Домашня бездротова мережа на Mikrotik: приклад повністю ручного налаштування

Кількість бездротових пристроїв стрімко зростає, безперервно підвищуючи вимоги до пропускної спроможності мережі та її покриття.

На ринку зараз є достатньо рішень для створення великої бездротової мережі як у невеликому приватному будинку, так і великому заміському котеджі, починаючи з Luma, Eero, AmpliFi і закінчуючи Mikrotik і Ubiquiti UniFi .

Одні рішення відрізняються простотою налаштувань і високою ціною, інші надають великі можливості, але потребують хорошої бази для налаштування. Зокрема йдеться про продукцію Mikrotik, яка відрізняється чудовим поєднанням високої надійності, великого функціоналу та цілком демократичної вартості. У той же час, Mikrotik буде складний у розумінні налаштувань для переважної більшості домашніх користувачів, що підвищує рівень входження та сильно обмежує реальне застосування систем на базі Mikrotik в домашніх умовах.

Незважаючи на вищеописаний недолік, одного разу налаштувавши Mikrotik, ви можете забути про нього на місяці і навіть роки. Обладнання Mikrotik здатне працювати по півроку і навіть більше без перезавантаження, заощаджуючи важливіший час і нерви.

В рамках даної публікації ми покажемо та розповімо, як створити та налаштувати на базі Mikrotik надійну мережу з відмінним бездротовим покриттям для великої квартири, приватного будинку або невеликого офісу з мінімальною кількістю проводів.

Вибір маршрутизатора

Для створення високопродуктивної мережі підійде маршрутизатор hEX PoE (модель RB960PGS). Наявність слота SFP дозволяє підключитися до Інтернет-провайдера за допомогою оптики, також пристрій оснащено 5-ма гігабітними інтерфейсами.

Якщо SFP не використовується, підключення до Інтернету можна здійснити за допомогою першого мережного інтерфейсу RJ-45, який також підтримує PoE In. Решта 4 інтерфейсу підтримують PoE Out, що дозволяє запитати від них кілька точок доступу, але не більше 4-х.

На практиці практично завжди використовується і провідна мережа, тому щонайменше один порт треба буде виділити під провідну локальну мережу, разом у нашому розпорядженні буде 3 порти PoE, чого достатньо для приватного будинку середніх розмірів.

Якщо передбачається домашнє використання – до розширення провідної мережі підійде будь-який гігабітний комутатор будь-якого бренду. У той же час, якщо планується використання VLAN та іншої екзотики, вам знадобиться керований комутатор, або як мінімум Easy-Smart, радимо звернути увагу на керований комутатор Mikrotik RB260GS .

Якщо потрібно запитати більше 3-х точок доступу, можна докупити керований комутатор з PoE - RB260GSP . Зверніть увагу, що купівля додаткового PoE-комутатора буде виправдана тільки в тому випадку, якщо ви запитуватимете від нього 2-4 додаткові точки доступу. В іншому випадку покупка комутатора для живлення лише однієї точки буде зайвою тратою грошей.

Для мереж на 100 Мбіт підійдуть доступніші моделі маршрутизаторів з PoE:

1.

hEX PoE lite (RB750UPr2)

2. PowerBox (RB750P-PBr2)

Придбати пристрої з підтримкою PoE зовсім не обов'язково, але в цьому випадку вам потрібно зібрати невелику комунікаційну скриньку та розмістити в ній всі інжектори та адаптери.

Вибір точок доступу

У випадку з точками доступу, вибір куди ширший. Трохи нижче ми підібрали найцікавіші пропозиції, причому вони відсортовані в порядку зростання ціни.

Зверніть увагу, що модель Groove 52 (RBGroove52HPn) не підійде, т.к. поставляється із 3-м рівнем ліцензії, що не дозволяє використовувати режим AP.

Мабуть, у вас виникло закономірне питання, що в цій таблиці робить hAP ac lite? Все просто. По-перше, у нього є підтримка PoE, що дозволяє запитувати його віддалено. По-друге, на роутері передбачена можливість встановлення настінної установки. По-третє, це, звичайно, підтримка 802.11ac і ціна всього 45 у.о.

Завдяки сукупності цих параметрів, RB952Ui-5ac2nD можна використовувати як точку доступу Dual-Band із функціоналом додаткового комутатора. Єдине обмеження – швидкість мережевих інтерфейсів у 100 Мбіт.

Окремо виділено точку GrooveA 52, т.к. вона оснащена потужним радіомодулем та підійде для використання зовні приміщення, коли необхідно покрити дуже велику площу. Зверніть увагу, що одночасно пристрій може працювати тільки в одному діапазоні - або 2.4 ГГц, або 5 ГГц. Вибір діапазону здійснюється вручну в панелі керування.

У таблиці також відсутні OmniTIK і Metal, через співвідношення ціна/можливості. Ці рішення більше підійдуть для використання у комерційних мережах.

Найбільш оптимальний варіант для побудови мережі будинку - wAP , cAP та wAP ac . Причому wAP та wAP ac можна використовувати зовні приміщення.

Старша модель wAP ac оснащена гігабітним мережевим інтерфейсом для забезпечення високої пропускної здатності, підтримується одночасна робота у двох діапазонах з канальною швидкістю 300 та 1300 Мбіт для 2.4 та 5 ГГц відповідно.

Власне на прикладі wAP і wAP ac у зв'язці з комутатором hEX PoE ми і розглядатимемо побудову домашньої бездротової мережі.

Підключення та налаштування шлюзу

hEX PoE виконуватиме роль головного маршрутизатора, що забезпечує вихід клієнтів до інтернету. Особисто мені простіше в нижній частині використовувати статику та прив'язку MAC: IP, а у верхній частині видавати IP для решти клієнтів.

Обов'язково поміняйте назву пристрою, у нашому випадку це буде «GATEWAY» (шлюз), надалі при великій кількості пристроїв вам набагато простіше орієнтуватися за назвами, ніж по IP.

Застосовуємо налаштування. Після цього Winbox стане недоступним, на деяких ПК потрібно перепідключитися до мережі шляхом перетискання кабелю, щоб мережа отримала новий IP.

Правилом гарного тону буде зайти в IP-DHCP Server-Networks і вручну додати IP нашого маршрутизатора як DNS-сервер для клієнтів, які отримують налаштування по DHCP. Mikrotik має свій функціонал DNS, тому використання провайдерського DNS на клієнтах не має сенсу.

До речі, тут же можна вказати і NTP, сервер точного часу можна легко підняти на самому Mikrotik. Якщо в статичні записи DNS підмінити time.windows.com на IP мікротика, машини під керуванням Windows зможуть брати точний час із головного шлюзу без додаткових налаштувань. Докладніше читайте в окремій публікації, посилання вище.

Не забуваймо оновити шлюз до останньої версії RouterOS, у нашому випадку це оновлення з 6.36.1 до 6.38.1. Пристрій перезавантажиться для оновлення.

Загальне налаштування шлюзу завершено. Створення нового користувача, зміна пароля, відключення непотрібних сервісів та інші налаштування захисту Mikrotik – тема для окремої публікації, тому зупинятись на цьому не будемо.

На цьому етапі можна підключати точки доступу до маршрутизатора.

Підключення точок доступу до маршрутизатора

Обидві точки живляться за допомогою PoE від головного маршрутизатора. Такий підхід дозволить нам перевантажувати пристрої програмно на видаленні, а також позбудеться зайвих дротів.

На практиці підключення точок краще здійснювати поетапно, оскільки всі wAP мають відкриту мережу та стандартний пароль.

Ми підключимо обидві точки відразу, т.к. для досвідченого користувача процес займає лише кілька хвилин.

Звичайна точка доступу Mikrotik wAP без проблем отримала живлення по PoE, а ось для wAP ac довелося в налаштуваннях порту вибрати режим PoE «forced on». Більш детально про пріоритети та налаштування PoE Out загалом, ви можете прочитати в огляді PowerBox .

Як бачите, в режимі простою wAP споживає всього 1.1 Вт, а старший побратим wAP ac - 3.3 Вт.

У розділі IP - DHCP Server - Leases можна переконатися, що обидві точки доступу отримали IP-адресу.

Приступаємо до наступного етапу налаштування.

Підключення Mikrotik wAP

Процес настроювання обох точок wAP здійснюється шляхом підключення до відкритої бездротової мережі точки доступу. Для цього підійде нетбук, ноутбук чи ПК з бездротовим адаптером. У нашому випадку це буде нетбук.

Як бачите, нетбук успішно визначив усі 3 мережі. Чому три, а не дві? Справа в тому, що у wAP ac одна мережа на 2.4 ГГц, друга на 5 ГГц.

MikroTik-5EDCC7 - наш Mikrotik wAP, мережі MikroTik-7D550D та MikroTik-7D550E це Mikrotik wAP ac, що легко визначити за назвою мережі (назва відрізняється останнім символом).

Налаштування починатимемо з найпростішої точки, це швидше і дозволить вам зрозуміти, як налаштовувати дводіапазонну точку.

Після підключення до бездротової мережі MikroTik-5EDCC7, Winbox виявить пристрій зі стандартним IP 192.168.88.1

Приймаємо стандартну конфігурацію. Як бачите, пристрій працює в режимі маршрутизації, через що підключитися до нього через кабель не надається можливим.

Перемикаємо точку в режим бриджу (Bridge = міст), це зробить пристрій повністю прозорим. Опцію "Adress Acquisition" виставляємо в "Automatic", тобто. IP пристрій отримуватиме від DHCP-сервера. За бажання можна реалізувати статик IP, але про це трохи пізніше, ми реалізуємо його трохи інакше.

"Adress Source" слід вказати "Any", інакше при виборі здавалося б логічного "Ethernet", у пристрою буде IP 0.0.0.0 і ви просто не підключитеся до нього. Перемикання між режимами здійснюється в будь-який момент у правій частині вікна з налаштуваннями.

На поточному вікні нас цікавить Freq. Usage...». Після натискання на цю кнопку у вас відкриється нове віконце, в якому слід натиснути "Start". Система почне сканувати канали і ви зможете переглянути рівень використання каналів у режимі реального часу.

Як бачите, 2442-2452 МГц використовується, тому найкраще працювати в діапазоні 2412-2432 МГц. При цьому не слід забувати, що при використанні широких каналів в 40 МГц, кількість каналів, що не перетинаються, дорівнює 3-м.

При налаштуванні бездротового інтерфейсу я віддаю перевагу явно вказувати 2GHz-only-N, що виставляє режим 802.11n. якщо ж у вас є старі пристрої без підтримки нового стандарту – використовуйте змішані режими.

Ширину каналу встановлюємо 20/40 Ce, можна також вказувати 20/40 eC. Індекс eC і Ce вказують, куди необхідно розширювати діапазон по відношенню до основного каналу. eC – розширення вниз, Ce – розширення вгору. Таким чином, якщо ви вибираєте перший канал, розширювати його можна лише вгору, у випадку з останнім каналом ситуація зворотна, його можна розширити лише вниз.

SSID – назва бездротової мережі. Якщо у вас є точки доступу з підтримкою 5 ГГц, можна явно вказати суфікси 2G та 5G, що допоможе розрізняти діапазони. Якщо цього не зробити, на клієнті замість двох мереж у списку буде видно лише одну, а підключення здійснюватиметься відповідно до пріоритетів адаптера (Prefer 2G/Prefer 5G).

WPS якщо не використовується слід вимкнути.

"Frequency Mode" встановлюємо "regulatory-domain", а "Country" - "ukraine". Це налаштування дозволить не порушувати регіональні обмеження щодо використання радіочастотного ресурсу.

WMM Support можна вибрати enabled. Це спеціальна надбудова QoS, що дозволяє підвищувати пріоритет трафіку мультимедіа.

Переходимо на вкладку Advanced. Для налаштування «Hw. Protection Mode» вибираємо rts cts. Якщо стисло, ця опція допомагає уникнути конфліктів, коли підключені до точки клієнти не бачать один одного і не можуть погодити послідовність передачі даних.

Для Adaptive Noise Immunity встановлюємо ap and client mode. Знову ж таки, якщо коротко, ця опція дозволяє активувати спеціальний алгоритм фільтрації шуму, створюваного точкою та/або клієнтом, наприклад, множинні перевідображення сигналу від стін. Зверніть увагу, опція працюватиме лише на адаптерах з чіпами Atheros.

На вкладці HT перевірте параметри Tx/Rx Chains, навпроти яких скрізь повинні бути встановлені галочки. Якщо галочка не встановлена на одному каналі, адаптер не зможе використовувати його під час роботи.

Оскільки ми не змінювали параметри потужності радіомодуля, діятимуть стандартні значення.

У цьому випадку нас цікавлять виключно HT20-x та HT40-x. По суті, це свого роду довідник потужності для конкретного радіомодуля.

HT20 та HT40 вказують на ширину каналу 20 та 40 МГц відповідно. Цифра в суфіксі – індекс швидкості MCS для стандарту 802.11n. Чим вища цифра, тим більша швидкість. Як бачите, для більших швидкостей використовується менша потужність, і що вища швидкість, то нижча потужність. Зважайте на ці дані, якщо вирішите скоригувати потужність бездротового модуля в ручному режимі.

На завершальному етапі переходимо на вкладку Security Profiles (профілі безпеки). У цьому розділі потрібно змінити профіль безпеки. Вибираємо режим "dynamic keys", а також опції WPA2 та AES. Про WPA і TKIP можете забути назавжди (не кажучи вже про застарілий WEP), ці варіанти захисту вже давно скомпрометували себе і мають «лазівки», що дозволяють досвідченому зловмиснику отримати доступ до бездротової мережі, що захищена цим методом.

Пароль мережі вводиться в полі WPA2 Pre-Shared Key. На цьому налаштування першої точки завершено.

Налаштування бездротової мережі в Mikrotik wAP ac

При налаштуванні другої точки доступу робимо все аналогічно першій точці доступу.

Не забувайте, що потрібно сканувати бездротову мережу для кожної точки, оскільки умови ефіру можуть змінюватися, залежно від місця розташування. Якщо ж ви хочете довіритись автоматиці – вибирайте канал «auto», Mikrotik цілком непогано сам справляється з цим завданням.

Не забувайте вказати для нової та кожної наступної точки такий самий SSID, як і на першому пристрої. Робити це потрібно для автоматичного роумінгу клієнтів між AP.

Робочу частоту можна вказувати однакову, але у разі, якщо точки доступу слабко перетинаються. Інакше точки будуть ділити ефір між собою, що негативно позначиться на швидкості при одночасної роботі. Найкраще використовувати принцип «шахової дошки», тобто. чергувати канали так, щоб вони не перетиналися взагалі.

У випадку з точками доступу Dual-Band, у списку Wireless Interfaces буде два інтерфейси, налаштовується кожен окремо.

Принцип той самий, скануємо діапазон і вибираємо оптимальну частоту. Якщо у вас діапазон 5745-5805 чистий, рекомендуємо його використовувати. У нашому випадку він уже «забитий» місцевими провайдерами.

До речі, для досвідчених адміністраторів буде цікавий speсtral-scan та spectral-history. Працюють обидва інструменти через термінал.

Для виклику використовуються команди:

/interface бездротовий spectral-scan

/interface бездротовий spectral-history

З каналами та частотами визначилися.

Для діапазону 5 ГГц вказуємо суфікс 5G, робити це зовсім не обов'язково, про що вже говорилося раніше.

Ширина каналу за промовчанням буде пропонуватися 20/40 МГц, але ми знаємо, що 802.11ac може використовувати канали шириною 80 МГц і саме на них він забезпечує високу швидкість.

Для каналів на 80 МГц використовується надбудова eCee у різних комбінаціях, їх 4, т.к. канал на 80 МГц поєднує 4 канали по 20 МГц. Логіка вибору та сама, що й у 2.4 ГГц.

Виконуємо налаштування аналогічно тим, що робилися для попередньої точки та діапазону 2.4 ГГц. Не забувайте перевірити Chains та налаштувати параметри безпеки (профіль).

Нюанси роумінгу на Mikrotik

У принципі, на цьому можна було б завершити стислу інструкцію, але є ще один нюанс.

На практиці досить часто трапляються випадки, коли бездротові мережі перетинаються. У разі клієнт може завзято висіти на точці зі слабким сигналом, навіть за тому, що він «під носом» перебуває точка з відмінним рівнем сигналу.

Власне приклад такого випадку на скріншоті вищий. Зліва ми бачимо, що телефон підключено до мережі 5 ГГц із гарним рівнем сигналу. Після переміщення в іншу зону, смартфон залишається висіти на мережі 5 ГГц, при тому, що канальна швидкість впала до 87 Мбіт, а поруч є мережа 2.4 ГГц з відмінним сигналом.

Що робити у такому разі? Можна перемикати мережу вручну, якщо у мереж різні назви, але можна також використовувати «напильник» та «милиці».

Насамперед на всіх бездротових інтерфейсах необхідно відключити опцію "Default Authenticate". Це необхідно для того, щоб використовувати функціонал ACL.

У вкладці Access List (розділ той самий, Wireless) створюємо 2 правила.

Перше правило. Задаємо діапазон рівня сигналу -75...120 дБм, встановлюємо опції Authentication та Forward. Це правило дозволятиме підключення для клієнтів, у яких рівень сигналу не менше -75 дБм.

Друге правило. Задаємо діапазон -120...-76 дБм, відключаємо опції Authentication та Forward. Це правило відключатиме клієнтів, у яких рівень сигналу опустився нижче -76 дБм.

Опція Authentication дозволяє підключення, отже, її відсутність підключення забороняє. Опція Forward дозволяє обмін даними між станціями/клієнтами. Форвард може бути корисним у захищеній домашній мережі, а от у публічній відкритій мережі обмін даними між клієнтами обов'язково треба забороняти з метою безпеки.

За бажання, тут же можна налаштувати правила по днях тижня та часу. Для цього нижче під спойлером Time є необхідні параметри.

Після того, як правила ACL створені, у таблиці реєстрацій (Registration) ви можете побачити список авторизованих клієнтів. Причому у коментарі до кожного клієнта буде вказано коментар із правила ACL (якщо він заданий), що дуже зручно.

Перевіряємо роботу на смартфоні. При погіршенні рівня сигналу до -75 дБм пристрій ще тримається на старій точці. Як тільки сигнал погіршується до -76 дБм, точка автоматично відключає клієнта, після чого клієнт підключається до найсильнішої точки.

Втім, цей метод не позбавлений недоліків. Справа в тому, що точки здійснюють примусове відключення клієнта, через що у кінцевого клієнта виникає короткочасний обрив зв'язку. У кращому разі це ~2 секунди. Багато залежить від клієнтського обладнання.

Рівень сигналу -75 дБм я поставив виключно для прикладу, це більш рекомендований рівень, ніж універсальний параметр «на будь-який випадок». Насправді іноді доводиться використовувати -80 дБм і від. У будь-якому випадку значення підбирається виключно експериментальним методом прямо на місці, виходячи з конкретного покриття і чутливості клієнтського обладнання.

На закінчення

Звичайно, варіантів реалізації домашньої бездротової мережі на Mikrotik безліч, починаючи з ручного налаштування і закінчуючи використанням CAPsMAN і навіть Mesh.

Нами описаний варіант повністю ручного налаштування для того, щоб кінцевий користувач розумів «як це працює», до того ж такий варіант не потребує глибоких знань. У той же час, ця конфігурація дозволяє створити надійну бездротову мережу, яка зможе стабільно працювати без вашого втручання.

З недоліків варто відзначити необхідність роздільної установки всіх пристроїв, що займає трохи більше часу, ніж при використанні CAPsMAN. При використанні кількох точок такий варіант цілком придатний та надає гарну гнучкість.