wi-Fi-сетью (аналог UniFi-сети на устройствах «Ubiquiti») с бесшовным роумингом:

> /interface wireless cap print

enabled: yes
interfaces: wlan1
. …

Хорошо, но для одиночного устройства не нужно — отключаем привязку беспроводного интерфейса к системе CAP:

> /interface wireless cap set interfaces=»» discovery-interfaces=»»
> /interface wireless cap set enabled=no

Создаём выделенный профиль, описывающий метод аутентификации пользователя в беспроводной сети:

> /interface wireless security-profiles add name=staff-profile authentication-types=wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm wpa2-pre-shared-key=<secureWiFiKey>

Задаём параметры сети, обслуживаемой беспроводным интерфейсом, заодно привязав к нему заранее подготовленный профиль аутентификации:

> /interface wireless set wlan1 band=2ghz-b/g/n channel-width=20mhz default-forwarding=no disabled=no mode=ap-bridge security-profile=staff-profile ssid=zsmtu wps-mode=disabled

Задаём IP-адрес беспроводному интерфейсу и включаем таковой:

> /ip address add address=172.16.1.1/24 interface=wlan1
> /interface enable wlan1

Настраиваем автоматическую выдачу IP-адресов.

Запускаем DHCP-сервер для обслуживания клиентов локальной сети:

> /ip pool add name=DHCP_LAN1_POOL ranges=192.168.1.100-192.168.0.250
> /ip dhcp-server add name=DHCP_LAN1 interface=BR-LAN1 address-pool=DHCP_LAN1_POOL lease-time= 22d disabled=no
> /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 netmask=255.255.255.0 dns-server=192.168.1.1 ntp-server=192.168.1.1

При необходимости фиксируем IP-адрес компьютера пользователя за его аппаратным MAC-адресом:

> /ip dhcp-server lease add server=DHCP_LAN1 address=192.168.1.51 mac-address=00:AA:B0:C0:A6:F1 comment=»workstation-one»

Запускаем DHCP-сервер для обслуживания клиентов беспроводной сети:

> /ip pool add name=DHCP_WLAN1_POOL ranges=172.16.1.10-172.16.1.254
> /ip dhcp-server add name=DHCP_WLAN1 interface=wlan1 address-pool=DHCP_WLAN1_POOL lease-time= 7d disabled=no
> /ip dhcp-server network add address=172.16.1.0/24 gateway=172.16.1.1 netmask=255.255.255. 0 dns-server=172.16.1.1

Удостоверяемся, что наши DHCP-серверы активны в заданной конфигурации:

> /ip pool print
> /ip dhcp-server print
> /ip dhcp-server network print detail

А вот так можно просмотреть список выданных пользователям сетей IP-адресов:

> /ip dhcp-server lease print

Конфигурируем внешние сетевые подключения.

Задаём внешнему интерфейсу первого (основного) провайдера IP-адрес:

> /ip address add address=123.45.67.90 netmask=255.255.255.248 interface=ether1-WAN1 disabled=no comment=»ISP1″

Объявляем маршрут «по умолчанию», отправляющий весь нераспределённый трафик в сеть первого провайдера «ISP1»:

> /ip route add check-gateway=ping comment=»GW1″ disabled=no distance=1 dst-address=0.0.0.0/0 gateway=123.45.67.89 scope=30 target-scope=10

Задаём параметры подключения ко второму, резервному интернет-провайдеру (например через xDSL-модем, выдающего динамические адреса на линии связи). По логике маршрутизации мы не должный принимать от DHCP-сервера провайдера «маршрут по умолчанию», нам достаточно просто получить адресацию, чтобы интерфейс был активен — но в комбинации «DHCP + StaticRoute» Mikrotik не вполне корректно отрабатывает маршруты на стыке сетей — так что сразу заводим второй «маршрут по умолчанию», но делаем его менее приоритетным:

> /ip dhcp-client add interface=ether6-WAN2 add-default-route=yes disabled=no comment=»ISP2″
> /ip route add check-gateway=ping comment=»GW2″ disabled=no distance=2 dst-address=0. 0.0.0/0 gateway=ether6-WAN2 scope=30 target-scope=10

Просматриваем получившуюся таблицу простейшей статической маршрутизации:

> /ip route print

… D — dynamic, S — static …
#   DST-ADDRESS … GATEWAY  DISTANCE
0 S ;;; GW1
    0.0.0.0/0       123.45.67.89    1
1 S ;;; GW2
    0.0.0.0/0       ether6-WAN2     2
….

Настраиваем трансляцию запросов из локальной сети в интернет.

Так как внутри «MikroTik» живёт «Linux», управление сетевым трафиком и модификация пакетов реализовано через подсистему ядра «netfilter», только вместо обвязки «iptables» здесь оперируют сущностью «firewall».

Для упрощения дальнейшего конфигурирования отношений между подсетями составляем списки таковых:

> /ip firewall address-list
> add address=192.168.1.0/24 list=LIST_INET_USERS_IP
> add address=172.16.1.0/24 list=LIST_INET_USERS_IP
> add address=10.10.1.0/24 list=LIST_DMZ_IP
> add address=123.45.67.88/29 list=LIST_WAN_IP

Задаём правила NAPT/PAT (NAT Overload/Port Address Translation) трансляции локальных сетевых адресов пользователей во внешние, при обращении за сетевые интерфейсы провайдеров:

> /ip firewall nat add action=src-nat chain=srcnat comment=»NAPT/PAT via WAN1″ out-interface=ether1-WAN1 src-address-list=LIST_INET_USERS_IP to-addresses=123. 45.67.90
>
> /ip firewall nat add action=masquerade chain=srcnat comment=»NAPT/PAT via WAN2″ disabled=yes out-interface=ether6-WAN2 src-address-list=LIST_INET_USERS_IP

Проверяем, применились ли правила организации доступа в интернет:

> /ip firewall nat print

….
1 ;;; NAPT/PAT via WAN1
  chain=srcnat action=src-nat to-addresses=123.45.67.90 src-address-list=LIST_INET_USERS_IP out-interface=ether1-WAN1 log=no log-prefix=»»

2 ;;; NAPT/PAT via WAN2
  chain=srcnat action=masquerade src-address-list=LIST_INET_USERS_IP out-interface=ether6-WAN2 log=no log-prefix=»»

Настраиваем трансляцию запросов из внешней сети к локальным ресурсам.

Наверняка потребуется обеспечить доступность внутреннего сервиса, спрятанного за «MikroTik», извне.

Добавляем правила DNAT (Destination NAT), разрешающие пропуск трафика снаружи к определённым сервисам и портам:

> /ip firewall nat
> add action=dst-nat chain=dstnat comment=»DNS: ns.example. net» dst-address=123.45.67.92 dst-port=53 protocol=tcp to-addresses=10.10.1.2 to-ports=53
> add action=dst-nat chain=dstnat comment=»DNS: ns.example.net» dst-address=123.45.67.92 dst-port=53 protocol=udp to-addresses=10.10.1.2 to-ports=53

Если нужно обеспечить как пропуск трафика извне, так и вывод такового наружу через определённый внешний IP-адрес, то к правилу DNAT добавим ещё и SNAT (Source NAT) — например, для всего сетевого узла в целом:

> /ip firewall nat
> add action=dst-nat chain=dstnat comment=»NAT To: example.net» dst-address=123.45.67.33 to-addresses=10.10.0.3
> add action=src-nat chain=srcnat comment=»NAT From: example.net» src-address=10.10.0.3 to-addresses=123.45.67.33

Более глубокую настройку защитного экрана, как такового рассмотрим в отдельной заметке.

Выключаем ненужное.

Деактивируем ненужные в простом офисе функциональные модули:

> /system package disable ipv6,hotspot,mpls

Выключаем сервисы мониторинга (Ping) и управления (Telnet, Winbox), принимающие подключения с указанием MAC-адреса, если IP-адрес интерфейсу не выдан:

> /tool mac-server ping set enabled=no
> /tool mac-server set allowed-interface-list=none
> /tool mac-server mac-winbox set allowed-interface-list=none

Выключаем для всех сетевых интерфейсов сервис автоматического поиска соседних сетевых устройств посредством LLDP-запросов — в небольшом офисе и так известно, что к чему подключено:

> /ip neighbor discovery-settings set discover-interface-list=none

Выключаем сервис, предназначенный для приёма подключений с целью тестирования пропускной способности:

> /tool bandwidth-server set enabled=no

Явно выключаем сервисы проксирования клиентских запросов:

> /ip proxy set enabled=no
> /ip socks set enabled=no

LCD-экранчик у Mikrotik откровенно неудобный — выключаем, не особо разбираясь в его возможностях:

> /lcd interface pages set 0 interfaces=ether1-WAN1
> /lcd set default-screen=stats-all read-only-mode=yes touch-screen=disabled
> /lcd set enabled=no

Всё, на данном этапе мы имеем устройство, готовое к обслуживанию сети небольшого офиса.

Отключение WiFi ночью на Mikrotik RouterOS

Если вы считаете, что вам нужно отключать WiFi ночью из соображений безопасности или
Если вы ищете здоровый отдых, вот как это сделать на Mikrotik RouterOS.

Чтобы запрограммировать маршрутизатор Mikrotik на выключение и включение Wi-Fi, вы должны использовать возможности сценариев и планирования для RouterOS.

Для отключения Wi-Fi необходимо выполнить следующую команду:

.

  interface wireless disable <имя-интерфейса>
  

Итак, вам нужно написать очень маленький скрипт только с этой командой.Использование WinBox:

1. Открытая система -> Скрипты окно
2. Нажмите кнопку Добавить , откроется окно редактора скриптов.
   • Введите имя сценария, например DisableWLAN
   • Выберите нужные политики или отметьте их все
   • Введите сценарий в область текста Source : interface wireless disable
   • Вы можете протестировать скрипт с помощью Run Script button
   • Сохраните скрипт с помощью Ok button

Теперь создайте аналогичный сценарий EnableWLAN с противоположной командой:

  интерфейс беспроводной связи <имя-интерфейса>
  

Далее добавляем сценарии расписания:

1. Открыть систему -> Планировщик окно
2. Нажмите кнопку Добавить , чтобы открыть окно планировщика
   • Введите какое-нибудь значащее имя для запланированной задачи, например CronDisableWLAN (может быть таким же, как в сценарии)
   • Введите имя вашего сценария DisableWLAN в текстовую область On Event
   • Выберите дату начала (т. е.e сегодня), время начала ( чч: мм: сс формат , т.е. 23:00:00 ) и интервал для повторения действия, например 1d 00:00:00
   • Выберите необходимые политики или отметьте их все
   • Сохраните график, нажав кнопку Ok

Повторите то же самое, чтобы запланировать сценарий включения (например, CronEnableWLAN , начиная с 09:00:00 с интервалом 1d 00:00:00 )

Теперь ваш роутер Mikrotik будет выключаться и включаться в желаемое время.

Хорошего отдыха!

Как отключить IP-трафик в заданное время в маршрутизаторе Mikrotik

Мои дети используют мою игровую систему (PS3) для просмотра видео на Amazon и Netflix. Благодаря планировке моего дома это очень удобно. К сожалению, одному из детей также очень удобно просто включать вещи ночью и смотреть свои любимые шоу, пока они не заснут снова перед ним. Увидев это несколько раз, я решил, что мне нужно что-то с этим сделать … То есть отключить доступ в Интернет к PS3, когда они должны спать.

Мой текущий маршрутизатор — Mikrotik hAP AC Lite с конфигурацией по умолчанию. Это немного неидеально для наших целей, но все же должно оказаться полезным для тех, кто ищет, как ограничить трафик на IP-адрес или устройство в определенном временном диапазоне. Для тех, кто предпочитает просто видеть код, он находится здесь:

.


;;; Нет PS3 21:30 - 6:00
;;; неактивное время
цепочка = прямое действие = удаление src-address = 192.168.88.231 in-interface = bridge out-interface = ether1
time = 21h40m-6h, вс, пн, вт, среда, чт, пт, сб журнал = нет журнала -prefix = ""


Устанавливается в IP> Брандмауэр> Фильтры

Определение IP-адреса для фильтрации

В моем случае у меня есть PS3, подключенный к маршрутизатору.Однако, поскольку я использовал настройку по умолчанию, мне пришлось использовать Torch на мосту, чтобы определить IP-адрес, назначенный PS3:

.

Я просто использовал процесс исключения, чтобы определить соответствующий IP-адрес. Получив IP-адрес, я создал новое правило фильтра в разделе IP> Брандмауэр> Правила фильтра.

Создание правила фильтра брандмауэра

На вкладке «Общие» вновь созданного правила я выбрал «Цепочка»> «Переслать», указал исходный адрес (IP-адрес PS3), интерфейс (мост) и выходной интерфейс (ether1):

На вкладке «Дополнительно» я выбрал время остановки трафика PS3, а также дни недели:

Наконец, на вкладке «Действие» я выбрал «Drop»:

В списке правил фильтрации брандмауэра правило будет красным, когда оно неактивно:

Вот и все.Для этого может быть несколько способов, и я, конечно, не эксперт по Mikrotik. Однако это работает, и это еще одна забавная вещь, которую можно сделать с маршрутизаторами Mikrotik.

Если у вас есть какие-либо вопросы или критические замечания, не стесняйтесь размещать их в комментариях ниже.

Статьи по теме:

MikroTik Groove: пошаговое руководство по установке

MikroTik Groove — фантастический продукт для использования в качестве усилителя Wi-Fi на море. Однако это не самое простое устройство в настройке.В этом руководстве рассматривается установка и настройка Groove для первоначального использования, а также некоторые дополнительные рекомендации.

Другие статьи, которые я написал, более подробно описывают конфигурацию и использование:

Существует несколько различных способов использования MikroTik Groove, наиболее распространенным из которых является уличный «усилитель» для захвата удаленных сигналов Wi-Fi и передачи их на устройство на борту нижней палубы вашей лодки. Это устройство обычно представляет собой маршрутизатор, который может использовать Groove в качестве источника Интернета, а затем делиться им на вашей лодке с вашей собственной персонализированной сетью Wi-Fi.

Иногда люди используют Groove для прямого подключения к портативному компьютеру вместо внутреннего маршрутизатора, но это ограничивает других людей, находящихся на борту, в возможности воспользоваться Groove.

Groove не будет работать одновременно как удаленное устройство захвата Wi-Fi и как маршрутизатор Wi-Fi, на котором он транслирует локальную сеть — это частый вопрос, который я получаю. Groove может быть либо клиентом и получать удаленный сигнал, либо сервером или точкой доступа и служить вашей локальной сетью WiFi.Я бы не рекомендовал Groove для последнего, вместо этого я бы предпочел MikroTik hAP AC — ознакомьтесь с моей статьей о модульном, более дешевом интернет-решении для лодок через Netgear и MikroTik для получения более подробной информации.

Краткий ответ: читать Марину WiFi сложно.

Если вы посещаете пристань и планируете подключиться к их сети Wi-Fi, вам понадобится какая-то внешняя антенна или усилитель. Некоторые продукты Peplink позволяют использовать функцию Wi-Fi в качестве WAN, которая может работать, но в большинстве случаев для стабильного соединения требуется внешняя выделенная антенна или устройство.

Ожидать, что все ваши устройства внутри лодки будут работать с точкой беспроводного доступа, рядом с которой находится миллиард других людей, с лодками, металлическими мачтами и прочими помехами, — одно из самых больших заблуждений в области морского Wi-Fi. Вам нужен способ усиления сигнала.

Подключение компьютера

Есть два способа настроить устройство MikroTik — через веб-браузер или через Winbox. Я предпочитаю использовать браузер, так как он работает с любой операционной системой, даже с iPad, а Winbox создан для Windows.Вы можете запустить Winbox на Mac или Linux, если хотите пройти через головную боль, связанную с настройкой Wine, чего я не хочу делать. Если вы предпочитаете Winbox, эти инструкции могут не соответствовать всем шагам в этом интерфейсе.

Чтобы начать подключение, вам необходимо подключить Groove через адаптер PoE — обычно тот, который прилагался к нему. Следуйте инструкциям относительно того, какой порт куда идет. У вас должен получиться порт Ethernet на вашем компьютере, подключенный к адаптеру PoE, и адаптер, подключенный к Groove.При подаче питания вы должны услышать звуковой сигнал Groove вскоре после его включения, а затем через 10–30 секунд еще одну последовательность звуковых сигналов, указывающую на загрузку.

Если Groove работает и работает нормально, вашему компьютеру должен быть назначен сетевой адрес DHCP в диапазоне 192.168.88.xx. Используйте панель управления операционной системы, чтобы убедиться, что вы получаете адрес.

Кроме того, вы можете проверить подключение, открыв Терминал на Mac или Командную строку в Windows и проверив IP-адрес Groove по умолчанию:

  пинг 192.168,88,1
PING 192.168.88.1 (192.168.88.1): 56 байтов данных
64 байта из 192.168.88.1: icmp_seq = 0 ttl = 62 time = 33,826 мс
64 байта из 192.168.88.1: icmp_seq = 1 ttl = 62 time = 30,486 мс
64 байта из 192.168.88.1: icmp_seq = 2 ttl = 62 time = 42,349 мс
64 байта из 192.168.88.1: icmp_seq = 3 ttl = 62 time = 45,525 мс

--- 192.168.88.1 статистика пинга ---
4 пакета передано, 4 пакета получено, потеря пакетов 0,0%
туда и обратно мин. / сред. / макс. / стандартное отклонение = 30,486 / 38,047 / 45,525 / 6,112 мс  

Если вы получите ответы, значит, он запущен и готов к настройке.

В противном случае вам может потребоваться сброс настроек устройства до заводских. См. Ниже, как это сделать.

Если он запущен и работает, подключитесь с помощью браузера к http://192.168.88.1/, и вы должны увидеть начальную страницу быстрых настроек.

Основы интерфейса MikroTik

Если устройство работает под управлением v6.40.x или новее, вы попадете на упрощенную страницу быстрых настроек. Более старая прошивка перенесет вас на страницу быстрых настроек, но с большим меню с левой стороны.

В левой части страницы вы найдете MAC-адреса, некоторые базовые настройки для WiFi и список ближайших сетей (после настройки).На правой стороне есть элементы, которые нам нужно настроить в первую очередь, включая выбор быстрого набора, режим маршрутизатора / моста и адресацию.

Фары

Светодиод Groove, показывающий, что соединение Ethernet активно, но сеть Wi-Fi не подключена

Сбоку от паза расположено 6 светодиодов. Первый из них будет мигать в различных формах при загрузке и при выполнении сброса к заводским настройкам. Когда Groove полностью загрузится, первый (самый нижний) индикатор должен загореться, указывая на то, что ваше соединение Ethernet установлено и работает.Он должен мигать, указывая на сетевой трафик.

Следующий светодиод загорается, когда вы подключены к точке доступа Wi-Fi, а последние 4 светодиода показывают уровень сигнала этой удаленной сети Wi-Fi.

Заводские настройки

Если вы дошли до точки, когда вы не можете вернуться в Groove, вам может потребоваться выполнить сброс настроек до заводских. Я делал это много раз, экспериментируя с функциями или конфигурацией, и потерял сетевое подключение к устройству.

1. Выключите Groove
2. С помощью небольшого заостренного предмета нажмите и удерживайте кнопку сброса в нижней части устройства рядом с портом Ethernet
3. Удерживая кнопку, снова подключите питание
4. Подождите, пока не загорится нижний индикатор мигает, затем отпустите кнопку сброса

Теперь Groove вернулся к заводским настройкам по умолчанию, и вы можете начать заново!

Шаг 1.

Режим маршрутизатора

Многие новые канавки уже настроены в режиме маршрутизатора.Вы можете сказать, что ваш уже настроен таким образом, если для быстрой настройки установлено значение «CPE», а для режима — «Маршрутизатор».

Если нет, в раскрывающемся списке рядом с «Quick Set» выберите CPE. Возможно, он захочет перезагрузиться — убедитесь, что вы сделали это, прежде чем менять что-либо еще .

Если ваш режим не установлен на маршрутизатор, выберите его и нажмите «Применить конфигурацию» в нижней части экрана. Он также может потребовать, чтобы вы перезагрузились здесь, что я рекомендую.

Переведя устройство в режим маршрутизатора CPE +, вы сделали самую рискованную часть настройки.Я видел много ситуаций, когда изменение других настроек в Quick Set делало Groove недоступным, и мне приходилось сбрасывать его до заводских настроек по умолчанию.

Некоторые люди спрашивали о режиме «мост против маршрутизатора», и почему вам нужен еще один NAT в этом процессе. NAT не такие уж «дорогие» с точки зрения сети, и мне легче определить, куда идет трафик, с четко определенными сетевыми адресами. Известно, что мосты пересылают все, что они получают, и в ситуации с Wi-Fi я не хочу, чтобы дерьмовый широковещательный трафик перенаправлялся через MikroTik на мой маршрутизатор.

Шаг 2 — Дополнительные настройки

На этом этапе вы можете перейти к подключению к своей первой сети Wi-Fi — основные настройки настроены, а остальные настройки по умолчанию должны работать со стандартным маршрутизатором, подключенным к Groove. При желании вы также можете изменить имя Groove, IP-адрес и т. Д.

Обычно я не рекомендую изменять сетевые настройки, так как настройки по умолчанию работают хорошо, и, если они не конфликтуют с другими устройствами в вашей сети, увеличивают риск изменения.Кроме того, поскольку вы можете попасть в ситуации, когда вам нужно выполнить сброс к заводским настройкам, использование IP-адреса по умолчанию, который назначает MikroTik, избавляет вас от необходимости изменять свою сеть только для перенастройки.

Я рекомендую дать вашему маршрутизатору имя в разделе «Идентификация маршрутизатора» и установить пароль для интерфейса администратора, чтобы другие пользователи не могли изменить конфигурацию.

Все остальное Я рекомендую оставить значения по умолчанию, если вы не знаете, что делаете.

Когда вы прибыли в новую пристань для яхт и готовы подключиться к новой сети Wi-Fi, есть несколько вариантов, которые помогут вам начать работу:

Быстрый путь

В более новых версиях прошивки очень просто подключиться к новой сети Wi-Fi.Если у вас нет новой прошивки, возможно, вам придется выполнить процедуру вручную, а затем выполнить обновление программного обеспечения.

Для начала войдите в систему и убедитесь, что вы находитесь на экране быстрых настроек.

Оказавшись там, вы должны увидеть раздел Wireless в левой части экрана. По умолчанию MikroTik должен начать показывать вам доступные сети Wi-Fi, но он может быть пустым, если диапазон установлен неправильно.

Groove показывает доступные сети на основе выбранных диапазонов Band , Channel Width и Country .Вот лучшие шаги, которые я нашел:

1. Страна — выберите соответствующую страну
2. Ширина канала — установите 20 МГц, что является наименее ограничивающим / наименьшим общим знаменателем.
3. Полоса — в зависимости от того, выбираете ли вы 5 ГГц или 2,4 ГГц, используйте наиболее полный список для каждого : 5Ghz-A / N / AC или 2Ghz-B / G / N

Как только вы найдете сеть, к которой хотите присоединиться, щелкните ее в списке, введите пароль (если он есть) и нажмите Connect кнопка. Если все настроено правильно, вы должны подключиться очень скоро.

Вы узнаете, успешно ли вы присоединились, когда в тексте статуса будет указано «подключен к ess». У вас также должен быть IP-адрес справа в разделе «Беспроводная сеть».

Если у вас их нет, значит, что-то еще не так, и вам может потребоваться ручная настройка, или сеть Wi-Fi, к которой вы пытаетесь подключиться, слишком слабая или перегружена (что является обычным явлением).

Использование определенной точки доступа

Пока вы подключены и у вас должен быть доступ в Интернет, некоторые версии RouterOS записывают точный MAC-адрес точки доступа, полосу пропускания и ширину канала и блокируют соединение с этими свойствами.Если вы находитесь в месте, где есть несколько точек доступа (AP), обеспечивающих один и тот же сигнал WiFi, вы можете переопределить это, чтобы Groove искал и использовал самую мощную точку доступа, если что-то изменится.

Часто, когда лодки движутся вверх и вниз вместе с приливами и изменяются условия окружающей среды (другая лодка уходит и т. Д.), AP, который вы выбрали изначально, может быть не лучшим для вас сейчас.

В других ситуациях «привязка» вашего Groove к конкретной точке доступа может быть желательной, поскольку вы знаете, что это самая высокая передача на частоте 5 ГГц, и вы не хотите, чтобы Groove охотился за другим.

Возможно, вам придется поэкспериментировать, чтобы получить наилучшие результаты, и я видел, что приведенное выше совершенно неверно для некоторых новых версий прошивки — они настраивают его в общем и подключаются к любой точке доступа с этим именем WiFi.

Чтобы отменить то, что было установлено выше, просто выполните шаг 4 ниже в разделе «Ручной способ», чтобы удалить MAC-адрес точки доступа и изменить полосу пропускания и ширину канала на более инклюзивные значения.

Путь вручную

Если у вас более старая версия прошивки, возможно, вы не сможете выполнить описанные выше действия.Кроме того, если вы предпочитаете настроить радио или параметры безопасности, вы также можете использовать эти шаги.

Шаг 1. Безопасность

Если для сети Wi-Fi, к которой вы подключаетесь, требуется пароль (или ключ безопасности), как это требуется для большинства из них, вам необходимо создать профиль безопасности. Для этого:

1. Щелкните Wireless на панели навигации.
2. Щелкните вкладку Профили безопасности.
3. Нажмите «Добавить».

Большинство современных систем WiFi используют безопасность WPA2, в частности WPA2 PSK.Убедитесь, что выбрано только.

Оставьте для одноадресных и групповых шифров по умолчанию AES — они также используются чаще всего.

В разделе «Общий ключ WPA2» введите пароль или кодовую фразу для сети Wi-Fi, к которой вы пытаетесь подключиться. Оставьте все остальное по умолчанию.

Нажмите «Применить», и у вас будет профиль безопасности, который можно связать с адаптером WiFi для рассматриваемой сети.

Шаг 2 — Сканирование

Я всегда использую встроенный сканер, независимо от того, что мне сказали в марине.Я начинаю сканировать с радио, настроенным на 5 ГГц, а затем пробую 2,4 ГГц, если что-то не получается.

1. Щелкните Wireless на левой панели навигации.
2. Щелкните адаптер Wi-Fi, «wlan1»
3. Измените диапазон на 5 ГГц — я установил его на наиболее совместимый из 5 ГГц-A / N / AC
4. Измените ширину канала на 20Mhz
5. Измените профиль безопасности на тот, который вы установили на шаге 1

Теперь нам нужно сканировать доступные сети

1. Нажмите «Сканировать», чтобы начать сканирование на частоте 5 ГГц.
2. Если ничего не обнаружено, соответствующее тому, что предоставила пристань для яхт, их может быть только 2. 4Ghz. Если да, вернитесь к шагу 2 и выберите частоты 2 ГГц.

Шаг 3 — Подключение

Когда я нахожу сигнал, который мне нравится, я нажимаю «Подключить» и позволяю ему автоматически заполнять настройки адаптера WiFi. Вы можете настроить их позже.

Шаг 4 — Отрегулируйте

После того, как все было предварительно заполнено на предыдущем шаге, я захожу и настраиваю пару вещей.

1. Удалить конкретный MAC-адрес выбранной точки доступа
2. Настроить полосу на весь спектр
3. Настроить частоту на автоматический

Имейте в виду, что я делаю это, потому что знаю, что моя лодка будет немного плавать и двигаться вместе с приливами, и Одна станция, которую мы определили при сканировании, через несколько часов может оказаться не самой лучшей.Если у вас возникли проблемы после их изменения, ваш Groove может искать и менять удаленную точку доступа слишком много раз, и вы можете вернуться и повторно запустить сканирование, чтобы «привязать» его к определенной точке доступа.

Вы также можете заставить систему использовать определенную точку доступа — см. Выше в разделе «Использование определенной точки доступа».

После подключения к сети Wi-Fi вам необходимо обновить программное обеспечение до последней версии. Я настоятельно рекомендую сделать это, прежде чем полагаться на Groove.Многие ошибки были исправлены в более поздних версиях, а также некоторые серьезные уязвимости, о которых вы не хотите останавливаться.

Для обновления:

1. Войдите в Groove
2. Нажмите WebFig, чтобы перейти к расширенной конфигурации
3. Разверните «Система» в левом меню и выберите «Пакеты».
4. Нажмите «Проверить наличие обновлений» (требуется активное подключение к Интернету)
5. Вы см. экран, аналогичный приведенному выше, если доступна новая версия.
6. Нажмите «Загрузить и установить» и подождите пару минут, пока все будет загружено и установлено.
7. Groove перезагрузится и должна появиться новая версия.

Я также рекомендую проверять наличие новых обновлений каждую неделю, чтобы убедиться, что вы используете самый последний, самый безопасный и стабильный выпуск.

По умолчанию Groove имеет брандмауэр с некоторыми хорошими правилами, чтобы никто в сетях WiFi, к которым вы подключаетесь, не мог получить доступ к чему-либо на нем или в другом месте за ним. Если вам не нужно открывать порты для общих служб или чего-то подобного, я бы здесь особо не менял.

Кроме того, если вы используете встроенный маршрутизатор, к которому подключен Groove, он также должен иметь межсетевой экран, защищающий вашу внутреннюю сеть.

Я также настоятельно рекомендую вам прочитать «Защита маршрутизатора» для получения дополнительной информации о дополнительных действиях, которые вы можете предпринять, а также установить пароль администратора и переключиться на SSL!

Это очень простой набор шагов для запуска MikroTik Groove в качестве беспроводного «ускорителя» для морского приложения. Вы также можете использовать это в доме на колесах или в любой другой ситуации, когда вам нужно поймать удаленный сигнал Wi-Fi, а затем усилить его в своем доме / лодке / жилом доме / юрте и т. Д.

Однако это далеко не все включено.В программном обеспечении MikroTik RouterOS есть тонн других функций, и вы можете получить довольно удивительные и сложные конфигурации. Это руководство предназначено для того, чтобы помочь вам быстро подключиться. Надеюсь, да, и вы используете его в своей сети, чтобы прочитать это прямо сейчас!

Вы можете помочь поддержать мой сайт, купив Groove по одной из партнерских ссылок Amazon ниже.

Обязательно ознакомьтесь с другими моими статьями на похожие темы:

Подписаться на новости SeaBits

Получайте все самые свежие и лучшие сообщения прямо на ваш почтовый ящик

Пожалуйста, проверьте свой почтовый ящик, чтобы получить письмо с подтверждением!

Что-то пошло не так.

Статьи по теме

• Это рекомендуемые мной конструкции систем для обеспечения качественного доступа в Интернет на вашем судне. Есть несколько вариантов в зависимости от вашего бюджета.

• Я много писал о своей лодочной сети и, в частности, о продуктах Peplink, которые предлагают массу функций и возможностей. Последние 6 месяцев я экспериментировал с конфигурациями и оборудованием, которые стоят меньше, но при этом обеспечивают гибкость и функции, которые предлагают более дорогие решения.

Укрепление маршрутизатора MikroTik — Manito Networks

Теперь вы можете пройти обучение MikroTik прямо в Manito Networks. MikroTik Security Guide и Networking with MikroTik: MTCNA Study Guide by Tyler Hart доступны в мягкой обложке и Kindle!

Маршрутизаторы

Mikrotik прямо из коробки требуют усиления безопасности, как и любой маршрутизатор Arista, Cisco, Juniper или Ubiquiti. Некоторые самые базовые изменения конфигурации могут быть внесены немедленно, чтобы уменьшить поверхность атаки, а также реализовать передовые методы, а более продвинутые изменения позволяют маршрутизаторам проходить сканирование на соответствие и формальные аудиты. Почти все изменения конфигурации, приведенные ниже, включены в требования для соответствия PCI-DSS и HIPAA, а рекомендуемые шаги также включены в тесты безопасности CIS и DISA STIG.

Это типичная конфигурация филиала с «зонами» внутренней, внешней и управляющей сети. Это вполне может быть RB-751 в домашнем офисе или RB-951 или hAP в филиале. Сеть управления не является строго необходимой в организациях без соответствующих требований соответствия, но это лучшая практика.

Для организаций, у которых есть стандарты соответствия, наличие отдельной сети управления соответствует статусу Infrastructure Router STIG Finding V-5611:

Сетевые устройства должны разрешать управляющие соединения для административного доступа только с хостов, находящихся в управляющей сети.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-5611

1. Защита интерфейсов
   1. Показать интерфейсы
   2. Отключить неиспользуемые интерфейсы
2. Сканирование обнаружения
   1. Обнаруженные порты
   2. Обнаруженные услуги
   3. Сводка сканирования
3. Управляющие услуги
   1. Посмотреть услуги
   2. Отключить службы
4. Надежная криптовалюта
5. Межсетевой экран
6. Управление учетными данными
   1. Учетная запись администратора по умолчанию
   2. Дополнительные счета
   3. Неблагоприятные счета
7. Обнаружение соседей
   1. IPv4 ND
   2. IPv6 без даты
8. Фильтрация обратного пути
9. Конфигурация баннера
10. Синхронизация часов NTP
11. Конфигурация SNMP
12. Резервное копирование конфигурации
13. Дополнительные конфигурации
14. Сводка

Первый шаг, который мы предпримем, — это отключение любых физических сетевых интерфейсов, которые не используются, и отказ от доступа злоумышленников к устройству, если они каким-то образом проникли в коммутационный шкаф или серверную комнату. Чтобы подключиться к роутеру, им пришлось бы отключить действующее соединение и привлечь внимание.

Показать интерфейсы

Сначала перечислите все интерфейсы, отметив номера, связанные с каждым интерфейсом (интерфейсы в этом упражнении см. В таблице выше):

  / печать интерфейса  

Отключить неиспользуемые интерфейсы

Затем отключите все интерфейсы, которые не работают, чтобы их нельзя было использовать для доступа к устройству. В нашем случае используются интерфейсы 1, 2 и 3, но мы не используем интерфейсы 4 и 5:

  / interface set 4,5 disabled = yes  

После того, как ваши сетевые интерфейсы будут защищены и остальная часть этого руководства будет завершена, также взгляните на сегментирование ваших сетей с помощью VLAN.

Затем мы проведем сканирование Nmap стандартного маршрутизатора со стороны WAN, чтобы получить базовый уровень открытых портов и сервисов. Это будет наша отправная точка, показанная ниже:

  nmap -A -T4 -Pn -v 192. 168.88.181  

Если вы хотите узнать больше об использовании Nmap, ознакомьтесь с описанием Network Scanning With Nmap, которое поможет вам в этом. Соответствующие части вывода сканирования порта показаны в следующих разделах. При любом сканировании портов мы обращаем особое внимание на обнаруженные открытые порты и службы, работающие на этих портах.

Обнаруженные порты

Это открытые порты, которые были обнаружены во время сканирования портов:

  Сканирование 192.168.88.181 [1000 портов]
Обнаружен открытый порт 21 / tcp на 192.168.88.181
Обнаружен открытый порт 53 / tcp на 192.168.88.181
Обнаружен открытый порт 23 / tcp на 192.168.88.181
Обнаружен открытый порт 80 / tcp на 192.168.88.181
Обнаружен открытый порт 22 / tcp на 192.168.88.181
Обнаружен открытый порт 2000 / tcp на 192.168.88.181
Обнаружен открытый порт 8291 / tcp на 192.168.88.181  

Знание ваших основных портов и протоколов очень полезно при просмотре результатов сканирования портов, потратьте некоторое время на их изучение, если вы еще этого не сделали.

Обнаруженные услуги

Это службы, работающие на открытых портах, которые были обнаружены во время сканирования портов:

  Хост работает (задержка 0,012 с).
Не показано: 993 закрытых порта
ВЕРСИЯ ГОСУДАРСТВЕННОЙ СЛУЖБЫ ПОРТА
21 / tcp открыть ftp MikroTik router ftpd 6.37.1
22 / tcp open ssh MikroTik RouterOS sshd (протокол 2.0)
| ssh-hostkey:
| 1024 68: 22: e5: 37: be: d9: 7f: 76: e9: 44: b8: 7b: 03: 0b: 07: 66 (DSA)
| _ 2048 5e: 1c: a0: 82: e7: a7: e8: bb: ba: a7: f4: 0b: b6: b5: f5: eb (RSA)
23 / tcp открыть telnet Linux telnetd
53 / tcp открытый домен MikroTik RouterOS с именем или OpenDNS Updater
80 / tcp открыть конфигурацию маршрутизатора http MikroTik httpd
| http-методы:
| _ Поддерживаемые методы: GET HEAD
| http-robots.txt: 1 запрещенная запись
| _ /
| _http-title: Страница конфигурации маршрутизатора RouterOS
2000 / tcp open bandwidth-test сервер MikroTik bandwidth-test
8291 / tcp открыть WinBox MikroTik WinBox
Сервисная информация: ОС: Linux, RouterOS; Устройство: роутер; CPE: cpe: / o: mikrotik: routeros, cpe: / o: linux: linux_kernel  

Сводка сканирования

Nmap обнаружил ряд проблем, и ясно, что у нас есть над чем поработать. Маршрутизатор работает с несколькими незашифрованными протоколами и службами, в которых нет необходимости.Служба FTP также дает злоумышленнику, проводящему разведку, точную версию работающей RouterOS. Мы также видим результат использования заводских учетных данных по умолчанию. Если бы этот маршрутизатор был подключен к Интернету так же, как сейчас, он почти наверняка был бы использован вскоре после выхода в Интернет.

Как и в большинстве производственных сетей, мы предполагаем, что маршрутизатор будет администрироваться только через SSH и защищенный режим Winbox. И сеансы SSH, и Winbox зашифрованы, поэтому нам не нужно беспокоиться об утечке информации в виде открытого текста.Сначала мы просмотрим запущенные службы на маршрутизаторе, затем отключим все службы, кроме SSH и Winbox. Наконец, мы снова просканируем, чтобы убедиться, что изменения внесены.

Просмотр услуг

Список служб, запущенных на маршрутизаторе:

  / ip service print  

Такие службы, как Telnet, FTP и WWW, по своей сути небезопасны и не должны использоваться в производственных средах, учитывая безопасные альтернативы, такие как SSH и HTTPS.

Отключить службы

Следующие команды отключают службы Telnet, FTP, HTTP и SOCKS и сервер тестирования пропускной способности, который включен по умолчанию, а также отключают удаленные запросы DNS, ретранслируемые через маршрутизатор:

  / отключение службы ip [find name = telnet]
/ ip service disable [find name = ftp]
/ ip service disable [find name = www]
/ ip service disable [find name = www-ssl]
/ ip service disable [find name = api]
/ ip service disable [find name = api-ssl]
/ tool bandwidth-server set enabled = no
/ ip dns set allow-remote-requests = no
/ ip socks set enabled = no  

Отключение HTTP определенно указывает на то, что маршрутизатор инфраструктуры обнаруживает STIG V-3085:

Сетевые устройства должны иметь службу HTTP для отключения административного доступа.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-3085

FTP должен быть отключен согласно протоколу STIG Finding V-14668 для инфраструктурного маршрутизатора:

FTP-серверы на устройстве должны быть отключены.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-14668

Убедитесь, что базовые службы отключены (отмечены знаком «X» рядом с именем службы), запустив следующую команду:

  / ip service print  

Мы также отключим серверы MAC Telnet и MAC Winbox.Они используются для предоставления администраторам доступа к маршрутизатору без назначенного IP-адреса, но по умолчанию включены и работают на ВСЕХ интерфейсах, даже на интерфейсах WAN. Пользователь в вашей локальной сети может подключиться к устройству через одну из служб MAC, и этот доступ должен быть ограничен как из внутренних, так и из внешних сетей. Мы полностью отключим эти службы, и рекомендуется повторно включить их только на выделенных интерфейсах управления.

  / набор инструментов mac-server [найти] отключено = да
/ tool mac-server mac-winbox set [найти] отключено = да
/ tool mac-server ping set enabled = no  

Убедитесь, что другие службы отключены (отмечены знаком «X» рядом с именем службы), выполнив следующую команду:

  / инструмент для печати на Mac-сервере
/ инструмент mac-server mac-winbox print
/ tool mac-server ping print  

Мы также отключим новую функцию RoMON, если вы ее не используете. Если вы используете RoMON для управления устройством, оставьте его включенным, но если вы его не используете, отключите его, чтобы уменьшить поверхность атаки:

  / набор инструментов включен = нет  

Более надежное шифрование для SSH доступно начиная с RouterOS 6.30, поэтому мы его включим. Клиенты SSH, такие как Putty, которые могут использовать более сильную криптовалюту, по умолчанию будут использовать это, а более слабые алгоритмы не будут использоваться. По состоянию на ноябрь 2016 года нет возможности явно отключить более слабые криптоалгоритмы в Mikrotik для целей SSH.Включите SSH Strong Crypto:

  / ip ssh set strong-crypto = yes  

Маршрутизаторы должны администрироваться только через защищенные протоколы, и эти протоколы должны использовать надежные шифры согласно инфраструктурному маршрутизатору STIG Finding V-3069:

Управляющие подключения к сетевому устройству должны быть установлены с использованием безопасных протоколов с проверенными криптографическими модулями FIPS 140-2.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-3069

Несмотря на то, что конфигурации уже были изменены, злоумышленник может попытаться войти в систему с учетными данными администратора Mikrotik по умолчанию через Интернет, используя SSH или Winbox, и добьется успеха.Мы отключим доступ (ввод) со стороны WAN, добавив несколько основных правил брандмауэра, а затем создадим список адресов брандмауэра для блокировки Bogons. Богоны — это сетевые адреса, которые не предназначены для маршрутизации через Интернет, и обычно это не так, если кто-то не пытается подделать трафик и создать впечатление, что он исходит из вашей собственной сети. Команда Cymru ведет действительно фантастический список Богонов, которых вам следует блокировать.

Если вы еще не знакомы с принципами работы цепочек и правил брандмауэра, взгляните на статью Mikrotik Firewall, в которой все это раскрывается простым языком.

Вот сокращенный список адресов Богона:

  / ip список адресов брандмауэра
добавить адрес = 192.168.0.0 / 16 список = Богон
добавить адрес = 10.0.0.0 / 8 список = Богон
добавить адрес = 172.16.0.0 / 12 список = Богон
добавить адрес = 127.0.0.0 / 8 list = Bogon
добавить адрес = 0.0.0.0 / 8 список = Богон
добавить адрес = 169.254.0.0 / 16 list = Bogon  

Теперь правила брандмауэра:

  / ip фильтр межсетевого экрана
add chain = input comment = "Принять установленный / связанный ввод" состояние соединения = установлено, связанное

add chain = input comment = "Разрешить ввод для управления" src-address = 10.1.157.0 / 24

add action = drop chain = input comment = "Drop Input" log = yes log-prefix = "Input Drop"

add action = fasttrack-connection chain = forward comment = "Fast Track Established / Related Forward" состояние соединения = установлено, связанное

add chain = forward comment = "Принять установленное / связанное переадресацию" состояние соединения = установлено, связанное

add chain = forward comment = "Разрешить клиентский трафик LAN из WAN" out-interface = ether1-gateway src-address = 192. 168.0.0 / 24

add action = drop chain = forward comment = "Drop Bogon Forward -> Ether1" in-interface = ether1-gateway log = yes log-prefix = "Bogon Forward Drop" src-address-list = Bogon

add action = drop chain = forward comment = "Drop All Forward"  

Ведение журнала включено для пары правил: Drop Input и Drop Bogon Forward.Если кто-то пытается войти неоднократно, мы хотим, чтобы источник был зарегистрирован, чтобы можно было провести расследование и исправить ситуацию.

Ввод разрешен для маршрутизатора из подсети управления, а все остальное следует отбросить в цепочке ввода. Единственные люди, которые должны пытаться получить доступ к маршрутизатору напрямую, а не просто пересылать трафик через него, должны быть сетевыми администраторами, чьи рабочие станции находятся в подсети управления. Если этот маршрутизатор участвовал в туннелях GRE, EoIP или IPSEC, тогда необходимо было бы добавить дополнительные правила ввода, чтобы разрешить установку этих туннелей, но это рассматривается в других статьях. См. Описание Mikrotik Firewall для более подробного объяснения правил, действий, цепочек и многого другого.

Теперь, когда мы (относительно) защищены снаружи, давайте обезопасим пару вещей внутри маршрутизатора.

Учетная запись администратора по умолчанию

Во-первых, давайте установим пароль для пользователя admin по умолчанию, затем изменим имя пользователя admin на другое, кроме заводского по умолчанию «admin». Это требуется для маршрутизатора инфраструктуры STIG Finding V-3143:

Сетевые устройства не должны иметь паролей производителя по умолчанию.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-3143

Так же, как переименование учетной записи администратора на серверах Windows, рекомендуется переименовать пользователя-администратора Mikrotik в другое имя, отличное от известного по умолчанию ( admin ):

  / набор пользователей 0 пароль = mygreatpassword
/ user set 0 name = tikadmin comment = "Учетная запись по умолчанию - ТОЛЬКО РЕЗЕРВНОЕ КОПИРОВАНИЕ"  

Дополнительные учетные записи

Все администраторы маршрутизатора должны иметь свои собственные учетные записи для предотвращения отказа и использовать эти учетные записи только для администрирования устройства. Логин по умолчанию, который нельзя удалить, следует использовать только в целях экстренного входа. Использование индивидуальных учетных записей требуется согласно инфраструктурному маршрутизатору STIG Finding V-3056:

.

Групповые учетные записи не должны быть настроены для использования на сетевом устройстве.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-3056

Создайте пользователя для каждого администратора, имеющего доступ к устройству:

  / user add name = tyler password = myawesomepassword group = full comment = "Tyler @ Manito Networks"  

Пользователь, которого мы только что переименовали, должен использоваться только для целей резервного копирования, если другие учетные данные каким-то образом были потеряны или забыты.Это также позволяет быстро отключить доступ администратора, когда он покидает организацию, не затрагивая другой административный доступ.

Неблагоприятные счета

Когда администратор покидает организацию, его доступ к маршрутизатору должен быть прекращен, чтобы они не могли изменять какие-либо конфигурации. Если администратор уходит в отпуск или находится на каком-либо «юридическом запрете», также может быть хорошей идеей временно отключить его доступ, в зависимости от требований компании и рекомендаций юрисконсульта.

Для отключения учетной записи (ее можно будет снова включить позже):

  / пользовательское отключение [find name = tyler]  

Чтобы удалить учетную запись (нельзя отменить):

  / user remove [find name = tyler]  

Упреждающее управление учетными записями на ваших маршрутизаторах удовлетворяет требованиям Infrastructure Router STIG Finding V-3058:

Неавторизованные учетные записи не должны быть настроены для доступа к сетевому устройству.

https://www. stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-3058

Еще одна передовая практика — отключить обнаружение соседей, что предотвратит обнаружение маршрутизатора другими устройствами, на которых работает протокол Mikrotik Neighbor Discovery Protocol (NDP) или Cisco Discovery Protocol (CDP).

IPv4 ND

Сначала мы отключим его по умолчанию для IPv4, поэтому, когда новые интерфейсы будут подключены к сети, они не будут участвовать:

  / ip Neighbor discovery settings set default = no default-for-dynamic = no  

Затем мы отключим его для каждого отдельного интерфейса IPv4, который уже запущен, потому что он изначально включен для интерфейсов по умолчанию (даже WAN). Это особенно важно для организаций WISP, которые используют устройства Mikrotik в качестве CPE.Не выключение ND на стороне WAN может раскрыть информацию об оборудовании одного клиента другому.

  / ip Neighbor Discovery set [find] discover = no  

Все остальные порты отключены, поэтому там обнаружение не произойдет. Как только это будет сделано, если у вас есть интерфейс в управляющей подсети / VLAN, не помешает разрешить протоколам обнаружения работать только на этом интерфейсе.

IPv6 ND

Обнаружение соседей также можно отключить для IPv6:

  / ipv6 nd set [find] disabled = yes  

Это может отрицательно повлиять на производительность вашей сети IPv6 — проверьте перед внедрением в производство.

Мы также включим фильтрацию обратного пути (RPF), также известную как пересылка обратного пути. Эта функция отбрасывает пакетный трафик, который выглядит подделанным, т. Е. Пакет, исходящий из внутренней подсети LAN, отправляется исходящим, но с IP-адресом источника, отличным от IP-адреса локальной сети. Это очень часто, когда рабочая станция была заражена вирусом и теперь участвует в DDoS-атаке. Включим RPF в меню IP> Настройки:

  / ip settings set rp-filter = strict  

Было отмечено, что функция фильтра обратного пути может вызвать проблемы, если маршрутизатор является многосетевым. К сожалению, реализация этой функции в Mikrotik не позволяет включить фильтрацию обратного пути на определенных интерфейсах — только для всего устройства — так что будьте осторожны, если ваше устройство является многосетевым.

Реализация RPF удовлетворяет требованиям STIG для маршрутизатора инфраструктуры V-14707:

Сетевой элемент должен быть настроен на прием любого исходящего IP-пакета, который содержит недопустимый адрес в поле исходного адреса, через исходящий ACL или путем включения одноадресной пересылки обратного пути в анклаве IPv6.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-14707

Предполагая, что вы можете реализовать RPF, сделайте это. Это может помочь ограничить влияние будущих крупномасштабных DDoS-атак, если ваши внутренние узлы объединены в ботнет, и это часть хорошего гражданина Интернета. Этот вид фильтрации также задокументирован как Best Common Practice (BCP) # 38, а также RFC # 2827.

Мы также должны установить баннер входа в систему, который отображается, когда кто-то входит (или пытается войти) в маршрутизатор.Это требуется рядом стандартов соответствия, а также определено в STIG. В зависимости от страны и юрисдикции, в которой вы находитесь, этот баннер может иметь или не иметь юридическое значение, но, безусловно, не повредит отображение баннера при входе в систему. Сначала установите баннер, который будет отображаться при входе в систему:

  / system note set show-at-login = yes  

Затем установите содержимое баннера. В нем должно быть четко указано, что доступ к маршрутизатору предоставляется только авторизованным администраторам и что доступ контролируется.

  / system note set note = "Manito Networks, LLC - только авторизованные администраторы. Доступ к этому устройству отслеживается."  

Теперь, когда администратор (или кто-либо другой) входит в маршрутизатор удаленно через SSH или Telnet, этот баннер появляется. Он также появится при открытии терминала в Winbox. Для таких организаций, как Министерство обороны США, этот тип баннера требуется в соответствии с инфраструктурным маршрутизатором STIG Finding V-3013:

.

Сетевые устройства должны отображать одобренное Министерством обороны предупреждение о входе в систему.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-3013

Мы также должны настроить маршрутизатор на получение обновленного времени с сервера NTP, чтобы маршрутизатор (и, надеюсь, все другие маршрутизаторы в организации) оставался синхронизированным с точными часами. Когда часы маршрутизатора некорректны, любой анализ журналов или корреляция журналов становятся очень трудными, потому что временным меткам нельзя доверять. Настройте клиент NTP для использования проекта pool.ntp.org:

  / system ntp client set enabled = yes server-dns-names = 0.pool. ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org  

Многие организации устанавливают часовые пояса своих инфраструктурных устройств на всемирное координированное время, чтобы все временные метки совпадали на разных устройствах и не При анализе журнала не нужно настраивать местное время индивидуально. Это не обязательно, но это помогает, если ваша организация работает в нескольких часовых поясах — для получения дополнительной информации см. Статью Mikrotik NTP.

Установка нескольких серверов NTP соответствует поиску STIG инфраструктуры маршрутизатора V-23747:

Сетевые устройства должны использовать как минимум два сервера NTP для синхронизации времени.

https://www.stigviewer.com/stig/infrastructure_router/2016-07-07/finding/V-23747

Протокол SNMP обеспечивает надежный мониторинг, но для настройки SNMP требуется больше, чем можно здесь быстро описать. См. Отчет о мониторинге SNMP для получения полного пошагового руководства по настройке SNMP на MikroTik.

И последнее, но не менее важное: мы создадим резервную копию новой конфигурации, которую можно будет загрузить с маршрутизатора и сохранить вместе с другими резервными копиями на случай, если маршрутизатор выйдет из строя и его нужно будет заменить:

  экспорт компактного файла = backup_config_router01  

Изменения конфигурации в этой статье — это «быстрые победы», которые обеспечивают быструю защиту устройств от типичных атак.Помимо этих изменений, вы можете сделать еще несколько вещей, чтобы обезопасить свою организацию в целом. После того, как ваши устройства будут настроены и станут стабильными, обратите внимание на следующие решения, которые помогут вам продвинуться дальше:

1. Централизованная регистрация и мониторинг устройств с помощью Syslog
2. Мониторинг сетевых потоков с Netflow и IPFIX
3. Настроить изоляцию беспроводного клиента
4. Фильтр P2P-трафика
5. Сегментные сети с VLAN

Долгосрочная безопасность устройств и управление рисками означает не только установку этих настроек, но также мониторинг ваших устройств и регулярный аудит установленных настроек. Безопасность — это не то, что вы делаете один раз, а потом никогда не думаете снова — это развивающийся процесс, который должен стать частью культуры вашей организации.

Подключите MikroTik к открытой сети Wi-Fi и обеспечьте доступ в Интернет через LAN и WLAN | Кшиштоф Радецкий | DAC Technology Blog

Теперь, когда мы подготовили профили, давайте настроим беспроводные интерфейсы. Как мы уже упоминали ранее, у hAP ac lite их два: wlan1 , работающий в диапазоне 2,4 ГГц, и wlan2 , работающий в диапазоне 5 ГГц.Мы будем использовать 5 ГГц для подключения к существующей точке доступа, чтобы обеспечить лучшую скорость интернета. Во-первых, мы должны исследовать локальную беспроводную сеть, с которой мы будем пытаться установить соединение:

 / interface wireless scan wlan2 

Результат будет более-менее напоминать приведенный ниже:

Рисунок 6. Сканирование беспроводной сети из CLI

То, что вы ищете, — это числовое значение в разделе CHANNEL выходных данных:

Рисунок 7. Выходные данные сканирования беспроводных сетей

Здесь мы подключаемся к сети Wi-Fi под названием DAC .Поскольку мы сканируем его с помощью интерфейса wlan2 , отображаются только сети диапазона 5 ГГц. В нашем примере сеть DAC работает на канале 40 (центральная частота 5200).

С этой информацией мы можем продолжить настройку интерфейсов. Во-первых, интерфейс wlan1 . Мы настроим его для использования в качестве точки доступа MikroTik (той, к которой будут подключаться наши компьютеры). Он будет использовать профиль безопасности по умолчанию и предоставлять WLAN с SSID DAC_PrivateNetwork :

 / interface wireless 
 set [find default-name = wlan1] \ 
 band = 2ghz-b / g / n \ 
 disabled = no frequency = 2412 \ 
 mode = ap-bridge \ 
 ssid = DAC_PrivateNetwork \ 
 wireless-protocol = 802.11 

Второй будет использоваться для подключения к существующей локальной сети. Обратите внимание на параметр security-profile ! Его значение должно соответствовать профилю безопасности, который мы создали с учетными данными гостевой беспроводной сети, к которой мы будем подключаться:

 / interface wireless 
 set [find default-name = wlan2] \ 
 band = 5ghz-a / n / ac \ 
 channel-width = 20 / 40mhz-Ce \ 
 disabled = no \ 
 distance = inside \ 
 frequency = 5200 \ 
 mode = station-bridge \ 
 security-profile = dac_office \ 
 ssid = DAC \ 
 wireless- протокол = 802. 11 

[решено] Коммутатор Mikrotik вылетает из строя всей сети [решено]

Джеймс,

Я очень считаю, что вы дали этому оценку. На этом этапе не зацикливайтесь на технической конфигурации или чрезмерном анализе настроек сети. Строго говоря, ваша цель должна заключаться в том, чтобы сначала изолировать проблему, после того как проблема будет изолирована, вы можете использовать свои технические навыки для ее устранения.

Опять же, я бы порекомендовал тот же тип изоляции и действий по устранению неполадок, который я рекомендовал ранее.Это действительно поможет вам изолировать проблему до уровня коммутатора. Как только проблема будет изолирована на уровне коммутатора, вы можете попробовать дальнейшие шаги по изоляции внутри этого коммутатора, чтобы изолировать ее до уровня порта. Я почти уверен, что эти шаги, по крайней мере, изолируют вашу проблему, чтобы наверняка переключить уровень.

Вот что я рекомендую.

1) Отключите все порты каскадирования вашего коммутатора HP файлового сервера, он должен быть отключен от всех коммутаторов. Примечание. Файловый сервер HP в настоящее время не подключен ни к какому другому коммутатору.

2) Подключите только коммутатор Mikrotik к этому коммутатору файлового сервера HP.Примечание. Если вы можете установить связь между переключателем файлового сервера HP и переключателем Mikrotik, то между этими двумя переключателями нет проблем (перейдите к шагу 3), ваша проблема находится где-то в цепочке. Однако, если он выйдет из строя ваш коммутатор файлового сервера HP, ваша проблема будет изолирована от коммутатора Mikrotik (остановитесь здесь и дополнительно изолируйте порты, конфигурацию, кабели на коммутаторе Mikrotik)

3) Теперь выберите коммутатор HP с восходящей цепью, который подключен к Коммутатор файлового сервера HP. Отсоедините восходящие соединения этого коммутатора HP от всех других коммутаторов HP.Теперь подключите коммутатор файлового сервера HP только к этому коммутатору HP. Примечание. Если в вашей сети происходит сбой, корень проблемы заключается именно в новом подключенном коммутаторе. Однако, если thigs запущены и работают, переходите к шагу 4.

4) Вы поняли мою точку зрения? выберите следующую цепочку переключения HP, так как у вас есть два других восходящих канала, выходящих из этого коммутатора вместе с нисходящим каналом. Отключите все порты восходящих каналов на этом коммутаторе. Теперь подключите только нисходящий канал от коммутатора HP с шага 3. Примечание. Если ваша сеть выходит из строя, этот коммутатор является вашей основной причиной (остановитесь здесь), если нет, продолжайте повторять эти шаги, пока вы не изолируете все коммутаторы HP в своей сети.

Дайте мне знать, как это происходит, напишите, если у вас возникнут дополнительные вопросы

MikroTik hAP ac2 — База знаний Intermedia

Устройство hAP ac2, предоставляемое MikroTik, представляет собой универсальный маршрутизатор и точку беспроводного доступа, которые можно использовать в сетях малого или домашнего офиса. Некоторые особенности устройства включают:

• ~ 70 долл. США
• поддерживает беспроводную связь на частоте 2,4 и 5 ГГц
• гигабит
• SIP ALG можно отключить

DNS-серверы

• можно изменить для повышения эффективности разрешения DNS и предотвращения проблем с регистрацией на устройствах Polycom.
• QoS может быть реализовано путем маркировки трафика и настройки очередей.

Прошивка

Настоятельно рекомендуется обновить прошивку устройства. Это в основном из соображений безопасности. Вы можете сделать это прямо в веб-интерфейсе, перейдя в WebFig> Система> Автообновление.

Начальная настройка

Ниже приведена диаграмма, показывающая окончательную желаемую и рекомендуемую настройку устройства MikroTik. Обратите внимание, что окончательная настройка может отличаться в зависимости от того, какое оборудование сейчас установлено и сколько устройств будет использоваться в сети.

Wi-Fi

Важно: из коробки в устройстве пароль WiFi не установлен. Это должно быть установлено сразу после входа в веб-интерфейс устройства. Это можно установить на странице Quick Set под паролем WiFi . Просто выберите раскрывающееся меню со стрелкой, установите желаемый пароль и нажмите Применить Конфигурация . Дополнительную документацию по WiFi устройства можно найти здесь: https: // wiki.mikrotik.com/wiki/Manual:Initial_Configuration#Setting_up_Wireless

Статический IP

Если вам нужно настроить статический IP-адрес на устройстве, вы можете обратиться к следующей статье базы знаний: Настройка статического IP-адреса WAN на MikroTik hAP ac2

Настройка прибора

1. Из коробки включен DHCP, и устройство работает в подсети 192.168.88.0/24.

2. Порт 1 (ether1) используется как порт WAN, а остальные порты могут использоваться как порты LAN / коммутатора.

3. Веб-интерфейс

   доступен по адресу 192. 168.88.1. После первоначального входа в веб-интерфейс устройства вам не будет предложено ввести пароль. Обязательно установите новый пароль. Нажмите пароль в правом нижнем углу.

4. Если в сети есть модем / шлюз, предоставленный поставщиком Интернет-услуг, и он был переведен в режим моста после подключения маршрутизатора , перейдите к Быстрая настройка (верхний правый угол), убедитесь, что выбрано Автоматически в блоке Интернета и нажмите Обновить , чтобы получить новый IP-адрес от провайдера.Если интернет-провайдер использует PPPoE, свяжитесь с ним, чтобы получить учетные данные.

5. SIP ALG можно отключить, перейдя к WebFig (верхний правый угол)> IP (слева)> Брандмауэр> Сервисные порты> щелкните значок D рядом с SIP, чтобы отключить его.

6. По умолчанию маршрутизатор будет использовать динамически назначаемые DNS-серверы (DNS-серверы, передаваемые интернет-провайдером), и мы хотим отключить это. Самый простой способ сделать это — в командной строке терминала.В правом верхнем углу веб-интерфейса выберите Терминал , а затем введите команды ниже.

   • / ip dhcp-client set use-peer-dns = no 0
   • / ip dns set servers = 8.8.8.8,8.8.4.4
   • / ip dhcp-server network set dns-server = 8.8.8.8,8.8.4.4 0

8. Чтобы указать маршрутизатору отвечать на эхо-запросы от серверов эхо-запросов Intermedia, мы сначала создадим список адресов, а затем настроим правило брандмауэра ICMP. Зайдите в терминал и введите следующие команды:

   • / IP список адресов брандмауэра
   • add list = «PingServers» address = <Первый IP-адрес здесь>
   • add list = «PingServers» address = < Второй IP-адрес>
   • Для получения IP-адресов обратитесь в службу поддержки Intermedia.

9. Наша цель на этом этапе — настроить маршрутизатор таким образом, чтобы он отвечал на эхо-запросы WAN, но только от серверов эхо-запросов Intermedia. Вернитесь к WebFig> IP> Брандмауэр. Щелкните правило №3 для приема трафика ICMP. Правило уже должно быть настроено на прием ICMP-трафика по умолчанию, но нам нужно изменить правило.

10. Найдите Src. Раздел Список адресов и щелкните стрелку вниз. В раскрывающемся списке выберите список адресов PingServers , который мы создали ранее.Прокрутите назад вверх и нажмите Применить> ОК

11. Вернитесь к терминалу и введите следующую команду: / ip firewall connection tracking set udp-timeout = 300s

Реализация QoS

Рекомендуется реализовать QoS на маршрутизаторе, особенно если пропускная способность ограничена. Мы хотим, чтобы трафик VoIP имел наивысший приоритет. Этого можно достичь, сначала правильно пометив трафик, а затем настроив очереди.Будет очередь для трафика VoIP, которому будет присвоен наивысший приоритет, и очередь для общего трафика, которому будет присвоен более низкий приоритет. Чтобы отметить трафик, мы создадим правила Mangle в брандмауэре. Mangle — это функция брандмауэра, которая используется для маркировки пакетов. ПРИМЕЧАНИЕ: Вам необходимо получить необходимые блоки IP-адресов в службе поддержки Intermedia.

1. Перейдите к WebFig> IP> Брандмауэр> Mangle . Нажмите Добавить новый , чтобы создать новое правило.Для первого правила введите следующее:

   • Цепь: предварительная маршрутизация
   • Src. Адрес: < IP-блок> (для облачной АТС 2.0) или < IP-блок> (для Intermedia Unite)
   • Действие: пометить пакет
   • Новая марка пакета: VoIP
   • Убедитесь, что опция сквозной передачи отмечена
   • Комментарий: от VoIP-адреса
   • Применить> OK

4. Для второго правила увечья введите следующее:

   • Цепь: предварительная маршрутизация
   • Dst.Адрес: < IP-блок> (для облачной АТС 2. 0) или < IP-блок> (для Intermedia Unite)
   • Действие: пометить пакет
   • Новая марка пакета: VoIP
   • Убедитесь, что опция сквозной передачи отмечена
   • Комментарий: на адрес VoIP
   • Применить> OK

7. Наконец, нам просто нужно настроить очереди; однако, прежде чем это сделать, вам нужно будет узнать скорость / пропускную способность вашего соединения.Вы можете получить это здесь. Вы примете это во внимание вместе с количеством имеющихся устройств VoIP (компьютеров и настольных телефонов). Будучи немного консервативным, каждый вызов VoIP может потреблять примерно 100 Кбит / с полосы пропускания. Возьмите количество имеющихся у вас устройств и умножьте его на 100. Например, если у вас есть 10 устройств (телефоны и компьютеры), которые будут использоваться для VoIP, возьмите 10 x 100 Кбит / с. Тогда это будет равно 1000 Кбит / с или 1 Мбит / с. Еще более консервативный подход — удвоить это значение. Таким образом, максимальный лимит в нашей очереди может быть установлен на 2M.

8. Щелкните вкладку Queues слева, а затем добавьте новый . Для первой очереди введите следующие параметры:

   • Название: VoIP трафик
   • Цель: 192.168.88.0/24
   • Максимальный целевой предел загрузки: < Рассчитанное вами значение идет сюда >
   • Целевой максимальный предел загрузки: < Рассчитанное вами значение идет сюда >
   • Маркировка пакетов: VoIP
   • Приоритет: 1 (при загрузке и выгрузке)
   • Оставьте все остальное по умолчанию. Применить> ОК

10. Мы создали очередь для трафика VoIP, теперь нам просто нужно создать очередь для остального трафика в сети. Щелкните вкладку Queues слева, а затем добавьте новый . Для этой очереди введите следующие параметры:

    • Имя: Весь другой трафик
    • Цель: 192. 168.88.0/24
    • Максимальный целевой предел загрузки: < Возьмите общую пропускную способность и вычтите максимальный лимит, установленный в очереди VoIP >
    • Целевой максимальный предел загрузки: < Возьмите общую пропускную способность и вычтите максимальное ограничение, установленное в очереди VoIP >
    • Маркировка пакетов: no-mark
    • Приоритет: 8 (при загрузке и выгрузке)
    • Оставьте все остальное по умолчанию. Применить> ОК

Установка максимальных лимитов в очередях

При установке максимальных пределов в каждой из очередей это обычно делается с помощью раскрывающегося списка, или вы можете просто вручную ввести желаемое значение после двойного щелчка в раскрывающемся текстовом поле; однако, если по какой-либо причине нужный вам раскрывающийся вариант недоступен и вы не можете ввести его вручную, это настраиваемое значение можно установить в командной строке, следуя приведенным ниже инструкциям.