Простая настройка роутера mikrotik с помощью quickset

Введение

Роутеры Mikrotik routerboard достаточно давно появились на рынке, но так до сих пор и не завоевали большую популярность. Хотя свою нишу заняли. Лично я считаю, что это отличный роутер для дома, по надежности у него нет конкурентов. Это действительно маршрутизатор, который можно один раз настроить и забыть. Лично мне еще ни разу не попадалось устройство, которое бы приходилось принудительно перезагружать, чтобы вывести его из комы, как это часто бывает с другими бюджетными железками.

Распространение среди домашних пользователей сдерживает в первую очередь сложность настройки. И хотя более ли менее продвинутому пользователю может показаться, что ничего тут сложного нет. Но на самом деле есть. И я часто сталкивался с просьбами настроить роутер дома для раздачи интернета по wifi, так как купившие по чьей-нибудь рекомендации пользователи сами не могли полностью настроить нужный функционал, хотя инструкций в интернете хватает.

Этот пробел я хочу восполнить и написать подробную пошаговую инструкцию по настройке микротика с нуля для чайников на примере самой подходящей для дома модели RB951G-2HnD. У меня давно подготовлена личная шпаргалка в виде текстового файла. По ней я буквально за 10 минут настраиваю роутер и отдаю пользователю. То есть реально ничего сложного нет, если знаешь, что делаешь. На основе этой шпаргалки я и напишу материал.

Возможно опытному пользователю нечего будет тут почерпнуть, а может быть я сам что-то делаю не совсем правильно или не оптимально. Прошу сделать подсказку или замечание в комментарии, если это действительно так. Я пишу статьи в том числе и для того, чтобы самому научиться чему-то новому. Как гласит одна восточная мудрость — чтобы получить новые знания, нужно поделиться теми, что есть у тебя с другими. Именно этим я и занимаюсь на страницах данного сайта.

Далее предлагаю краткий список того, что мы будем делать в статье, чтобы вы понимали, о чем пойдет речь.

Краткий список действий

Необходимое время: 2 часа.

Настройка роутера Mikrotik.

1. Сброс настроек роутера.

   Я предлагаю начать настраивать микротик с нуля, без заводских настроек. Это позволяет лучше понять и разобраться в принципах работы устройства.

2. Обновление прошивки.

   Рассказываю, как скачать и залить самую свежую прошивку на микротик.

3. Объединение портов в бридж.

   Так как мы разбираем базовую настройку микротика, все порты вместе с wifi будут объединены в единый сетевой бридж, чтобы подключенные к ним устройства могли взаимодействовать друг с другом.

4. Настройка ip адреса.

   В качестве примера покажу, как настроить статический ip адрес в роутере. Это не такая тривиальная и очевидная задача, как в некоторых домашних устройствах.

5. Подключение интернета.

   Показываю, что нужно сделать, чтобы заработал интернет на самом роутере.

6. Настройка dhcp сервера.

   Настраиваю dhcp сервер на микротике, чтобы он раздавал сетевые настройки для всех устройств локальной сети.

7. Настройка NAT.

   Обязательная настройка для того, чтобы интернет заработал у подключенных к mikrotik устройств.

8. Настройка Wifi.

   Показываю базовую настройку wifi в микротике. Только минимально необходимые настройки, чтобы можно было подключаться и выходить в интернет по wifi.

9. Смена пароля администратора.

   Показываю, как задать или изменить пароль доступа к роутеру.

10. Настройка времени.

    Необязательная настройка. С неправильным временем тоже все будет работать, но когда оно установлено правильно и синхронизируется, удобнее и практичнее.

Настройка Wi-Fi точки доступа MikroTik

Сначала необходимо включить Wi-Fi модуль:

1. Открываем меню Wireless;
2. Выбираем Wi-Fi интерфейс wlan1;
3. Нажимаем кнопку Enable (синяя галочка).

Создаем пароль для подключения к точке доступа MikroTik:

1. Открываем вкладку Security Profiles;
2. Нажимаем кнопку Add (плюсик);
3. В новом окне в поле Name: указываем имя профиля безопасности;
4. Для лучшей безопасности оставляем только регистрацию по протоколу WPA2 PSK;
5. В поле WPA2 Pre-Shared Key вводим пароль для доступа к Wi-Fi точке;
6. Для сохранения настроек нажимаем кнопку OK.

Настраиваем параметры Wi-Fi точки MikroTik:

1. Открываем вкладку Interfaces;
2. Делаем двойной клик кнопкой мыши на Wi-Fi интерфейсе wlan1, чтобы зайти в его настройки;
3. Переходим на вкладку Wireless;
4. В списке Mode: выбираем режим работы ap bridge (точка доступа в режиме моста);
5. В списке Band: выбираем в каких стандартах будет работать Wi-Fi точка, мы выбрали B/G/N;
6. В поле SSID: прописываем имя точки доступа;
7. В списке Security Profile выбираем имя профиля безопасности, в котором мы создавали пароль для доступа к Wi-Fi точке;
8. Нажимаем кнопку OK для сохранения настроек.

Теперь можно подключаться к роутеру по Wi-Fi.

На компьютерах, подключенных к роутеру MikroTik по Wi-Fi, интернет не будет работать, пока вы не настроите Firewall и NAT.

Часто задаваемые вопросы по теме статьи (FAQ)

Подходит ли Микротик для домашнего использования?

Я считаю, что Микротик стоит использовать только тем, кто может его самостоятельно настроить. Если вы не системный администратор, не разбираетесь в сетевых технологиях, лучше поставить какой-то роутер попроще. Я сталкивался с ситуациями, когда пользователь обращается к провайдеру с проблемами доступа в интернет. И когда он говорит провайдеру, что у него устройство Микротик, тех. поддержка провайдера отвечает, что мы не можем помочь с таким устройством. Разбирайтесь сами.

Какую ветку прошивки вы рекомендуете использовать?

Если вас не интересуют нововведения, которые появляются в новых версиях прошивки, я рекомендую использовать ветку long-term. Это самая стабильная версия, куда оперативно вносятся все обновления безопасности.

Можно ли запитать устройства Mikrotik через стандартный poe адаптер 802.3af?

Нет, у Mikrotik свой стандарт poe адаптеров, которые подходят только для устройств этой же фирмы. Он отличается от промышленного стандарта 802.3af, поэтому необходимо приобретать фирменные poe адаптеры Mikrotik.

Из-за чего часто возникают проблемы со связью у устройств компании Apple и роутеров Mikrotik?

Корень проблемы подключения apple устройств, в частности iphone, к микротикам кроется в механизме обновления dhcp leases в режиме сна. Когда iphone или другое устройство apple «засыпает», оно не может корректно обновить dhcp аренду, поэтому при выходе из режима сна wifi сеть бывает недоступна. Частичное решение этой проблемы — делать большой интервал обновления dhcp аренды — несколько часов или суток.

Ручная настройка

1. Подключить и запустить устройство по схеме, описанной в первой части.
2. В окне заводских настроек выбрать опцию Remove Configuration.

1. Войти во вкладку System.
2. Кликнуть по строке Reset Configuration.
3. В открывшемся окне выбрать строку No Default Configuration и поставить галочку.
4. Далее – нажать на кнопку Reset Configuration.
5. Дождаться перезагрузки устройства и переходить к настройке интернета.

Internet

1. Со статическим IP-адресом.
2. DHCP-настройка.
3. Соединение с авторизацией.

Статический IP

1. Выбирает вкладку IP.
2. Переходит в раздел Addresses.
3. Вносит данные в поля Addresses и Network в открывшемся окне.
4. В строке Interface указывает порт WAN.
5. Переходит в Routes.
6. Нажимает на «+» в левом верхнем углу.
7. Выбирает маршрут по умолчанию.
8. Нажимает Apply.
9. Подтверждает действие кликом по OK.

На следующем этапе ему нужно добавить адрес DNS:

1. В разделе IP выбрать вкладку DNS.
2. Добавить адрес в поле Servers.
3. Нажать OK.

DHCP

1. Открывает вкладку IP.
2. Переходит в DHCP Client.
3. Нажимает на «+» в верхнем левом углу открывшегося окна.
4. Указывает порт WAN в поле Interface.
5. Отмечает галочками Use Peer DNS и Use Peer NTP.
6. Выбирает Yes в поле Add Default Route для добавления маршрута в таблицу маршрутизации.
7. Подтверждает создание клиента кликом по OK.

Настройка завершена.

Соединение с авторизацией

1. Выбрать вкладку PPP.
2. Нажать на «+» вверху слева.
3. Выбрать свой тип соединения в открывшемся списке.
4. Кликнуть по нему.
5. В графе Name открывшегося окна задать название нового подключения.
6. Во вкладке Type проверить правильность типа соединения.
7. В поле Interface должен быть указан порт WAN.

В верхней строке нужно выбрать вкладку Dial Out и ввести:

1. User (логин).
2. Password (пароль).

Выделить галочками графы:

1. Use Peer DNS.
2. Add Default Route.
3. Подтвердить действие нажатием на OK.

Настройка NAT

1. Войти в раздел IP.
2. Выбрать Firewall.
3. Выбрать раздел NAT – он находится в верхней горизонтальной строке.
4. Нажать на «+» вверху слева.
5. Далее опуститься до пункта Out. Interface в разделе General.
6. Вписать в поле ether5.
7. Переместиться в раздел Action (он находится на одной строке с General).
8. Вписать в поле masquerade.
9. Подтвердить действие OK.

Wireless

1. Войти в Wireless.
2. Выбрать «+».
3. В открывшемся окне ввести пароль Wi-Fi.
4. Выбрать шифрование.

1. Mode – ap bridge.
2. Band – 2GHz-G/N.
3. Frequency – auto.
4. Wireless Protocol – 802.11.
5. Security Profile – my wifi.
6. WPS Mode – disabled.
7. В полях Default Authenticate и Default Forward – галочки.

Lokal Network

1. Нажать «+».
2. В графу Name вписать bridge1.
3. Подтвердить создание моста нажатием OK.
4. Войти в IP – Addresses.
5. Назначить мосту IP-адрес.
6. Кликнуть OK.
7. Далее – IP– DHCP Server.
8. Кликнуть по DHCP Setup.
9. Выбрать нужные параметры.
10. Перейти к следующему шагу Next.
11. Войти в Bridge – Ports.
12. Добавить порты в созданный мост.

Настройка MikroTik Cap AC в качестве отдельной WiFi точки доступа

Это конфигурация актуальна, если у вас в сети отсутствуют контроллер MikroTik CAPsMAN, а в качестве роутера выступает обычный роутер типа Asus, Tp-Link, Netis. Рассматриваемая точка доступа MikroTik Cap AC имеет два модуля WiFi, работающих на частоте 2,4 и 5ГГц, поэтому со стороны WinBox нужно настроить каждый интерфейс.

Настройка находится в Wireless->Security Profiles

/interface wireless security-profiles
set  authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa2-pre-shared-key=12345678

Роутер и WiFi точка доступа не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разные антеннах и в разных частотных диапазонах.

Настройки находятся Wireless->WiFi Interfaces

/interface wireless
set  band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Mikrotik \
wireless-protocol=802.11

Настройки находятся Wireless->WiFi Interfaces

/interface wireless
set  band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee disabled=no frequency=auto mode=ap-bridge \
    security-profile=profile1 ssid=TopNet

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка WiFi в MikroTik Cap AC

Тестовый стенд по настройке точки доступа WiFi MikroTik Cap AC будет включать подготовленный заранее контроллер CAPsMAN, с настройкой которого можно ознакомиться в инструкции “Настройка MikroTik CapsMan WiFi, бесшовный WiFi роуминг →“.

Настройка находится в System→Reset Configuration

/system reset-configuration no-defaults=yes skip-backup=yes

После перезагрузки точка доступа не будет иметь конфигурации по умолчанию, т.е. она будет абсолютно пустой.

Настройка находится в Bridge→Bridge(Ports)

/interface bridge admin-mac=74:4D:28:CF:43:26 auto-mac=no add name=bridge1

/interface bridge port add bridge=bridge-1 hw=yes interface=ether1
/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2

Настройка находится в IP→DHCP client

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=bridge1

После таких настроек точка доступа будет подключена к локальной сети: ей будет выдан IP адрес, она будет иметь выход в интернет(), а также обнаружит контроллер CAPsMAN по соответствующему запросу.

Зачем нужен сброс Микротик к заводским настройкам?

Современные сетевые устройства включают в себя очень внушительный арсенал технологических решений и состоят из сложнейшей программно-аппаратной архитектуры. Эта сложность обеспечена высокотребовательными задачами, возлагаемыми на них. И чем сложнее механизм, тем он более подвержен сбоям и поломкам. Самый простейший способ решить определенный ряд проблем и вернуть нормальную работу точки доступа или роутера Микротик – это сбросить все его настройки, с целью вернуть его в исходное состояние, в котором его выпустил производитель.

Итак, в каких же случаях может понадобиться возврат роутера к первоначальным настройкам?

1. Если мы где-то в настройках зашли в тупик и ничего не остается кроме как сбросить текущую конфигурацию.
2. Если мы что-то настраивали, тестировали, и проще не возвращать всё пошагово назад, а достаточно вернуть роутер к исходному состоянию просто сбросом;
3. Если MikroTik не хочет прошиваться через веб-интерфейс или Winbox.
4. Если нам просто что-то не нравится в устройстве: как оно работает, как оно реагирует на наши настройки и т. д.

Итак. Сбрасываем Mikrotik в дефолт.

Бесшовный роуминг

Интернет пестрит громкими фразами вида «настройка бесшовного wifi (роуминг) на микротик», но чудес не бывает, и это на самом деле псевдо бесшовный роуминг. Для бесшовности в прямом смысле этого слова, вам понадобится протокол 802.11R, реализация которого отсутствует на устройствах Mikrotik, его поддерживают другие более дорогие устройства. Куча манов ведут к «тонкой настройке» Access List путём принудительного выбрасывания с точки при определённом уровне сигнала. Так вот, это абсолютно бессмысленно, т.к. при выкидывании с точки вы лишаетесь того самого псевдо роуминга.

Хитрость состоит в том, что нужно грамотно расставить точки доступа. Под грамотно, я понимаю, чтобы уровень сигнала клиентского устройства был в пределах -70-75 и тогда, CAPsMAN увидит, на основе своего анализа, что у вас блин хреновый сигнал, и переключит на ближайшую точку (если она установлена правильно, если сигнал ее лучше и если она вообще есть). Переключение в ДАННОМ случае, будет начинаться со второго этапа аутентификации, а не с первого, т.е. полного, как ели бы вы сделали это выкидыванием клиентов.  Это и есть дополнительная, подчёркиваю, дополнительная фича, а не крутая реализация роуминга.

Access List нужен для других целей – блокировка / разрешение доступа к точкам. В контексте CAPsMAN это работает централизованно.

Вы только посмотрите, можно запрещать или разрешать определённым MAC адресам цепляться на конкретных или всех AP.

Начал одним, а закончил другим))), надеюсь теперь все стало понятно.

Настройка Wi-Fi подключения

Теперь выполним Wi-Fi подключение к базовой станции провайдера.

В разделе Wireless выполните следующие настройки:

• В столбце Network Name — выберите название Wi-Fi точки, к которой нужно подключиться;
• В поле WiFi Password — введите пароль для подключения к Wi-Fi точке, если он используется;
• Нажмите кнопки Apply и Connect.

После произведенных настроек должен появиться Status: connected to ess и параметры подключения.

Если вы настраивали клиентскую точку на работу в подсети отличной от 192.168.88.xxx, то не забудьте в настройках сетевой карты компьютера изменить сетевые настройки на необходимую подсеть. Иначе у вас не будет доступа к интернету.

Быстрая настройка MikroTik CPE

Режим Quick Set CPE предназначен для быстрой настройки MikroTik в качестве репитера(усилителя) WiFi . Радиомодуль WiFi будет подключаться к существующему WiFi и передать сигнал дальше

В режиме работы репитера(усилителя) WiFi важно правильно расположить MikroTik, т.к. недостаточный уровень сигнала между основным передатчиком и репитером(усилителем) будет отражаться на скорости WiFi клиентов, которые использует репитер(усилитель)MikroTik как точку доступа

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Поддержка настройки Quick Set CPE

1. Выбрать точку доступа, к которой будет происходить подключение;
2. Указать пароль WiFi, параметр WiFi Password;
3. Нажать кнопку Connect;
4. Выбрать режим работы, параметр Mode;
5. Присвоить IP адрес типа LAN, параметр IP Address;
6. Указать маску подсети для LAN порта, параметр Netmask;
7. Объединить все порты в Bridge, параметр Bridge All LAN Ports;
8. Обновить прошивку, кнопка Check For Updates;
9. Указать пароль администратора, кнопка Password.

Настройка переключения интернет каналов между двумя провайдерами

Для настройки переключения интернет каналов между двумя провайдерами будем использовать маршруты (Routes) и встроенную утилиту Netwatch.

У нас будет два маршрута, через которые может идти интернет трафик. Весь трафик будет идти по умолчанию через 1-го провайдера.

Если вдруг пропадет связь с 1-ым провайдером, то мы активируем 2-ой маршрут, и весь трафик пойдет через 2-го провайдера.

Как только восстановится связь через 1-го провайдера, мы деактивируем 2-ой маршрут, и весь трафик пойдет через 1-го провайдера.

Утилита Netwatch поможет пинговать ip-адрес в интернете и выполнять скрипты, если ip-адрес перестал пинговаться или снова начал. Она будет выполнять активацию и деактивацию маршрута.

Сначала удалим маршрут через первого провайдера, который создался автоматически, поскольку мы не можем редактировать его свойства.

1. Откройте меню IP — Routes;
2. Кликните левой кнопкой мыши по маршруту первого провайдера со шлюзом 10.10.10.1 unrechable;
3. Нажмите кнопку удалить (красный минус).

Теперь изменим параметры маршрута второго провайдера:

1. Сделайте двойной щелчок левой кнопкой мыши по маршруту второго провайдера;
2. В поле Gateway должен быть указан шлюз второго провайдера 20.20.20.1;
3. В поле Distance ставим приоритет 2;
4. Нажмите кнопку Comment;
    
5. В поле напишите комментарий ISP2. Комментарий необходим для того, чтобы наши скрипты могли идентифицировать маршрут и активировать или деактивировать его.
6. Нажмите кнопку OK и в следующем окне еще раз OK.
    
7. Выберите маршрут второго провайдера, кликнув по нему левой кнопкой мыши, и деактивируйте, нажав кнопку с красным крестиком. После этого маршрут станет серого цвета.

Дальше нужно добавить маршрут первого провайдера заново, но прежде определим, какой IP-адрес шлюза выдает первый провайдер.

1. Откройте меню IP — DHCP Client;
2. Сделайте двойной щелчок левой кнопкой мыши на интерфейсе ether1;
3. Перейдите на вкладку Status;
4. Выпишите IP-адрес шлюза из поля Gateway. Он будет нужен при создании маршрута через первого провайдера.

Теперь добавляем маршрут через первого провайдера:

1. Откройте меню IP — Routes;
2. Нажмите кнопку добавить (синий плюсик);
3. В поле Gateway укажите шлюз первого провайдера 10.10.10.1;
4. В поле Distance ставим приоритет 3;

5. Нажмите Comment;

    

6. В поле напишите комментарий ISP1.
7. Нажмите кнопку OK и еще раз OK в следующем окне.

3-й маршрут понадобится для того, чтобы сервер Google по умолчанию пинговался только через 1-го провайдера.

1. Нажмите кнопку добавить (синий плюсик);
2. В поле Dst. Address укажите IP-адрес сервера Google 8.8.4.4;
3. В поле Gateway укажите шлюз первого провайдера 10.10.10.1;
4. В поле Distance ставим приоритет 1;
5. Нажмите Comment;
    
6. Напишите комментарий .
7. Нажмите кнопку OK и еще раз OK.

Также добавим в Firewall правило, которое запретит пинговать ip-адрес 8.8.4.4 через 2-го провайдера. Иначе утилита Netwatch подумает, что связь с 1-ым провайдером восстановилась, и будет постоянно переключать маршруты по кругу.

1. Откройте меню IP — Firewall и перейдите на вкладку Filter Rules;
2. Нажмите кнопку добавить (синий плюсик);
3. В списке Chain выберите Output;
4. В поле Dst. Address введите адрес сервера 8.8.4.4;
5. В списке Out. Interface выберите ether2;
6. Перейдите на вкладку Action;
    
7. В списке Action выберите Drop;
8. Нажмите кнопку OK.

Netwatch будет проверять связь с интернетом путем пингования сервера Google с IP-адресом 8.8.4.4. Как только сервер перестанет пинговаться, выполнится скрипт, который активирует 2-й маршрут и трафик пойдет через 2-го провайдера. Как только связь через 1-го провайдера восстановится, то выполнится другой скрипт, который деактивирует 2-й маршрут и трафик пойдет через 1-го провайдера.

1. Откройте меню Tools — Netwatch;
2. Нажмите кнопку добавить (синий плюсик);
3. В поле Host укажите сервер Google 8.8.4.4, который утилита будет пинговать;
4. В поле Interval укажите интервал времени 00:00:05, через который будет пинговаться сервер. Для отладки работы скриптов поставим небольшой интервал 5 секунд. После отладки переключения между двумя провайдерами увеличим интервал до 30 секунд.
5. Перейдите на вкладку Down;
    
6. На вкладке Down вставляем скрипт /ip route enable Этот скрипт будет активировать маршрут через второго провайдера, если перестанет пинговаться сервер Google;
7. Перейдите на вкладку Up;
    
8. На вкладке Up вставляем скрипт /ip route disable Этот скрипт будет деактивировать маршрут через второго провайдера, если восстановится связь через первого провайдера;
9. Нажмите кнопку OK.

Подключение роутера MikroTik и подготовка к настройке

Чтобы задать все необходимые параметры, нам сначала нужно подключится к маршрутизатору и подключить к нему интернет. Так как сетевого кабеля в комплекте нет, то вы скорее всего будете подключатся к нему по Wi-Fi сети. Настроить можно не только с ноутбука, или ПК. Можно использовать планшет, телефон, или другое устройство.

Сначала подключите адаптер питания и включите его в розетку. Так же сразу можете подключить к MikroTik интернет (сетевой кабель от провайдера, или модема). В порт Internet.

Если у вас есть сетевой кабель, и нет возможности подключится по Wi-Fi, то просто подключите один конец кабеля в LAN порт роутера, а второй в порт сетевой карты вашего компьютера.

Дальше просто подключаемся к открытой Wi-Fi сети, в названии которой есть «MikroTik».

Если в вашем случае сеть будет закрыта паролем, или при входе в настройки роутера будет появляться запрос пароля, то скорее всего его уже кто-то настраивал. Сделайте сброс настроек по инструкции: как сбросить пароль и настройки роутера MikroTik RouterBOARD.

Выглядит это вот так:

Доступа к интернету сразу может не быть. Мы еще не настроили подключение маршрутизатора к провайдеру. Это нормально. Переходим к настройке.

Federal Communication Commission Interference Statement

Model	FCC ID
RBD53iG-5HacD2HnD-US	TV7D53I-5ACD2ND

This equipment has been tested and found to comply with the limits for a Class B digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference in a residential installation.

This equipment generates, uses, and can radiate radio frequency energy and, if not installed and used in accordance with the instructions, may cause harmful interference to radio communications. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

• Reorient or relocate the receiving antenna.
• Increase the separation between the equipment and receiver.
• Connect the equipment into an outlet on a circuit different from that to which the receiver is connected.
• Consult the dealer or an experienced radio/TV technician for help.

FCC Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user’s authority to operate this equipment.

This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation.

Note: This unit was tested with shielded cables on the peripheral devices. Shielded cables must be used with the unit to ensure compliance.

Подключение точек доступа

В моем повествовании участвуют две точки доступа с адресами 10.1.3.110 (xs-wl-office) и 10.1.3.111 (xs-wl-meeting), соединенные между собой по ethernet кабелю. Первая из них контроллер, вторая простая точка. Обе точки видят друг друга в локальной сети. Wifi интерфейс контроллера так же как и обычной точки подключается к capsman и берет у него настройки. То есть контроллер является одновременно и контроллером и рядовой точкой доступа. Даже комбинация из двух точек организует полноценную бесшовную wifi сеть на всей площади, которую покрывают их радио модули.

Подключение точек доступа CAP к контроллеру CAPsMAN возможно по двум разным уровням — Layer 2 или Layer 3. В первом случае точки доступа должны быть расположены физически в одном сегменте сети (физической или виртуальной, если это L2 туннель). То есть, если по-простому, подключены к одному свитчу. В них не обязательно настраивать ip адресацию, они найдут контроллер по MAC адресу.

Во втором случае подключение будет по протоколу IP (UDP). Нужно настроить IP адресацию и организовать доступность точек доступа и контроллера по IP адресам.

Для начала подключим отдельную wifi точку. Подключаемся к ней через winbox и переходим в раздел Wireless. Там нажимаем на CAP и указываем настройки.

Описание настроек CAP

Interfaces	интерфейс, которым будет управлять контроллер
Certificate	сертификат для авторизации, если используется
Discovery Interfaces	интерфейс, по которому CAP будет искать контроллер
Lock to CAPsMAN	привязать точку к конкретному мастеру
CAPsMAN Addresses	IP адрес по которому CAP будет искать контроллер
CAPsMAN Names	имя контроллера, который будет искать CAP, если не указано ничего, то поиск по имени не осуществляется
CAPsMAN Certificate Common Names	список CommonNames сертификатов на контроллере, которые будет проверять CAP при подключении
Bridge	bridge, к которому будет подключаться интерфейс, когда включена опция local forwarding
Static Virtual	CAP создаст статические виртуальные интерфейсы вместо динамических и попытается повторно использовать тот же интерфейс при повторном подключении к CAPsMAN, если MAC-адрес будет тем же.

В моем случае я не стал указывать ip адрес контроллера, а просто указал бридж, на котором его стоит искать. Тут это бридж, в который объединены все интерфейсы точки. В частности, в этот бридж входит ethernet порт, через который точка доступа подключается к свитчу, в который подключен и контроллер. Если у вас не в одном широковещательном домене точка и контроллер, то Discovery Interfaces оставьте пустым, а в CAPsMAN Addresses введите ip адрес мастера.

Сохраняем настройки и проверяем. Если точка доступа корректно подключится к контроллеру, то на самой точке будет такая картина:

А на контроллере в списке Interfaces появится только что созданный радио интерфейс подключенной точки доступа:

Интерфейс назван в соответствии с настроенным ранее префиксом.

Если у вас по точка доступа упорно не подключается к контроллеру и вы никак не можете понять, в чем проблема, то первым делом проверьте, удалили ли вы дефолтную конфигурацию при первоначальной настройке точки. Она часто является причиной того, что точка доступа не подключается к capsman контроллеру.

Проделаем теперь то же самое на самом mikrotik контроллере — подключим его wifi интерфейс к capsman v2. Делается это абсолютно так же, как только что проделали на отдельной точке wifi.

Для примера, я подключил точку к контроллеру по ip адресу. После подключения смотрим картинку на контроллере. Должно быть примерно так:

Все, основные настройки закончены. Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной wifi сетью. Все подключенные клиенты будут отображаться на вкладке Registration Table с указанием точки, к которой они подключены.

Для удобного и наглядного анализа сети рекомендуется придумать осмысленную схему назначения имен точкам доступа и радио интерфейсам.

Настройка Bridge и VLAN на центральном маршрутизаторе

Зайдите в настройки центрального маршрутизатора MikroTik RB2011UAS-2HnD-IN, откройте меню Bridge, нажмите красный плюсик и создайте новый бридж интерфейс с именем bridge_main.

Перейдите на вкладку Ports, нажмите красный плюсик и добавьте в бридж bridge_main сетевой порт ether2.

Добавьте по аналогии в бридж сетевые порты ether3, ether3 и ether5. Также можете добавить оставшиеся сетевые порты. После добавления портов в бридж устройство можно использовать как коммутатор.

Чтобы роутер мог общаться с другими устройствами внутренней сети, интерфейсу bridge_main присвоим IP-адрес:

• Откройте меню IP — Addresses и нажмите красный плюсик.
• В появившемся окне в поле Address укажите адрес 10.0.0.1/24.
• В списке Interface выберите название интерфейса bridge_main.
• Нажмите кнопку OK.

К центральному маршрутизатору могут подключаться по кабелю несколько беспроводных базовых станций. Они будут создавать широковещательный трафик, который уменьшает пропускную способность и создает лишнюю нагрузку на оборудование. Поэтому нужно изолировать трафик каждой базовой станции путем создания виртуальных интерфейсов VLAN для каждой базы:

• Откройте меню Interfaces и перейдите на вкладку VLAN.
• Нажмите красный плюсик для добавления нового интерфейса влан.
• В поле Name указываем имя интерфейса, например vlan_10.
• В поле VLAN ID укажите номер влана 10. Сетевое оборудование не оперирует именами VLAN, а использует цифры от 1 до 4094. VLAN ID — это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатора использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию. В устройствах, которые будут передавать данные через данный влан, нужно также будет указать VLAN ID номер 10.
• В списке Interface выбираем интерфейс bridge_main, на котором снимается влан. Наши сетевые порты 2-5 объединены в бридж, поэтому влан с номером 10 будет доступен на каждом из них. Если указать влан на конкретном интерфейсе, например ether2, то он не будет работать, потому что этот интерфейс объединен в бридж.

Переведем PPPoE сервер с интерфейса ether2 на vlan_10:

• Откройте меню PPP и перейдите на вкладку PPPoE Servers.
• Откройте нужный сервис и в поле Interface выберите интерфейс vlan_10.
• Нажмите кнопку OK.

Решение проблемы с подключением

Для решения проблем с подключением и настройкой WiFi MikroTik hAP ac стоит поочередно проверить следующие моменты:

1. Запустить проверку на неисправности на компьютере;
2. Использовать предлагаемые для устранения нарушения сетевые инструменты;
3. Выполнить предлагаемые сетевые команды;
4. Перезапустить маршрутизатор;
5. Дополнительно произвести проверку сетевого адаптера.

В данной статье были рассмотрены особенности работы маршрутизатора hAP AC, настройка роутера микротик hAP lite, а также даны рекомендации для устранения неполадок при подключении к сетевому пространству интернета.

Настройка SSTP в MikroTik, VPN сервер с использованием сертификата SSL

SSTP (Secure Socket Tunneling Protocol – протокол безопасного туннелирования сокетов) – VPN протокол, основанный на SSL 3.0. Благодаря этому данные шифруются. Аутентификация осуществляется с помощью PPP. Соединение проходит с помощью HTTPS по 443 порту (настраиваемо).

SSTP это разработка компании Miсrosoft, как некий аналог прогрессивным протоколам, которые используют шифрование. Самый прямой аналог в мире VPN служб это OpenVPN, в основе которого лежит:

• использование сертификатов SSL;
• низкие требования к аппаратной части(железу);
• высокая производительность, которая прямо отражается на скорости соединения.

Настройка SSTP VPN сервера на роутере MikroTik

В рамках статьи будут рассмотрены две самые популярные связки: соединение типа роутер-клиент и роутер-роутер:

SSTP туннель между MikroTik и MikroTik

• SSTP VPN сервер на роутере MikroTik-1;
• SSTP VPN клиент на роутере MikroTik-2.

Создание SSL сертификата в MikroTik для работы SSTP VPN сервера

Эта общая настройка, на которую будут ссылаться две последующие конфигурации для Windows клиента, а также для SSTP клиента на второго роутера MikroTik.

Настройка находится System→Certificates

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка SSPT VPN сервера в MikroTik

Настройка находится IP→Pool

/ip pool
add name=Ip-Pool-Vpn ranges=192.168.50.100-192.168.50.254

Настройка находится PPP→Profiles

/ppp profile
add local-address=192.168.50.1 name=VPN-Profile remote-address=Ip-Pool-Vpn

Настройка находится PPP→Secrets

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

/ppp secret
add name=user-sstp password=Av3D2eyAF87f profile=VPN-Profile service=sstp

Настройка находится PPP→Interface→SSTP Server

/interface sstp-server server
set authentication=mschap2 certificate=92490a0ea575.sn.mynetname.net \
default-profile=VPN-Profile force-aes=yes

Настройка находится System→Certificates

Настройка находится Files→File List→Download

VPN туннель SSTP между роутером MikroTik и Windows клиентом

Сформированный сертификат SSL на роутере MikroTik необходимо установить на каждом VPN клиенте.

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

VPN туннель SSTP между двумя роутерами MikroTik

Настройка находится Files→File List→Upload

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка находится System→Certificates

Настройка находится PPP→Interface

/interface sstp-client
add authentication=mschap2 certificate=\
cert_export_92490a0ea575.sn.mynetname.net.p12_0 connect-to=\
92490a0ea575.sn.mynetname.net disabled=no name=sstp-out1 password=\
Av3D2eyAF87f profile=default-encryption user=user-sstp

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Есть вопросы или предложения по настройке VPN типа SSTP в MikroTik? Активно предлагай свой вариант настройки! →

Видео сброса МикроТик к заводским настройкам

Из видео можно понять, как должны вести себя индикаторы, какой звук должен быть, сколько примерно времени занимает процедура сброса.

Сбрасываем настройки кнопкой на примере MikroTik SXT:

Сброс Микротика к заводской конфигурации с помощью отверстия на плате:

Таким образом, в роутерах, точках доступа, свитчах Mikrotik, с момента нажатия на кнопку сброса и до определения устройства в системе уходит не более минуты. После этого можно приступать к полноценной настройке.

По непонятным причинам, некоторые устройства Mikrotik не снабжены элементом звукового оповещения (спикером, бипером), и отслеживать порядок и правильность этапов сброса приходится по поведению органов индикации (светодиодов). Это в меньшей степени информативно, особенно если есть подозрение, что роутер неисправен.

Немного общей информации

MikroTik это – маршрутизаторы, коммутаторы, точки доступа и много другое оборудование которое выпускает Латвийская фирма. Больше всего она получила свою известность именно за недорогие и функциональные сетевые устройства.

Действительно, когда я первый раз начал его настраивать, первое что я сказал: «Ого и это все можно сделать на железки за 1500 рублей». Масштаб возможностей роутеров действительно поражает это и мультикаст, MPLS, огромное количество технологий VPN. Да он один может справится с работой небальной компании и филиалов, подключённых по pptp например.

Конечно есть и один минус, для неопытных пользователей настроить микротик с первого раза будет сложно. Для этого я и пишу данную статью.