Menú
Está libre
registro
hogar  /  Consejo/ Comparación de puntos de acceso Mikrotik wAP y wAP ac. Configuración de CAPsMAN en MikroTik (itinerancia sin interrupciones) Cuántas conexiones admite mikrotik wap

Comparación de los puntos de acceso Mikrotik wAP y wAP ac. Configuración de CAPsMAN en MikroTik (itinerancia sin interrupciones) Cuántas conexiones admite mikrotik wap

Consideraremos un ejemplo cuando las redes inalámbricas se configurarán en un enrutador separado (la función de un punto de acceso), en el que solo se configurarán redes inalámbricas y se conectará al enrutador principal en el que ya está configurada una red local y que sirve como puerta de entrada a Internet. La consola muestra archivo de configuración configuración desde cero. Configuraciones de Wi-Fi Las redes corresponden a las configuraciones discutidas en los ejemplos anteriores y son una repetición para esta configuración.

Principales características de personalización:



* *: modelo, artículo, información sobre el procesador (arquitectura, frecuencia, número de núcleos), nivel de licencia, cantidad de RAM y ROM, disponibilidad de módulos Wi-Fi en diferentes frecuencias y ganancias de antenas integradas, y mucho más . Hay más de 30 parámetros en total para cada uno de los 151 dispositivos de la lista.

A través de la interfaz gráfica

Ajuste de puntos Acceso wifi en el dispositivo MicroTik - Captura de pantalla 1

Configuración de un punto de acceso Wi-Fi en el dispositivo MicroTik - Captura de pantalla 2

Configuración de un punto de acceso Wi-Fi en el dispositivo MicroTik - Captura de pantalla 3

Configuración de un punto de acceso Wi-Fi en el dispositivo MikroTik - Captura de pantalla 4

Configuración de un punto de acceso Wi-Fi en el dispositivo MicroTik - Captura de pantalla 5

A través de la consola

/ interface bridge add mtu = 1500 name = bridge-local / interface ethernet set [find default-name = ether1] name = ether1-LAN1-master set [find default-name = ether2] master-port = ether1-LAN1-master name = \ ether2-LAN1 conjunto [buscar nombre-predeterminado = ether3] puerto-maestro = ether1-LAN1-nombre maestro = \ ether3-LAN1 conjunto [buscar nombre-predeterminado = ether4] puerto-maestro = ether1-LAN1-nombre maestro = \ ether4-LAN1 conjunto [buscar nombre-predeterminado = ether5] puerto-maestro = ether1-LAN1-nombre-maestro = \ ether5-LAN1 / interfaz conjunto de perfiles de seguridad inalámbricos [buscar predeterminado = sí] identidad-suplicante = MikroTik agregar tipos de autenticación = wpa2-psk eap-métodos = "" modo = claves-dinámicas nombre = \ profile_local_wi-fi suplicante-identidad = "" wpa2-pre-shared-key = \ Pass66word! añadir tipos de autenticación = wpa2-psk eap-métodos = "" modo = claves-dinámicas nombre = \ profile_guest_wi-fi suplicante-identidad = "" wpa2-pre-shared-key = Pass55word! / conjunto inalámbrico de interfaz [buscar nombre-predeterminado = wlan1] inmunidad-al-ruido-adaptable = modo-ap-y-cliente \ band = 2ghz-b / g / n channel-width = 20 / 40mhz-Ce country = russia disabled = \ sin distancia = en interiores frecuencia = frecuencia automática modo = dominio-regulador \ hw-modo-protección = modo rts-cts = puente-ap-puente-umbral-ruido-piso = -100 \ perfil-seguridad = perfil_local_wi-fi ssid = Inalámbrico principal- protocol = \ 802.11 wmm-support = habilitado wps-mode = deshabilitado agregar deshabilitado = no mac-address = 00: 00: 00: 00: 00: 00 master-interface = \ wlan1 name = "Guest Wi-Fi" perfil de seguridad = profile_guest_wi-fi ssid = \ Guest wds-cost-range = 0 wds-default-cost = 0 wmm-support = habilitado wps-mode = deshabilitado / ip pool agregar nombre = dhcp_pool_local ranges = 172.16.18.101-172.16.18.150 agregar nombre = rangos de dhcp_pool_guest = 10.11.12.101-10.11.12.150 / ip dhcp-server add address-pool = dhcp_pool_guest disabled = no interface = "Guest Wi-Fi" \ lease-time = 12h name = dhcp_guest / interface bridge port add bridge = bridge -interfaz local = ether1-LAN1-master agregar puente = puente-interfaz local = wlan1 / ip address add address = 172.16.18.5 / 24 interface = bridge-local network = 172.16.18.0 add address = 10.11.12.1 / 24 interface = "Guest Wi-Fi" network = 10.11.12.0 / ip dhcp-server network add address = 10.11.12.0 / 24 dns-server = 8.8.8.8,8.8.4.4 gateway = 10.11.12.1 / ip dns set allow-remote-orders = yes servers = 8.8.8.8,8.8.4.4 / ip firewall filter add chain = forward comment = "Denegar solicitudes de invitados" dst-address = 172.16.18.0 / 24 src-address = 10.11.12.0 / 24 connection-state = nueva acción = soltar agregar cadena = reenviar comentario = "Denegar solicitudes de invitados" dst-address = 10.11. 12.0 / 24 src-address = 172.16.18.0 / 24 connection-state = new action = drop / ip firewall nat add action = masquerade chain = srcnat out-interface = bridge-local src-address = \ 10. 11.12.0 / 24 / ruta ip agregar distancia = 1 puerta de enlace = 172.16.18.1 / nombre del conjunto de identidad del sistema = "AIR1"

Examen

Al conectarse a una red con SSID Main, debe tener acceso a Internet y LAN. Al conectarse a una red con SSID Guest, solo debe tener acceso a Internet.

Aprenda a trabajar con MikroTik puede utilizar el curso de vídeo "". Además de todos los temas del programa oficial MikroTik MTCNA, el curso contiene mucho material adicional. El curso combina la parte teórica y la práctica: configurar un enrutador de acuerdo con una tarea técnica. El curso cuenta con el apoyo de su autor Dmitry Skoromnov, quien es el entrenador oficial de MikroTik (TR0680) y también el autor de este Wiki.
Materiales útiles sobre el tema MikroTik:
* *: modelo, artículo, información sobre el procesador (arquitectura, frecuencia, número de núcleos), nivel de licencia, cantidad de RAM y ROM, disponibilidad de módulos Wi-Fi en diferentes frecuencias y ganancias de antenas integradas, y mucho más . Hay más de 30 parámetros en total para cada uno de los 151 dispositivos de la lista.

Internet para la gente moderna, se ha convertido no solo en un atributo indispensable y necesario, sino también en un objeto de primera importancia, reemplazando una gran cantidad de otras cosas que se usaban anteriormente. Por lo tanto, Internet de alta calidad y alta velocidad vale mucho. Para construyendo una red inalámbrica solo necesita equipos probados y confiables y un integrador que implementará su proyecto. Compra lo que necesitas equipo de red wifi No es tan fácil para su red la venta gratuita. No pierdas el tiempo buscando en vano, contacta Sitio web de la tienda online... Aqui encontraras equipos activos y pasivos en una amplia gama de marcas mundiales. Equipo wifi para restaurantes y hoteles, cable de par trenzado para instalación en exteriores, cable óptico, equipos PON, dispositivos PON, dispositivos OLT, equipos CWDM y muchos otros se presentan en nuestro catálogo en línea Mstream.

Cooperamos solo con fabricantes confiables del mercado de TI - Ubiquiti, Mikrotik, Cambium Networks, D-link, Hikvision, Furuno, Ajax, Ok-net, ICOM, Sailor, Zenitel, Cobham y es por eso que todos los equipos de radiocomunicación, navegación marítima, inalámbricos o red local presentados en nuestra tienda cumplen con los más altos estándares de calidad. Ordenar internet wifi equipo es posible tanto al por menor como al por mayor (cooperamos con proveedores de Internet, integradores y revendedores). Para los clientes habituales, la tienda en línea Mstream tiene un sistema flexible de descuentos y aplazamientos de pago. Precios internet wi-fi el equipo deleitará incluso a los compradores minoristas. Nuestra tarea no es solo desarrollarnos, sino también ayudar a desarrollar el negocio de nuestros clientes. El espacio wifi en Ucrania aún no está tan desarrollado y ocupado, y nuestro objetivo es la integración global de nuevas tecnologías y desarrollos en el mercado tecnológico de Ucrania.

Habiéndonos comprado equipo para red Wi Fi , tiene la garantía de recibir soluciones muy confiables, de alta calidad y duraderas de los mejores fabricantes y marcas de tecnología inalámbrica del mundo en el menor tiempo posible. Gran surtido y entregas directas Equipo wifi del fabricante nos permiten cómo integrador de sistemas, para satisfacer cualquier proyecto de nuestros clientes - la creación de una red wi-fi local. Los consultores profesionales brindarán un asesoramiento completo a la hora de elegir el equipo de red adecuado, teniendo en cuenta los proyectos individuales y los deseos del cliente, lo que le ahorrará tiempo y esfuerzo. Entrega de equipos de red a todas las ciudades de Ucrania: Odessa, Kiev, Jarkov, Kherson, Krivoy Rog, Kropyvnytskyi, Nikolaev, Dnepropetrovsk, Zaporozhye, Vinnitsa, Chernigov, Cherkasy, Poltava, Mariupol, Lviv, Ternopil, Kramatorsk, as Novomoskovsk así como Transnistria, Tiraspol, Moldavia (Moldavia) y otros.

Está prohibido copiar cualquier información del sitio sin colocar un vínculo de retroceso activo.

Cantidad Dispositivos inalambricos está creciendo rápidamente, aumentando constantemente los requisitos de banda ancha red y su cobertura.

Ahora hay suficientes soluciones en el mercado para crear una gran red inalámbrica tanto en una pequeña casa privada como en una gran casa de campo, comenzando con Luma, Eero y terminando con y.

Algunas soluciones se distinguen por la simplicidad de configuración y los altos precios, mientras que otras brindan grandes oportunidades, pero requieren una buena base para la personalización. En particular, estamos hablando de productos Mikrotik, que se distinguen por una excelente combinación de alta confiabilidad, gran funcionalidad y un costo bastante asequible. Al mismo tiempo, Mikrotik será difícil de entender la configuración para la gran mayoría de los usuarios domésticos, lo que aumenta el nivel de entrada y limita en gran medida el uso real de los sistemas basados ​​en Mikrotik en el hogar.

A pesar de la desventaja anterior, una vez que configura Mikrotik, puede olvidarse de él durante meses e incluso años. Equipo Mikrotik puede funcionar durante seis meses o incluso más sin reiniciar, lo que ahorra aún más tiempo y nervios.

Como parte de esta publicación, le mostraremos y le diremos cómo crear y configurar una red confiable basada en Mikrotik con excelente cobertura inalámbrica para un apartamento grande, casa privada u oficina pequeña con una cantidad mínima de cables.

Selección de enrutador

Para crear una red de alto rendimiento, un enrutador (modelo RB960PGS) es muy adecuado. La presencia de una ranura SFP le permite conectarse a un proveedor de Internet mediante óptica; además, el dispositivo está equipado con interfaces de 5 gigabits.

Si no está utilizando SFP, puede conectarse a Internet utilizando la primera interfaz de red RJ-45, que también es compatible con PoE In. Las 4 interfaces restantes admiten PoE Out, lo que permite alimentar varios puntos de acceso desde ellas, pero no más de 4.

En la práctica, casi siempre se usa una red cableada, por lo que será necesario asignar al menos un puerto para una LAN cableada, en total tendremos 3 puertos PoE, lo cual es suficiente para una casa privada de tamaño mediano.

Si tiene la intención de usarlo en casa, cualquier conmutador gigabit de cualquier marca servirá antes de expandir la red cableada. Al mismo tiempo, si planea usar VLAN y otras cosas exóticas, necesita un conmutador administrado, o al menos Easy-Smart, le recomendamos que preste atención a un conmutador administrado.

En el caso de que necesite alimentar más de 3 puntos de acceso, puede comprar un conmutador administrado con PoE -. Tenga en cuenta que la compra de un conmutador PoE adicional solo se justificará si alimenta de 2 a 4 puntos de acceso adicionales. De lo contrario, comprar un interruptor para alimentar un solo punto será una pérdida de dinero.

Para redes de 100 Mbps, los modelos más asequibles de enrutadores PoE son adecuados:

No es necesario comprar dispositivos con soporte PoE, pero en este caso necesitará armar una pequeña caja de comunicación y colocar todos los inyectores y adaptadores en ella.

Seleccionar puntos de acceso

En el caso de los puntos de acceso, la elección es mucho más amplia. A continuación hemos seleccionado las ofertas más interesantes y están ordenadas en orden ascendente de precio.

Tenga en cuenta que el modelo Groove 52 (RBGroove52HPn) no funcionará, porque viene con una licencia de nivel 3 que no permite el modo AP.

Probablemente se esté preguntando qué hace HAP ac lite en esta tabla. Es simple. Primero, tiene soporte PoE, lo que le permite alimentarse de forma remota. En segundo lugar, el enrutador ofrece la posibilidad de instalación en la pared. En tercer lugar, es, por supuesto, soporte 802.11ac y el precio es de solo 45 USD.

Debido a la combinación de estos parámetros, se puede utilizar como un punto de acceso de doble banda con la funcionalidad de un interruptor adicional. La única limitación es la velocidad de las interfaces de red a 100 Mbps.

Groove Un punto de 52 se resalta por separado, porque está equipado con un potente módulo de radio y es adecuado para uso en exteriores cuando es necesario cubrir un área muy grande. Tenga en cuenta que el dispositivo solo puede funcionar en una banda a la vez, ya sea de 2,4 GHz o 5 GHz. El rango se selecciona manualmente en el panel de control.

OmniTIK y Metal también faltan en la tabla debido a la relación precio / rendimiento. Estas soluciones son más adecuadas para su uso en redes comerciales.

La mayoría la mejor opción para construir una red en casa - y. Además, wAP y wAP ac se pueden utilizar en exteriores.

El modelo anterior de wAP ac está equipado con una interfaz de red gigabit para garantizar un alto ancho de banda, admite el funcionamiento simultáneo de doble banda con velocidades de canal de 300 y 1300 Mbps para 2,4 y 5 GHz, respectivamente.

En realidad, utilizando el ejemplo de wAP y wAP ac junto con un conmutador HEX PoE, consideraremos la construcción de una red inalámbrica doméstica.

Conexión y configuración de la puerta de enlace

hEX PoE actuará como el enrutador principal proporcionando a los clientes acceso a Internet. Como se esperaba, la puerta de enlace emitirá direcciones IP para otros dispositivos, mientras que el servidor DHCP se desactivará en los puntos de acceso.

Conectamos el dispositivo e iniciamos sesión en el panel de control.

El proceso de configuración se considerará utilizando la configuración predeterminada como ejemplo, con el fin de simplificar el proceso tanto como sea posible para los usuarios novatos de Mikrotik.

La configuración estándar está bien para nosotros, lo único que necesita es configurar el tipo de conexión a la red del proveedor y seleccionar el puerto ETH1 (par trenzado) o SFP (óptica)

Para mayor comodidad, cambiamos los dispositivos IP y la configuración de la red local por otros más familiares: 192.168.0.1/24.

Tenga en cuenta que aumentamos deliberadamente el grupo de DHCP, lo que no es necesario en absoluto. Personalmente, es más fácil para mí usar estática y MAC: enlace de IP en la parte inferior y emitir IP para otros clientes en la parte "superior".

Asegúrate de cambiar el nombre del dispositivo, en nuestro caso será "GATEWAY" (puerta de enlace), en el futuro, con una gran cantidad de dispositivos, te será mucho más fácil navegar por nombre que por IP.

Aplicamos la configuración. Después de eso, Winbox se volverá inaccesible, en algunas PC será necesario volver a conectarse a la red conectando el cable para que la red reciba una nueva IP.

Es una buena práctica ir a IP - Servidor DHCP - Redes y agregar manualmente la IP de nuestro enrutador como un servidor DNS para los clientes que reciben configuraciones a través de DHCP. Mikrotik tiene su propia funcionalidad de DNS, por lo que no tiene sentido utilizar el DNS del proveedor en los clientes.

Por cierto, también puede especificar NTP allí mismo, puede subirlo fácilmente en el propio Mikrotik. Si time.windows.com se sustituye en registros DNS estáticos por IP micrótica, las máquinas Windows podrán tomar la hora exacta desde la puerta de enlace principal sin ajustes adicionales... Lea más en una publicación separada, enlace arriba.

No olvide actualizar la puerta de enlace a ultima versión RouterOS, en nuestro caso esta es una actualización de 6.36.1 a 6.38.1. El dispositivo se reiniciará para actualizar.

La configuración general de la puerta de enlace ahora está completa. Crear un nuevo usuario, cambiar una contraseña, deshabilitar servicios innecesarios y otras configuraciones de protección de Mikrotik es un tema para una publicación separada, por lo que no nos detendremos en esto.

En este punto, puede conectar los puntos de acceso al enrutador.

Conexión de puntos de acceso a un enrutador

Ambos puntos serán alimentados por PoE desde el enrutador principal. Este enfoque nos permitirá sobrecargar los dispositivos de forma remota mediante programación, así como deshacernos de los cables innecesarios.

En la práctica, es mejor conectar puntos por etapas, ya que todos los wAP tienen una red abierta y una contraseña estándar.

Conectaremos ambos puntos a la vez, porque por usuario experimentado el proceso toma solo un par de minutos.

El punto de acceso wAP de Mikrotik habitual recibió alimentación a través de PoE sin ningún problema, pero para wAP ac tuve que seleccionar el modo PoE "forzado" en la configuración del puerto. Para obtener más información sobre las prioridades y la configuración de salida PoE en general, puede leer.

Como puede ver, en modo inactivo wAP consume solo 1.1 W, y su hermano mayor wAP ac - 3.3 W.

En la sección IP - Servidor DHCP - Arrendamientos, puede asegurarse de que ambos puntos de acceso hayan recibido una dirección IP.

Pasamos a la siguiente etapa de configuración.

Conexión wAP Mikrotik

Ambos wAP se configuran conectándose a la red inalámbrica abierta del punto de acceso. Para estos fines, una netbook, computadora portátil o PC con Adaptador inalambrico... En nuestro caso, será un netbook.

Como puede ver, la netbook ha detectado con éxito las 3 redes. ¿Por qué tres y no dos? El hecho es que wAP ac tiene una red de 2,4 GHz, la segunda a 5 GHz.

MikroTik-5EDCC7 es nuestra Mikrotik wAP, MikroTik-7D550D y las redes MikroTik-7D550E son Mikrotik wAP ac, que es fácil de identificar por el nombre de la red (el nombre se distingue por el último carácter).

Comenzaremos con el punto más simple, es más rápido y le permitirá comprender cómo ajustar el punto de banda dual.

Después de conectarse a la red inalámbrica MikroTik-5EDCC7, Winbox detectará un dispositivo con IP estándar 192.168.88.1

Aceptamos Configuración estándar... Como puede ver, el dispositivo funciona en modo de enrutamiento, por lo que no es posible conectarse a él mediante un cable.

Cambie el punto al modo puente (Bridge = bridge), esto hará que el dispositivo sea completamente transparente. Establezca la opción "Adquisición de direcciones" en "Automático", es decir, El dispositivo recibirá una IP de un servidor DHCP. Si lo desea, puede implementar una IP estática, pero más sobre eso más adelante, lo implementaremos de manera un poco diferente.

La "Fuente de la dirección" debe especificarse como "Cualquiera"; de lo contrario, al elegir una "Ethernet" aparentemente lógica, el dispositivo tendrá IP 0.0.0.0 y simplemente no se conectará a él. Si todo se hace correctamente, el dispositivo recibirá la configuración de red.

Como antes, cambiamos el nombre del dispositivo.

Conexión de ca Mikrotik WAP

Repetimos todos los pasos anteriores para un nuevo punto, así como para cada punto posterior que se agregará a la red.

Si todo se hace correctamente, los tres dispositivos estarán visibles en Winbox.

Y, por supuesto, no olvide actualizar RouterOS en todos los dispositivos de la red.

Configurar una red inalámbrica en Mikrotik wAP

Primero, configuremos el punto de acceso WAP.

En la sección Wireless - Interfaces, abra las propiedades de la interfaz inalámbrica.

Personalmente, soy partidario del "Modo avanzado" (modo extendido), si la cantidad de opciones te asusta, puedes usar el "Modo simple". El cambio entre modos se realiza en cualquier momento en la parte derecha de la ventana de configuración.

En la ventana actual estamos interesados ​​en “Freq. Uso ... ". Después de hacer clic en este botón, se abrirá una nueva ventana en la que debe hacer clic en "Iniciar". El sistema comenzará a escanear los canales y podrá ver el uso del canal en tiempo real.

Como puede ver, se usa 2442-2452 MHz, por lo que es mejor trabajar en el rango de 2412-2432 MHz. No debe olvidarse que cuando se utilizan canales anchos de 40 MHz, el número de canales que no se superponen es igual a 3.

Al configurar la interfaz inalámbrica, prefiero especificar explícitamente 2GHz-only-N, que establece el modo 802.11n. Si tiene dispositivos antiguos sin soporte para el nuevo estándar, use modos mixtos.

Establezca el ancho del canal en "20/40 Ce", también puede especificar "20/40 eC". El índice eC y Ce indican dónde debe ampliarse el rango en relación con el canal principal. eC - extensión hacia abajo, Ce - extensión hacia arriba. Así, si elige el primer canal, puede expandirlo solo hacia arriba, en el caso del último canal, la situación es al revés, solo puede expandirse hacia abajo.

SSID es el nombre de la red inalámbrica. Si tiene puntos de acceso de 5 GHz, puede especificar explícitamente los sufijos 2G y 5G para ayudar a diferenciar las bandas. Si esto no se hace, en el cliente, en lugar de dos redes, solo una será visible en la lista, y la conexión se realizará según las prioridades del adaptador (Preferir 2G / Preferir 5G).

WPS debe desactivarse si no está en uso.

Establezca "Modo de frecuencia" en "dominio regulatorio" y "País" en "Ucrania". Esta configuración permitirá no violar las restricciones regionales sobre el uso del recurso de radiofrecuencia.

"Soporte WMM" se puede seleccionar como "habilitado". Este es un complemento de QoS especial que le permite priorizar el tráfico multimedia.

Vaya a la pestaña "Avanzado". Para la opción “Hw. Modo de protección "seleccione" rts cts ". En definitiva, esta opción ayuda a evitar conflictos cuando los clientes conectados al punto no se ven y no pueden ponerse de acuerdo sobre la secuencia de transmisión de datos.

Para "Inmunidad adaptativa al ruido", configure "modo ap y cliente". Nuevamente, en pocas palabras, esta opción le permite activar un algoritmo de filtrado de ruido especial, creado por el punto y / o por parte del cliente, por ejemplo, múltiples reflejos de la señal de las paredes. Tenga en cuenta que esta opción solo funcionará en adaptadores con chips Atheros.

En la pestaña HT, marque los parámetros "Cadenas Tx / Rx", junto a los cuales debe haber una marca de verificación en todas partes. Si la casilla de verificación no está marcada en uno de los canales, el adaptador no podrá usarlo durante el funcionamiento.

Dado que no hemos cambiado los parámetros de potencia del módulo de radio, se aplicarán los valores predeterminados.

En este caso, estamos interesados ​​exclusivamente en HT20-x y HT40-x. Básicamente, es una especie de guía de potencia para un módulo de radio específico.

HT20 y HT40 indican anchos de canal de 20 y 40 MHz, respectivamente. El número en el sufijo es el índice de velocidad MCS para el estándar 802.11n. Cuanto mayor sea el número, mayor será la velocidad. Como puede ver, para velocidades más altas, se usa menos energía y cuanto mayor es la velocidad, menor es la potencia. Tenga en cuenta estos datos si decide ajustar la potencia. módulo inalámbrico en modo manual.

En la etapa final, vaya a la pestaña "Perfiles de seguridad". Esta sección requiere que ajuste el perfil de seguridad. Seleccionamos el modo "claves dinámicas", así como las opciones WPA2 y AES. Puede olvidarse de WPA y TKIP para siempre (sin mencionar el WEP obsoleto), estas opciones de seguridad se han comprometido durante mucho tiempo y tienen lagunas que permiten que un atacante experimentado obtenga acceso a una red inalámbrica protegida por este método.

La contraseña de red se ingresa en el campo Clave precompartida WPA2. Esto completa la configuración del primer punto.

Configurar una red inalámbrica en Mikrotik wAP ac

Al configurar el segundo punto de acceso, hacemos todo de la misma manera que el primer punto de acceso.

Tenga en cuenta que es necesario escanear la red inalámbrica para cada ubicación, ya que las condiciones de transmisión pueden variar según la ubicación. Si desea confiar en la automatización, elija el canal "automático", Mikrotik hace un buen trabajo con esta tarea.

No olvide especificar exactamente el mismo SSID para el nuevo y cada punto posterior que para el primer dispositivo. Esto es necesario para la itinerancia automática de clientes entre AP.

La frecuencia de operación se puede especificar de la misma manera, pero solo si los puntos de acceso se superponen débilmente. De lo contrario, los puntos compartirán el éter entre sí, lo que afectará negativamente la velocidad durante el funcionamiento simultáneo. Es mejor utilizar el principio del "tablero de ajedrez", es decir canales alternos para que no se crucen en absoluto.

En el caso de los puntos de acceso de doble banda, habrá 2 interfaces en la lista de interfaces inalámbricas, cada una se configura por separado.

El principio es el mismo, escaneamos el rango y seleccionamos la frecuencia óptima. Si tiene un rango claro de 5745-5805, le recomendamos que lo use. En nuestro caso, ya está repleto de proveedores locales.

Por cierto, el escaneo espectral y el historial espectral serán interesantes para los administradores experimentados. Ambas herramientas funcionan a través del terminal.

Para llamar a los comandos se utilizan:

/ interfaz de escaneo espectral inalámbrico

/ interfaz historia espectral inalámbrica

Decidimos los canales y las frecuencias.

Para la banda de 5 GHz, indicamos el sufijo 5G, no es para nada necesario hacer esto, como se mencionó anteriormente.

El ancho de canal predeterminado será de 20/40 MHz, pero sabemos que 802.11ac puede usar canales de 80 MHz y es en estos que proporciona alta velocidad.

Para canales a 80 MHz, el complemento eCee se usa en diferentes combinaciones, hay 4 de ellos en total, ya que el canal de 80 MHz combina 4 canales de 20 MHz. La lógica de selección es la misma que para 2,4 GHz.

Realizamos los ajustes de la misma forma que para el punto anterior y la banda de 2,4 GHz. No olvide verificar Cadenas y configurar su configuración de seguridad (perfil).

Matices de itinerancia en Mikrotik

En principio, esto podría completar la breve instrucción, pero hay un matiz más.

En la práctica, es bastante común que las redes inalámbricas se superpongan. En tales casos, el cliente puede colgarse obstinadamente de un punto con una señal débil, aunque haya un punto con un nivel de señal excelente "debajo de sus narices".

En realidad, se muestra un ejemplo de tal caso en la captura de pantalla anterior. A la izquierda podemos ver que el teléfono está conectado a una red de 5 GHz con una buena potencia de señal. Después de mudarse a otra zona, el teléfono inteligente aún se cuelga en la red de 5 GHz, a pesar de que la velocidad del canal se ha reducido a 87 Mbit, y hay una red de 2.4 GHz con una excelente señal cerca.

¿Qué hacer en este caso? Puede cambiar la red manualmente si las redes tienen diferentes nombres, pero también puede utilizar "archivos" y "muletas".

El primer paso es deshabilitar la opción "Autenticación predeterminada" en todas las interfaces inalámbricas. Esto es necesario para utilizar la función ACL.

En la pestaña Lista de acceso (la sección sigue siendo la misma, Inalámbrico), cree 2 reglas.

Primera regla. Configure el rango de nivel de señal -75 ... 120 dBm, configure las opciones Autenticación y Reenvío. Esta regla permitirá conexiones para clientes con un nivel de señal de al menos -75 dBm.

Segunda regla. Configure el rango -120 ...- 76 dBm, desactive las opciones Autenticación y Reenvío. Esta regla inhabilitará a los clientes cuyo nivel de señal haya caído por debajo de -76 dBm.

La opción Autenticación permite la conexión, por lo tanto, su ausencia niega la conexión. La opción Forward permite el intercambio de datos entre estaciones / clientes. Un delantero puede resultar útil en un red domestica, pero en el publico red abierta El intercambio de datos entre clientes debe estar prohibido por razones de seguridad.

Si lo desea, aquí también puede configurar reglas para los días de la semana y la hora. Para estos fines, se encuentran los parámetros necesarios a continuación en el spoiler de Tiempo.

Una vez creadas las reglas de ACL, en la tabla de Registro puede ver la lista de clientes autorizados. Además, el comentario de cada cliente contendrá un comentario de la regla ACL (si se especifica), lo cual es muy conveniente.

Comprobando el trabajo en un teléfono inteligente. Cuando el nivel de la señal se deteriora a -75 dBm, el dispositivo todavía se aferra al punto anterior. Tan pronto como la señal se degrada a -76 dBm, el punto desconecta automáticamente al cliente, después de lo cual el cliente se conecta al punto más fuerte.

Sin embargo, este método no sin defectos. El caso es que los puntos desconectan a la fuerza al cliente, lo que provoca que el cliente final tenga una desconexión a corto plazo. En el mejor de los casos, esto es ~ 2 segundos. Mucho depende del hardware del cliente.

Establecí el nivel de señal en -75 dBm únicamente como ejemplo, este es un nivel más recomendado que un parámetro universal "en cualquier caso". En la práctica, a veces es necesario utilizar -80 dBm o menos. En cualquier caso, el valor se selecciona exclusivamente por método experimental en el lugar, en función de la cobertura específica y la sensibilidad del equipo del cliente.

Finalmente

Por supuesto, hay muchas opciones para implementar una red inalámbrica doméstica en Mikrotik, comenzando con Ajuste manual y terminando con el uso de CAPsMAN e incluso Mesh.

Hemos descrito una opción de configuración completamente manual para que el usuario final entienda "cómo funciona", además, esta opción no requiere un conocimiento profundo. Al mismo tiempo, esta configuración le permite crear una red inalámbrica confiable que puede funcionar de manera estable sin su intervención.

De las deficiencias, vale la pena señalar la necesidad de una configuración separada de todos los dispositivos, lo que lleva un poco más de tiempo que cuando se usa CAPsMAN. Cuando se utilizan varios puntos, está bien y proporciona una buena flexibilidad.

Quick Set es un asistente de configuración automática que le ayuda rápidamente, sin sumergirse en las profundidades sintonia FINA RoS, configura el enrutador y comienza a usarlo. Dependiendo del dispositivo, pueden estar disponibles varias plantillas:

Seguridad

La configuración predeterminada ya no le permite conectarse al enrutador desde red externa pero la protección se basa únicamente en el filtro de paquetes. No olvide establecer una contraseña para el usuario administrador. Por eso, además de filtrado y contraseña, hago lo siguiente:

Disponibilidad en interfaces externas

Apago los servicios que no son necesarios en la red doméstica (y no en todas las redes que no son domésticas) y restrinjo los servicios restantes al alcance, indicando las direcciones desde las que puede conectarse a estos servicios.

El siguiente paso será limitar el descubrimiento del enrutador mediante la búsqueda de vecinos. Para hacer esto, debes tener una lista de interfaces donde este protocolo puede funcionar, configúralo:

/ lista de interfaz agregar excluir = nombre dinámico = descubrir

Agregue a la lista de descubrimiento las interfaces en las que queremos que funcione el protocolo Neighbors Discovey.

Ahora configuremos el protocolo para que funcione especificando la lista de descubrimiento en su configuración:

En una configuración casera simple, la lista de descubrimiento puede contener interfaces en las que el protocolo de acceso por dirección MAC puede funcionar para situaciones en las que la IP no está disponible, por lo que configuraremos esta función también:

Ahora, el enrutador se volverá "invisible" en las interfaces externas, lo que ocultará información sobre él (no toda, por supuesto) de los posibles escáneres, e incluso privará a los malos de una fácil oportunidad para controlar el enrutador.

Protección DDoS

Ahora, agreguemos algunas reglas simples al filtro de paquetes:

/ filtro de firewall ip agregar acción = cadena de salto = estado de conexión hacia adelante = nuevo en -interface-list = ISP jump-target = anti-DDoS agregar acción = cadena de salto = entrada de estado de conexión = nuevo en -interface-list = salto de ISP -target = anti-DDoS agregar acción = soltar cadena = reenviar conexión-estado = nueva lista de direcciones-src = BAN-DDoS agregar acción = devolver cadena = anti-DDoS dst-limit = 15,15, dirección-src / 10s agregar action = add-src-to-address-list address-list = BAN-DDoS address-list-timeout = 1d chain = anti-DDoS add action = jump chain = input connection-state = new dst-port = 22.8291 en -interface -list = ISP jump-target = anti-BruteForce-3 protocol = tcp add action = drop chain = forward connection-state = new src-address-list = BAN-BruteForce-3 add action = return chain = anti-BruteForce -3 dst-limit = 4 / 1m, 1, src-address / 1m40s add action = add-src-to-address-list address-list = BAN-BruteForce-3 address-list-timeout = 1d cadena = anti-BruteForce -3

Y colóquelos después de la regla defcon para el protocolo icmp.

El resultado será una prohibición por un día para aquellos que estén intentando abrir más de 15 nuevas conexiones por segundo. Hay muchas o pocas conexiones de 15, un punto discutible, aquí puede elegir el número usted mismo, elegí 50 para uso corporativo y tengo 1-2 prohibiciones por día. El segundo grupo de reglas es mucho más estricto, bloquea los intentos de conexión a los puertos ssh (22) y winbox (8291), 3 intentos por minuto y descanso por un día;). Si necesitas exponer servidor DNS en Internet, luego, con una regla similar, puede cortar los intentos de ataques de amplificación de DNS, pero la solución no es ideal y hay muchos falsos positivos.

RFC 1918

RFC 1918 describe la asignación de espacios de direcciones para redes globalmente no enrutables. Por lo tanto, tiene sentido bloquear el tráfico de \ a dichas redes en la interfaz que mira al proveedor, excepto en situaciones en las que el proveedor le da una dirección "gris".

/ ip firewall address-list add address = 10.0.0.0 / 8 list = "RFC 1918" add address = 172.16.0.0 / 12 list = "RFC 1918" add address = 192.168.0.0 / 16 list = "RFC 1918" / ip filtro de firewall agregar acción = soltar cadena = comentario de entrada = "soltar RFC 1918" en -interface-list = WAN src-address-list = "RFC 1918" agregar acción = soltar cadena = reenviar comentario = "soltar RFC 1918" dst-address -list = "RFC 1918" out-interface-list = WAN agregar acción = soltar cadena = comentario de salida = "soltar RFC 1918" dst-address-list = "RFC 1918" out-interface-list = WAN

Coloque estas reglas más cerca del principio y no olvide agregar la interfaz frente al ISP a la lista WAN.

UPnP

Una tecnología bastante controvertida que permite que las aplicaciones soliciten al enrutador que reenvíe puertos a través de NAT, sin embargo, el protocolo funciona sin ninguna autorización ni control, esto simplemente no está en el estándar y, a menudo, es un punto que compromete la seguridad. Personaliza a tu gusto:

SIP Conntrack

Entre otras cosas, vale la pena deshabilitar el módulo conntrack SIP, que puede causar un funcionamiento inadecuado de VoIP, la mayoría de los clientes y servidores SIP modernos funcionan bien sin su ayuda, y SIP TLS lo hace completamente inútil.

Listas de interfaces dinámicas y anidadas

Esta característica ha aparecido bastante recientemente (desde la versión 6.41) y es muy útil. Sin embargo, hay un error desagradable (lo informé, pero aún no se ha solucionado), el punto es que después de reiniciar el enrutador, las reglas del firewall que usan estas listas no funcionan para las interfaces incluidas en las listas secundarias. Se trata antes de agregar listas de niños. La automatización es simple:

En Sheduler, escriba un script para el evento de inicio (listas de interfaces para una configuración equilibrada):

/ lista de interfaz establece ISP1TUN incluye = "" establece ISP incluye = "" establece TUN incluye = "": retardo 2 establece ISP1TUN incluye = ISP1, TUN1 establece ISP incluye = ISP1 establece TUN incluye = TUN1

Wifi

En un entorno urbano, cuando el aire es extremadamente ruidoso, tiene sentido abandonar los canales de 40MGhz, esto aumenta la potencia de señal específica en el canal, ya que un canal de 40MGHz son esencialmente dos canales de 20MGHz.

Puente y ARP

Si su enrutador distribuye Internet y proporciona configuraciones a los clientes a través de DHCP, tiene sentido establecer la configuración de solo respuesta arp = y habilitar add-arp = yes en el servidor DHCP

Esta configuración le impedirá configurar la dirección IP manualmente, ya que el enrutador aceptará trabajar solo con el par MAC-IP que él mismo emitió.

PD artículo tomado de aquí https://habrahabr.ru/post/353730/

CAPsMAN de MikroTik - Una buena solución económica si necesita una sola cobertura inalámbrica en un área grande. Puede ser una casa grande de 2-3 pisos, una oficina, una cafetería, etc.

Todos los puntos gestionados por CAPsMAN se pueden combinar en una sola red ( análogo de la red UniFi en Ubiquiti) con roaming sin interrupciones. Esto da mayor comodidad usando Wi-Fi: si mueve su teléfono inteligente o computadora portátil fuera del área de cobertura de un punto controlado por CAPsMAN, a otro bajo el control del mismo controlador, la conexión no se interrumpirá y no necesitará volver a conectarse.


Si hablamos específicamente de roaming sin interrupciones, entonces podría configurarse en MikroTik incluso antes de la llegada de CAPsMAN mediante la implementación de una red MESH. Por tanto, la principal ventaja de este controlador es la posibilidad de configurar y gestionar de forma centralizada los puntos de acceso desde un solo dispositivo, lo que facilita enormemente el trabajo del administrador de red. Tambien gracias a CAPsMAN configurando un wifi sin fisuras los recubrimientos se han vuelto mucho más simples, lo que significa más asequibles.


En este artículo, explicaremos cómo instalar y configurar el controlador. MikroTik CAPsMAN, tomando por ejemplo y .

Información preliminar sobre la configuración de CAPsMAN

El controlador de punto inalámbrico CAPsMAN (Controlled Access Point System Manager) se incluye en el paquete de instalación estándar para las últimas versiones de RouterOS. Puntos de acceso MikroTik últimos modelos- cAP-2nD, hAP ​​Lite y otros, es totalmente compatible con el control mediante este software, además, al actualizar RouterOS, puede utilizar el controlador en dispositivos lanzados anteriormente.

CAPsMAN se instala en un enrutador que actuará como un dispositivo de control de punto central y puede ser un enrutador sin un módulo inalámbrico. Para trabajar en el enrutador, RouterOS debe tener instalado al menos la versión 6.11. CAPsMAN v.2 funciona desde RouterOSv6.22rc7. Por supuesto, es mejor usar el controlador de la segunda versión, ya que elimina la mayoría de las deficiencias de la primera.

Los puntos conectados al controlador (CAP o puntos de acceso controlado) deben tener un nivel de licencia de al menos 4. Puntos de acceso están conectados a un enrutador con CAPsMAN instalado mediante un par trenzado, y también se pueden conectar entre sí en serie a lo largo de una cadena (también mediante un par trenzado).

Actualización de RouterOS

Lo primero que debemos hacer antes de configurar CAPsMAN es actualizar el software del dispositivo.

Restablecimiento de la configuración del enrutador a los valores predeterminados de fábrica:

RB2011UiAS-2HnD-IN se puede reiniciar usando el botón de reinicio, que se encuentra en la parte posterior del dispositivo entre las antenas (manténgalo presionado hasta que el LED verde comience a parpadear y suelte), o usando el orificio de puente en la parte inferior del enrutador , ubicado debajo del botón Restablecer (inserte un destornillador en el orificio, encienda el dispositivo, espere 10 segundos antes de restablecer la configuración).

MikroTik Restablezca el cAP-2nD a la configuración de fábrica usando el botón Restablecer ubicado a la izquierda del puerto Ethernet. Sujételo hasta que los LED comiencen a parpadear y se suelten.

Vamos a la web oficial y descargamos el firmware correspondiente.

Como puede ver, el mismo es adecuado para nosotros para ambos dispositivos: mipsbe, descárguelo. Recomendamos hacer parpadear los puntos usando el programa netinstall.

Conectamos RB2011UiAS-2HnD-IN al ordenador para su configuración.

Conectamos el cable al puerto ETH6, pero puedes conectarte a cualquier puerto excepto al primero. Configuración de la red Las computadoras deben estar preconfiguradas para que el enrutador y Tarjeta de red las computadoras tenían direcciones en la misma subred.

Dirección IP de los dispositivos MikroTik por defecto es 192.168.88.1, el inicio de sesión es administrador, la contraseña está vacía.

Inicie WinBox, vaya al enrutador.

En la primera ventana, restablecemos la configuración predeterminada. Si ingresamos por IP, el winbox en este lugar quedará deshabilitado, ya que también hemos reseteado la dirección IP del enrutador. Volvemos a la dirección de amapola.

Para actualizar, vaya a Menú de archivos.

Ábrelo y arrástralo Ponemos nuestro archivo descargado en esta ventana con nuevo firmware.Confirmamos la actualización.

Una vez finalizada la descarga del archivo con el firmware, vaya al menú Sistema y haga clic en el elemento Reiniciar.

El enrutador se reiniciará y actualizará el firmware. Tenga en cuenta que este puede ser un proceso largo: 3-5 minutos, aunque en nuestro caso el reinicio fue rápido. ¡No apague la energía durante el proceso de actualización!

Compruebe si el gestor de arranque se ha actualizado correctamente.

Vaya al menú System - RouterBoard y verifique si las versiones en los campos Current Firmware y Upgrade Firmware coinciden. Si no, presione el botón Actualice y reinicie el enrutador (la pantalla se hizo durante la actualización cap-2nD, la imagen es la misma en el enrutador).

Configuración de un enrutador con un controlador CapsMan

Configuramos RB2011UiAS-2HnD-IN en la pestaña QuickSet, configurando el modo Ethernet y seleccionando el modo Bridge, como en la captura de pantalla:

Combinamos todos los puertos y canales Dispositivos WiFi en un solo puente (para que los puntos conectados a través de WiFi y una red cableada puedan verse entre sí).

Para hacer esto, vaya a la pestaña Interfaz y cree una nueva (más en la parte superior izquierda), seleccione puente en el menú desplegable y asígnele un nuevo nombre. Usamos un puente existente y no creamos uno nuevo, pero por conveniencia personal y facilidad de administración de puntos, recomendamos crear una interfaz separada.

La configuración de nuestro puente finalmente se ve así:

Configuración en la pestaña Puertos, todas las interfaces del enrutador se agregan aquí:

En el menú IP - Addresses, escriba la dirección del enrutador (al configurarlo, lo asignamos dirección regular el predeterminado es 192.168.88.1).

Actualizamos el punto de acceso de la misma forma. MikroTik cAP-2nD, también combinamos sus puertos en bridge1, y registre la dirección IP (asignamos la dirección 192.168.88.28 a nuestro cAP-2nD "experimental").

V caso simple(configuramos de esta manera) todos los puntos pertenecen a la misma subred, sin embargo, también es posible configurar CAPsMAN si los dispositivos están en subredes diferentes.

Activación del módulo CAPsMAN

En el último firmware, el módulo está activado de forma predeterminada (está cosido en el paquete inalámbrico), y en el menú de la parte superior izquierda siempre hay una pestaña CAPsMAN. En este caso, omitimos este elemento.

Si usted tiene firmware antiguo, donde el módulo de control CAPsMAN está deshabilitado de manera predeterminada, haga lo siguiente.

Vaya a Sistema - Paquetes, vaya al paquete inalámbrico-cm2 y haga clic en Habilitar. El paquete está marcado como listo para su activación.

Para activar el paquete, debe reiniciar el enrutador. Después de reiniciar, vemos la línea wireless-cm2 active y el paquete wireless-fp - por el contrario, inactivo.

Tenga en cuenta que estamos activando el paquete wireless-cm2: este es el módulo CAPsMAN v2. Las primeras instrucciones contienen instrucciones para activar wireless-fp; esta es la primera versión, ahora desactualizada, del módulo.

Configuración del módulo CAPsMAN

En el dispositivo que actuará como controlador de punto (en nuestro caso, en RB2011UiAS-2HnD), configuramos el módulo de control CAPsMAN.

Encontramos el artículo del mismo nombre en el menú. Entramos en él y encendemos el controlador (CAPsMAN - pestaña InterFace - Administrar - casilla de verificación en el elemento Habilitar).

Registramos los que necesitamos Configuraciones de WiFi canal en la pestaña Canal.

Luego, la configuración de Datapath, aquí solo el nombre y seleccione nuestro puente (el nombre depende de cuál creó y usa).

Si marcamos la casilla de reenvío local, transferimos el control de tráfico directamente a los puntos de acceso. Si la casilla de verificación no está marcada, el controlador asume el control del tráfico.


En las pestañas restantes, simplemente seleccione los ajustes de Canal, Ruta de datos y Seguridad que creamos anteriormente, combinándolos así en una sola configuración. En principio, era posible crearlos aquí, pero para casos complejos es aún más conveniente hacerlo por separado.

Ahora necesitamos la pestaña Aprovisionamiento o "Implementar". Aquí escribimos la regla de implementación de la configuración. No tocamos el primer campo (Radio MAC), en el campo Acción indicamos que se crearán interfaces dinámicas habilitadas por defecto.

Configuración de un punto de acceso controlado por CAPsMAN en un enrutador

Dado que tenemos un enrutador con soporte WiFi, además de las funciones de un controlador de puntos inalámbricos controlados, también es un punto de este tipo. Lo configuramos en el modo apropiado, es decir, le indicamos que debe tomar la configuración del controlador.

Esta configuración será ligeramente diferente de la configuración de puntos normal.

Vaya al menú Inalámbrico, presione el botón CAP, marque la casilla de verificación Activado. En el campo Direcciones CAPsMAN, escriba la dirección del controlador. En este caso, esta es la dirección del propio dispositivo. y seleccione el puente que creamos de la lista. No tocamos el resto de campos.

Después de guardar la configuración, aparecen líneas rojas sobre la línea de la interfaz, lo que indica que el punto de acceso integrado en el enrutador está controlado CAPsMAN.

Configuración del punto MikroTik cAP-2nD bajo el control del controlador

Entonces, ahora configuramos un punto de acceso separado en CAPsMAN. Le recordamos que antes de configurar, debe hacer todo lo mismo que para el enrutador: restablecer la configuración de fábrica, restablecer la configuración predeterminada, actualizar el firmware a la última versión, verificar. si el cargador de arranque se ha actualizado y actualizarlo, combine todos los puertos en un puente, registre la dirección IP. Todo esto se describe al principio del artículo.

En la pestaña QuickSet en los puntos de acceso controlados, solo podemos registrar la IP, el resto de las configuraciones se extraerán de la configuración de CAPsMAN.


Importante: todos los dispositivos CAPsMAN deben tener la misma versión.

Si tiene un firmware antiguo, entonces el paquete activado con CAPsMAN tiene este aspecto:

Vaya al menú Inalámbrico, presione el botón CAP, marque la casilla de verificación Activado. Completar el resto de los campos difiere de una configuración similar en el enrutador en que en lugar de la dirección CAPsMAN, prescribimos interfaces de descubrimiento, es decir, las interfaces a través de las cuales cAP debe conectarse al controlador, en nuestro caso, a través de un puente.

Guardamos la configuración y después de unos segundos deberían aparecer dos líneas rojas alternativamente encima de la interfaz inalámbrica. Esto indica que nuestro punto se ha conectado al controlador. CAPsMAN, cargó la configuración que escribimos y ahora está bajo su control.

Volviendo al enrutador, vemos que han aparecido nuevas interfaces de punto inalámbrico en la sección CAPsMAN:

Las mismas interfaces se pueden observar en la sección general:

Configuración del módulo CAPsMAN ahora está completo. Si no necesita escribir ajustes especialesDNS, servidor DHCP, NAT, etc., todo ya está funcionando y puede conectar clientes a puntos. En nuestro caso, todas las configuraciones se registraron PARA RB2011UiAS-2HnD en el enrutador principal, por lo que el sistema comenzó a funcionar de inmediato.

Prueba de roaming sin interrupciones en CAPsMAN en condiciones reales

Para las pruebas, espaciamos dos puntos de acceso controlados por CAPsMAN a diferentes pisos.

  • RB2011 actuó como controlador y primer punto de acceso.
  • cAP-2nD: como segundo punto de acceso.

Entre los puntos había aproximadamente 30 metros, piso de hormigón armado y varios muros.

A medida que avanzaba la transición, podemos ver en el video cómo la velocidad de datos Tx cambió gradualmente de una interfaz CAP a otra, lo que significa que el dispositivo se cambió sin problemas entre los puntos de acceso.

Para ver todos los detalles del video, amplíelo a pantalla completa y configure la resolución en 1080.

Al mismo tiempo, no se perdió ninguno de los 100 paquetes de datos solicitados.


sitio