Combien de connexions Mikrotik Wap prend-il en charge ? Mise en place de réseaux sans fil sécurisés MikroTik hAP AC

Le nouvel appareil de MikroTik prenant en charge 2G/3G/4G est conçu dans la conception des appareils de la série wAP, il s'agit du premier appareil multibande de l'entreprise ; l'année dernière, une solution avec uniquement le support LTE avait déjà été présentée, ce qui limitait sa portée. d'application.

Ce modèle nous permettra de couvrir nous-mêmes le segment des solutions stationnaires - une petite maison en dehors de la ville, un appartement en ville - et des solutions mobiles telles que les minibus hot spot, les bus, les bus interurbains et, bien sûr, les personnels et voitures de société.

Pour le transport, un connecteur d'alimentation spécialement intégré à la carte assure le plus et le plus permanent dès l'allumage. Le kit de livraison comprend un câble avec un connecteur


En ouvrant le couvercle, nous avons accès aux connecteurs d'alimentation, Ethernet, aux indicateurs, à l'emplacement pour carte SIM et au bouton de réinitialisation



Après avoir retiré le boîtier, nous voyons le module d'antenne wi-fi et deux antennes LTE de taille similaire au ZyXEL MAX-206M2


PoE (8-30 V), DC (8-30 V) et alimentation du véhicule (8-30 V) sont disponibles.


Module miniPCIe 2G/3G/4G R11e-LTE, 2 x U.FL (Ultra Miniature Coaxial Connector Receptacle) Connecteurs mâles situés sur le dessus


Spécification du module :

Classes multislot 2G pour GPRS/EGPRS

Classe multi-emplacements TS de liaison descendante TS de liaison montante TS actif
12 4 4 5

3G Catégorie 14 (liaison descendante 21 Mbps, liaison montante 5,76 Mbps)

Catégories d’équipement utilisateur (UE) HSDPA évoluées
Catégorie Libérer Max. nombre
du HS-DSCH
codes (par cellule)		 Modulation MIMO, multicellulaire Taux de code
au maximum. Données
Taux		 Max. Liaison descendante
Vitesse
(Mbit/s)
14 7 15 64-MAQ .98 21.1

LTE catégorie 4 (liaison descendante 150 Mbps, liaison montante 50 Mbps)

E-UTRA
Groupe		 Duplex-
Mode		 ƒ
(MHz)		 Nom commun Inclus dans
(sous-ensemble de)
Groupe		 Liaison montante (UL)
BS recevoir
Transmission UE (MHz)		 Liaison descendante (DL)
Transmission BS
Réception UE (MHz)		 Duplex
espacement
(MHz)		 Canal
bandes passantes
(MHz)
1 FDD 2100 MIT 65 1920 – 1980 2110 – 2170 190 5, 10, 15, 20
2 FDD 1900 Blocs PCS A-F 25 1850 – 1910 1930 – 1990 80 1.4, 3, 5, 10, 15, 20
3 FDD 1800 DCS 1710 – 1785 1805 – 1880 95 1.4, 3, 5, 10, 15, 20
7 FDD 2600 IMT-E 2500 – 2570 2620 – 2690 120 5, 10, 15, 20
8 FDD 900 E-GSM 880 – 915 925 – 960 45 1.4, 3, 5, 10
20 FDD 800 Dividende numérique de l'UE 832 – 862 791 – 821 −41 5, 10, 15, 20
38 TDD 2600 IMT-E (espacement duplex) 41 2570 – 2620 N / A 5, 10, 15, 20
40 TDD 2300 2300 – 2400 N / A 5, 10, 15, 20

Le verso de la carte contient un emplacement pour une carte SIM.





Équipement


Avantages de l'appareil

  • Le modem 2G 3G 4G le plus abordable est connecté via un emplacement miniPCIe dans le système, visible en USB, le temps de commutation entre les bandes est de 15 secondes
  • Antennes MIMO multibandes 4,5 dBi intégrées
  • Contrairement à la carte donneuse wAP LTE 2nD, un dissipateur thermique est installé sur le chipset
  • il y a une indication du niveau du signal, la sensibilité est réglée par programme dans la section Système - LED
  • Connecteur d'alimentation pour voiture inclus
  • un pêne de sécurité pour le couvercle et une clé sont inclus, le pêne est équipé d'un ressort, il n'est pas nécessaire de l'attraper lors du dévissage

Inconvénients de l'appareil

  • Emplacement Sim peu pratique, il n'y a pas de ressort de rappel - vous pouvez obtenir la carte SIM en démontant l'appareil ou à l'aide d'une pince à épiler

MISES À JOUR

La gamme de produits MikroTik comprend désormais de nouveaux accessoires pour équiper le kit wAP LTE d'une antenne panneau externe :

  • Câbles ACSMAUFL - ACSMAUFL - pigtail U.fl-SMA - 2 pcs
  • mANT LTE 5o - MTAO-LTE-5D-SQ - Antenne LTE 5dBi
  • SMASMA - assemblage de câbles 1m SMA mâle - SMA mâle - 2 pcs

Tester les performances de différentes versions de ROS en utilisant l'exemple de l'opérateur Beeline

Version d'usine par défaut ROS 6.39.2


Dernière version candidate de ROS 6.43.14


Dernière version de Bugfix uniquement ROS 6.40.8


Il n'y a pas de différence significative dans les vitesses ; la version candidate ROS 6.43.14 donne une vitesse plus élevée, mais cela peut être attribué à une erreur de mesure.

Paramètres

MISE À JOUR Il est préférable de ne pas toucher aux paramètres du modem, le modem en mode automatique se connecte au réseau plus rapidement, la seule chose est de décocher GSM (GPRS/EGPRS classe 12) nous n'en avons pas besoin, la vitesse au sens actuel n'est pas là.

En mode de sélection manuelle « bandes », le modem se connecte beaucoup plus longtemps au réseau de l’opérateur

Changements depuis RouterOS 6.41 :


Profils APN

Paramètre apn changements maintenant dans l'onglet Profil LTE - APN :

/interface lte apn add name=profile1 apn=internet identifier=chap password=web user=web Exemple pour l'opérateur Yota /interface lte apn add name=profile1 apn=yota.ru

Sélectionnez un profil pour la connexion LTE actuelle :

/interface lte définie apn-profiles=profile1

Pour l'interface web des modems USB, les préréglages sont triés automatiquement en liant le profil à l'opérateur ; une telle fonctionnalité n'est pas encore disponible dans Mikrotik

Traverser

À partir de RouterOS v6.41, certaines interfaces LTE prennent en charge LTE Passthrough, où la configuration IP est appliquée directement au périphérique client. Dans ce cas, le micrologiciel du modem est responsable de la configuration IP et le routeur est utilisé uniquement pour configurer les paramètres du modem - APN, technologies réseau et type IP. Dans cette configuration, le routeur ne recevra pas la configuration IP du modem. Un modem LTE Passthrough peut transmettre des adresses IPv4 et IPv6 si elles sont prises en charge par le modem. Certains modems prennent en charge plusieurs APN, où vous pouvez transférer le trafic de chaque APN vers une interface de routeur spécifique.

Passthrough ne fonctionnera que pour un seul hôte. Le routeur détectera automatiquement l'adresse MAC du premier paquet reçu et l'utilisera pour le Passthrough. S'il existe plusieurs hôtes sur le réseau, vous pouvez bloquer Passthrough pour un MAC spécifique. Sur un hôte du réseau où Passthrough fournit une adresse IP, le client DHCP doit être activé sur cette interface. Veuillez noter qu'il ne sera pas possible de se connecter à un routeur LTE via une adresse IP publique ou depuis un hôte utilisé par un passthrough. À des fins de configuration, il est suggéré de créer une connexion supplémentaire entre le routeur LTE et l'hôte. Par exemple, une interface VLAN entre un routeur LTE et un hôte.

Configurons Passthrough sur l'interface ether1 :

/interface lte apn ajouter apn=apn1 passthrough-interface=ether1 /interface lte set lte1 apn-profiles=apn1

Configurons Passthrough sur l'interface ether1 pour l'hôte 00:11:22:33:44:55 :

/interface lte apn add apn=apn1 passthrough-interface=ether1 passthrough-mac=00:11:22:33:44:55 /interface lte set lte1 apn-profiles=apn1

Relier R11e-LTE au secteur des stations de base

Utilisation de la commande suivante dans le terminal

/interface lte info lte1 une fois

Nous obtenons l'état du modem :

> /interface lte info lte1 une fois
statut du code PIN : aucun mot de passe requis
fonctionnalité : complète
fabricant : "MikroTik"
modèle : "R11e-LTE"
révision : "MikroTik_CP_2.160.000_v001"
opérateur actuel : 25099
lac: 578
cellule actuelle : 200005126
phy-cellidé : 74
technologie d'accès : Evolved 3G (LTE)
temps de disponibilité de la session : 1h33m38s
imei :
earfcn : 3300 (bande 7, bande passante 10Mhz)
prix conseillé : -90dBm
RSRQ : -10 dB
péché: 5dB
cqi: 15

des variables dont nous avons besoin phy-cellid : 74, earfcn : 3300 (bande 7, bande passante 10Mhz) nous continuerons à travailler avec eux

A l'aide de ces variables acquises, vous pouvez envoyer une commande AT au modem pour bloquer le secteur BS au format suivant :

AT*Cellule= ,,,,: 0 – Cellule/Fréquence désactivée 1 – Verrouillage de fréquence activé 2 – Verrouillage de cellule activé 0 – GSM 1 – UMTS_TD 2 – UMTS_WB 3 – LTE ajouter si un découpage de fréquence bloquant est requis (généralement le paramètre est laissé vide) earfcn à partir d'informations LTE Phy-cellid de lte info

Pour bloquer le modem en mode LTE et le secteur BS précédemment utilisé, utilisez la commande AT suivante : :

/interface lte at-chat lte1 input="AT*Cell=2,3,3300,74"

Malheureusement, après avoir redémarré l'appareil ou réinitialisé le modem, tous les verrous installés sont perdus.

Si vous le souhaitez, vous pouvez toujours écrire un script qui entrera automatiquement les mêmes paramètres

Paramètres par défaut ou par défaut

vous pouvez le sortir sur le terminal avec la commande suivante, il est préférable de le sortir via ssh

/impression de la configuration par défaut du système

option d'export de configuration classique, le constructeur utilise des feuilles de bir d'adresses et des dns statiques

#| Routeur LTE CPE avec point d'accès sans fil : #| * Interface LTE connectée au réseau des fournisseurs (port WAN> #| * Le port WAN est protégé par un pare-feu et activé DHCP cl> #| wlan1 Configuration : #| mode : ap-bridge ; #| bande : 2ghz-b/g/n ; #| ht-chains : 0.1 ; #| ht-extension : 20/40mhz-Ce ; #| Configuration LAN : #| L'adresse IP 192.168.88.1/24 est définie sur le pont (port LAN> #| Serveur DHCP : activé ; # | DNS : activé ; #| Configuration WAN (passerelle) : #| passerelle : lte1 ; #| pare-feu ip4 : activé ; #| NAT : activé ; /interface lte set [ find ] add-default-route=yes default- route- distance=2 mac-address=00:00:00:00:00:00 name=lte1 use-peer-dns=yes /interface bridge add admin-mac=E4:8D:8C:3B:1C:BA auto -mac = pas de commentaire = nom defconf = pont / interface sans fil [trouver nom par défaut = wlan1] bande = 2 GHz-b/g/n largeur de canal = 20/40 MHz-Ce désactivé = pas de distance = fréquence intérieure = mode automatique = ap -bridge ssid=MikroTik-000000 /ip voisin découverte définie lte1 discover=no /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface sans fil sécurité-profils définis [ find default=yes ] supplicant-identity= MikroTik / pool ip ajouter un nom = plages par défaut-dhcp = 192.168.88.10-192.168.88.254 / ip dhcp-server ajouter adresse-pool = par défaut-dhcp désactivé = pas d'interface = nom du pont = defconf / port de pont d'interface ajouter un pont = commentaire du pont =defconf interface=ether1 ajouter pont=pont comment=defconf interface=wlan1 /interface membre de la liste ajouter commentaire=defconf interface=bridge list=LAN ajouter commentaire=defconf interface=lte1 list=WAN /adresse IP ajouter adresse=192.168.88.1 /24 comment=defconf interface=bridge network=192.168.88.0 /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add add address =192.168.88.1 nom=router.lan /filtre de pare-feu ip ajouter action=accepter la chaîne=input comment="defconf : accepter établi, associé, non suivi" état de connexion=établi, associé, non suivi ajouter action=drop chain=commentaire d'entrée= "defconf : drop invalid" connection-state=invalid add action=accept chain=input comment="defconf : accept ICMP" protocol=icmp add action=drop chain=input comment="defconf : drop all ne provenant pas du LAN" in- interface-list=!LAN add action=accept chain=forward comment="defconf : accepter dans la politique ipsec" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf : accepter la politique ipsec" ipsec -policy =out, ipsec add action=fasttrack-connection chain=forward comment="defconf : fasttrack" connection-state=established, Related add action=accept chain=forward comment="defconf : accepter établi, associé, non suivi" connection- state= établi, associé, non suivi add action=drop chain=forward comment="defconf : suppression invalide" connection-state=invalid add action=drop chain=forward comment="defconf : suppression de tout du WAN non DSTNATed" connection-nat-state= !dstnat connection-state=new in-interface-list=WAN /ip pare-feu nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /tool ​​mac- ensemble de serveurs [ find default = oui ] désactivé = oui ajouter interface = pont /tool ​​​​mac-server mac-winbox set [ trouver par défaut = oui ] désactivé = oui ajouter interface = pont

Quick Set est un assistant de configuration automatique qui vous aide rapidement, sans plonger dans les profondeurs du réglage fin du RoS, à configurer votre routeur et à commencer à l'utiliser. Selon votre appareil, plusieurs modèles peuvent s'afficher :

Sécurité

La configuration par défaut ne permet plus de se connecter au routeur depuis un réseau externe, mais la protection repose uniquement sur un filtre de paquets. N'oubliez pas de définir un mot de passe pour l'utilisateur administrateur. Ainsi, en plus du filtrage et du mot de passe, je fais ce qui suit :

Disponibilité sur les interfaces externes

Je désactive les services qui ne sont pas nécessaires sur le réseau domestique (et pas sur tous les réseaux non domestiques) et limite les autres à leur portée, en indiquant les adresses à partir desquelles vous pouvez vous connecter à ces services.

La prochaine étape sera de limiter la détection du routeur en recherchant les voisins. Pour ce faire, vous devez disposer d'une liste d'interfaces sur lesquelles ce protocole peut fonctionner, configurons-le :

/liste d'interfaces ajouter exclure=nom dynamique=découvrir

Ajoutons à la liste de découverte les interfaces sur lesquelles nous souhaitons que le protocole Neighbours Discovey fonctionne.

Configurons maintenant le protocole en spécifiant la liste de découverte dans ses paramètres :

Dans une configuration domestique simple, la liste de découverte peut contenir des interfaces sur lesquelles le protocole d'accès aux adresses MAC peut fonctionner, pour les situations où l'IP n'est pas disponible, configurons donc cette fonction :

Désormais, le routeur deviendra « invisible » sur les interfaces externes, ce qui cachera les informations le concernant (pas toutes, bien sûr) aux scanners potentiels, et privera même les méchants d'une opportunité facile de prendre le contrôle du routeur.

Protection contre les attaques DDoS

Maintenant, ajoutons quelques règles simples au filtre de paquets :

/ip filtre de pare-feu ajouter action=jump chain=forward connection-state=new in -interface-list=ISP jump-target=anti-DDoS ajouter action=jump chain=input connection-state=new in -interface-list=ISP jump -target=anti-DDoS add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s add action=add-src-to-address-list adresse-list=BAN-DDoS adresse-list-timeout=1d chain=anti-DDoS add action=jump chain=input connection-state=new dst-port=22.8291 in -interface -list=ISP jump-target=anti-BruteForce-3 protocol=tcp add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3 add action=return chain=anti-BruteForce -3 dst-limit=4/1m,1,src-address/1m40s add action=add-src-to-address-list adresse-list=BAN-BruteForce-3 adresse-list-timeout=1d chain=anti-BruteForce -3

Et nous les placerons après la règle defcon pour le protocole icmp.

Le résultat sera une interdiction d'une journée pour ceux qui tentent d'ouvrir plus de 15 nouvelles connexions par seconde. Que 15 connexions soient trop ou peu est un point discutable, vous pouvez choisir le nombre vous-même, j'en ai choisi 50 pour un usage professionnel et je reçois 1 à 2 interdictions de ce type par jour. Le deuxième groupe de règles est beaucoup plus strict ; il bloque les tentatives de connexion sur le port ssh(22) et winbox(8291), 3 tentatives par minute, et se repose pendant une journée ;). Si vous devez exposer un serveur DNS à Internet, en utilisant une règle similaire, vous pouvez bloquer les attaques par amplification DNS, mais la solution n'est pas idéale et il existe de nombreux faux positifs.

RFC1918

La RFC 1918 décrit l'allocation d'espaces d'adressage pour les réseaux globalement non routables. Par conséquent, il est logique de bloquer le trafic depuis/vers ces réseaux sur l’interface qui fait face au fournisseur, sauf dans les situations où le fournisseur vous donne une adresse « grise ».

/ip pare-feu liste d'adresses ajouter adresse=10.0.0.0/8 list="RFC 1918" ajouter adresse=172.16.0.0/12 list="RFC 1918" ajouter adresse=192.168.0.0/16 list="RFC 1918" /ip filtre de pare-feu ajouter action=drop chain=input comment="Supprimer RFC 1918" dans -interface-list=WAN src-address-list="RFC 1918" ajouter action=drop chain=forward comment="Supprimer RFC 1918" adresse dst -list="RFC 1918" out-interface-list=WAN add action=drop chain=output comment="Supprimer RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN

Placez ces règles plus près du début et n'oubliez pas d'ajouter à la liste l'interface WAN face au fournisseur.

UPnP

Une technologie assez controversée qui permet aux applications de demander au routeur de rediriger les ports via NAT, cependant, le protocole fonctionne sans aucune autorisation ni contrôle, ce n'est tout simplement pas dans la norme, et c'est souvent un point de sécurité réduite. Personnalisez à votre guise :

Connexion SIP

Entre autres choses, il vaut la peine de désactiver le module conntrack SIP, ce qui peut entraîner un fonctionnement VoIP inadéquat ; la plupart des clients et serveurs SIP modernes se débrouillent très bien sans son aide, et SIP TLS le rend complètement inutile.

Listes d'interfaces dynamiques et imbriquées

Cette fonctionnalité n'est apparue que récemment (à partir de la version 6.41), et elle est très pratique. Cependant, il y a un bug désagréable (je l'ai signalé, mais il n'a pas encore été corrigé), le fait est qu'après le pré-démarrage du routeur, les règles de pare-feu qui utilisent ces listes ne fonctionnent pas pour les interfaces incluses dans les listes enfants. Il est guéri en rajoutant des listes d'enfants. L'automatisation est simple :

Dans Sheduler, nous écrivons un script pour l'événement de démarrage (listes d'interfaces pour une configuration équilibrée) :

/interface list set ISP1TUN include="" set ISP include="" set TUN include="" :delay 2 set ISP1TUN include=ISP1,TUN1 set ISP include=ISP1 set TUN include=TUN1

Wifi

En milieu urbain, lorsque les ondes sont extrêmement bruyantes, il est logique d'abandonner les canaux de 40 MHz ; cela augmente la puissance spécifique du signal sur le canal, puisqu'un canal de 40 MHz est essentiellement composé de deux canaux de 20 MHz.

Pont et ARP

Si votre routeur distribue Internet et donne les paramètres aux clients via DHCP, il est logique de définir le paramètre arp=reply-only et d'activer add-arp=yes dans le serveur DHCP.

Ce paramètre vous empêchera de définir l'adresse IP manuellement, puisque le routeur n'acceptera de fonctionner qu'avec la paire MAC-IP qu'il a lui-même émise.

P.S. article tiré d'ici https://habrahabr.ru/post/353730/

Le nombre d'appareils sans fil augmente rapidement, augmentant continuellement les exigences en matière de bande passante et de couverture réseau.

Il existe désormais suffisamment de solutions sur le marché pour créer un grand réseau sans fil aussi bien dans une petite maison privée que dans un grand chalet, en commençant par Luma, Eero et en terminant par.

Certaines solutions sont faciles à mettre en place et ont un prix élevé, tandis que d'autres offrent de grandes capacités mais nécessitent une bonne base de configuration. Nous parlons en particulier des produits Mikrotik, qui se distinguent par une excellente combinaison de haute fiabilité, de grande fonctionnalité et d'un coût tout à fait abordable. Dans le même temps, Mikrotik sera difficile à comprendre pour la grande majorité des utilisateurs à domicile, ce qui augmente le niveau d'accès et limite considérablement l'utilisation réelle des systèmes basés sur Mikrotik à la maison.

Malgré l'inconvénient décrit ci-dessus, une fois Mikrotik configuré, vous pouvez l'oublier pendant des mois, voire des années. L'équipement Mikrotik peut fonctionner pendant six mois, voire plus, sans redémarrage, ce qui permet d'économiser beaucoup de temps et de nerfs.

Dans cette publication, nous montrerons et vous expliquerons comment créer et configurer un réseau fiable basé sur Mikrotik avec une excellente couverture sans fil pour un grand appartement, une maison privée ou un petit bureau avec un nombre minimum de fils.

Choisir un routeur

Un routeur (modèle RB960PGS) est bien adapté pour créer un réseau performant. La présence d'un slot SFP permet de se connecter à un fournisseur Internet par optique, de plus, l'appareil est équipé d'interfaces 5 gigabits.

Si SFP n'est pas utilisé, la connexion Internet peut être établie à l'aide de la première interface réseau RJ-45, qui prend également en charge PoE In. Les 4 interfaces restantes prennent en charge PoE Out, ce qui vous permet d'alimenter plusieurs points d'accès à partir d'elles, mais pas plus de 4.

En pratique, un réseau filaire est presque toujours utilisé, donc au moins un port devra être alloué pour un réseau local filaire, donc au total nous aurons 3 ports PoE à notre disposition, ce qui est suffisant pour une maison privée de taille moyenne .

Si vous envisagez de l'utiliser à la maison, n'importe quel commutateur Gigabit de n'importe quelle marque fera l'affaire avant d'étendre votre réseau filaire. Dans le même temps, si vous envisagez d'utiliser des VLAN et d'autres éléments exotiques, vous aurez besoin d'un commutateur géré, ou au moins Easy-Smart, nous vous recommandons de faire attention à un commutateur géré.

Dans les cas où vous devez alimenter plus de 3 points d'accès, vous pouvez acheter un commutateur géré supplémentaire avec PoE -. Veuillez noter que l'achat d'un commutateur PoE supplémentaire ne sera justifié que si vous alimentez 2 à 4 points d'accès supplémentaires à partir de celui-ci. Sinon, acheter un interrupteur pour alimenter un seul point sera un gaspillage d'argent.

Pour les réseaux 100 Mbit, des modèles de routeurs plus abordables avec PoE conviennent :

Il n'est pas du tout nécessaire d'acheter des appareils prenant en charge PoE, mais dans ce cas, vous devrez assembler un petit boîtier de communication et y placer tous les injecteurs et adaptateurs.

Sélection des points d'accès

Dans le cas des points d'accès, le choix est beaucoup plus large. Ci-dessous, nous avons sélectionné les offres les plus intéressantes, et elles sont classées par ordre croissant de prix.

Veuillez noter que le modèle Groove 52 (RBGroove52HPn) ne conviendra pas, car... Livré avec une licence de niveau 3 qui ne permet pas l'utilisation du mode AP.

Vous avez probablement une question naturelle : que fait hAP ac lite dans ce tableau ? C'est simple. Premièrement, il prend en charge PoE, ce qui vous permet de l'alimenter à distance. Deuxièmement, le routeur peut être fixé au mur. Troisièmement, il s'agit bien sûr de la prise en charge du 802.11ac et le prix n'est que de 45 USD.

Grâce à la combinaison de ces paramètres, il peut être utilisé comme point d'accès Dual-Band avec la fonctionnalité d'un switch supplémentaire. La seule limitation est la vitesse des interfaces réseau de 100 Mbit.

Point GrooveA 52 est mis en surbrillance séparément, car il est équipé d'un module radio puissant et convient à une utilisation en extérieur lorsqu'il est nécessaire de couvrir une très grande surface. Veuillez noter que l'appareil ne peut fonctionner que sur une seule bande à la fois : 2,4 GHz ou 5 GHz. La plage est sélectionnée manuellement dans le panneau de commande.

Le tableau n'inclut pas non plus OmniTIK et Metal, en raison du rapport prix/fonctionnalités. Ces solutions sont plus adaptées à une utilisation dans les réseaux commerciaux.

La meilleure option pour créer un réseau à la maison est, et. De plus, le wAP et le wAP ac peuvent être utilisés à l’extérieur.

L'ancien modèle wAP ac est équipé d'une interface réseau Gigabit pour fournir un débit élevé ; il prend en charge le fonctionnement simultané dans deux bandes avec des vitesses de canal de 300 et 1 300 Mbit pour 2,4 et 5 GHz, respectivement.

En fait, en utilisant l'exemple du wAP et du wAP ac en conjonction avec le commutateur hEX PoE, nous envisagerons de construire un réseau sans fil domestique.

Connexion et configuration de la passerelle

hEX PoE fera office de routeur principal, fournissant aux clients un accès à Internet. Comme prévu, la passerelle attribuera des adresses IP à d'autres appareils, mais le serveur DHCP sera désactivé sur les points d'accès eux-mêmes.

Nous connectons l'appareil et nous connectons au panneau de contrôle.

Le processus de configuration sera discuté en utilisant les paramètres par défaut comme exemple, afin de simplifier le processus autant que possible pour les utilisateurs novices de Mikrotik.

La configuration standard nous convient tout à fait, il vous suffira de configurer le type de connexion au réseau du fournisseur et de sélectionner le port ETH1 (paire torsadée) ou SFP (optique)

Pour plus de commodité, nous modifions les périphériques IP et les paramètres du réseau local par des paramètres plus familiers - 192.168.0.1/24.

Veuillez noter que nous avons intentionnellement augmenté le pool DHCP, ce qui n'est pas du tout nécessaire. Personnellement, il est plus facile pour moi d'utiliser la liaison statique et MAC:IP dans la partie inférieure, et d'émettre des IP pour d'autres clients dans la partie « supérieure ».

Assurez-vous de changer le nom de l'appareil, dans notre cas ce sera « GATEWAY » (passerelle) ; à l'avenir, avec un grand nombre d'appareils, il vous sera beaucoup plus facile de naviguer par noms que par IP.

Appliquez les paramètres. Après cela, Winbox deviendra inaccessible ; sur certains PC vous devrez vous reconnecter au réseau en débranchant le câble pour que le réseau reçoive une nouvelle IP.

Une bonne règle générale serait d'aller dans IP - Serveur DHCP - Réseaux et d'ajouter manuellement l'adresse IP de notre routeur en tant que serveur DNS pour les clients recevant les paramètres via DHCP. Mikrotik possède sa propre fonctionnalité DNS, donc utiliser le DNS du fournisseur sur les clients n'a aucun sens.

À propos, vous pouvez également spécifier NTP ici, vous pouvez facilement l'augmenter sur Mikrotik lui-même. Si vous remplacez time.windows.com par l'adresse IP Mikrotik dans les enregistrements DNS statiques, les machines exécutant le système d'exploitation Windows pourront obtenir l'heure exacte de la passerelle principale sans paramètres supplémentaires. En savoir plus dans une publication séparée, lien ci-dessus.

N'oubliez pas de mettre à jour la passerelle vers la dernière version de RouterOS, dans notre cas il s'agit d'une mise à jour de 6.36.1 vers 6.38.1. L'appareil redémarrera pour mettre à jour.

La configuration générale de la passerelle est terminée. La création d'un nouvel utilisateur, la modification du mot de passe, la désactivation des services inutiles et d'autres paramètres de sécurité Mikrotik sont un sujet pour une publication distincte, nous ne nous attarderons donc pas là-dessus.

A ce stade, vous pouvez connecter des points d'accès au routeur.

Connexion des points d'accès au routeur

Les deux points seront alimentés via PoE depuis le routeur principal. Cette approche nous permettra de surcharger les appareils à distance par programmation et de nous débarrasser également des fils inutiles.

En pratique, il est préférable de connecter les points par étapes, puisque tous les wAP disposent d'un réseau ouvert et d'un mot de passe standard.

Nous allons relier les deux points à la fois, car Pour un utilisateur expérimenté, le processus ne prend que quelques minutes.

Un point d'accès Mikrotik wAP classique a été alimenté via PoE sans aucun problème, mais pour le wAP ac, nous avons dû sélectionner le mode PoE « forcé » dans les paramètres du port. Vous pouvez en savoir plus sur les priorités et la configuration du PoE Out en général dans.

Comme vous pouvez le constater, en mode veille, le wAP ne consomme que 1,1 W et son frère aîné, le wAP ac, 3,3 W.

Dans la section IP - Serveur DHCP - Baux, vous pouvez vous assurer que les deux points d'accès ont reçu une adresse IP.

Passons à l'étape de configuration suivante.

Connexion Mikrotik wAP

Le processus de configuration des deux wAP s'effectue en se connectant au réseau sans fil ouvert du point d'accès. Un netbook, un ordinateur portable ou un PC équipé d'un adaptateur sans fil convient à ces fins. Dans notre cas, ce sera un netbook.

Comme vous pouvez le constater, le netbook a réussi à identifier les 3 réseaux. Pourquoi trois et pas deux ? Le fait est que le wAP ac dispose d'un réseau à 2,4 GHz, le second à 5 GHz.

MikroTik-5EDCC7 est notre Mikrotik wAP, les réseaux MikroTik-7D550D et MikroTik-7D550E sont des Mikrotik wAP ac, faciles à identifier par le nom du réseau (le nom se distingue par le dernier caractère).

Nous commencerons la configuration par le point le plus simple, celui-ci est plus rapide et vous permettra de comprendre comment mettre en place un point bi-bande.

Après s'être connecté au réseau sans fil MikroTik-5EDCC7, Winbox détectera un appareil avec l'IP standard 192.168.88.1

Nous acceptons la configuration standard. Comme vous pouvez le constater, l'appareil fonctionne en mode routage, c'est pourquoi il n'est pas possible de s'y connecter par câble.

Basculez le point en mode pont (Bridge = bridge), cela rendra l'appareil complètement transparent. Nous définissons l'option « Acquisition d'adresse » sur « Automatique », c'est-à-dire L'appareil recevra l'IP du serveur DHCP. Si vous le souhaitez, vous pouvez implémenter une IP statique, mais nous y reviendrons un peu plus tard ; nous l'implémenterons un peu différemment.

« Source d'adresse » doit être spécifié comme « Any », sinon lorsque vous sélectionnez « Ethernet » apparemment logique, l'appareil aura l'IP 0.0.0.0 et vous ne vous y connecterez tout simplement pas. Si tout est fait correctement, l'appareil recevra les paramètres réseau.

Comme auparavant, nous changeons le nom de l'appareil.

Connexion de Mikrotik wAP ac

Nous répétons toutes les étapes ci-dessus pour le nouveau point, ainsi que pour chaque point suivant qui sera ajouté au réseau.

Si tout est fait correctement, les trois appareils seront visibles dans Winbox.

Et bien sûr, n’oubliez pas de mettre à jour RouterOS sur tous les appareils réseau.

Configuration d'un réseau sans fil dans Mikrotik wAP

Tout d'abord, configurons le point d'accès wAP.

Dans la section Sans fil - Interfaces, ouvrez les propriétés de l'interface sans fil.

Personnellement, je suis partisan du « Mode Avancé », si le nombre d'options vous fait peur, vous pouvez utiliser le « Mode Simple ». La commutation entre les modes s'effectue à tout moment dans la partie droite de la fenêtre des paramètres.

Dans la fenêtre actuelle, nous nous intéressons à « Freq. Usage..." Après avoir cliqué sur ce bouton, une nouvelle fenêtre s'ouvrira dans laquelle vous devrez cliquer sur « Démarrer ». Le système commencera à scanner les chaînes et vous pourrez voir le niveau d'utilisation des chaînes en temps réel.

Comme vous pouvez le constater, la bande 2 442-2 452 MHz est utilisée, il est donc préférable de travailler dans la plage 2 412-2 432 MHz. Il ne faut pas oublier que lors de l'utilisation de canaux larges de 40 MHz, le nombre de canaux non superposés est de 3.

Lors de la configuration d'une interface sans fil, je préfère spécifier explicitement 2 GHz uniquement N, qui définit le mode 802.11n. si vous possédez d'anciens appareils qui ne prennent pas en charge la nouvelle norme, utilisez les modes mixtes.

Nous définissons la largeur du canal sur « 20/40 Ce » ; vous pouvez également spécifier « 20/40 eC ». Les indices eC et Ce indiquent où la gamme doit être élargie par rapport au canal principal. eC - expansion vers le bas, Ce - expansion vers le haut. Ainsi, si vous sélectionnez le premier canal, vous ne pouvez l'étendre que vers le haut ; dans le cas du dernier canal, la situation est inverse, il ne peut être étendu que vers le bas.

SSID - nom du réseau sans fil. Si vous disposez de points d'accès compatibles 5 GHz, vous pouvez spécifier explicitement les suffixes 2G et 5G pour faciliter la différenciation des bandes. Si cela n'est pas fait, au lieu de deux réseaux sur le client, un seul sera visible dans la liste, et la connexion s'effectuera selon les priorités de l'adaptateur (Préférer 2G/Préférer 5G).

WPS doit être désactivé s’il n’est pas utilisé.

« Mode fréquence » est défini sur « domaine réglementaire » et « Pays » est défini sur « ukraine ». Ce paramètre vous permettra de ne pas enfreindre les restrictions régionales sur l'utilisation des ressources radiofréquences.

« Support WMM » peut être sélectionné « activé ». Il s'agit d'un module complémentaire QoS spécial qui vous permet d'augmenter la priorité du trafic multimédia.

Allez dans l'onglet "Avancé". Pour l’option « Hw. Mode Protection" sélectionnez "rts cts". En bref, cette option permet d'éviter les conflits lorsque les clients connectés au point ne se voient pas et ne peuvent pas se mettre d'accord sur l'ordre de transfert des données.

Pour « Adaptive Noise Immunity », nous définissons « ap et mode client ». Encore une fois, en bref, cette option vous permet d'activer un algorithme spécial pour filtrer le bruit créé par le point et/ou le client, par exemple les réflexions multiples du signal sur les murs. Veuillez noter que l'option ne fonctionnera que sur les adaptateurs équipés de puces Atheros.

Sur l'onglet HT, vérifiez les paramètres « Tx/Rx Chains », qui doivent être vérifiés partout. Si la case n'est pas cochée sur l'un des canaux, l'adaptateur ne pourra pas l'utiliser pendant le fonctionnement.

Puisque nous n'avons pas modifié les paramètres de puissance du module radio, les valeurs standards s'appliqueront.

Dans ce cas, nous nous intéressons exclusivement aux HT20-x et HT40-x. Il s'agit essentiellement d'une sorte de guide d'alimentation pour un module radio spécifique.

HT20 et HT40 indiquent respectivement des largeurs de canal de 20 et 40 MHz. Le nombre dans le suffixe est l'indice de vitesse MCS pour la norme 802.11n. Plus le chiffre est élevé, plus la vitesse est grande. Comme vous pouvez le constater, des vitesses plus élevées consomment moins d’énergie, et plus la vitesse est élevée, plus la puissance est faible. Tenez compte de ces données si vous décidez de régler manuellement la puissance du module sans fil.

À la dernière étape, accédez à l'onglet « Profils de sécurité ». Cette section vous demande d'ajuster votre profil de sécurité. Sélectionnez le mode « touches dynamiques », ainsi que les options WPA2 et AES. Vous pouvez oublier pour toujours WPA et TKIP (sans parler du WEP obsolète) ; ces options de sécurité sont depuis longtemps compromises et présentent des « failles » qui permettent à un attaquant expérimenté d'accéder à un réseau sans fil protégé par cette méthode.

Le mot de passe réseau est saisi dans le champ « Clé pré-partagée WPA2 ». Ceci termine la définition du premier point.

Configuration d'un réseau sans fil dans Mikrotik wAP ac

Lors de la configuration du deuxième point d'accès, nous faisons tout de la même manière que pour le premier point d'accès.

N'oubliez pas qu'il est nécessaire de scanner le réseau sans fil pour chaque point, car les conditions atmosphériques peuvent varier selon l'emplacement. Si vous voulez faire confiance à l'automatisation, choisissez le canal « auto », Mikrotik s'acquitte assez bien de cette tâche tout seul.

N'oubliez pas de spécifier pour le nouveau point et chaque point suivant exactement le même SSID que sur le premier appareil. Ceci est nécessaire pour l'itinérance automatique des clients entre les points d'accès.

La fréquence de fonctionnement peut être spécifiée de la même manière, mais seulement si les points d'accès se chevauchent légèrement. Sinon, les points partageront les ondes entre eux, ce qui affectera négativement la vitesse lors du travail simultané. Il est préférable d'utiliser le principe de « l'échiquier », c'est-à-dire canaux alternés afin qu'ils ne se croisent pas du tout.

Dans le cas des points d'accès double bande, il y aura 2 interfaces dans la liste des interfaces sans fil ; chacune est configurée séparément.

Le principe est le même, on scanne la gamme et on sélectionne la fréquence optimale. Si votre plage 5745-5805 est claire, nous vous recommandons de l'utiliser. Dans notre cas, il est déjà « bondé » de prestataires locaux.

À propos, les administrateurs expérimentés seront intéressés par le balayage spectral et l'histoire spectrale. Les deux outils fonctionnent via le terminal.

Pour appeler, utilisez les commandes suivantes :

/interface analyse spectrale sans fil

/interface historique spectrale sans fil

Les canaux et les fréquences ont été décidés.

Pour la gamme 5 GHz, nous indiquons le suffixe 5G ; ce n'est pas du tout nécessaire, comme cela a déjà été mentionné précédemment.

La largeur de canal par défaut sera de 20/40 MHz, mais on sait que le 802.11ac peut utiliser des canaux de 80 MHz et c'est sur eux qu'il offre un haut débit.

Pour les canaux 80 MHz, le module complémentaire eCee est utilisé dans différentes combinaisons, il y en a 4 au total, car un canal de 80 MHz combine 4 canaux de 20 MHz. La logique de sélection est la même que pour le 2,4 GHz.

Nous effectuons les réglages de la même manière que pour le point précédent et la gamme 2,4 GHz. N'oubliez pas de cocher Chains et de configurer vos paramètres de sécurité (profil).

Les nuances du roaming sur Mikrotik

En principe, cela pourrait être la fin des instructions courtes, mais il y a encore une nuance.

Dans la pratique, il arrive souvent que des réseaux sans fil se croisent. Dans de tels cas, le client peut s’accrocher obstinément à un point avec un signal faible, même s’il y a un point avec un excellent niveau de signal « sous son nez ».

En fait, un exemple d’un tel cas se trouve dans la capture d’écran ci-dessus. Sur la gauche, nous voyons que le téléphone est connecté au réseau 5 GHz avec une bonne puissance de signal. Après avoir déménagé dans une autre zone, le smartphone reste toujours bloqué sur le réseau 5 GHz, malgré le fait que la vitesse du canal soit tombée à 87 Mbit et qu'il existe un réseau 2,4 GHz à proximité avec un excellent signal.

Que faire dans ce cas ? Vous pouvez changer de réseau manuellement si les réseaux portent des noms différents, mais vous pouvez également utiliser un fichier et des béquilles.

Tout d'abord, vous devez désactiver l'option « Authentification par défaut » sur toutes les interfaces sans fil. Ceci est nécessaire pour utiliser la fonctionnalité ACL.

Dans l'onglet Liste d'accès (la section est toujours la même, Sans fil) nous créons 2 règles.

Première règle. Nous définissons la plage de niveau de signal -75...120 dBm, définissons les options d'authentification et de transfert. Cette règle autorisera les connexions pour les clients dont le niveau de signal est d'au moins -75 dBm.

Deuxième règle. Définissez la plage sur -120... -76 dBm, désactivez les options d'authentification et de transfert. Cette règle déconnectera les clients dont le niveau de signal descend en dessous de -76 dBm.

L'option Authentification autorise la connexion ; par conséquent, son absence refuse la connexion. L'option Forward permet l'échange de données entre stations/clients. Le transfert peut être utile dans un réseau domestique sécurisé, mais dans un réseau public ouvert, l'échange de données entre clients doit être interdit pour des raisons de sécurité.

Si vous le souhaitez, vous pouvez définir ici des règles pour les jours de la semaine et l'heure. À ces fins, ci-dessous, sous le spoiler temporel, vous trouverez les paramètres nécessaires.

Une fois les règles ACL créées, vous pouvez voir une liste de clients autorisés dans le tableau d'enregistrement. De plus, le commentaire de chaque client contiendra un commentaire de la règle ACL (si elle est spécifiée), ce qui est très pratique.

Nous vérifions le travail sur le smartphone. Lorsque le niveau du signal se détériore jusqu'à -75 dBm, l'appareil reste toujours à l'ancien point. Dès que le signal se détériore jusqu'à -76 dBm, le point déconnecte automatiquement le client, après quoi le client se connecte au point le plus fort.

Toutefois, cette méthode n’est pas sans inconvénients. Le fait est que les points déconnectent de force le client, ce qui entraîne une perte de communication à court terme pour le client final. Au mieux, c'est environ 2 secondes. Cela dépend beaucoup de l'équipement du client.

J'ai réglé le niveau du signal à -75 dBm uniquement à titre d'exemple, c'est un niveau plus recommandé que le paramètre universel « pour toute occasion ». En pratique, il est parfois nécessaire d'utiliser -80 dBm ou moins. Dans tous les cas, la valeur est choisie exclusivement par méthode expérimentale sur site, en fonction de la couverture et de la sensibilité spécifiques des équipements client.

Enfin

Bien entendu, il existe de nombreuses options pour mettre en œuvre un réseau sans fil domestique sur Mikrotik, de la configuration manuelle à l'utilisation de CAPsMAN et même de Mesh.

Nous avons décrit une option de configuration entièrement manuelle afin que l'utilisateur final comprenne « comment ça marche » ; de plus, cette option ne nécessite pas de connaissances approfondies. Dans le même temps, cette configuration vous permet de créer un réseau sans fil fiable pouvant fonctionner de manière stable sans votre intervention.

Parmi les inconvénients, il convient de noter la nécessité de configurer séparément tous les appareils, ce qui prend un peu plus de temps que lors de l'utilisation de CAPsMAN. Lors de l’utilisation de plusieurs points, cette option est tout à fait adaptée et offre une bonne flexibilité.

Je continue l'histoire d'une merveilleuse série d'appareils en provenance de Lettonie qui se sont révélés être des appareils fonctionnels et fiables. Dans cet article, j'examinerai en détail la question de la configuration de base des routeurs Mikrotik en utilisant l'exemple du modèle économique et le plus populaire RB951G-2HnD. Ces instructions conviennent à presque tous les modèles, car elles sont toutes basées sur le même système d'exploitation.

Cet article fait partie d’une seule série d’articles sur.

Introduction

Les routeurs Mikrotik Routerboard sont sur le marché depuis longtemps, mais n'ont toujours pas gagné en popularité. Bien qu'ils aient occupé leur niche. Personnellement, je pense que c'est un excellent routeur pour la maison, il n'a pas de concurrents en termes de fiabilité. Il s’agit véritablement d’un routeur que vous pouvez configurer une seule fois et oublier. Personnellement, je n'ai jamais rencontré d'appareil qu'il fallait forcer à redémarrer pour le sortir du coma, comme c'est souvent le cas avec d'autres matériels économiques.

La distribution parmi les utilisateurs à domicile est principalement limitée par la complexité de la configuration. Et bien qu'il puisse sembler à un utilisateur plus ou moins avancé qu'il n'y a rien de compliqué ici. Mais en fait, il y en a. Et je suis souvent tombé sur des demandes d'installation d'un routeur à la maison pour distribuer Internet via Wi-Fi, car les utilisateurs qui l'ont acheté sur recommandation de quelqu'un ne pouvaient pas configurer eux-mêmes entièrement les fonctionnalités requises, bien qu'il existe suffisamment d'instructions sur Internet.

Je souhaite combler cette lacune et rédiger des instructions détaillées étape par étape pour configurer Mikrotik à partir de zéro pour les nuls, en utilisant l'exemple du modèle le plus adapté à un usage domestique, le RB951G-2HnD. J'ai longtemps préparé une aide-mémoire personnelle sous la forme d'un fichier texte. En l'utilisant, j'ai littéralement configuré un routeur en 10 minutes et je le donne à l'utilisateur. Autrement dit, il n’y a vraiment rien de compliqué si vous savez ce que vous faites. J'écrirai du matériel basé sur cette aide-mémoire.

Description Mikrotik RB951G-2HnD

Le voici, le héros de l'article d'aujourd'hui -. Sa description, ses avis et son coût peuvent être rapidement vérifiés sur Yandex.Market. À en juger par le nombre de critiques, nous pouvons déjà conclure que ce routeur est plutôt populaire.

Une caractéristique importante de ce routeur, que j'utilise personnellement activement, est la possibilité de l'alimenter à l'aide d'un adaptateur Poe spécial.

Il est à droite sur l'image. Prenez une alimentation standard du routeur et un adaptateur Poe. L'alimentation est connectée à l'adaptateur et un cordon de raccordement est déjà envoyé de l'adaptateur au premier port de la carte de routeur. Le routeur peut être accroché au mur n'importe où, il n'est pas nécessaire de le relier à une prise. Je dois immédiatement noter que le routeur ne peut être alimenté qu'avec un adaptateur Poe Mikrotik. Il a une norme différente et les commutateurs poe 802.3af habituels ne fonctionneront pas.

Cliquez sur l'adresse Mac de l'appareil, elle doit être copiée dans le champ Se connecter à. Le mot de passe par défaut pour se connecter aux routeurs Mikrotik est vide, et l'utilisateur est administrateur. Entrez votre nom d'utilisateur et laissez le champ du mot de passe vide. Cliquez sur Connecter. Nous sommes accueillis par une fenêtre d'information qui fournit une description des paramètres standards.

Ici, vous pouvez soit les laisser, soit les supprimer. Je le supprime toujours, car les paramètres standards ne conviennent le plus souvent pas à une situation spécifique. Laissez-moi vous donner quelques exemples expliquant pourquoi :

  1. J'ai alimenté mon routeur via le premier port via un adaptateur poe et suis donc obligé d'utiliser ce port en local. Dans les paramètres par défaut, ce port est utilisé comme port wan pour recevoir Internet du fournisseur.
  2. Les paramètres par défaut doivent recevoir automatiquement les paramètres du fournisseur via DHCP. Si vous disposez d'un autre type de connexion, le réglage standard ne vous convient pas.
  3. Par défaut, l'espace d'adressage est défini sur 192.168.88.0/24. Personnellement, je n'aime pas les réseaux par défaut, car si vous y branchez accidentellement un nouvel appareil, où l'adresse par défaut est également obstruée, des problèmes commenceront sur le réseau. Cela n'est peut-être pas pertinent à la maison, mais dans les organisations commerciales, j'ai dû y faire face. C'est pourquoi je change toujours la grille au cas où.

Alors on appuie Supprimer la configuration pour supprimer les paramètres. Après cela, le routeur redémarrera. Nous attendons environ une minute et nous nous y connectons à nouveau.

Si, pour une raison quelconque, vous n'avez pas supprimé les préréglages immédiatement, vous pourrez réinitialiser Mikrotik aux paramètres d'usine ultérieurement. Pour ce faire, vous devez d'abord taper dans le terminal système, et puis réinitialiser. Une confirmation vous sera demandée, puis la carte du routeur redémarrera avec les paramètres d'usine.

Mise à jour du firmware

Après avoir effacé les paramètres, je recommande de mettre à jour immédiatement le firmware du routeur Mikrotik. Pour ce faire, rendez-vous dans la section Téléchargement du site officiel et téléchargez le fichier requis. Dans ce cas, c'est la plateforme mipsbé, télécharger le package Forfait principal. Téléchargez-le sur votre ordinateur et connectez-vous au routeur à l'aide de Winbox. Sélectionnez une section à gauche Des dossiers. Ouvrez ensuite deux fenêtres côte à côte - une avec le fichier du firmware, la seconde avec winbox et faites glisser le fichier du dossier dans winbox vers la liste des fichiers avec la souris.

Nous attendons la fin du téléchargement du firmware et redémarrons Mikrotik via la section menu Système -> Redémarrer. Le micrologiciel sera mis à jour pendant le démarrage du routeur. Vous devrez attendre environ 3 minutes, après quoi nous nous reconnecterons à l'appareil. Après avoir mis à jour le firmware, vous devez mettre à jour le chargeur de démarrage. Cela se fait dans l'élément de menu Système - RouterBoard. Allez-y et vérifiez les lignes Micrologiciel actuel Et Mise à niveau du firmware. S'ils sont différents, appuyez sur le bouton Mise à niveau. S’ils sont identiques, vous ne pouvez rien faire. Les modifications prendront effet après un redémarrage.

Vous pouvez vérifier la version du firmware installé dans la section Système - Forfaits.

Dans mon cas, la version du firmware est 6.43.4. À l'avenir, lorsque Internet sera configuré sur le routeur, vous pourrez mettre à jour automatiquement dans cette section en cliquant sur Rechercher les mises à jour.

Le firmware a été mis à jour, vous pouvez commencer la configuration.

Combiner des ports dans un pont

L'une des caractéristiques des routeurs Mikrotik Routerboard est l'absence de paramètres de port prédéfinis. J'explique entre mes doigts ce que c'est. Lors de l’achat d’un routeur à budget régulier, vous verrez des étiquettes pour les ports. L'un d'eux dira certainement WAN, les autres diront soit rien, soit LAN. Autrement dit, vous disposerez déjà d'un port configuré d'une certaine manière pour la connexion à Internet et les ports restants seront combinés dans un commutateur pour faciliter la connexion de l'équipement.

Ce n'est pas le cas de Mikrotik. Là, tous les ports sont égaux et absolument n'importe quel port WAN que vous souhaitez peut devenir. Puisque j'utilise le 1er port pour connecter l'alimentation, j'utiliserai le 5ème port comme WAN. Et je combinerai tout le reste en un seul réseau à l'aide d'un pont et leur ajouterai une interface wifi. Pour cela, rendez-vous dans la rubrique Pont et créez un nouveau pont1.

Nous laissons tous les paramètres par défaut. Nous avons maintenant bridge1. Accédez à l'onglet Ports et cliquez sur le signe plus. Ajoutez tous les ports à brdige1 sauf WAN. Dans mon cas, c'est le port 5.

Nous avons combiné toutes les interfaces nécessaires dans un pont pour organiser un espace unique pour tous les appareils connectés.

Configuration d'une IP statique

Avant cela, nous nous connections au routeur en utilisant l'adresse MAC. Vous pouvez désormais lui attribuer une adresse IP locale statique, à laquelle il sera accessible sur le réseau. Pour cela, rendez-vous dans la rubrique IP -> Adresses et appuyez sur le signe plus.

Spécifiez n'importe quel sous-réseau dans la section Adresse. J'ai choisi 192.168.9.0 . En conséquence, nous attribuons une adresse à Mikrotik 192.168.9.1/24 . Sélectionner comme interface pont1. Le champ Réseau peut être laissé vide, il sera renseigné automatiquement. Désormais notre routeur est accessible à la fois via les interfaces locales et via le wifi (qui reste à configurer) au 192.168.9.1.

Configuration Internet à Mikrotik

Il est maintenant temps de vous connecter à votre fournisseur et de configurer Internet. Il est difficile de couvrir toutes les options de connexion possibles. Il peut y en avoir plusieurs. Je vais examiner les deux méthodes les plus populaires :

  1. Vous recevez automatiquement les paramètres du fournisseur via DHCP.
  2. Le fournisseur vous a fourni des paramètres prêts à l'emploi et vous les saisissez manuellement.

Comme je l'ai écrit plus tôt, nous utiliserons le port 5 pour nous connecter au fournisseur. Connectez le fil du fournisseur.

Pour obtenir les paramètres via DHCP, rendez-vous sur winbox dans la rubrique IP -> Client DHCP et appuyez sur le signe plus. Choisissez une interface éther5 et cliquez sur OK.

Si vous avez tout fait correctement, vous verrez quelle adresse IP vous avez reçue. Au chapitre IP -> Adresses il y aura des informations sur les paramètres.

Considérons l'option lorsque le fournisseur a fourni tous les paramètres et que vous devez les définir vous-même. Supposons que nos paramètres Internet soient les suivants :

Tout d'abord, spécifions l'adresse IP. Nous faisons la même chose que dans le paragraphe précédent lors de la configuration d'une IP statique. Seulement maintenant, au lieu de l'interface pont1 indiquer éther5 et entrez l'adresse correspondante - 192.168.1.104/24 . Ici, nous avons immédiatement indiqué à la fois l'adresse et le masque de sous-réseau.

Ensuite, nous devons définir la passerelle par défaut. Sans cette étape obligatoire, Internet ne fonctionnera pas. Passons à la rubrique IP -> Itinéraires et cliquez sur le signe plus pour ajouter une passerelle par défaut. DANS Dst. Adresse laisse le tel quel 0.0.0.0/0 , et sur le terrain passerelle Entrez la passerelle du fournisseur et cliquez sur OK.

Internet devrait fonctionner désormais, mais sans spécifier de serveur DNS, vous ne pouvez accéder qu'aux adresses IP directes. Par exemple, vous pouvez pinger l'adresse IP des serveurs Google. Ouvrez un nouveau terminal et vérifiez.

Installons maintenant le serveur DNS. Pour ce faire, nous allons à IP -> DNS, dans le champ Les serveurs Saisissez l'adresse du serveur DNS du fournisseur. Si vous en avez deux, alors en cliquant sur le triangle avec son sommet pointant vers le bas, vous pouvez saisir une autre valeur. Assurez-vous de cocher la case ci-contre Autoriser les requêtes à distance.

Si vous disposez d'une adresse IP externe et avez autorisé les recherches DNS à distance, assurez-vous d'exécuter et de bloquer toutes les connexions entrantes. Si cela n'est pas fait, votre routeur peut devenir victime de fausses requêtes DNS utilisées pour des attaques DDoS.

C'est tout, nous avons complètement installé les paramètres du fournisseur Internet. Vous pouvez vérifier et pinger l’adresse habituelle du site.

Le routeur lui-même a déjà accès à Internet. Nous devons le configurer pour les utilisateurs. Pour ce faire, nous continuons à mettre en place Mikrotik.

Configuration d'un serveur DHCP

Pour que les appareils connectés reçoivent automatiquement les paramètres réseau du routeur, un serveur DHCP doit y être configuré. Ce n'est pas difficile à faire, je vais maintenant tout décrire étape par étape. Allons à IP -> DHCP, allez dans l'onglet DHCP et cliquez sur Configuration DHCP. Il nous est demandé de sélectionner l'interface sur laquelle le serveur fonctionnera. Choisir pont1.

Cliquez sur Suivant. Vous devez maintenant sélectionner l'espace d'adressage à partir duquel les adresses IP seront émises. Par défaut, le sous-réseau qui inclut l'adresse IP du routeur est spécifié. C'est très bien, laissez la valeur par défaut 192.168.9.0/24 .

Vous devez maintenant spécifier la plage d'adresses qui sera délivrée aux clients. Si ce n'est pas important pour vous et que vous ne savez pas pourquoi il faut le modifier, laissez-le tel quel. Toutes les adresses de sous-réseau libres seront utilisées.

Lors de la dernière étape, saisissez l'adresse du serveur DNS qui sera délivrée aux clients. Il peut s’agir soit de Mikrotik lui-même, soit du serveur DNS du fournisseur. Ce n'est pas important, mais il vaut mieux indiquer le routeur lui-même. Nous y écrivons donc l'adresse locale 192.168.9.1 .

Laissez le paramètre suivant par défaut et cliquez sur Suivant. Ceci termine la configuration du serveur DHCP pour le réseau local.

Si nous connectons maintenant un client à Mikrotik par fil, il recevra les paramètres réseau, mais ne pourra pas accéder à Internet. Un autre paramètre important manque : NAT.

Configuration NAT

NAT est une transformation, ou comme on dit aussi, une traduction d'adresses réseau. Je ne vous dirai pas ce que c'est, vous pouvez le lire vous-même sur Internet. Tous les routeurs modernes disposent d'une fonction NAT pour permettre aux abonnés d'accéder à Internet. Nous allons donc également configurer NAT dans Mikrotik.

Passons à la rubrique IP -> Pare-feu, ouvrez l'onglet NAT et cliquez sur le signe plus. Dans l'onglet Général, nous spécifions un seul paramètre Dehors. Interface - éther5(interface de connexion au fournisseur), on ne touche pas à tout le reste.

Accédez à l'onglet Action, sélectionnez dans la liste déroulante mascarade. Laissez le reste tranquille et cliquez sur OK.

Ça y est, NAT est configuré. Désormais, si vous connectez un client par fil à l'un des ports, il recevra les paramètres réseau via DHCP et aura accès à Internet. Il ne nous reste plus qu'à configurer le wifi pour connecter les clients sans fil.

Mise en place d'un point d'accès wifi à mikrotik

Notre routeur est presque prêt à fonctionner. Il ne reste plus qu'à mettre en place un point d'accès wi-fi et vous pouvez l'oublier :). La configuration du wifi dans Mikrotik mérite un article séparé. Il y a là beaucoup de nuances et de possibilités. Nous allons maintenant réaliser la configuration la plus simple qui conviendra et satisfera pleinement les besoins d'un routeur wifi domestique. Et pour une connaissance plus approfondie, vous pouvez utiliser du matériel séparé sur ce sujet.

Tout d'abord, nous activons l'interface sans fil. Par défaut, c'est désactivé. Passons à la rubrique Sans fil, sélectionnez wlan1 et cliquez sur la coche bleue.

L'interface passera du gris au clair. Allez dans l'onglet Profils de sécurité, double-cliquez sur la ligne avec le profil par défaut. Sur le terrain Mode choisir touches dynamiques. Cochez les cases ci-contre WPA-PSK Et WPA2PSK Et aes ccm. Dans les champs Clé pré-partagée WPA Et Clé de pré-partage WPA2 entrez le mot de passe du futur réseau sans fil. Je recommande d'utiliser un mot de passe long (au moins 12 caractères) avec des chiffres et des caractères spéciaux. Oui, ce n'est pas très pratique d'entrer, mais après avoir moi-même haché brutalement des mots de passe simples sans aucun problème, j'étais convaincu qu'il est préférable de définir un mot de passe complexe si vous ne voulez pas que quiconque se connecte à votre wifi.

Enregistrez les paramètres. Retour à l'onglet Interfaces et double-cliquez sur wlan1, les paramètres de l'interface wifi Mikrotik s'ouvrent. Accédez à l'onglet Sans fil. Nous définissons les paramètres comme dans ma capture d'écran.

J'attire votre attention sur les paramètres suivants :

  • SSID— le nom de votre réseau sans fil. Écrivez ce que vous voulez.
  • Fréquence— fréquence correspondant à l'un des 12 canaux. La toute première valeur est le premier canal et ainsi de suite. Ici, il est recommandé de sélectionner le canal qui, dans votre cas particulier, est le moins occupé par d'autres points d'accès. Si vous ne savez pas ce que sont ces canaux et comment les vérifier, alors n'y prêtez pas attention, vous pouvez sélectionner n'importe quelle valeur dans la liste.

Enregistrez les paramètres en cliquant sur OK. Ça y est, le point d'accès wifi sur mikrotik est configuré, vous pouvez le vérifier. Lancez n'importe quel appareil, recherchez votre réseau, entrez votre mot de passe d'accès et vérifiez Internet. Tout devrait fonctionner.

Ceci termine la configuration de base de Mikrotik, mais je recommande d'effectuer quelques réglages supplémentaires pour plus de commodité et de sécurité.

Modification du mot de passe administrateur par défaut

Comme je l'ai écrit plus tôt, le mot de passe administrateur par défaut dans Mikrotik n'est pas défini, il est vide. Nom d'utilisateur - administrateur. Définissons notre propre mot de passe pour restreindre l'accès des tiers à vos paramètres. Pour cela, rendez-vous dans la rubrique Système -> Utilisateurs. Sélection d'un seul utilisateur administrateur, faites un clic droit et sélectionnez le tout dernier mot de passe de l'élément.

Dans la fenêtre qui s'ouvre, saisissez 2 fois votre mot de passe et enregistrez-le. Désormais, pour vous connecter via Winbox, vous devrez spécifier non seulement l'utilisateur administrateur, mais également le mot de passe défini.

À la lumière des récents hacks de Mikrotik, je recommande fortement non seulement de définir un mot de passe complexe pour le compte administratif, mais d'en créer un complètement nouveau, avec un nom d'utilisateur autre que admin. Pour cela, dans la liste des utilisateurs, appuyez sur le signe plus et créez un nouvel utilisateur.

Après cela, l'utilisateur administrateur peut être désactivé.

Régler l'heure

Je recommande de régler l'heure correcte et d'activer la synchronisation automatique. Cela peut être utile si vous devez consulter certains journaux et comparer les heures. S'il n'est pas installé, c'est difficile à faire. Alors installons-le. Allons à Système -> Horloge, réglez manuellement l’heure, la date et le fuseau horaire.

Nous veillerons à ce que l'heure soit automatiquement mise à jour via Internet. Passons à la rubrique Système -> Client SNTP. Mettez une coche Activé, dans le champ avec les adresses des serveurs, nous entrons 193.171.23.163 Et 85.114.26.194 . Cliquez sur Appliquer et observez le résultat de la synchronisation.

Désormais, l'horloge du routeur aura toujours l'heure actuelle.

Ceci termine la configuration de base du routeur Mikrotik pour un usage domestique. Vous pouvez l'installer en place et l'utiliser.

Conclusion

J'ai donné un exemple de configuration de Mikrotik pour un utilisateur domestique en remplacement d'autres routeurs économiques populaires. Pour des réglages plus complexes et significatifs, vous pouvez utiliser mes articles sur ce sujet :

— un article expliquant comment connecter deux fournisseurs d'accès Internet et basculer automatiquement l'accès de l'un à l'autre en cas de problème de connexion avec l'un d'eux. La situation est tirée d'un exemple réel d'une maison de campagne dotée de deux chaînes Internet.

  • - du matériel populaire sur le thème de l'organisation d'un réseau wifi unique, composé de nombreux points d'accès pour couvrir une vaste zone. Cela peut être pertinent aussi bien pour les utilisateurs particuliers (maison de campagne) que pour les utilisateurs d'entreprise.
  • — une histoire sur la façon de stocker de manière centralisée les journaux Mikrotik. Cela n'a absolument aucune importance pour la maison, mais pour le secteur des entreprises, où il est important de stocker des informations sur qui, où et pourquoi.

    • Je termine mon histoire. Je serais heureux de recevoir des commentaires sur ce sujet. Permettez-moi de vous rappeler que cet article fait partie d'une seule série d'articles sur.

    l'Internet pour l’homme moderne, il est devenu non seulement un attribut irremplaçable et nécessaire, mais aussi un objet de première importance, remplaçant un grand nombre d’autres choses utilisées auparavant. Par conséquent, un Internet haut débit et de haute qualité coûte cher. Pour construire un réseau sans fil Vous avez seulement besoin d’un matériel éprouvé et fiable et d’un intégrateur qui mettra en œuvre votre projet. Achetez ce dont vous avez besoin équipement de réseau wifi pour votre réseau en vente libre ce n'est pas si simple. Ne perdez pas votre temps à chercher en vain, contactez Site de boutique en ligne. Ici vous trouverez équipements actifs et passifs dans une large gamme de marques mondiales. Équipements Wi-Fi pour restaurants et hôtels, paire torsadée pour installation extérieure, câble optique, équipements PON, appareils PON, appareils OLT, équipements CWDM et bien plus encore sont présentés dans notre catalogue Internet en ligne Mstream.

    Nous coopérons uniquement avec des fabricants éprouvés du marché informatique - Ubiquiti, Mikrotik, Cambium Networks, D-link, Hikvision, Furuno, Ajax, Ok-net, ICOM, Sailor, Zenitel, Cobham et c'est pourquoi tous les équipements de radiocommunications, de navigation maritime, sans fil ou réseau local présentés dans notre magasin répondent aux plus hauts standards de qualité. Commande équipement internet wifi C'est possible aussi bien au détail qu'en gros (nous coopérons avec des fournisseurs Internet, des intégrateurs et des revendeurs). Pour les clients réguliers, la boutique en ligne Mstream dispose d'un système flexible de remises et de reports de paiement. Les prix des équipements Internet Wi-Fi plairont même aux acheteurs au détail. Notre tâche n'est pas seulement de nous développer, mais aussi de contribuer au développement des affaires de nos clients. L'espace Wi-Fi en Ukraine n'est pas encore aussi développé et occupé, et notre objectif est l'intégration mondiale des nouvelles technologies et des développements sur le marché technologique ukrainien.

    En achetant chez nous équipement pour réseau wi-fi, vous avez la garantie de recevoir dans les plus brefs délais des solutions très fiables, de haute qualité et durables des meilleurs fabricants et marques d'équipements sans fil au monde. Large gamme et livraisons directes Équipement Wi-Fi du fabricant nous permettent, en tant qu'intégrateur de systèmes, de satisfaire tous les projets de nos clients - création d'un réseau wi-fi local. Des consultants professionnels vous fourniront des conseils complets sur le choix du bon équipement réseau, en tenant compte des projets individuels et des souhaits du client, ce qui vous fera gagner du temps et des efforts. Livraison d'équipements de réseau dans toutes les villes d'Ukraine - Odessa, Kiev, Kharkov, Kherson, Krivoy Rog, Kropyvnytskyi, Nikolaev, Dnepropetrovsk, Zaporozhye, Vinnitsa, Chernigov, Cherkassy, ​​​​Poltava, Marioupol, Lviv, Ternopil, Kramatorsk, Novomoskovsk, ainsi que ainsi que la Transnistrie, Tiraspol, la Moldavie et d'autres.

    Il est interdit de copier des informations du site sans placer de lien retour actif.

    Publications connexes