Режим mikrotik cpe: Что такое WISP AP, CAP, CPE, HomeAP на MikroTik?
Что такое WISP AP, CAP, CPE, HomeAP на MikroTik?
Для начала давайте разберёмся, что же такое режим WISP? Это определённый мод маршрутизатора, при котором он может принимать интернет сигнал и подключаться к сети провайдера путём радиоволн по стандартам Wi-Fi. Если раскрыть аббревиатуру, то она звучит так – «Wireless Internet Service Provider», что дословно можно перевести как «беспроводной интернет сервис провайдера».
Данная технология достаточно редкая, но появилась давно. Давайте покажу на примере. У провайдера есть большая антенна с мощным передатчиком на несколько квадратных километров. Клиент настраивает роутер и подключается к беспроводной сети. То есть в данном случае роутер принимает сигнал не через WAN порт по проводу, а именно путём Wi-Fi сигнала.
Далее при подключении он принимает сигнал и распределяет на все сегменты сети: на компьютеры, ноутбуки телефону и т.д. Интернет раздаётся как по проводам, так и по WiFi. Теперь перед настройкой роутера, именно в этом режиме сразу – скажу, что проблемой является в разных названиях модов. Компании, которые выпускают эти аппараты, по разному называют этот «мод» из-за чего клиент может запутаться. Также не все роутеры имеют данный режим и поддерживают его, поэтому перед покупкой обязательно убедитесь, что он сможет работать как повторитель WISP.
MikroTik
WISP AP на роутере MikroTik – что это такое? У «Микротик» данный «мод» обозначает немного другое значение. Раз вы задаетесь таким вопросом, то скорее вы уже приступили к настройке этого чудного аппарата через «Quick Set». Эта функция позволяет быстро настроит роутер без муторных, педантичных конфигураций. Можно сказать некий «Быстрый старт».
В верхней части можно выбрать несколько вариантов:
- CAP – управляемая точка доступа;
- CPE — вот данный режим и отображает реальный «WISP», кагда клиентский аппарат подключается к другой вайфай сети;
- HomeAP – обычный домашнего роутера с меньшим количеством настроек;
- PTP Bridge AP\CPE – тут все понятно – «Режим моста». Для организации нужно два аппарата, один будет работать в AP, а второй в CPE;
- WISP AP – по сути это HomeAP, но там конфигурация более детальная, для более продвинутых пользователей;
- Basic AP – пуста конфигурация для развертывания.
Для настройки заполняем конфигурацию в левом блоке «Wireless» для настройки беспроводного мода. Вписываем имя сети и пароль от неё. Чтобы появилась строка ввода пароля укажите типа шифрования как WPA2 и WPA. Тут ничего сложного нет все как на других роутерах.
Справа идут настройки IP, маски и DNS адресов. По идее эти настройки роутер должен получать от провайдера. Тогда просто ставим режим «Automatic». Если у вас статический IP с маской, то ставим «Static» и вписываем данные с листа. В разделе «Local Network» идёт настройка «айпи» адреса шлюза или нашего Микротика и диапазон локальных адресов.
WISP на других маршрутизаторах
«AP client router» на ASUS
На аппаратах Асус к сожалению название не адаптивно и не понятно. Может быть это связано с переводом. Но на русской версии мод называется «Беспроводной сетевой адаптер». Для настройки вы можете использовать «Быструю настройку» – просто нажмите на волшебную палочку в левом углу окна. Или нажмите на «Режим работы» в самой верхней части на главной странице.
TP-Link
На TP-Link можно включить двумя способами. Заходим в «Operation Mode» или по-русски – «Рабочий режим». Далее выбираем наш мод. После этого переходим в «Сеть» – «WAN» и ставим динамический IP.
Второй способ – заходим в «Беспроводной режим». Теперь нажимаем «Включить WDS». Далее все просто, нужно просто подключиться к беспроводной сети провайдера. Для этого впишите данные вай-фай.
Zyxel Keenetic
- Нажимаем на значок планетки в самом низу;
- Находим вкладку «ВИСП» и активируем;
- Выбираем кнопку обзора сетей и выбираем нужную из списка;
- Далее вписываем пароль в поле «Ключ сети».
- Настройка IP и DNS стоит в автономном режиме, но вы всегда можете настроить вручную эти параметры. В качестве ДНС можно использовать параметры от Google: 8.8.8.8 и 8.8.4.4.
Режим «точка доступа клиент» (CPE)
На чтение 3 мин. Просмотров 114
Продолжаю цикл публикаций из серии FAQ. Чуть раньше я рассмотрел два варианта работы Микротика как «точка доступа» (AP, access point). Логично продолжить и написать про режим Acess Point Client, этот режим еще иногда называют CPE (ведомый), более правильно называть этот режим WISP client. Иными словами, это тот режим, когда порт WAN — порт WiFi, то есть мы подключаемся к провайдеры по WiFi. Дома такой режим тоже может быть: вы хотите организовать мост по WiFi от основного роутера до удаленного потребителя. Помните, что большинство готовых моделей Микротика имеет один радиомодуль, а значит, что они могут только принять канал WiFi, а отдать его могут только по проводу. Однако, если есть необходимость WiFi в обе стороны, то можно собрать роутер самому из запчастей, предлагаемых Микротиком. Но если вам это нужно, и вы до этого доросли, то данный фак вы вряд ли читаете.
Итак, задача: получить интернет по WiFi от Маршрутизатора1 (и это необязательно Микротик) на Микротик2 и отдать его (интернет) потребителям. При этом, клиенты Микротика2 будут подключены к нему по проводу, а IP должны получить от DHCP сервера Маршрутизатора1.
Дальше я предполагаю, что конфиг Микротика полностью очищен.
1. Настраиваем мост WiFi.
Включаем интерфейс WiFi (я надеюсь вы помните, что после очистки конфига на Микротике интерфейс wlan1 по-умолчанию отключен).
Как только в списке появится сет, к которой нужно подключится, выделите ее и нажмите кнопку Connect.
Окно поиска сетей закроется, а все необходимые параметры в основную настройку WiFi будут занесены автоматически.
Обратите внимание на параметр Mode, он обязательно должен быть station bridge.
Нажимаем кнопку ОК.
Переходим на вкладку Security Profiles, дважды щелкаете строку default и заполняете параметры безопасности сети, к которой вы подключаетесь.
Перейдите на вкладку Registration и убедитесь, что Микротик2 успешно подключился к Маршрутизатору1.
2. IP адрес Микротика2.
Для удобства эксплуатации Микротка2 назначим ему IP адрес. Это можно сделать вручную, но я настрою DHCP client, так интереснее.
Особое внимание уделите параметру Interface, там должен быть интерфейс wlan1. Как только вы нажмете ОК или Apply, интерфейс должен получить IP адрес от Маршрутизатора1 и вы это видите на рисунке в неактивном окне.
После этого Микротик2 будет доступен в сети. Проверим командой ping доступность Маршрутизатора1, понятно, что он доступен, иначе как бы Микротик2 получил IP адрес, но сделаем это, для собственного удовлетворения.
Пусть вас не смущает адрес 192.168.220.220, пример я делаю на реально действующем оборудовании.
3. Последний шаг.
Объединяем все интерфейсы в бридж.
4. Клиенты, подключенные по проводу к Микротику2 начали получать IP адреса от Маршрутизатора1.
И на клиентах появился интернет
5. Возможен и более сложный вариант.
Он описан выше в режиме «точка доступа». На Микротике2 может быть свой DHCP сервер и клиенты по проводу получают от него IP адреса из другой сети, отличной от сети Маршрутизатора1. Ну дальше NAT и все многочисленные возможности ROS.
Простая настройка Mikrotik через Quick Set — Сайт одного DevOpsa
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
- CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
- CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
- HomeAP [dual] — Режим домашней точки доступа, тут количество настроек уменьшено, а их названия приближены к сленгу «домашних пользователей»
- PTP Bridge AP\CPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
- WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
- Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Дальше мы будем в основном настраивать HomeAP\WISP AP, но советы пригодятся и в других конфигурациях.
Безопасность
Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:
Доступность на внешних интерфейсах
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.
Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
/interface list add exclude=dynamic name=discover
Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:
В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:
Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=jump chain=input connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3
add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3
И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
/ip firewall address-list
add address=10.0.0.0/8 list="RFC 1918"
add address=172.16.0.0/12 list="RFC 1918"
add address=192.168.0.0/16 list="RFC 1918"
/ip firewall filter
add action=drop chain=input comment="Drop RFC 1918" in-interface-list=WAN src-address-list="RFC 1918"
add action=drop chain=forward comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN
add action=drop chain=output comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN
Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
UPnP
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:
SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:
В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):
/interface list
set ISP1TUN include=""
set ISP include=""
set TUN include=""
:delay 2
set ISP1TUN include=ISP1,TUN1
set ISP include=ISP1
set TUN include=TUN1
WiFi
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes
Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.
P.S. статья взята от сюда https://habrahabr.ru/post/353730/
Mikrotik: настройка интернета | Soft Setup
Настройка интернета на роутерах Mikotik для простого пользователя задача непростая. Роутер Mikrotik снабжен своей собственной OC с интерфейсом на базе Linux. Здесь нет простых настроек, которые все привыкли видеть в большинстве роутеров, предназначенных для дома или малого офиса. Но для быстрой и более удобной настройки подключения роутера к интернету можно воспользоваться функцией «QuickSet».
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Быстрая настройка интернета через Quickset.Детальная настройка интернета вручную.
Настройка WiFi
Настройка локальной сетиНастройка подключения к интернету
Для подключения к роутеру будем использовать программу WinBox, которую можно скачать с официального сайта http://www.mikrotik.com/download/winbox.exe.
Переходим на вкладку Neighbors, выбираем устройство и жмем Connect.
При первом входе в интерфейс роутера появится предложение установить конфигурацию по умолчанию либо удалить ее. Рекомендую воспользоваться удалением базовыхнастроек и настроить все с нуля.
Если диалогового окна для сброса настроек при входе нет, то настройки можно сбросить здесь «System\Reset Configuration«. Обязательно ставим галочку на пункте «No Default Configuration«, чтобы после сброса не применялась настройка по умолчанию.
Быстрая настройка интернета с помощью QuickSet.
В мастере быстрой настройки «Quick Set» предусмотрено несколько режимов работы роутера:
- CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
- CPE: Режим клиента, который подключается к точке доступа AP.
- Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
- PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента
PTP Bridge CPE и создания единой сети. - PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
- WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.
Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.
Настраиваем WiFi.
Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.
Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.
Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.
Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.
В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.
WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.
WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера «WPS Accept».
Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.
Задайте пароль в поле «Guest WiFi Password» и ограничение скорости на скачивание «Limit Download Speed«
Wireless Clients: здесь можно увидеть подключенные
в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)
Настраиваем интернет.
Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.
Port: Указываем физический порт, к которому подключен кабель провайдера
Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.
MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.
MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.
Discovery: позволяет распознавать роутер другими роутерами Mikrotik.
Настройка локальной сети.
IP Address: указываем ip-адрес устройства в нашей локальной сети.
Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.
Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.
DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.
NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.
UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.
Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.
Настройка интернета вручную.
Настройка провайдера интернета на роутере Mikrotik вручную предполагает наличие у вас необходимых знаний в области сетевых технологий и более детального знания интерфейса Router OS и его консоли.
Сбрасываем настройки роутера в System > Reset Configuration .
Переименуем порт в списке интерфейсов «ether1-WAN«, чтобы сразу было понятно к какому порту подключен провайдер.
Вариант для любителей консоли:
/interface ethernet set [find default-name=ether1] name=ether1-WAN
Меняем MAC-адрес если до Mikrotik работал другой роутер, а провайдер интернета сделал привязку на своем маршрутизаторе к mac-адресу. Вместо нулей пишите mac своего старого роутера.
/interface ethernet set ether1-WAN mac-address=00:00:00:00:00:00
Настройка WiFi.
Открываем в меню пункт Wireless, выбираем WiFi интерфейс и включаем, нажав галочку, если он неактивен.
Заходим в настройки интерфейса двойным кликом и выбираем вкладку Security Profiles. Создаем свой профиль или редактируем существующий.
- Authentication Types: способ идентификации выбираем WPA2 PSK — он более надежен чем WPA, EAP — использует проверку подлинности внешнем сервером, актуален для корпоративных сетей;
- Unicast Ciphers и Group Ciphers: тип шифрования включаем aes com — это более современный и быстрый тип шифрования, tkip стоит включать если на каком-то устройстве, вероятно устаревшем, возникают проблемы с подключением;
- WPA2 Pre-Shared Key: задаем пароль для подключения к точке доступа WiFi.
Переходим на вкладку WiFi interfaces. В настройках беспроводного интерфейса, во вкладке Wireless прописываем следующие настройки для WiFi:
- Mode: ap bridge, включаем режим точки доступа;
- Band: 2GHz-only-N, этот способ вещания лучше всего подходит для большинства современных беспроводных устройств;
- Frequency: Auto, режим автоматического выбора частоты вещания;
- SSID: Вводим название беспроводной сети;
- Wireless Protocol: 802.11;
- Security Profile: default, выбираем тот который настроили ранее.
В консоли:
interface wireless set wlan1 disabled=no ssid=MyAP mode=ap-bridge band=2ghz-only-n frequency=auto bridge-mode=enabled wireless-protocol=802.11 security-profile=default default-authentication=yes default-forwarding=yes hide-ssid=no
Настройка локальной сети.
Первый порт подключен к провайдеру. Оставшиеся порты будут использоваться для подключения устройств локальной сети. Для того чтобы порты находились в одной физической сети и могли коммутировать подключения их необходимо объединить в мост.
Создаем мост.
Для создания моста переходим в Bridge. Нажимаем плюсик и вписываем название моста, например «bridge-local».
В консоли:
/interface bridge
add name=bridge-local protocol-mode=rstp
Добавляем в мост порты. Открываем вкладку Ports. Жмем плюс и один за другим добавляем все порты, кроме того к которому подключен интернет, в мост bridge-local.
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
Присваиваем мосту IP-адрес. Пункт меню IP > Adresses.
Консольный вариант:
/ip address add address=192.168.88.1/24 interface=bridge-local
Теперь у нас все порты, включая WiFi, закоммутированны и могут пересылать пакеты между собой. Остается настроить шлюз выхода в интернет.
Включаем сервер DHCP.
Определяем пул ip-адресов, которые будет раздавать DHCP server устройствам локальной сети. Выбираем в меню пункт IP/Pool. Через плюсик добавляем новый пул, вводим название и диапазон адресов.
/ip pool add name=dhcp_lan address=192.168.1.100-192.168.1.200
Переходим к включению DHCP сервера IP > DHCP Server. Создаем новый DHCP сервер, указываем имя, интерфейс и пул адресов.
/ip dhcp-server add name=dhcp1 interface=bridge-local lease-time=3d address-pool=dhcp-lan
Во вкладке Networks указываем настройки, которые сервер будет передавать своим клиентам: адрес сети, маску сети, шлюз и DNS серверы. Маску лучше указывать сразу после адреса, через слеш.
/ip dhcp-server network add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
После того как мы подготовили локальную сеть, можно перейти к настройке шлюза для выхода в интернет.
Настройка интернета.
Настройка подключения к интернету зависит от способа, предоставленного вам провайдером. Наиболее распространенный способ без использования статического ip адреса — подключение по технологии PPPoE. Так же рассмотрим часто используемые варианты с выделенным IP и динамическим получением IP-адреса от DHCP провайдера.
Подключение к провайдеру по PPPoE.
Открываем PPP и создаем новое соединение PPPoE Client. Интерфейс выбираем тот куда подключен провод провайдера.
На вкладке Dial Out вписываем имя и пароль для подключения. Отмечаем галочкой пункт Use Peer DNS, который обозначает что адреса DNS серверов будем получать от провайдера. Add Default Route добавляет маршрут, используемый по умолчанию, в таблицу маршрутизации.
/interface pppoe-client add interface=ether1-WAN name=pppoe-out1 disabled=no user=Логин password=Пароль use-peer-dns=yes add-default-route=yes default-route-distance=1
Подключение к провайдеру по технологии PPTP или L2TP происходит способом аналогичным PPPoE. Разница лишь в том, что при добавлении PPTP Client или L2TP Client во вкладке Dial Out необходимо указать, помимо логина и пароля, адрес сервера.
Подключение по статическому IP.
Для образца возьмем такие параметры подключения, полученные от провайдера:
Адрес: 10.20.30.41
Маска: 255.255.255.248
Шлюз: 10.20.30.42
Для DNS используем серверы Google: 8.8.8.8, 8.8.4.4
Настраиваем IP-конфигурацию интерфейса, к которому подключен провод провайдера: IP > Adresses.
/ip address add address=192.168.0.11/255.255.255.0 interface=ether1-WAN
Добавляем маршрут для пакетов, направленных в интернет: IP > Routes. Адрес назначения для пакетов интернета Dst. Address: 0.0.0.0/0, шлюз Gateway: 10.20.30.42. Включаем проверку доступности шлюза Check Gateway: ping.
/ip route add dst-address=0.0.0.0/0 gateway=10.20.30.42 check-gateway=ping distance=1
Добавляем адреса DNS-серверов. IP > DNS.
/ip dns set servers=8.8.4.4,8.8.8.8
Настройка подключения по DHCP.
Этот вариант самый простой по настройке. Переходим IP > DHCP Client. Указываем интерфейс, подключенный к провайдеру. Остальные настройки оставляем как есть.
Отмеченные галочками Use Peer DNS и Use Peer NTP означают полчения от провайдера адресов DNS сервера и сервера синхронизации времени NTP. Add Default Roue добавляет маршрут, используемый по умолчанию, в таблицу маршрутизации.
/ip dhcp-client add interface=ether1-WAN disabled=no
После настройки подключения к провайдеру необходимо выполнить настройку NAT. NAT выполняет трансляцию локальных ip-адресов в публичный адрес, предоставленный провайдером. Если этого не сделать, то трафик в интернет уходить не будет.
Настройка NAT.
Добавляем в NAT правило трансляции локальных адресов.
IP > Firewall > Nat. Добавляем новое правило. Указываем, что трафик исходящий Chain: srcnat. Выбираем интерфейс исходящего трафика Out. Interface: Ether1-WAN или pppoe-out1, в зависимости от настройки подключения к провайдеру.
Далее переключаемся на вкладку Action и выбираем masquerade.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-WAN
Теперь во всем трафике, идущем в интернет, локальные адреса преобразуются в публичный адрес провайдера и сервера-адресаты знают куда отвечать. А это значит, что интернет должен работать.
Остается один не менее важный вопрос — это безопасность вашего роутера. Для предотвращения взлома вашего роутера необходимо настроить Firewall. О том, как это сделать, читайте здесь.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Mikrotik RoS, полезные мелочи / Хабр
Распространенность оборудования Mikrotik растет с каждым днем, все больше устройств, а значит и RoS, появляется не только в корпоративном секторе, но и у обычных, домашних пользователей.
К сожалению, не смотря на вполне нормальные настройки по умолчанию, которые можно сделать через Quick Set, в интернете можно встретить множество советов очистить конфигурацию, и сделать как-то по «особому», с «нуля». В этой статье я хочу поделится своим опытом и дать рекомендации, как изменить конфигурацию из Quick Set под свои нужды, при этом сохранив достаточный уровень защищенности.
Что такое Quick Set?
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
- CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
- CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
- HomeAP [dual] — Режим домашней точки доступа, тут количество настроек уменьшено, а их названия приближены к сленгу «домашних пользователей»
- PTP Bridge AP\CPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
- WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
- Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Дальше мы будем в основном настраивать HomeAP\WISP AP, но советы пригодятся и в других конфигурациях.
Безопасность
Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:
Доступность на внешних интерфейсах
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.
Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
/interface list add exclude=dynamic name=discover
Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:
В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:
Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=jump chain=input connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3
add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3
И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
/ip firewall address-list
add address=10.0.0.0/8 list="RFC 1918"
add address=172.16.0.0/12 list="RFC 1918"
add address=192.168.0.0/16 list="RFC 1918"
/ip firewall filter
add action=drop chain=input comment="Drop RFC 1918" in-interface-list=WAN src-address-list="RFC 1918"
add action=drop chain=forward comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN
add action=drop chain=output comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN
Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
А вот набор маршутов в «черную дыру»
/ip route
add comment="RFC 1918" distance=249 dst-address=10.0.0.0/8 type=blackhole
add comment="RFC 1918" distance=249 dst-address=172.16.0.0/12 type=blackhole
add comment="RFC 1918" distance=249 dst-address=192.168.0.0/16 type=blackhole
Этот набор маршрутов направит весь трафик до сетей RFC 1918 в «черную дыру», однако, если будут маршруты с меньшей метрикой, то такой трафик пойдет через эти маршруты. Полезно для гарантии того, что приватный трафик не просочится во внешнюю сеть.
За совет благодарим achekalin
UPnP
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:
SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.
IPv6 туннели
Если вы не используете IPv6 или не хотите что-бы рабочие машины с Windows поднимали IPv6 туннели без спроса, тогда заблокируйте следующий трафик:
/ip firewall filter
add action=drop chain=forward comment="Teredo TCP" dst-port=3544 protocol=tcp
add action=drop chain=forward comment="Teredo UDP" dst-port=3544 protocol=udp
add action=drop chain=forward comment=6to4 protocol=ipv6
За совет опять благодарим achekalin
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:
В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):
/interface list
set ISP1TUN include=""
set ISP include=""
set TUN include=""
:delay 2
set ISP1TUN include=ISP1,TUN1
set ISP include=ISP1
set TUN include=TUN1
WiFi
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes
Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.
Прочее
Для корпоративного применения рекомендую заводить списки интерфейсов и адресов, которые олицетворяют зоны доступа. Тогда, создав такие списки, вы сможете настроить правила прохождения трафика из одной зоны в другую, а так-же легко изменять состав зон. Вообще, чаще используйте списки, а не сами интерфейсы, это облегчит перенос конфигурации.
Построение и настройка прозрачного беспроводного моста на примере Mikrotik SXT
На чтение 11 мин. Просмотров 146
При работе с сетями часто возникает необходимость проложить линию в места, где до этого не было доступа к сети. Это может быть как отдельно взятый клиент, так и группа клиентов либо предприятие. Далеко не всегда целесообразно прокладывать классическую витую пару либо оптику. Все это связано с большими капиталовложениями, которые можно минимизировать при использовании беспроводного оборудования.
Сегодня же мы поговорим о построении мостов на примере оборудования компании Mikrotik. Для данной инструкции мы взяли 2 устройства и – SXT Lite 5 и SXT Lite 5 ac.
Устройства модельного ряда SXT отличаются демократичной ценой и хорошими характеристиками, в частности высокой выходной мощностью. Существует 2 варианта настройки, первый подходит начинающим администраторам, второй используют опытные пользователи, чем существенно экономят свое время.
Суть первого варианта состоит в первоначальной настройке оборудования внутри помещения, с последующей установкой на объектах. Установка SXT чаще всего связана с высотным монтажом, к тому же обе точки находятся на территориальном удалении друг от друга. Поэтому, если вы новичок и плохо разбираетесь в тонкостях, наилучшим вариантом будет предварительная настройка беспроводного моста. Опытные администраторы осуществляют настройку непосредственно в месте установки, т.к. обладают соответствующими знаниями, а предварительная настройка будет отнимать у них лишнее время.
Настройка первой точки (Master)
Перед началом настройки, необходимо установить либо закрепить SXT на штативе или в любом другом месте, так, чтобы его не требовалось держать в руках. Чем больше расстояние между двумя устройствами – тем лучше.
В качестве главного устройства (Master), у нас будет выступать SXT Lite 5 ac. Второй SXT мы включим чуть позже.
При первом включении SXT Lite 5 ac можно использовать настройки по-умолчанию (Default), при необходимости, сбросить настройки можно через меню System – Reset Configuration.
Первым делом меняем режим работы на PTP Bridge. Делается это в выпадающем меню на странице QuickSet.
Второй этап – установка режима Bridge (мост) и задание статического адреса устройству. В нашем случае мы указываем статический IP 192.168.106.150, а также DNS-сервер и шлюз нашей локальной сети (IP 192.168.106.1). Мы настоятельно рекомендуем использовать именно статический адрес, в противном случае IP вашего устройства будет меняться (конфигурация Automatic / DHCP), если вы не сделаете привязку MAC:IP в настройках сервера DHCP.
В режиме PTP Bridge выбираем Wireless Mode – Server/AP, т.е. указываем, что наш SXT будет работать в качестве точки доступа (Master), к которой будет подключено второе устройство (Slave).
Как видите, в QuickSet для SXT Lite 5 ac, по-умолчанию, доступна служебная подсеть 2.4 ГГц, в связи с чем, дальнейшую настройку мы будем выполнять в других разделах.
В разделе Wireless, при необходимости, отключаем сеть 2,4 ГГц – интерфейс wlan1 (AR9300). Не спешите включать интерфейс на 5 ГГц (wlan2-gateway, AR9888), поскольку он работает при высокой мощности, которую следует понизить при использовании в помещении.
Выбираем наш интерфейс и в правой части нажимаем «Advanced Mode» (расширенный режим), после чего нам станут доступны расширенные настройки. Переходим во вкладку TX Power, выбираем режим «all rates fixed» и устанавливаем мощность на уровне 2 дБм.
Пониженная мощность необходима для того, чтобы устройства не глушили друг друга, к тому же не рекомендуется находиться в непосредственной близости с устройствами со столь мощным уровнем излучением. Если следовать рекомендациям, на расстоянии 1 метра от устройства, уровень сигнала не должен превышать -20 дБм.
Следующим этапом является выбор рабочего канала (частоты). Выбирать следует ту частоту, на которую вам выдано разрешение.
Предварительно можно просканировать эфир на предмет загруженности частот. Делается это с помощью инструмента Freq. Usage (Frequency Usage). Выбираем беспроводной интерфейс и нажимаем Start.
Как видите, часть частот уже используется. Для получения более подробной информации можно воспользоваться другим инструментом – Scan, который покажет все доступные беспроводные сети. Здесь вы можете посмотреть название сети, рабочий канал, уровень сигнала и другие параметры. Много информации можно узнать из индексов, находящихся перед названием сети:
- A – сеть активна;
- R – устройство на базе RouterOS;
- T – используется TDMA;
- W – сеть использует WDS;
- B – режим моста, Bridge:
- P – приватная сеть, защищена паролем;
Для сети 2.4 ГГц также можно провести сканирование, вы будете удивлены результатами, проводя сканирование в городе. Именно поэтому частота 5 ГГц лучше подходит для построения беспроводного моста. Для нашего примера мы выбрали частоту 5745 МГц из верхнего диапазона, т.к. этот диапазон менее загружен, к тому на практике он дает лучшую производительность в расчете на 1 МГц ширины канала.
Приступаем к конфигурированию беспроводной сети, на вкладке Wireless необходимо указать ряд параметров. Чуть ниже содержится описание и разъяснение.
Mode: Bridge – режим работы «Беспроводной мост».
Band – в данном параметре следует можно выбрать стандарт 802.11n. При использовании протокола Nstreme V2 (NV2) данный параметр большого значения не имеет. В остальных случаях рекомендуем использовать 802.11n, либо 802.11ac, если он поддерживается обоими устройствами.
Channel With – ширина канала, а также направление для расширения канала по отношения к выбранной частоте (Ce – вверх, eC — вниз). Указываем «20/40MHz Ce», это значит, что система попробует работать с шириной канала 40 МГц, в противном случае ширина канала будет 20 МГц. Расширение ширины канала осуществляется вверх, выбирая последний канал (частоту), следует выбирать режим расширения «eC», в противном случае, при достижении верхнего предела поддерживаемой частоты канал не будет расширен.
Frequency – частота, на которой работает устройство.
Wireless Protocol – протокол (стандарт) связи. Поскольку только одно из наших устройств поддерживает новейший стандарт 802.11ac, наилучшим вариантом будет выбор проприетарного протокола NV2.
Следующим шагом необходимо проверить вкладку HT, убедитесь, что у вас задействованы оба канала MIMO – напротив TX Chain и RX Chains должны быть проставлены по 2 опции (chain0, chain1).
Далее переходим на вкладку WDS. И тут у многих возникает вопрос, зачем активировать WDS? Дело в том, что стандарты связи 802.11 разрабатывались достаточно давно, поэтому для AP предусматривалось, что подключенный клиент является конечный. По этой причине для точки доступа все MAC за второй точкой (в режиме station) будут подменяться на MAC самой точки доступа. Чтобы этого не происходило, необходимо активировать WDS. Таким образом, мы создаем прозрачный мост L2 с сохранением MAC всех клиентов.
Необходимо указать параметр «WDS Default Bridge» – выбираем мост, в нашем случае используются настройки по-умолчанию, так что это будет «bridge-local».
Переходим на вкладку NV2, где собраны параметры протокола Nstreme V2.
TDMA Period Size – параметр, устанавливающий размер слота. Иными словами это временной период, в котором осуществляется передача данных. Параметр может применять значение от 1 до 10. Чем меньше размер слота, тем меньше задержка при передаче, но ниже максимальная скорость (больше служебных данных в эфире) и наоборот. Для беспроводного моста наиболее оптимальным вариантом будет установить 2 мс. В дальнейшем с этим параметром можно поэкспериментировать.
Cell Radius – расстояние до второго устройства в километрах. Минимальное значение – 10 км, если реальное расстояние меньше – оставляем параметр без изменений. Если расстояние больше, его следует указать с небольшим запасом.
Ставим опцию «Security» и вводим пароль в поле «Preshared Key».
Если вы используете стандартные протоколы 802.11, пароль и тип шифрования следует задавать в разделе Wireless, вкладка Security Profiles. Всегда выбирайте наиболее современные стандарты (WPA2 PSK + aes ccm).
Для беспроводных мостов, использующих большую часть полосы пропускания, рекомендуется установить дополнительные параметры очереди. Связано это с тем, что часть пакетов может быть отброшена, чтобы этого не происходило, следует увеличить размер буфера.
Для этого заходим в раздел меню Queues и переходим на вкладку Queue Types (типы очередей).
Здесь нас интересуют типы «ethernet-default» и «wireless-default», для обеих нужно выбрать тип очереди PFIFO и значение Kind = 500.
PFIFO – тип очереди, основанный на принципе «First-In First-Out»: пакет, который пришел первым будет отправляться первым, т.е. по сути обычная очередь. Разница между методами PFIFO и BFIFO состоит в том, что первый метод в качестве параметра использует количество пакетов, а второй оперирует размером буфера.
Буфер можно установить в размере 500 пакетов, в дальнейшем мы рекомендует подправить этот параметр. Если на мосте увеличивается пинг – размер буфера следует уменьшать до достижения приемлемого значения.
На этом настройка SXT Lite 5 ac (Master) завершена, переходим к настройке второго устройства.
Настройка второй точки (Slave)
Для второй точки также устанавливаем режим PTP Bridge, а в нем режим Client/CPE. Общий режим устройства – Bridge.
Для устройства задаем статический IP (в нашем случае 192.168.106.200) и настраиваем параметры сети (маска, шлюз, DNS).
Перед настройкой отключаем беспроводной интерфейс, и устанавливаем для него минимальную мощность.
Если вы используете протокол 802.11, тип шифрования и пароль следует предварительно задать в профиле, вкладка Security Profiles раздела Wireless. Теперь можно приступить настройке беспроводного интерфейса.
Выбираем интерфейс и переходим на вкладку Wireless. Устанавливаем режим «station wds», по сути, это клиентская станция-репитер, только сеть она расширяет по проводам, а не по Wi-Fi.
Ширину канала (Channel Width), частоту (Frequency), протокол (Wireless Protocol) и SSID указываем аналогично тем, что установлены на первом устройстве (Master).
На вкладке HT убедитесь, что у вас активированы оба канала.
На вкладке WDS выбираем режим «dynamic» и указываем наш бридж с локальным интерфейсом.
На вкладке NV2 установите опцию «Security» и введите пароль сети.
Не забудьте увеличить размер очереди в меню Queues.
Инициализация беспроводного моста
После того, как параметры на обоих устройствах установлены, можно включить беспроводные интерфейсы на обоих устройствах.
Если все проделано верно, на Slave-устройстве должны отобразится параметры моста и статус «connected to ess».
Для проверки работоспособности моста можно прогнать его с помощью тестов.
Как видите, с помощью протокола NV2 нам удалось добиться достаточно высокой скорости на сетевых интерфейсах – суммарно 180-190 Мбит/сек, т.е. по 95 Мбит в каждую сторону (полный дуплекс). Реальная скорость передачи данных в этом случае составляет ~170 Мбит/сек.
В заключение
Если мост прошел испытание – можно приступать к монтажу устройств и последующей донастройке. Первым делом следует повысить мощность передающих модулей на обоих устройствах.
Как понять, какую мощность установить? В этом вам поможет значение TX/RX Signal Strength, которое отображает уровень сигнала, а также официальная документация на используемые устройства.
Для достижения максимальной скорости, необходимо, чтобы уровень сигнала был не меньше чувствительности устройства для максимально поддерживаемой модуляции. В нашем примере используется SXT Lite 5 ac и SXT Lite 5, для них параметры следующие:
- MCS7 -77 дБм;
- MCS9 -72 дБм;
Т.е. в идеальных условиях, уровень сигнала должен находится на уровне -60…-75 дБм. При повышении уровня больше -60 дБм следует снижать мощность передатчика. Не забывайте тот факт, что существенное повышение мощности автоматически понижает максимальную скорость, т.к. чем выше мощность – тем ниже плотность модуляции, таковы особенности беспроводных модулей.
Учитывайте зону Френеля, которая влияет на параметр CCQ. При идеальной прямой видимости и чистой зоне Френеля значение CCQ составляет 100%.
По сути, CCQ – это качество связи, отображающее соотношение текущей скорости канала, по отношению к максимально возможной. Снижение CCQ говорит о плохой видимости, наличии помех и/или интерференции.
Для определения наличия помех анализируются 2 параметра. Первый параметр Noise Floor, значение ниже -95 считается высоким уровнем шума. В идеале, уровень шума не должен превышать -110…-115 дБм.
Второй параметр – SNR (Signal to Noise Ratio), иными словами соотношение сигнал/шум – чем оно больше, тем лучше качество связи. На практике идеальным можно считать значение более 45-50 дБм.
В зависимости от значения всех этих параметров, в случае необходимости, производится корректировка настроек.
Коммутация в Mikrotik — Bridge и Master-port • Сетевое оборудование, Коммутаторы, Точки доступа • Bridge, MikroTik • Блог.telecom-sales.ru
На чтение 7 мин. Просмотров 706
В RouterOS есть два способа коммутации портов.
Коммутация портов MikroTik через Switch (Master Port)
В этом случае коммутация производится через чип свитча, в обход центрального процессора маршрутизатора. Обычно в SOHO маршрутизаторах Mikrotik используется одна свитч-группа на 5 портов, если портов больше — две свитч-группы. В устройствах Cloud Router Switch чипы коммутации на больше портов и имеют больше возможностей, подробней на них мы останавливаться в этой статье не будем.
Настроить коммутацию можно в разделе General каждого порта, просто выбрав в пункте Master Port. Это главный порт, через который будет происходить коммутация. Коммутация позволяет достичь проводной скорости обмена данными между портами одной группы, как между портами в обычном Ethernet-коммутаторе. Основной (master) порт будет являться портом, через который RouterOS будет сообщаться со всеми остальными портами данной группы. Интерфейсы, для которых задан master-порт, становятся неактивны – не учитывается поступивший и отправленный трафик. Фактически, как будто мы объединили порты физическим, «тупым» коммутатором (свитчем). В роутерах Mikrotik применяются следующие чипы коммутации:
- Atheros 8316 представлен в платах RB493G (ether1+ether6-ether9, ether2-ether5), RB1200 (ether1-ether5), RB450G (все порты (ether1 опционально)),RB435G (все порты (ether1 опционально)), RB750G, и в RB1100 (ether1-ether5, ether6-ether10).
- Atheros 8327 представлен в платах серии RB2011 (ether1-ether5+sfp1), RB750GL, RB751G-2HnD, а также в RB1100AH и RB1100AHx2 (ether1-ether5, ether6-ether10).
- Atheros8227 представлен в платах серии RB2011 (ether6-ether10).
- Atheros 7240 представлен в RB750 (ether2-ether5), RB750UP (ether2-ether5), RB751U-2HnD (ether2-ether5) и RB951-2n.
- ICPlus 175D представлен в более новых ревизиях RB450 (ether2-ether5) и в платах серии RB433 (ether2-ether3).
- ICPlus 175C представлен в некоторых RB450 (ether2-ether5) и в некоторых платах серии RB433 (ether2-ether3).
- ICPlus 178C представлен в платах серии RB493 (ether2-ether9) и в RB816.
Возможности чипов коммутации:
Возможности | Atheros 8316 | Atheros 8327 | Atheros 7240 | ICPlus 175D | Другие |
---|---|---|---|---|---|
Коммутация портов | да | да | да | да | да |
Зеркалирование портов | да | да | да | да | нет |
Таблица MAC-адресов | 2000 записей | 2000 записей | 2000 записей | нет | нет |
Vlan-таблица | 4096 записей | 4096 записей | 16 записей | нет | нет |
Таблица правил | 32 правила | 92 правила | нет | нет | нет |
* Порт ether1 на RB450G имеет особенность, которая позволяет ему быть исключённым/добавленным из/в коммутируемой(ую) группы(у) по умолчанию. По умолчанию порт ether1 будет включён в группу коммутации. Данная конфигурация может быть изменена с помощью команды
"/interface ethernet switch set switch2 switch-all-ports=no".
switch-all-ports=yes/no:"yes"
означает, что порт ether1 является портом коммутатора и поддерживает создание групп коммутации и все остальные расширенные возможности чипа Atheros8316, включая расширенную статистику (/interface ethernet print stats)."no"
означает, что порт ether1 не является частью коммутатора, что, фактически, делает его самостоятельным Ethernet-портом – это способ увеличения пропускной способности между ним и другими портами в режимах сетевого моста и маршрутизации, но в то же время исключает возможность коммутации на этом порту. Коммутация через Switch является самой быстрой и производительной в маршрутизаторе, в тоже время имеет наименьшее количество возможностей. При этом:
- master Port можно назначить ТОЛЬКО внутри каждой группы;
- master Port может быть только ОДИН внутри switch-чипа;
- «Master» и «Slave» для чипа коммутации считаются равными;
- одно различие между «master» и «slave» — ТОЛЬКО главный порт обращается к CPU напрямую, ему назначается IP, он объединяется в Bridge и т.д.
- Две switch-group объединяются уже через bridge. В таком bridge будет только два master-port, ну может еще wifi, если такой есть (В этом случае трафик между двумя switch-group будет проходить через процессор.)
Итого, можно выделить несколько особенностей такого метода:
- каждый новый RouterBOARD с несколько Ethernet интерфейсам оснащен чипом Switch;
- при коммутации не используются ресурсы процессора;
- с ROS v.6 поддерживается VLAN Trunking (разруливать VLAN-ны можно без потери производительности основного ЦП).
Коммутация в MikroTik через Bridge-interface
Порты объединяются не напрямую, а программно, используя ресурсы центрального процессора маршрутизатора. К портам могут быть применены фильтры брандмауэра. Такое объединение так-же влияет на прохождение пакетов по упрощенной схеме (Fastpath). Если взять в пример 2011-серию маршрутизаторов, то ether1-ether5 объеденены в switch2 (Atheros 8327) а ether6-ether10 в switch3 (Atheros 8227), вы можете использовать только Bridge для объединения их в одно целое. Особенность данного метода:
- можно маршрутизировать и фильтровать пакеты между портами;
- возрастает нагрузка на процессор;
- можно объединять любые порты маршрутизатора;
- Wi-Fi интерфейс коммутируется ТОЛЬКО через Bridge;
- после объединения портов в Bridge IP-адрес назначается на «интерфейс Bridge», в классическом firewall правила применяем ко всем виртуальному интерфейсу. Правила применимые к портам прописываем в Bridge — NAT, Bridge — Filters;
- VLAN проходит через ЦП устройства Mikrotik.
Коммутация позволяет достичь проводной скорости (wire speed) обмена данными между портами одной группы, как между портами в обычном Ethernet-коммутаторе.
Пока пакет не достиг cpu-порта, его обработка полностью осуществляется логикой коммутатора, не требуя какого-либо участия центрального процессора, и эта обработка происходит с проводной скоростью при любом размере кадра.
Пропала опция Master-port и поле Switch
Не пугайтесь, это нормально, если прошивка вашего роутера 6.41 и выше. Теперь вся информация, которая передается на втором уровне модели OSI, будет передаваться через Bridge. Использование swich-чипа (hw-offload) будет автоматически активировано автоматически в случае такой возможности. По умолчанию при добавлении любого интерфейса в Bridge у него будет активирована опция «Hardware Offload», которая будет передавать всю информацию 2-го уровня через switch-чип. Если эту опцию убрать, то обработка будет осуществляться силами операционной системы.
При обновлении на RouterOS 6.41 и выше с RouterOS версий 6.40.5 и ниже все настройки master-port будут автоматически перенесены в Bridge-интерфейс. Если произвести downgrade до версии, которая поддерживает master-port, то настройки не будут возвращены на место. Настоятельно рекомендуется сделать резервную копию до обновления.
До обновления до RouterOS 6.41:
/interface ethernet set [ find default-name=ether1 ] name=ether1-WAN1 set [ find default-name=ether5 ] name=ether5-LAN1-master set [ find default-name=ether2 ] master-port=ether5-LAN1-master name=ether2-LAN1 set [ find default-name=ether3 ] master-port=ether5-LAN1-master name=ether3-LAN1 set [ find default-name=ether4 ] master-port=ether5-LAN1-master name=ether4-LAN1 /ip address add address=10.10.10.1/24 interface=ether1-WAN1 network=10.10.10.0 add address=192.168.0.1/24 interface=ether5-LAN1-master network=192.168.0.0 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-WAN1
После обновления на RouterOS 6.41 и старше:
/interface bridge add admin-mac=6C:3B:6B:4A:80:3D auto-mac=no comment="created from master port" name=bridge1 protocol-mode=none /interface ethernet set [ find default-name=ether1 ] name=ether1-WAN1 set [ find default-name=ether2 ] name=ether2-LAN1 set [ find default-name=ether3 ] name=ether3-LAN1 set [ find default-name=ether4 ] name=ether4-LAN1 set [ find default-name=ether5 ] name=ether5-LAN1-master /interface bridge port add bridge=bridge1 interface=ether2-LAN1 add bridge=bridge1 interface=ether3-LAN1 add bridge=bridge1 interface=ether4-LAN1 add bridge=bridge1 interface=ether5-LAN1-master /ip neighbor discovery-settings set discover-interface-list=!dynamic /ip address add address=10.10.10.1/24 interface=ether1-WAN1 network=10.10.10.0 add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-WAN1
Обсуждение на форуме Mikrotik https://forum.mikrotik.com/viewtopic.php?t=128915
Руководство по
: Quickset — MikroTik Wiki
Применимо к RouterOS: v5.15 +
Сводка
Quickset — это простая страница мастера настройки, которая подготавливает ваш маршрутизатор за несколько кликов. Это первый экран, который видит пользователь, открывая IP-адрес по умолчанию 192.168.88.1 в веб-браузере.
Quickset доступен для всех устройств, имеющих заводскую конфигурацию по умолчанию. Устройства, для которых нет конфигурации, необходимо настраивать вручную.Самый популярный и рекомендуемый режим — HomeAP (или HomeAP dual, в зависимости от устройства). Этот режим быстрой настройки обеспечивает простейшую терминологию и наиболее общие параметры для домашнего пользователя.
Режимы
В зависимости от модели маршрутизатора различные режимы быстрой настройки могут быть доступны в раскрывающемся меню Quickset:
- CAP : Контролируемая точка доступа, устройство AP, которое будет управляться централизованным сервером CAPsMAN. Используйте только в том случае, если вы уже настроили сервер CAPsMAN.
- CPE : Клиентское устройство, которое будет подключаться к устройству точки доступа (AP). Предоставляет возможность поиска устройств AP в вашем районе.
- HomeAP : Страница конфигурации точки доступа по умолчанию для большинства домашних пользователей. Предоставляет меньше вариантов и упрощенную терминологию.
- HomeAP dual : двухдиапазонные устройства (2 ГГц / 5 ГГц). Страница конфигурации точки доступа по умолчанию для большинства домашних пользователей. Предоставляет меньше вариантов и упрощенную терминологию.
- Home Mesh : Создан для создания больших сетей Wi-Fi.Включает сервер CAPsMAN в маршрутизаторе и помещает локальные интерфейсы WiFi под управление CAPsMAN. Просто загрузите другие AP MikroTik WiFi с нажатой кнопкой сброса, и они присоединятся к этой сети HomeMesh (подробности см. В их Кратком руководстве)
- PTP Bridge AP : Если вам необходимо прозрачно соединить два удаленных местоположения вместе в одной сети, установите одно устройство в этот режим, а другое устройство в следующий (PTP Bridge CPE) режим.
- PTP Bridge CPE : Если вам необходимо прозрачно соединить два удаленных местоположения вместе в одной сети, установите одно устройство в этот режим, а другое устройство в предыдущий режим (точка доступа PTP Bridge).
- WISP AP : Аналогичен режиму HomeAP, но предоставляет более расширенные возможности и использует стандартную отраслевую терминологию, такую как SSID и WPA.
HomeAP
Это режим, который следует использовать, если вы хотите быстро настроить домашнюю точку доступа.
Беспроводной
- Имя сети : Как ваш смартфон будет видеть вашу сеть? Задайте здесь любое имя, которое вам нравится. В HomeAP dual вы можете присвоить сетям 2 ГГц (устаревшие) и 5 ГГц (современные) одинаковые или разные имена (см. FAQ).Используйте любое имя в любом формате.
- Частота : Обычно вы можете оставить «Авто», таким образом маршрутизатор просканирует окружающую среду и выберет наименее занятый частотный канал (он сделает это один раз). Используйте собственный выбор, если вам нужно поэкспериментировать.
- Band : Обычно оставляйте это значение по умолчанию (2 ГГц b / g / n и 5 ГГц A / N / AC).
- Использовать список доступа (ACL) : Включите этот параметр, если вы хотите ограничить круг лиц, которые могут подключаться к вашей точке доступа, на основе MAC-адреса пользователя (аппаратного).Чтобы использовать эту опцию, сначала вам нужно разрешить этим клиентам подключаться, а затем использовать кнопку ниже «Копировать в ACL». Это скопирует выбранного клиента в список доступа. После создания списка доступа (ACL) вы можете включить эту опцию, чтобы запретить кому-либо попытки подключения к вашему устройству. Обычно вы можете оставить это в покое, так как пароль беспроводной сети уже предусматривает необходимые ограничения.
- Пароль WiFi : Самая важная опция здесь. Устанавливает безопасный пароль, который также шифрует вашу беспроводную связь.
- WPS accept : Используйте эту кнопку, чтобы предоставить доступ определенному устройству, которое поддерживает режим подключения WPS. Полезно для принтеров и других периферийных устройств, где сложно ввести пароль. Сначала запустите режим WPS на своем клиентском устройстве, затем один раз нажмите здесь кнопку WPS, чтобы разрешить указанное устройство. Кнопка работает несколько секунд и работает для каждого клиента.
- Гостевая сеть : Полезно для гостей дома, которым не нужно знать свой основной пароль WiFi. В этой опции установите для них отдельный пароль.Важный! Гостевые пользователи не смогут получить доступ к другим устройствам в вашей локальной сети и другим гостевым устройствам. В этом режиме включены фильтры моста, чтобы предотвратить это.
- Беспроводные клиенты : в этой таблице показаны подключенные в данный момент клиентские устройства (их MAC-адрес, если они находятся в вашем списке доступа, их последний использованный IP-адрес, как долго они подключены, их уровень сигнала в дБм и в виде гистограммы) .
Интернет
- Порт : выберите порт, к которому подключен модем ISP (Интернет).Обычно Eth2.
- Получение адреса : Выберите, как интернет-провайдер предоставляет вам IP-адрес. Узнайте у своего поставщика услуг об этом и других вариантах (IP-адрес, сетевая маска, шлюз).
- MAC-адрес : Обычно не следует менять, если только ваш провайдер не заблокировал вас на конкретный MAC-адрес, и вы не изменили маршрутизатор на новый.
- Межсетевой экран маршрутизатора : Включает безопасный межсетевой экран для вашего маршрутизатора и вашей сети. Всегда устанавливайте этот флажок, чтобы доступ к вашим устройствам через интернет-порт был невозможен.
- MAC-сервер / MAC Winbox : Позволяет подключаться к [утилите Winbox http://mt.lv/winbox] со стороны порта LAN в режиме MAC-адреса. Полезно для отладки и восстановления, когда режим IP недоступен. Только для расширенного использования.
- Discovery : Позволяет идентифицировать устройство по названию модели от других устройств RouterOS.
Локальная сеть
- IP-адрес : в большинстве случаев можно оставить значение по умолчанию 192.168.88.1, если только ваш маршрутизатор не находится за другим маршрутизатором.Чтобы избежать конфликта IP-адресов, измените адрес на 192.168.89.1 или аналогичный
- Маска сети : в большинстве ситуаций можно оставить 255.255.255.0
- Мост для всех портов LAN : Позволяет вашим устройствам обмениваться данными друг с другом, даже если, скажем, ваш телевизор подключен через кабель локальной сети Ethernet, а ваш компьютер подключен через Wi-Fi.
- DHCP-сервер : Обычно требуется автоматическая настройка IP-адреса в домашней сети, поэтому оставьте настройки DHCP включенными и оставьте значения по умолчанию.
- NAT : Отключите этот параметр ТОЛЬКО, если ваш интернет-провайдер предоставил общедоступный IP-адрес как для маршрутизатора, так и для локальной сети. Если нет, оставьте NAT включенным.
- UPnP : этот параметр включает автоматическое перенаправление портов («открытие портов для локальной сети», как некоторые называют это) для поддерживаемых программ и устройств, таких как диски NAS и одноранговые утилиты. Используйте с осторожностью, так как этот параметр иногда может открыть доступ к внутренним устройствам в Интернете без вашего ведома. Включайте только в случае особой необходимости.
.
VPN
Если вы хотите получить доступ к своей локальной сети (и маршрутизатору) из Интернета, используйте безопасный туннель VPN. Эта опция дает вам доменное имя, к которому вы хотите подключиться, и включает PPTP и L2TP / IPsec (рекомендуется второй). Имя пользователя — vpn, и вы можете указать свой собственный пароль. Все, что вам нужно сделать, это включить его здесь, а затем указать адрес, имя пользователя и пароль на своем ноутбуке или телефоне, и при подключении к VPN у вас будет надежно зашифрованное соединение с вашей домашней сетью.Также полезно во время путешествий — вы сможете выходить в Интернет через защищенную линию, как если бы вы подключались из дома. Это также помогает избежать географических ограничений, установленных в некоторых странах.
Система
- Проверить наличие обновлений : Всегда проверяйте, установлена ли на вашем устройстве последняя версия с помощью этой кнопки. Проверяет, доступна ли обновленная версия RouterOS, и устанавливает ее.
- Пароль : Устанавливает пароль для самой страницы конфигурации устройства.Убедитесь, что никто не может получить доступ к странице конфигурации вашего маршрутизатора и изменить настройки.
F.A.Q
- Чем Quickset отличается от вкладки Webfig, где появляется целый ряд новых меню?
- Если вам нужны дополнительные параметры, не используйте никакие настройки Quickset вообще, нажмите «Webfig», чтобы открыть интерфейс расширенной конфигурации. Разблокирована полная функциональность.
- Могу ли я использовать Quickset и Webfig вместе?
- Хотя параметры, которые не конфликтуют, могут быть настроены таким образом, не рекомендуется смешивать эти меню.Если вы собираетесь использовать Quickset, используйте только Quickset и наоборот.
- В чем разница между режимами маршрутизатора и моста?
- Режим моста добавляет все интерфейсы к мосту, позволяя пересылать пакеты уровня 2 (действует как концентратор / коммутатор).
- В режиме маршрутизатора пакеты пересылаются на уровне 3 с использованием IP-адресов и IP-маршрутов (действует как маршрутизатор).
- Должны ли имена сетей 2 ГГц и 5 ГГц в режиме HomeAP быть одинаковыми или разными?
- Если вы предпочитаете, чтобы все ваши клиентские устройства, такие как телевизор, телефоны, игровые консоли, автоматически выбирали наиболее предпочтительную сеть, задайте одинаковые имена.Если вы хотите заставить клиентское устройство использовать более быстрое соединение 802.11ac 5 ГГц, задайте уникальные имена.
.Руководство по
: Интерфейс — MikroTik Wiki
Применимо к RouterOS: v3, v4 +
Подкатегории
Сводка
Подменю: / интерфейс
MikroTik RouterOS поддерживает множество сетевых интерфейсных карт, а также виртуальные интерфейсы (например, связывание, мост, VLAN и т. Д.). У каждого из них есть собственное подменю, но общие свойства всех интерфейсов можно настроить и прочитать в общем меню интерфейса.
Недвижимость
Объект | Описание |
---|---|
l2mtu ( целое ; по умолчанию:) | Layer2 Максимальный блок передачи. Обратите внимание, что это свойство можно настроить не на всех интерфейсах. Подробнее >> |
MTU ( целое ; по умолчанию:) | Layer3 Максимальный блок передачи |
имя ( строка ; по умолчанию:) | Имя интерфейса |
Свойства только для чтения
Объект | Описание |
---|---|
bindstr () | |
bindstr2 () | |
крышки () | |
имя по умолчанию () | |
динамический ( да | нет ) | Создается ли интерфейс динамически |
имя по умолчанию () | |
fast-path ( да | нет ) | |
флаги () | |
id ( целое число ) | идентификатор интерфейса |
ifindex ( целое ) | индекс интерфейса |
ifname ( строка ) | в ядре Linux |
MAC-адрес ( MAC ) | |
макс-l2mtu ( целое ) | Макс.поддерживаемый L2MTU |
работает ( да | нет ) | Работает ли интерфейс.Обратите внимание, что некоторые интерфейсы могут не иметь «текущей проверки», и они всегда будут отображаться как «запущенные» (например, EoIP). |
rx-байт ( целое ) | Количество полученных байтов. Подробнее >> |
rx-drop ( целое ) | Количество отбрасываемых полученных пакетов Подробнее >> |
rx-ошибки ( целое ) | Пакеты получены с ошибкой.Подробнее >> |
rx-packet ( целое ) | Количество полученных пакетов. Подробнее >> |
ведомый ( да | нет ) | Настроен ли интерфейс как подчиненный для другого интерфейса (например, связывания). |
статус ( строка ) | |
tx-байт ( целое ) | Количество переданных байтов.Подробнее >> |
tx-drop ( целое ) | Количество отброшенных переданных пакетов Подробнее >> |
tx-ошибок ( целое ) | Пакеты переданы с какой-то ошибкой. Подробнее >> |
tx-пакет ( целое ) | Количество переданных пакетов.Подробнее >> |
Монитор трафика
Трафик, проходящий через любой интерфейс, можно отслеживать с помощью следующей команды:
/ interface monitor-traffic [id | имя]
Например, мониторинг ether2 и агрегированный трафик. Aggregate
используется для отслеживания общего объема трафика, обрабатываемого маршрутизатором:
[maris @ maris_main]> / interface monitor-traffic ether2, aggregate rx-пакетов в секунду: 9 14 RX-капель в секунду: 0 0 rx-ошибок в секунду: 0 0 rx-битов в секунду: 6.6 кбит / с 10,2 кбит / с tx-пакетов в секунду: 9 12 tx-капель в секунду: 0 0 tx-ошибок в секунду: 0 0 tx-бит в секунду: 13,6 кбит / с 15,8 кбит / с
Статистика
RouterOS v3.22 представляет новую команду:
/ interface print stats
Эта команда печатает общее количество пакетов, байтов, отбрасываний и ошибок.
Будут отображены все интерфейсы, поддерживающие эту функцию. Некоторые интерфейсы в настоящее время не поддерживают счетчики ошибок и сбросов (RB4XX, кроме RB450G ether 2-5), эти устройства не будут отображать эти счетчики.
Монитор трафика теперь также отображает количество ошибок в секунду в дополнение к обычной статистике:
/ интерфейс монитор-трафик
/ interface ethernet print stats
будет отображать все виды другой статистики, если интерфейс поддерживает их (в настоящее время только RB450G ether2-ether5, а также RB750 ether2-ether5).
[ Вверх | К содержанию ]
.Руководство
: Лицензия — MikroTik Wiki
RouterBOARD и лицензия для ПК
Устройства
RouterBOARD поставляются с предустановленной лицензией RouterOS. Если вы приобрели устройство RouterBOARD, ничего делать с лицензией нельзя.
Для систем X86 (т. Е. Устройств ПК) вам необходимо получить лицензионный ключ.
Лицензионный ключ — это блок символов, который необходимо скопировать из вашей учетной записи mikrotik.com или из полученного вами электронного письма, а затем его можно вставить в маршрутизатор.Вы можете вставить ключ в любое место терминала или щелкнув «Вставить ключ» в меню Winbox License. Чтобы ключ вступил в силу, требуется перезагрузка.
Схема лицензирования RouterOS основана на номере SoftwareID, который привязан к носителю (HDD, NAND).
Информацию о лицензировании можно прочитать из системной консоли CLI:
[admin @ RB1100]> / печать лицензии на систему идентификатор программного обеспечения: "43NU-NLT9" nlevel: 6 функции: [admin @ RB1100]>
или из аналогичного меню winbox, webfig.
Лицензия CHR
Лицензии
Cloud Hosted Router (CHR) для виртуальных машин не используют уровни; дополнительную информацию см. В руководстве CHR.
Уровни лицензии
После установки RouterOS работает в пробном режиме . У вас есть 24 часа, чтобы зарегистрироваться на Уровень 1 или приобрести Уровень 3, 4, 5 или 6 и ввести действующий ключ.
Уровень 3 — это лицензия только на беспроводную станцию (клиент или CPE). Для компьютеров x86 уровень 3 не доступен для покупки по отдельности.
Уровень 2 был переходной лицензией от старого устаревшего (до 2.8) формата лицензии. Эти лицензии больше не доступны, если у вас есть такая лицензия, она будет работать, но для ее обновления вам придется приобрести новую лицензию.
Разница между уровнями лицензий показана в таблице ниже.
Номер уровня | 0 (пробный режим) | 1 (Бесплатная демоверсия) | 3 (WISP CPE) | 4 (WISP) | 5 (WISP) | 6 (Контроллер) |
Цена | без ключа | требуется регистрация | отдельно не продается | $ 45 | $ 95 | $ 250 |
Беспроводная точка доступа | 24-часовая проба | — | — | да | да | да |
Беспроводной клиент и мост | 24-часовая проба | — | да | да | да | да |
Протоколы RIP, OSPF, BGP | 24-часовая проба | — | да | да | да | да |
туннелей EoIP | 24-часовая проба | 1 | без ограничений | без ограничений | без ограничений | без ограничений |
PPPoE туннели | 24-часовая проба | 1 | 200 | 200 | 500 | без ограничений |
PPTP туннели | 24-часовая проба | 1 | 200 | 200 | 500 | без ограничений |
L2TP туннели | 24-часовая проба | 1 | 200 | 200 | 500 | без ограничений |
тоннели ОВПН | 24-часовая проба | 1 | 200 | 200 | без ограничений | без ограничений |
интерфейсов VLAN | 24-часовая проба | 1 | без ограничений | без ограничений | без ограничений | без ограничений |
Активные пользователи HotSpot | 24-часовая проба | 1 | 1 | 200 | 500 | без ограничений |
RADIUS-клиент | 24-часовая проба | — | да | да | да | да |
Очереди | 24-часовая проба | 1 | без ограничений | без ограничений | без ограничений | без ограничений |
Веб-прокси | 24-часовая проба | — | да | да | да | да |
Активные сеансы диспетчера пользователей | 24-часовая проба | 1 | 10 | 20 | 50 | Без ограничений |
Количество гостей KVM | нет | 1 | Без ограничений | Без ограничений | Безлимитный | Без ограничений |
Все лицензии:
- никогда не истекает
- может использовать неограниченное количество интерфейсов
- для одной установки
- предлагает неограниченное количество обновлений программного обеспечения
Обновление с RouterOS v3 (2009)
Начиная с версии RouterOS 3.25 и 4.0beta3 представлен новый формат SoftID . В меню вашей лицензии будет отображаться как старый, так и новый SoftID. Даже после обновления до новой версии RouterOS по-прежнему будет работать, как и до , но для использования некоторых новых функций потребуется ОБНОВЛЕНИЕ ЛИЦЕНЗИИ. Для этого просто нажмите кнопку «Обновить лицензионный ключ» в Winbox (пока только в Winbox).
Новые SoftID имеют форму XXXX-XXXX (четыре символа, тире, четыре символа).
Будут предприняты следующие действия:
- Winbox свяжется с www.mikrotik.com с вашим старым SoftID
- www.mikrotik.com проверит базу данных и увидит подробную информацию о вашем ключе
- сервер сгенерирует новый ключ как «обновление» и поместит его в ту же учетную запись, что и старый
- Winbox получит новый ключ и автоматически лицензирует ваш роутер с новым ключом
- Требуется перезагрузка
- Будут разблокированы новые функции RouterOS
Важное примечание! : Если вы видите эту кнопку также в v3.24, не используйте, не пойдет.
Если вы когда-нибудь захотите перейти на более раннюю версию RouterOS, вам придется применить СТАРЫЙ ключ перед этим. Когда RouterOS применяет НОВЫЙ ключ, СТАРЫЙ ключ сохраняется в файле в папке ФАЙЛЫ, чтобы убедиться, что у вас под рукой старый ключ.
Еще важнее : не понижайте версию 4.0b3 до версии 3.23 или более ранней. Используйте только v3.24 для перехода на более раннюю версию, иначе вы можете потерять новый ключ формата.
Изменить уровень лицензии
- Нет обновлений уровня лицензии, если вы хотите использовать другой уровень лицензии, пожалуйста, приобретите соответствующий уровень.Будьте очень внимательны при покупке впервые, выбирайте правильный вариант.
- Почему невозможно изменить уровень лицензии (например, обновить лицензию)? Точно так же, как вы не можете легко обновить двигатель вашего автомобиля с 2L до 4L, просто заплатив разницу, вы не можете легко переключать уровни лицензии. Эту политику используют многие компании-разработчики программного обеспечения. Выбирайте с умом при покупке! Вместо этого мы снизили цены и сняли ограничение по времени обновления программного обеспечения.
Запасной ключ
Это специальный ключ, который выдается группой поддержки, если вы случайно потеряете лицензию на экземпляре x86, работающем под управлением RouterOS, и служба поддержки Mikrotik решит, что это не ваша вина.Он стоит 10 долларов и имеет те же функции, что и ключ, который вы потеряете.
Обратите внимание, что перед выдачей такого ключа служба поддержки Mikrotik может попросить вас доказать, что старый диск вышел из строя, в некоторых случаях это означает отправку нам мертвого диска.
Запрос на замену ключа
1) Зайдите в управление своей учетной записью на mikrotik.com и заполните «контактную форму поддержки» или напишите письмо по адресу [email protected]
- ) Пожалуйста, предоставьте подробную информацию о том, почему требуется новый ключ.
2) Отправьте необходимую информацию в службу поддержки MikroTik.
3) Перепроверьте свою учетную запись после того, как персонал службы поддержки подтвердит, что новый ключ был добавлен в вашу учетную запись. Выберите раздел «Сделать ключ из сменного ключа»
4) Выберите соответствующий уровень лицензии, на котором вы хотите произвести замену
5) Введите новый «идентификатор программного обеспечения»
6) Перейдите к оформлению заказа, нажав «Добавить замену лицензии в корзину» и завершите оплату
7) На ваш профиль будет отправлено электронное письмо с новой лицензией.
- ) Вы также можете найти вновь сгенерированный ключ в разделе «Поиск и просмотр всех ключей» в папке «Приобретено ГГГГ», где «ГГГГ» — текущий год
Примечание: Мы можем выпустить только один ключ замены на один исходный ключ, повторное использование процедуры замены ключа для одного ключа будет невозможно. В таких случаях необходимо приобрести новый ключ для этого устройства RouterOS.
Использование лицензии
Могу ли я отформатировать или повторно прошить диск?
Форматирование и повторное создание образа диска с помощью инструментов, не относящихся к mikrotik (например, DD и Fdisk), уничтожат вашу лицензию! Будьте очень осторожны и перед этим обратитесь в службу поддержки mikrotik.Не рекомендуется, так как служба поддержки mikrotik может отклонить ваш запрос на замену лицензии. Для этого MikroTik предоставил инструменты Netinstall или CD-install, которые бесплатно доступны на нашей странице загрузки.
На скольких компьютерах я могу использовать лицензию?
При этом лицензия RouterOS может использоваться только в одной системе. Лицензия привязана к жесткому диску, на котором она установлена, но у вас есть возможность переместить жесткий диск в другую компьютерную систему. Вы не можете переместить лицензию на другой жесткий диск, а также не можете отформатировать или перезаписать жесткий диск с помощью лицензии RouterOS.Он будет удален с диска, и вам нужно будет получить новый. Если вы случайно удалили лицензию, обратитесь за помощью в службу поддержки.
Могу ли я временно использовать жесткий диск для чего-то еще, кроме RouterOS?
Как указано выше, нет.
Могу ли я перенести лицензию на другой жесткий диск?
Если текущий жесткий диск поврежден или больше не может использоваться, можно перенести лицензию на другой жесткий диск. Вам нужно будет запросить новый ключ (см. Ниже), который будет стоить 10 $.
Должен ли я ввести весь ключ в маршрутизатор?
Нет, просто скопируйте его и вставьте в окно Telnet или в меню лицензии Winbox.
Копирование лицензии в окно Telnet (или новый терминал Winbox),
Другой вариант использования окна лицензии Winbox, щелкните Система —> Лицензия ,
Могу ли я установить на свой диск другую ОС, а затем снова установить RouterOS?
Нет, потому что, если вы используете утилиты форматирования, разбиения на разделы или инструменты, которые что-то делают с MBR, вы потеряете лицензию, и вам придется создавать новую. Этот процесс не бесплатный (см. Ключ для замены выше)
Я потерял свою RouterBOARD. Вы можете дать мне лицензию на использование в другой системе?
RouterBOARD поставляется со встроенной лицензией.Вы не можете каким-либо образом переместить эту лицензию в новую систему, в том числе обновления, примененные к RouterBOARD, пока она еще работала.
лицензии, приобретенные у торговых посредников
Ключи, приобретенные у других поставщиков и торговых посредников, отсутствуют в вашей учетной записи. Ваша учетная запись mikrotik.com содержит только лицензии, приобретенные непосредственно у MikroTik. Однако вы можете использовать ссылку «Запросить ключ» в своей учетной записи, чтобы получить ключ в свою учетную запись для справки или для некоторых обновлений (если они доступны).
Получение лицензий и работа с ними
Где я могу купить лицензионный ключ RouterOS?
Вы должны зарегистрировать учетную запись на нашей веб-странице и использовать там опцию «Купить лицензионный ключ RouterOS».
Если я купил ключ в другом месте
Вы должны связаться с компанией, которая продала вам лицензию, они окажут поддержку
Если у меня есть лицензия, и я хочу разместить ее на другом аккаунте?
Вы можете предоставить доступ к ключам с помощью виртуальных папок
Если я потерял лицензию на RouterBOARD?
Если по какой-то причине вы потеряли лицензию с RouterBOARD, обновите маршрутизатор до последней доступной версии RouterOS и используйте «Запросить ключ из другой учетной записи» в своем микротике.com аккаунт. При запросе лицензии используйте программный идентификатор и серийный номер, доступные в меню «Система / Лицензия» в RouterOS. Подайте заявку на полученную лицензию или свяжитесь с [email protected], если функция запроса не работает.
.