Quantas conexões o mikrotik wap suporta? Configurando redes sem fio seguras MikroTik hAP AC

O novo dispositivo da MikroTik com suporte para 2G/3G/4G é feito no design dos dispositivos da série wAP, este é o primeiro dispositivo multibanda da empresa; no ano passado já foi apresentada uma solução apenas com suporte LTE, o que limitou seu escopo de aplicação.

Este modelo permitir-nos-á cobrir por conta própria o segmento tanto de soluções fixas - uma pequena casa fora da cidade, um apartamento na cidade - como de soluções móveis como miniautocarros hot spot, autocarros, autocarros intermunicipais e, claro, pessoais e carros da empresa.

Para o transporte, um conector de alimentação especialmente integrado na placa é o positivo permanente e o positivo da ignição. O conjunto de entrega inclui um cabo com um conector


Ao abrir a tampa temos acesso aos conectores de alimentação, Ethernet, indicadores, slot para cartão SIM e botão de reset



Retirada a caixa, vemos o módulo de antena wi-fi e duas antenas LTE semelhantes em tamanho ao ZyXEL MAX-206M2


PoE (8-30 V), DC (8-30 V) e alimentação do veículo (8-30 V) estão disponíveis.


Módulo miniPCIe 2G/3G/4G R11e-LTE, 2 x U.FL (receptáculo de conector coaxial ultraminiatura) conectores macho localizados na parte superior


Especificação do módulo:

Classes 2G Multislot para GPRS/EGPRS

Classe Multislot TS de downlink Uplink TS TS ativo
12 4 4 5

Categoria 3G 14 (downlinks de 21 Mbps, uplink de 5,76 Mbps)

Categorias de equipamento de usuário HSDPA evoluído (UE)
Categoria Liberar Máx. número
do HS-DSCH
códigos (por célula)		 Modulação MIMO, Multi-Célula Taxa de código
no máximo. Dados
Avaliar		 Máx. Link descendente
Velocidade
(Mbit/s)
14 7 15 64-QAM .98 21.1

Categoria LTE 4 (downlink de 150 Mbps, uplink de 50 Mbps)

E-UTRA
Banda		 Duplex-
Modo		 ƒ
(MHz)		 Nome comum Incluído em
(subconjunto de)
Banda		 Ligação ascendente (UL)
BS receber
Transmissão UE (MHz)		 Link descendente (DL)
Transmissão BS
Recepção UE (MHz)		 Dúplex
espaçamento
(MHz)		 Canal
larguras de banda
(MHz)
1 FDD 2100 EU SOU T 65 1920 – 1980 2110 – 2170 190 5, 10, 15, 20
2 FDD 1900 Blocos PCS AF 25 1850 – 1910 1930 – 1990 80 1.4, 3, 5, 10, 15, 20
3 FDD 1800 DCS 1710 – 1785 1805 – 1880 95 1.4, 3, 5, 10, 15, 20
7 FDD 2600 IMT-E 2500 – 2570 2620 – 2690 120 5, 10, 15, 20
8 FDD 900 E-GSM 880 – 915 925 – 960 45 1.4, 3, 5, 10
20 FDD 800 Dividendo Digital da UE 832 – 862 791 – 821 −41 5, 10, 15, 20
38 TDD 2600 IMT-E (Espaçamento Duplex) 41 2570 – 2620 N / D 5, 10, 15, 20
40 TDD 2300 2300 – 2400 N / D 5, 10, 15, 20

O verso da placa contém um slot para um cartão SIM.





Equipamento


Prós do dispositivo

  • O modem 2G 3G 4G mais acessível é conectado através de um slot miniPCIe no sistema, visível como USB, o tempo de troca entre bandas é de 15 segundos
  • Antenas MIMO multibanda de 4,5dBi integradas
  • Ao contrário da placa doadora wAP LTE 2nD, um dissipador de calor é instalado no chipset
  • Há uma indicação do nível do sinal, a sensibilidade é definida programaticamente na seção Sistema - LEDs
  • Conector de alimentação para carro incluído
  • estão incluídos um parafuso de segurança para a tampa e uma chave, o parafuso está equipado com uma mola, não há necessidade de prendê-lo ao desparafusar

Desvantagens do dispositivo

  • Slot SIM inconveniente, não há mola de retorno - você pode obter o cartão SIM desmontando o dispositivo ou usando uma pinça

ATUALIZAÇÕES

A linha de produtos MikroTik agora inclui novos acessórios para modernização do kit wAP LTE com antena de painel externo:

  • Cabos ACSMAUFL - ACSMAUFL - pigtail U.fl-SMA - 2 unid.
  • mANT LTE 5o - MTAO-LTE-5D-SQ - antena 5dBi LTE
  • SMASMA - conjunto de cabo 1m SMA macho - SMA macho - 2 unid.

Testando o desempenho de diferentes versões do ROS usando o exemplo da operadora Beeline

Versão padrão de fábrica ROS 6.39.2


Última versão candidata a lançamento do ROS 6.43.14


Versão mais recente do Bugfix apenas ROS 6.40.8


Não há diferença significativa nas velocidades; o release candidate ROS 6.43.14 oferece maior velocidade, mas isso pode ser atribuído a um erro de medição

Configurações

ATUALIZAÇÃO É melhor não mexer nas configurações do modem, o modem em modo automático se conecta à rede mais rápido, a única coisa é desmarcar GSM (GPRS/EGPRS classe 12) não precisamos disso, a velocidade no sentido atual não é lá.

No modo de seleção manual de “bandas”, o modem se conecta à rede da operadora por muito mais tempo

Mudanças desde o RouterOS 6.41:


Perfis APN

Parâmetro apn mudanças agora na aba perfil LTE - apn:

/interface lte apn add name=profile1 apn=internet authentication=chap password=web user=web Exemplo para operador Yota /interface lte apn add name=profile1 apn=yota.ru

Selecione um perfil para a conexão LTE atual:

/interface lte definir apn-profiles=perfil1

Para a interface web dos modems USB, os presets são ordenados automaticamente vinculando o perfil à operadora; tal funcionalidade ainda não está disponível no Mikrotik

Atravessar

A partir do RouterOS v6.41, algumas interfaces LTE suportam LTE Passthrough, onde a configuração IP é aplicada diretamente ao dispositivo cliente. Neste caso, o firmware do modem é responsável por configurar o IP, e o roteador é utilizado apenas para configurar os parâmetros do modem - APN, tecnologias de rede e tipo de IP. Nesta configuração o roteador não receberá a configuração IP do modem. Um modem LTE Passthrough pode transmitir endereços IPv4 e IPv6 se eles forem suportados pelo modem. Alguns modems suportam vários APNs, onde você pode encaminhar o tráfego de cada APN para uma interface de roteador específica.

A passagem funcionará apenas para um host. O roteador detectará automaticamente o endereço MAC do primeiro pacote recebido e o utilizará para Passthrough. Se houver vários hosts na rede, você poderá bloquear o Passthrough para um MAC específico. Em um host na rede onde o Passthrough fornece um endereço IP, o cliente DHCP deve estar habilitado nessa interface. Observe que não será possível conectar-se a um roteador LTE por meio de um endereço IP público ou de um host usado por passagem. Para fins de configuração, sugere-se criar uma conexão adicional do roteador LTE ao host. Por exemplo, uma interface vlan entre um roteador LTE e um host.

Vamos configurar o Passthrough na interface ether1:

/interface lte apn adicionar apn=apn1 passthrough-interface=ether1 /interface lte set lte1 apn-profiles=apn1

Vamos configurar o Passthrough na interface ether1 para o host 00:11:22:33:44:55:

/interface lte apn add apn=apn1 passthrough-interface=ether1 passthrough-mac=00:11:22:33:44:55 /interface lte set lte1 apn-profiles=apn1

Vinculando R11e-LTE ao setor da estação base

Usando o seguinte comando no terminal

/interface lte info lte1 uma vez

Obtemos o status do modem:

> /interface lte info lte1 uma vez
status do PIN: nenhuma senha necessária
funcionalidade: completa
fabricante: "MikroTik"
modelo: "R11e-LTE"
revisão: "MikroTik_CP_2.160.000_v001"
operador atual: 25099
laca: 578
célula atual: 200005126
phy-celídeo: 74
tecnologia de acesso: 3G evoluído (LTE)
tempo de atividade da sessão: 1h33m38s
imei:
earfcn: 3300 (banda 7, largura de banda 10Mhz)
RSRP: -90dBm
rsrq: -10dB
sinr: 5dB
cqi: 15

das variáveis ​​que precisamos phy-cellid: 74, earfcn: 3300 (banda 7, largura de banda 10Mhz) trabalharemos mais com eles

Usando essas variáveis ​​adquiridas, você pode enviar um comando AT ao modem para bloquear o setor BS no seguinte formato:

AT*Célula= ,,,,Onde : 0 – Célula/Frequência desabilitada 1 – Bloqueio de frequência habilitado 2 – Bloqueio de célula habilitado 0 – GSM 1 – UMTS_TD 2 – UMTS_WB 3 – LTE adicione se o fatiamento de frequência de bloqueio for necessário (geralmente o parâmetro é deixado em branco) earfcn de informações LTE Phy-cellid de informações LTE

Para bloquear o modem no modo LTE e o setor BS utilizado anteriormente, utilize o seguinte comando AT::

/interface lte at-chat lte1 input="AT*Cell=2,3,3300,74"

Infelizmente, após reiniciar o dispositivo ou redefinir o modem, todos os bloqueios instalados serão perdidos.

Se desejar, você sempre pode escrever um script que inserirá automaticamente os mesmos parâmetros

Configurações padrão ou padrão

você pode enviá-lo para o terminal com o seguinte comando, é melhor enviá-lo via ssh

/configuração padrão do sistema imprimir

opção de exportação de configuração clássica, o fabricante usa folhas de endereço e DNS estático

#| Roteador LTE CPE com AP sem fio: #| * Interface lte conectada à rede dos provedores (porta WAN> #| * A porta WAN é protegida por firewall e habilitada para DHCP cl> #| wlan1 Configuração: #| modo: ap-bridge; #| banda: 2ghz-b/g/n; #| ht-chains: 0.1; #| ht-extension: 20/40mhz-Ce; #| Configuração LAN: #| O endereço IP 192.168.88.1/24 está definido na ponte (LAN por> #| Servidor DHCP: habilitado ; # | DNS: habilitado; #| WAN (gateway) Configuração: #| gateway: lte1 ; #| firewall ip4: habilitado; #| NAT: habilitado; /interface lte set [ find ] add-default-route=yes default- route- distância = 2 endereço mac = 00:00:00:00:00:00 nome = lte1 use-peer-dns = sim / ponte de interface adicionar admin-mac = E4: 8D: 8C: 3B: 1C: BA auto -mac = sem comentário = nome defconf = ponte / interface conjunto sem fio [encontrar nome padrão = wlan1] banda = 2ghz-b/g/n largura do canal = 20/40mhz-Ce desativado = sem distância = frequência interna = modo automático = ap -bridge ssid = MikroTik-000000 / conjunto de descoberta de vizinho ip lte1 descobrir = não / lista de interface adicionar comentário = nome defconf = WAN adicionar comentário = nome defconf = LAN / interface conjunto de perfis de segurança sem fio [encontrar padrão = sim] suplicante- identidade = MikroTik /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=bridge name=defconf /interface bridge port add bridge= bridge comment =defconf interface=ether1 adicionar bridge=bridge comment=defconf interface=wlan1 /interface list member add comment=defconf interface=bridge list=LAN adicionar comment=defconf interface=lte1 list=WAN /ip address add address=192.168.88.1 /24 comment=defconf interface=bridge network=192.168.88.0 /ip dhc-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set permitir-remote-requests=yes /ip dns static add address =192.168.88.1 nome=router.lan /ip filtro de firewall adicionar ação=accept chain=input comment="defconf: aceitar estabelecido, relacionado, não rastreado" connection-state=estabelecido, relacionado, não rastreado adicionar ação=drop chain=input comment= "defconf: descartar inválido" connection-state=inválido add action=accept chain=input comment="defconf: aceitar ICMP" protocol=icmp add action=drop chain=input comment="defconf: descartar todos que não vêm da LAN" in- interface-list=!LAN add action=accept chain=forward comment="defconf: aceitar política ipsec" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: aceitar política ipsec" ipsec -policy =out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=estabelecido,relacionado add action=accept chain=forward comment="defconf: aceitar estabelecido, relacionado, não rastreado" connection- state= estabelecido, relacionado, não rastreado add action=drop chain=forward comment="defconf: drop invalid" connection-state=inválido add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat- state= !dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN /tool ​​mac- conjunto de servidores [encontrar padrão = sim] desabilitado = sim adicionar interface = ponte /ferramenta mac-server mac-winbox set [encontrar padrão = sim] desabilitado = sim adicionar interface = ponte

Quick Set é um assistente de configuração automática que ajuda você a configurar seu roteador rapidamente, sem se aprofundar no ajuste fino do RoS, e começar a usá-lo. Dependendo do seu dispositivo, vários modelos podem estar disponíveis para você:

Segurança

A configuração padrão não permite mais conectar-se ao roteador a partir de uma rede externa, mas a proteção é baseada apenas em um filtro de pacotes. Não se esqueça de definir uma senha para o usuário administrador. Então, além da filtragem e senha, faço o seguinte:

Disponibilidade em interfaces externas

Desativo os serviços que não são necessários na rede doméstica (e não em todas as redes não domésticas) e limito os restantes ao seu âmbito, indicando os endereços a partir dos quais esses serviços podem ser ligados.

O próximo passo será limitar a detecção do roteador procurando vizinhos. Para isso, você deve ter uma lista de interfaces onde este protocolo pode funcionar, vamos configurá-lo:

/interface list add exclude=nome dinâmico=descobrir

Vamos adicionar à lista de descoberta as interfaces nas quais queremos que o protocolo Neighbors Discovey funcione.

Agora vamos configurar o protocolo especificando a lista de descoberta em suas configurações:

Em uma configuração home simples, a lista de descoberta pode conter interfaces nas quais o protocolo de acesso a endereços MAC pode operar, para situações onde o IP não está disponível, então vamos configurar esta função:

Agora, o roteador se tornará “invisível” em interfaces externas, o que ocultará informações sobre ele (não todas, é claro) de possíveis scanners e até mesmo privará os bandidos de uma oportunidade fácil de obter o controle do roteador.

Proteção DDoS

Agora, vamos adicionar algumas regras simples ao filtro de pacotes:

/ip filtro de firewall adicionar ação = cadeia de salto = encaminhamento estado de conexão = novo em -interface-list = ISP jump-target = anti-DDoS adicionar ação = cadeia de salto = entrada estado de conexão = novo em -interface-list = salto do ISP -target=anti-DDoS add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS add action=jump chain=input connection-state=new dst-port=22.8291 in -interface -list=ISP jump-target=protocolo anti-BruteForce-3=tcp add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3 add action=return chain=anti-BruteForce -3 dst-limit=4/1m,1,src-address/1m40s add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce -3

E iremos colocá-los após a regra defcon para o protocolo icmp.

O resultado será o banimento por um dia para quem tentar abrir mais de 15 novas conexões por segundo. Se 15 conexões são muitas ou poucas é uma questão discutível, você mesmo pode escolher o número, eu escolhi 50 para uso corporativo e recebo de 1 a 2 dessas proibições por dia. O segundo grupo de regras é muito mais rígido; bloqueia tentativas de conexão na porta ssh(22) e winbox(8291), 3 tentativas por minuto, e descanso por um dia;). Se você precisar expor um servidor DNS à Internet, usando uma regra semelhante, poderá bloquear ataques de amplificação de DNS, mas a solução não é ideal e há muitos falsos positivos.

RFC 1918

A RFC 1918 descreve a alocação de espaços de endereço para redes globalmente não roteáveis. Portanto, faz sentido bloquear o tráfego de/para essas redes na interface voltada para o provedor, exceto em situações em que o provedor fornece um endereço “cinza”.

/ip lista de endereços de firewall adicionar endereço=10.0.0.0/8 list="RFC 1918" adicionar endereço=172.16.0.0/12 list="RFC 1918" adicionar endereço=192.168.0.0/16 list="RFC 1918" /ip filtro de firewall adicionar action=drop chain=input comment="Drop RFC 1918" in -interface-list=WAN src-address-list="RFC 1918" add action=drop chain=forward comment="Drop RFC 1918" dst-address -list="RFC 1918" out-interface-list=WAN adicionar ação=drop chain=saída comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN

Coloque essas regras mais perto do início e não esqueça de adicionar à lista a interface WAN voltada para o provedor.

UPnP

Uma tecnologia bastante polêmica que permite que aplicações solicitem ao roteador o encaminhamento de portas através de NAT, porém, o protocolo funciona sem qualquer autorização ou controle, isso simplesmente não está no padrão, e muitas vezes é um ponto de segurança reduzida. Personalize como desejar:

Conexão SIP

Entre outras coisas, vale a pena desabilitar o módulo SIP conntrack, que pode causar operação VoIP inadequada; a maioria dos clientes e servidores SIP modernos funcionam bem sem sua ajuda, e o SIP TLS o torna completamente inútil.

Listas dinâmicas e aninhadas de interfaces

Este recurso apareceu recentemente (a partir da versão 6.41) e é muito conveniente. Porém, há um bug desagradável (eu relatei, mas ainda não foi corrigido), a questão é que após pré-iniciar o roteador, as regras de firewall que usam essas listas não funcionam para as interfaces incluídas nas listas filhas. É curado adicionando novamente listas de filhos. A automação é simples:

No Sheduler, escrevemos um script para o evento start (listas de interfaces para uma configuração balanceada):

/interface list set ISP1TUN include="" set ISP include="" set TUN include="" :delay 2 set ISP1TUN include=ISP1,TUN1 set ISP include=ISP1 set TUN include=TUN1

Wi-fi

Num ambiente urbano, quando as ondas são extremamente barulhentas, faz sentido abandonar os canais de 40 MHz; isto aumenta a potência específica do sinal no canal, uma vez que um canal de 40 GHz é essencialmente dois canais de 20 GHz.

Ponte e ARP

Se o seu roteador distribui a Internet e fornece configurações aos clientes via DHCP, faz sentido definir a configuração arp=reply-only e habilitar add-arp=yes no servidor DHCP

Esta configuração impedirá que você defina o endereço IP manualmente, pois o roteador só concordará em trabalhar com o par MAC-IP que ele mesmo emitiu.

P.S. artigo retirado daqui https://habrahabr.ru/post/353730/

O número de dispositivos sem fio está crescendo rapidamente, aumentando continuamente os requisitos de largura de banda e cobertura da rede.

Já existem soluções suficientes no mercado para criar uma grande rede sem fio tanto em uma pequena casa particular quanto em uma grande casa de campo, começando com Luma, Eero e terminando com.

Algumas soluções são fáceis de configurar e têm um preço alto, enquanto outras oferecem ótimos recursos, mas exigem uma boa base para configuração. Em particular, estamos falando dos produtos Mikrotik, que se diferenciam por uma excelente combinação de alta confiabilidade, ótima funcionalidade e custo bastante acessível. Ao mesmo tempo, o Mikrotik será difícil de entender para a grande maioria dos usuários domésticos, o que aumenta o nível de entrada e limita bastante o uso real de sistemas baseados em Mikrotik em casa.

Apesar da desvantagem descrita acima, depois de configurar o Mikrotik, você pode esquecê-lo por meses, até anos. O equipamento Mikrotik pode funcionar por seis meses ou mais sem reiniciar, economizando muito tempo e nervosismo.

Nesta publicação, mostraremos e explicaremos como criar e configurar uma rede confiável baseada em Mikrotik com excelente cobertura sem fio para um apartamento grande, casa particular ou pequeno escritório com um número mínimo de fios.

Escolhendo um roteador

Um roteador (modelo RB960PGS) é adequado para criar uma rede de alto desempenho. A presença de um slot SFP permite a conexão a um provedor de Internet por meio de óptica, além disso, o dispositivo está equipado com interfaces de 5 gigabit.

Se o SFP não for usado, a conexão à Internet pode ser feita usando a primeira interface de rede RJ-45, que também suporta entrada PoE. As 4 interfaces restantes suportam PoE Out, o que permite alimentar vários pontos de acesso a partir delas, mas não mais que 4.

Na prática, quase sempre se utiliza uma rede cabeada, então pelo menos uma porta precisará ser alocada para uma rede local cabeada, então no total teremos 3 portas PoE à nossa disposição, o que é suficiente para uma casa particular de médio porte .

Se você planeja usá-lo em casa, qualquer switch gigabit de qualquer marca servirá antes de expandir sua rede com fio. Ao mesmo tempo, se você planeja usar VLANs e outras coisas exóticas, precisará de um switch gerenciado, ou pelo menos Easy-Smart, recomendamos prestar atenção a um switch gerenciado.

Nos casos em que você precisa alimentar mais de 3 pontos de acesso, você pode adquirir um switch gerenciado adicional com PoE -. Observe que a compra de um switch PoE adicional só será justificada se você alimentar de 2 a 4 pontos de acesso adicionais a partir dele. Caso contrário, comprar um interruptor para ligar apenas um ponto será um desperdício de dinheiro.

Para redes de 100 Mbit, modelos de roteadores PoE mais acessíveis são adequados:

Não é necessário adquirir dispositivos que suportem PoE, mas neste caso será necessário montar uma pequena caixa de comunicação e colocar nela todos os injetores e adaptadores.

Selecionando pontos de acesso

No caso dos pontos de acesso, a escolha é muito mais ampla. Abaixo selecionamos as ofertas mais interessantes, e elas estão classificadas em ordem crescente de preço.

Observe que o modelo Groove 52 (RBGroove52HPn) não cabe, porque... Vem com uma licença de nível 3 que não permite o uso do modo AP.

Você provavelmente tem uma pergunta natural: o que o hAP ac lite faz nesta tabela? É simples. Em primeiro lugar, possui suporte PoE, que permite alimentá-lo remotamente. Em segundo lugar, o roteador pode ser montado na parede. Em terceiro lugar, trata-se, obviamente, de suporte para 802.11ac e o preço é de apenas 45 USD.

Graças à combinação destes parâmetros, pode ser utilizado como ponto de acesso Dual-Band com a funcionalidade de um switch adicional. A única limitação é a velocidade das interfaces de rede de 100 Mbit.

Point GrooveA 52 é destacado separadamente, porque está equipado com um potente módulo de rádio e é adequado para uso externo quando é necessário cobrir uma área muito grande. Observe que o dispositivo só pode operar em uma banda por vez – 2,4 GHz ou 5 GHz. O intervalo é selecionado manualmente no painel de controle.

A tabela também não inclui OmniTIK e Metal, devido à relação preço/funcionalidade. Estas soluções são mais adequadas para utilização em redes comerciais.

A melhor opção para construir uma rede em casa é, e. Além disso, wAP e wAP ac podem ser usados ​​ao ar livre.

O modelo wAP ac mais antigo é equipado com uma interface de rede gigabit para fornecer alto rendimento; suporta operação simultânea em duas bandas com velocidades de canal de 300 e 1300 Mbit para 2,4 e 5 GHz, respectivamente.

Na verdade, usando o exemplo de wAP e wAP ac em conjunto com o switch hEX PoE, consideraremos a construção de uma rede sem fio doméstica.

Conectando e configurando o gateway

O hEX PoE atuará como roteador principal, proporcionando aos clientes acesso à Internet. Como esperado, o gateway emitirá endereços IP para outros dispositivos, mas o servidor DHCP será desabilitado nos próprios pontos de acesso.

Conectamos o dispositivo e fazemos login no painel de controle.

O processo de configuração será discutido usando as configurações padrão como exemplo, a fim de simplificar o processo tanto quanto possível para usuários novatos do Mikrotik.

A configuração padrão é bastante adequada para nós, basta configurar o tipo de conexão à rede do provedor e selecionar a porta ETH1 (par trançado) ou SFP (óptica)

Por conveniência, alteramos os dispositivos IP e as configurações da rede local para outros mais familiares - 192.168.0.1/24.

Observe que aumentamos intencionalmente o pool DHCP, o que não é necessário. Pessoalmente, é mais fácil para mim usar vinculação estática e MAC:IP na parte inferior e emitir IP para outros clientes na parte “superior”.

Certifique-se de alterar o nome do dispositivo, no nosso caso será “GATEWAY” (gateway), no futuro, com um grande número de dispositivos, será muito mais fácil navegar por nomes do que por IP.

Aplique as configurações. Depois disso, o Winbox ficará inacessível; em alguns PCs será necessário reconectar-se à rede desconectando o cabo para que a rede receba um novo IP.

Uma boa regra seria ir em IP - Servidor DHCP - Redes e adicionar manualmente o IP do nosso roteador como servidor DNS para clientes que recebem configurações via DHCP. O Mikrotik possui sua própria funcionalidade DNS, portanto, não faz sentido usar o DNS do provedor nos clientes.

A propósito, você também pode especificar o NTP aqui; você pode aumentá-lo facilmente no próprio Mikrotik. Se você substituir time.windows.com pelo IP do Mikrotik em registros DNS estáticos, as máquinas que executam o sistema operacional Windows poderão obter a hora exata do gateway principal sem configurações adicionais. Leia mais em uma publicação separada, link acima.

Não se esqueça de atualizar o gateway para a versão mais recente do RouterOS, no nosso caso é uma atualização de 6.36.1 para 6.38.1. O dispositivo será reiniciado para atualização.

A configuração geral do gateway está concluída. Criar um novo usuário, alterar a senha, desabilitar serviços desnecessários e outras configurações de segurança do Mikrotik é assunto para uma publicação separada, portanto não vamos nos alongar sobre isso.

Nesta fase, você pode conectar pontos de acesso ao roteador.

Conectando pontos de acesso ao roteador

Ambos os pontos serão alimentados via PoE do roteador principal. Essa abordagem nos permitirá sobrecarregar dispositivos programaticamente à distância e também nos livrar de fios desnecessários.

Na prática, é melhor conectar os pontos em etapas, pois todos os wAPs possuem rede aberta e senha padrão.

Vamos conectar os dois pontos ao mesmo tempo, porque Para um usuário experiente, o processo leva apenas alguns minutos.

Um ponto de acesso Mikrotik wAP normal recebeu energia via PoE sem problemas, mas para wAP ac tivemos que selecionar o modo PoE “forçado” nas configurações da porta. Você pode ler mais sobre prioridades e configuração do PoE Out em geral em.

Como você pode ver, no modo inativo o wAP consome apenas 1,1 W, e seu irmão mais velho wAP ac consome 3,3 W.

Na seção IP - Servidor DHCP - Locações, você pode ter certeza de que ambos os pontos de acesso receberam um endereço IP.

Vamos passar para a próxima etapa de configuração.

Conexão Mikrotik WAP

O processo de configuração de ambos os wAPs é feito conectando-se à rede sem fio aberta do ponto de acesso. Um netbook, laptop ou PC com adaptador sem fio é adequado para esses fins. No nosso caso será um netbook.

Como você pode ver, o netbook identificou com sucesso todas as 3 redes. Por que três e não dois? O fato é que o wAP ac possui uma rede de 2,4 GHz e a segunda de 5 GHz.

MikroTik-5EDCC7 é o nosso Mikrotik wAP, as redes MikroTik-7D550D e MikroTik-7D550E são Mikrotik wAP ac, que é fácil de identificar pelo nome da rede (o nome é diferenciado pelo último caractere).

Começaremos a configurar do ponto mais simples, isso é mais rápido e permitirá que você entenda como configurar um ponto de banda dupla.

Após conectar-se à rede wireless MikroTik-5EDCC7, o Winbox detectará um dispositivo com padrão IP 192.168.88.1

Aceitamos a configuração padrão. Como você pode ver, o dispositivo opera em modo roteamento, por isso não é possível conectá-lo via cabo.

Mude o ponto para o modo bridge (Bridge = bridge), isso tornará o dispositivo completamente transparente. Definimos a opção “Aquisição de endereço” como “Automático”, ou seja, O dispositivo receberá IP do servidor DHCP. Se desejar, você pode implementar um IP estático, mas falaremos mais sobre isso mais tarde; implementaremos de forma um pouco diferente.

“Adress Source” deve ser especificado como “Any”, caso contrário, ao selecionar o aparentemente lógico “Ethernet”, o dispositivo terá IP 0.0.0.0 e você simplesmente não se conectará a ele. Se tudo for feito corretamente, o dispositivo receberá configurações de rede.

Como antes, alteramos o nome do dispositivo.

Conectando Mikrotik wAP ac

Repetimos todos os passos acima para o novo ponto, bem como para cada ponto subsequente que será adicionado à rede.

Se tudo for feito corretamente, todos os três dispositivos ficarão visíveis no Winbox.

E, claro, não se esqueça de atualizar o RouterOS em todos os dispositivos de rede.

Configurando uma rede wireless no Mikrotik wAP

Primeiro, vamos configurar o ponto de acesso wAP.

Na seção Wireless - Interfaces, abra as propriedades da interface wireless.

Pessoalmente, sou um defensor do “Modo Avançado”, se a quantidade de opções te assusta, você pode usar o “Modo Simples”. A alternância entre os modos é realizada a qualquer momento no lado direito da janela de configurações.

Na janela atual estamos interessados ​​em “Freq. Uso..." Após clicar neste botão, uma nova janela se abrirá na qual você deverá clicar em “Iniciar”. O sistema começará a escanear os canais e você poderá ver o nível de utilização do canal em tempo real.

Como você pode ver, 2.442-2.452 MHz são usados, então é melhor trabalhar na faixa de 2.412-2.432 MHz. Não se deve esquecer que ao utilizar canais largos de 40 MHz, o número de canais não sobrepostos é 3.

Ao configurar uma interface sem fio, prefiro especificar explicitamente 2GHz-only-N, que define o modo 802.11n. se você possui dispositivos antigos sem suporte ao novo padrão, use modos mistos.

Definimos a largura do canal para “20/40 Ce”; você também pode especificar “20/40 eC”. Os índices eC e Ce indicam onde o alcance precisa ser ampliado em relação ao canal principal. eC - expansão descendente, Ce - expansão ascendente. Assim, se você selecionar o primeiro canal, só poderá expandi-lo para cima; no caso do último canal, a situação é inversa, só poderá ser expandido para baixo.

SSID - nome da rede sem fio. Se você tiver pontos de acesso compatíveis com 5 GHz, poderá especificar explicitamente os sufixos 2G e 5G para ajudar a diferenciar as bandas. Caso isso não seja feito, ao invés de duas redes no cliente, apenas uma ficará visível na lista, e a conexão será realizada de acordo com as prioridades do adaptador (Preferir 2G/Preferir 5G).

O WPS deve ser desativado se não for usado.

“Modo de frequência” está definido como “domínio regulatório” e “País” está definido como “Ucrânia”. Esta configuração permitirá que você não viole as restrições regionais ao uso de recursos de radiofrequência.

“Suporte WMM” pode ser selecionado como “ativado”. Este é um complemento especial de QoS que permite aumentar a prioridade do tráfego multimídia.

Vá para a guia “Avançado”. Para a opção “Hw. Modo de proteção" selecione "rts cts". Resumindo, esta opção ajuda a evitar conflitos quando os clientes conectados ao ponto não se veem e não conseguem chegar a um acordo sobre a ordem de transferência dos dados.

Para “Imunidade Adaptativa a Ruído” definimos “modo AP e Cliente”. Novamente, em resumo, esta opção permite ativar um algoritmo especial para filtrar ruído criado pelo ponto e/ou cliente, por exemplo, múltiplas reflexões de sinal de paredes. Observe que a opção só funcionará em adaptadores com chips Atheros.

Na aba HT, verifique os parâmetros “Tx/Rx Chains”, que devem ser verificados em todos os lugares. Se a caixa de seleção não estiver marcada em um dos canais, o adaptador não poderá utilizá-lo durante a operação.

Como não alteramos os parâmetros de potência do módulo de rádio, serão aplicados os valores padrão.

Neste caso, estamos interessados ​​exclusivamente no HT20-x e no HT40-x. Essencialmente, este é um tipo de guia de energia para um módulo de rádio específico.

HT20 e HT40 indicam larguras de canal de 20 e 40 MHz, respectivamente. O número no sufixo é o índice de velocidade MCS para o padrão 802.11n. Quanto maior o número, maior a velocidade. Como você pode ver, velocidades mais altas consomem menos energia e, quanto maior a velocidade, menor será a potência. Leve esses dados em consideração se decidir ajustar manualmente a potência do módulo sem fio.

Na etapa final, vá até a aba “Perfis de Segurança”. Esta seção exige que você ajuste seu perfil de segurança. Selecione o modo “teclas dinâmicas”, bem como as opções WPA2 e AES. Você pode esquecer para sempre o WPA e o TKIP (sem mencionar o WEP desatualizado), essas opções de segurança estão comprometidas há muito tempo e possuem “brechas” que permitem que um invasor experiente obtenha acesso a uma rede sem fio protegida por esse método.

A senha da rede é inserida no campo “WPA2 Pre-Shared Key”. Isso completa a configuração do primeiro ponto.

Configurando uma rede wireless no Mikrotik wAP ac

Ao configurar o segundo ponto de acesso, fazemos tudo de forma semelhante ao primeiro ponto de acesso.

Não se esqueça que é necessário fazer a varredura da rede wireless para cada ponto, pois as condições do ar podem variar dependendo do local. Se você quiser confiar na automação, escolha o canal “automático”; o Mikrotik lida muito bem com essa tarefa sozinho.

Não se esqueça de especificar para o novo e para cada ponto subsequente exatamente o mesmo SSID do primeiro dispositivo. Isto é necessário para roaming automático de clientes entre APs.

A frequência operacional pode ser especificada da mesma forma, mas somente se os pontos de acesso se sobrepuserem ligeiramente. Caso contrário, os pontos compartilharão as ondas de rádio entre si, o que afetará negativamente a velocidade ao trabalhar simultaneamente. É melhor usar o princípio do “tabuleiro de xadrez”, ou seja, canais alternativos para que eles não se cruzem.

No caso de pontos de acesso de banda dupla, haverá 2 interfaces na lista de interfaces sem fio; cada uma é configurada separadamente.

O princípio é o mesmo, examinamos o intervalo e selecionamos a frequência ideal. Se o seu intervalo 5745-5805 estiver claro, recomendamos usá-lo. No nosso caso, já está “lotado” de fornecedores locais.

A propósito, administradores experientes estarão interessados ​​em varredura espectral e histórico espectral. Ambas as ferramentas funcionam através do terminal.

Para ligar, use os seguintes comandos:

/ interface de varredura espectral sem fio

/ histórico espectral sem fio da interface

Os canais e frequências foram decididos.

Para a faixa de 5 GHz indicamos o sufixo 5G, o que não é de todo necessário, como já foi mencionado anteriormente.

A largura padrão do canal será 20/40 MHz, mas sabemos que o 802.11ac pode usar canais de 80 MHz e é neles que fornece alta velocidade.

Para canais de 80 MHz, o add-on eCee é utilizado em diferentes combinações, são 4 no total, pois um canal de 80 MHz combina 4 canais de 20 MHz. A lógica de seleção é a mesma de 2,4 GHz.

Fazemos as configurações da mesma forma que fizemos no ponto anterior e na faixa de 2,4 GHz. Não se esqueça de verificar Chains e definir suas configurações de segurança (perfil).

As nuances do roaming no Mikrotik

Em princípio, este poderia ser o fim das breves instruções, mas há mais uma nuance.

Na prática, muitas vezes há casos em que redes sem fio se cruzam. Nesses casos, o cliente pode teimosamente se agarrar a um ponto com sinal fraco, mesmo que haja um ponto com excelente nível de sinal “debaixo do nariz”.

Na verdade, um exemplo desse caso está na imagem acima. À esquerda vemos que o telefone está conectado à rede de 5 GHz com boa intensidade de sinal. Depois de mudar para outra zona, o smartphone ainda permanece preso na rede de 5 GHz, apesar da velocidade do canal ter caído para 87 Mbit, e de haver uma rede de 2,4 GHz próxima com um sinal excelente.

O que fazer neste caso? Você pode trocar de rede manualmente se as redes tiverem nomes diferentes, mas também pode usar um arquivo e muletas.

Primeiro de tudo, você precisa desabilitar a opção “Autenticação padrão” em todas as interfaces sem fio. Isso é necessário para usar a funcionalidade ACL.

Na aba Lista de Acesso (a seção continua a mesma, Wireless) criamos 2 regras.

Primeira regra. Definimos a faixa de nível de sinal -75...120 dBm, definimos as opções Autenticação e Encaminhamento. Esta regra permitirá conexões para clientes cujo nível de sinal seja de pelo menos -75 dBm.

Segunda regra. Defina o intervalo para -120...-76 dBm, desative as opções Autenticação e Encaminhamento. Esta regra desconectará clientes cujo nível de sinal caia abaixo de -76 dBm.

A opção Autenticação permite a conexão, portanto sua ausência nega a conexão. A opção Forward permite a troca de dados entre estações/clientes. O encaminhamento pode ser útil em uma rede doméstica segura, mas em uma rede pública aberta, a troca de dados entre clientes deve ser proibida por motivos de segurança.

Se desejar, aqui você pode configurar regras para dias da semana e horário. Para isso, abaixo do spoiler de tempo estão os parâmetros necessários.

Depois que as regras da ACL forem criadas, você poderá ver uma lista de clientes autorizados na tabela Registro. Além disso, no comentário de cada cliente será indicado o comentário da regra ACL (se especificada), o que é muito conveniente.

Verificamos o trabalho no smartphone. Quando o nível do sinal piora para -75 dBm, o dispositivo ainda permanece no ponto anterior. Assim que o sinal piorar para -76 dBm, o ponto desconecta automaticamente o cliente, após o que o cliente se conecta ao ponto mais forte.

No entanto, este método não apresenta desvantagens. O fato é que os pontos desconectam o cliente à força, o que faz com que o cliente final sofra uma perda de comunicação de curto prazo. Na melhor das hipóteses, são cerca de 2 segundos. Depende muito do equipamento do cliente.

Defino o nível do sinal em -75 dBm apenas como exemplo; este é um nível mais recomendado do que o parâmetro universal “para qualquer ocasião”. Na prática, às vezes é necessário usar -80 dBm ou menos. Em qualquer caso, o valor é selecionado exclusivamente por método experimental no local, com base na cobertura específica e na sensibilidade do equipamento cliente.

Finalmente

Claro que existem muitas opções para implementar uma rede sem fio doméstica no Mikrotik, desde a configuração manual até o uso de CAPsMAN e até mesmo Mesh.

Descrevemos uma opção de configuração totalmente manual para que o usuário final entenda “como funciona”; além disso, esta opção não requer conhecimentos profundos. Ao mesmo tempo, esta configuração permite criar uma rede sem fio confiável que pode operar de forma estável sem a sua intervenção.

Entre as desvantagens, vale destacar a necessidade de configurar todos os dispositivos separadamente, o que leva um pouco mais de tempo do que no CAPsMAN. Ao usar vários pontos, esta opção é bastante adequada e oferece boa flexibilidade.

Continuo a história sobre uma série maravilhosa de dispositivos da Letônia que provaram ser dispositivos funcionais e confiáveis. Neste artigo darei uma olhada detalhada na questão da configuração básica dos roteadores mikrotik usando o exemplo do modelo econômico e mais popular RB951G-2HnD. Estas instruções são adequadas para quase todos os modelos, pois todos são baseados no mesmo sistema operacional.

Este artigo faz parte de uma única série de artigos sobre.

Introdução

Os roteadores Mikrotik estão no mercado há muito tempo, mas ainda não ganharam muita popularidade. Embora tenham ocupado seu nicho. Pessoalmente, acho que este é um excelente roteador para uso doméstico, pois não tem concorrentes em termos de confiabilidade. Este é realmente um roteador que você pode configurar uma vez e esquecer. Pessoalmente, nunca encontrei um dispositivo que precisasse ser forçado a reiniciar para sair do coma, como costuma acontecer com outros hardwares baratos.

A distribuição entre usuários domésticos é limitada principalmente pela complexidade da configuração. E embora possa parecer a um usuário mais ou menos avançado que não há nada complicado aqui. Mas na verdade existe. E muitas vezes me deparei com pedidos para configurar um roteador em casa para distribuir a Internet via wifi, já que os usuários que o compraram por recomendação de alguém não conseguiram configurar totalmente a funcionalidade necessária, embora haja instruções suficientes na Internet.

Quero preencher essa lacuna e escrever instruções passo a passo detalhadas para configurar o Mikrotik do zero para manequins, usando como exemplo o modelo mais adequado para uso doméstico, o RB951G-2HnD. Há muito tempo preparei uma folha de dicas pessoal na forma de um arquivo de texto. Usando-o, eu literalmente configuro um roteador em 10 minutos e o entrego ao usuário. Ou seja, não há realmente nada complicado se você souber o que está fazendo. Escreverei material baseado nesta folha de dicas.

Descrição Mikrotik RB951G-2HnD

Aqui está ele, o herói do artigo de hoje -. Sua descrição, comentários e custo podem ser verificados rapidamente no Yandex.Market. A julgar pelo número de comentários, já podemos concluir que este roteador é um tanto popular.

Uma característica importante deste roteador, que eu pessoalmente uso ativamente, é a capacidade de alimentá-lo usando um adaptador PoE especial.

Ele está à direita na imagem. Pegue uma fonte de alimentação padrão do roteador e um adaptador PoE. A fonte de alimentação está conectada ao adaptador e um patch cord já foi enviado do adaptador para a primeira porta da placa do roteador. O roteador pode ser pendurado na parede em qualquer lugar, não há necessidade de amarrá-lo na tomada. Devo observar imediatamente que o roteador só pode ser alimentado com um adaptador Mikrotik poe. Ele tem um padrão diferente e os switches poe 802.3af usuais não funcionarão.

Clique no endereço Mac do dispositivo, ele deve ser copiado para o campo Conectar a. A senha padrão para login em roteadores mikrotik é vazio, e o usuário é administrador. Digite seu nome de usuário e deixe o campo de senha em branco. Clique em conectar. Somos recebidos por uma janela de informações que fornece uma descrição das configurações padrão.

Aqui você pode deixá-los ou excluí-los. Eu sempre excluo, pois as configurações padrão geralmente não são adequadas para uma situação específica. Deixe-me dar alguns exemplos de por que isso acontece:

  1. Liguei meu roteador pela primeira porta por meio de um adaptador poe e, portanto, sou forçado a usar essa porta como local. Nas configurações padrão, esta porta é usada como porta wan para receber Internet do provedor.
  2. As configurações padrão são receber automaticamente as configurações do provedor via dhcp. Se você tiver um tipo diferente de conexão, a configuração padrão não é adequada para você.
  3. Por padrão, o espaço de endereço é definido como 192.168.88.0/24. Pessoalmente, não gosto de redes padrão, porque se você acidentalmente conectar um novo dispositivo a elas, onde o endereço padrão também está obstruído, começarão problemas na rede. Isto pode não ser relevante em casa, mas nas organizações comerciais tive que lidar com isso. É por isso que sempre mudo a grade, só para garantir.

Então nós pressionamos Remover configuração para excluir as configurações. Depois disso, o roteador será reiniciado. Esperamos cerca de um minuto e nos conectamos a ele novamente.

Se por algum motivo você não excluiu os presets imediatamente, você pode redefinir o mikrotik para as configurações de fábrica posteriormente. Para fazer isso, você deve primeiro digitar no terminal sistema, e então reiniciar. Será solicitada uma confirmação e depois disso a placa do roteador será reinicializada com as configurações de fábrica.

Atualização de Firmware

Após limpar as configurações, recomendo atualizar imediatamente o firmware do roteador Mikrotik. Para fazer isso, acesse a seção Download do site oficial e baixe o arquivo necessário. Neste caso é a plataforma mipsbe, baixe o pacote Pacote principal. Baixe-o para o seu computador e conecte-se ao roteador usando o winbox. Selecione uma seção à esquerda arquivos. Em seguida, abra duas janelas lado a lado - uma com o arquivo de firmware, a segunda com o winbox e arraste o arquivo da pasta no winbox para a lista de arquivos com o mouse.

Esperamos que o download do firmware termine e reinicie o Mikrotik através da seção do menu Sistema -> Reiniciar. O firmware será atualizado enquanto o roteador estiver inicializando. Você terá que esperar cerca de 3 minutos, depois disso nos conectamos novamente ao dispositivo. Após atualizar o firmware, você precisa atualizar o bootloader. Isso é feito no item de menu Sistema - RouterBoard. Vá lá e verifique as linhas Firmware atual E Atualizar Firmware. Se forem diferentes, pressione o botão Atualizar. Se eles forem iguais, você não poderá fazer nada. As alterações entrarão em vigor após uma reinicialização.

Você pode verificar a versão do firmware instalado na seção Sistema - Pacotes.

No meu caso, a versão do firmware é 6.43.4. No futuro, quando a Internet estiver configurada no roteador, você poderá atualizar automaticamente nesta seção clicando em Verifique se há atualizações.

O firmware foi atualizado, você pode começar a configurar.

Combinando portas em uma ponte

Uma das características dos roteadores mikrotik routerboard é a falta de configurações de porta predefinidas. Explico nos dedos o que é. Ao comprar um roteador econômico normal, você verá etiquetas para as portas. Um deles certamente dirá WAN, os outros não dirão nada ou LAN. Ou seja, você já terá uma porta configurada de uma determinada forma para conexão à Internet e as demais portas serão combinadas em um switch para maior comodidade na conexão dos equipamentos.

Este não é o caso do Mikrotik. Lá, todas as portas são iguais e absolutamente qualquer porta WAN que você desejar pode se tornar. Como uso a 1ª porta para conectar a alimentação, usarei a 5ª porta como WAN. E combinarei todo o resto em uma única rede usando uma ponte e adicionarei uma interface wifi a eles. Para fazer isso, vá para a seção Ponte e crie uma nova bridge1.

Deixamos todas as configurações como padrão. Agora temos a ponte1. Vá para a guia portas e clique no sinal de mais. Adicione todas as portas ao brdige1, exceto WAN. No meu caso, esta é a porta 5.

Combinamos todas as interfaces necessárias em uma ponte para organizar um único espaço para todos os dispositivos conectados.

Configurando um IP estático

Antes disso, nos conectamos ao roteador usando o endereço MAC. Agora você pode atribuir a ele um endereço IP local estático, no qual ele estará acessível na rede. Para fazer isso, vá para a seção IP -> Endereços e pressione o sinal de mais.

Especifique qualquer sub-rede na seção Endereço. Eu escolhi 192.168.9.0 . Assim, atribuímos um endereço ao Mikrotik 192.168.9.1/24 . Selecione como interface ponte1. O campo Rede pode ser deixado em branco; será preenchido automaticamente. Agora nosso roteador está acessível tanto via interfaces locais quanto via wifi (que ainda precisa ser configurado) em 192.168.9.1.

Configuração de internet no Mikrotik

Agora é a hora de conectar-se ao seu provedor e configurar a Internet. É difícil cobrir todas as opções de conexão possíveis. Pode haver muitos deles. Analisarei os dois métodos mais populares:

  1. Você recebe configurações do provedor automaticamente via dhcp.
  2. O provedor forneceu configurações prontas e você as inseriu manualmente.

Como escrevi anteriormente, usaremos a porta 5 para conectar-se ao provedor. Conecte o fio do provedor.

Para obter configurações via dhcp, vá para winbox na seção IP -> Cliente DHCP e pressione o sinal de mais. Escolha uma interface éter5 e clique em OK.

Se você fez tudo corretamente, verá qual endereço IP recebeu. No capítulo IP -> Endereços haverá informações sobre as configurações.

Vamos considerar a opção quando o provedor forneceu todas as configurações e você mesmo precisa defini-las. Vamos supor que nossas configurações de Internet sejam as seguintes:

Primeiro, vamos especificar o endereço IP. Fazemos o mesmo que no parágrafo anterior ao configurar um IP estático. Só agora em vez da interface ponte1 indicar éter5 e digite o endereço correspondente - 192.168.1.104/24 . Aqui indicamos imediatamente o endereço e a máscara de sub-rede.

Em seguida, precisamos definir o gateway padrão. Sem esta etapa obrigatória, a Internet não funcionará. Vamos para a seção IP -> Rotas e clique no sinal de mais para adicionar um gateway padrão. EM DST. Endereço deixe como está 0.0.0.0/0 , e no campo Porta de entrada Insira o gateway do provedor e clique em OK.

A Internet deveria estar funcionando agora, mas sem especificar um servidor DNS, você só poderá acessar endereços IP diretos. Por exemplo, você pode executar ping no endereço IP dos servidores do Google. Abra o novo terminal e verifique.

Agora vamos instalar o servidor DNS. Para fazer isso vamos para IP -> DNS, em campo Servidores Digite o endereço do servidor DNS do provedor. Se você tiver dois deles, clicando no triângulo com o vértice apontando para baixo, você pode inserir outro valor. Certifique-se de marcar a caixa ao lado Permitir solicitações remotas.

Se você tiver um endereço IP externo e tiver permitido pesquisas remotas de DNS, execute e bloqueie todas as conexões de entrada. Se isso não for feito, seu roteador poderá se tornar vítima de solicitações de DNS falsas usadas para ataques DDoS.

Só isso, instalamos completamente as configurações do provedor de Internet. Você pode verificar e executar ping no endereço normal do site.

O próprio roteador já possui acesso à Internet. Precisamos configurá-lo para os usuários. Para fazer isso, continuamos configurando o mikrotik.

Configurando um servidor DHCP

Para que os dispositivos conectados recebam automaticamente as configurações de rede do roteador, um servidor DHCP deve estar configurado nele. Isso não é difícil de fazer, agora descreverei tudo passo a passo. Vamos para IP ->DHCP, vá para a guia DHCP e clique em Configuração DHCP. Somos solicitados a selecionar a interface na qual o servidor será executado. Escolher ponte1.

Clique em próximo. Agora você precisa selecionar o espaço de endereço a partir do qual os endereços IP serão emitidos. Por padrão, a sub-rede que inclui o endereço IP do roteador é especificada. Tudo bem, deixe o valor padrão 192.168.9.0/24 .

Agora você precisa especificar o intervalo de endereços que serão emitidos aos clientes. Se não for importante para você e você não sabe por que precisa ser alterado, deixe como está. Todos os endereços de sub-rede gratuitos serão usados.

Na última etapa, insira o endereço do servidor DNS que será emitido aos clientes. Pode ser o próprio Mikrotik ou o servidor DNS do provedor. Isso não é importante, mas é melhor indicar o próprio roteador. Então escrevemos o endereço local lá 192.168.9.1 .

Deixe o próximo parâmetro como padrão e clique em Avançar. Isso conclui a configuração do servidor DHCP para a rede local.

Se agora conectarmos algum cliente ao mikrotik por fio, ele receberá as configurações de rede, mas não conseguirá acessar a Internet. Falta outra configuração importante - NAT.

Configuração de NAT

NAT é uma transformação, ou como também dizem, tradução de endereços de rede. Não vou te dizer o que é, você mesmo pode ler na Internet. Todos os roteadores modernos possuem uma função NAT para fornecer aos assinantes acesso à Internet. Então também iremos configurar o NAT no mikrotik.

Vamos para a seção IP -> Firewall, abra a guia NAT e clique no sinal de mais. Na guia Geral especificamos apenas um parâmetro Fora. Interface - éter5(interface para conexão com o provedor), não tocamos em todo o resto.

Vá para a guia Ação, selecione na lista suspensa mascarada. Deixe o resto como está e clique em OK.

É isso, o NAT está configurado. Agora se você conectar um cliente via fio a uma das portas, ele receberá as configurações de rede via DHCP e terá acesso à Internet. Tudo o que nos resta é configurar o wifi para conectar clientes sem fio.

Configurando um ponto de acesso wifi no mikrotik

Nosso roteador está quase pronto para funcionar. Só falta configurar um ponto de acesso wi-fi e você pode esquecer :). Configurar wifi no Mikrotik merece um artigo separado. Existem muitas nuances e possibilidades aí. Faremos agora a configuração mais simples que irá atender e satisfazer totalmente as necessidades de um roteador wi-fi doméstico. E para um conhecimento mais profundo, você pode usar material separado sobre este tópico.

Em primeiro lugar, ativamos a interface wireless. Por padrão, ele está desabilitado. Vamos para a seção Sem fio, selecione wlan1 e clique na marca de seleção azul.

A interface mudará de cinza para claro. Vá para a guia Perfis de segurança, clique duas vezes na linha com o perfil padrão. Em campo Modo escolher chaves dinâmicas. Marque as caixas ao lado WPAPSK E WPA2PSK E aes ccm. Para os campos Chave pré-compartilhada WPA E Chave de pré-compartilhamento WPA2 digite a senha da futura rede sem fio. Recomendo usar uma senha longa (pelo menos 12 caracteres) com números e caracteres especiais. Sim, não é muito conveniente entrar, mas depois de eu mesmo fazer hashes de senhas simples com força bruta sem problemas, fiquei convencido de que é melhor definir uma senha complexa se você não quiser que ninguém se conecte ao seu wi-fi.

Salve as configurações. Voltando à aba Interfaces e clique duas vezes em wlan1, as configurações da interface wi-fi Mikrotik serão abertas. Vá para a guia Sem fio. Definimos as configurações como na minha captura de tela.

Chamo sua atenção para as seguintes configurações:

  • SSID— o nome da sua rede sem fio. Escreva o que quiser.
  • Frequência— frequência correspondente a um dos 12 canais. O primeiro valor é o primeiro canal e assim por diante. Aqui é recomendado selecionar o canal que no seu caso particular é menos ocupado por outros pontos de acesso. Se você não sabe o que são esses canais e como verificá-los, não preste atenção, você pode selecionar qualquer valor da lista.

Salve as configurações clicando em OK. É isso, o ponto de acesso wifi no mikrotik está configurado, você pode conferir. Inicie qualquer dispositivo, procure sua rede, digite sua senha de acesso e verifique a Internet. Tudo deveria funcionar.

Isso completa a configuração básica do Mikrotik, mas recomendo fazer mais algumas configurações por conveniência e segurança.

Alterando a senha do administrador padrão

Como escrevi anteriormente, a senha padrão do administrador no mikrotik não está definida, está vazia. Nome de usuário - administrador. Vamos definir nossa própria senha para restringir o acesso de terceiros às suas configurações. Para fazer isso, vá para a seção Sistema -> Usuários. Selecionando um único usuário administrador, clique com o botão direito e selecione o último item senha.

Na janela que se abre, digite sua senha 2 vezes e salve-a. Agora, para conectar via winbox, você precisará especificar não apenas o usuário administrador, mas também a senha definida.

À luz dos recentes hacks do Mikrotik, recomendo fortemente não apenas definir uma senha complexa para a conta administrativa, mas criar uma senha completamente nova, com um nome de usuário diferente de admin. Para isso, na lista de usuários, pressione o sinal de mais e crie um novo usuário.

Depois disso, o usuário administrador pode ser desabilitado.

Acertar a hora

Recomendo definir a hora correta e ativar a sincronização automática. Isso pode ser útil se você precisar examinar alguns registros e comparar tempos. Se não estiver instalado, será difícil fazê-lo. Então vamos configurar. Vamos para Sistema -> Relógio, defina manualmente a hora, a data e o fuso horário.

Garantiremos que a hora seja atualizada automaticamente via Internet. Vamos para a seção Sistema -> Cliente SNTP. Coloque uma marca Habilitado, no campo com endereços de servidor inserimos 193.171.23.163 E 85.114.26.194 . Clique em Aplicar e observe o resultado da sincronização.

Agora o relógio do roteador sempre terá a hora atual.

Isso completa a configuração básica do roteador mikrotik para uso doméstico. Você pode instalá-lo no lugar e usá-lo.

Conclusão

Dei um exemplo de configuração do Mikrotik para um usuário doméstico como substituto de outros roteadores econômicos populares. Para configurações mais complexas e significativas, você pode usar meus artigos sobre este tópico:

— um artigo sobre como conectar dois provedores de Internet e alternar automaticamente o acesso de um para outro em caso de problemas de conexão com um deles. A situação é retirada de um exemplo real de uma casa de campo com dois canais de Internet.

  • - material popular sobre o tema da organização de uma única rede wifi, composta por vários pontos de acesso para cobrir uma grande área. Isto pode ser relevante tanto para usuários domésticos (casas de campo) quanto para usuários corporativos.
  • — uma história sobre como armazenar logs do Mikrotik centralmente. Isto é completamente irrelevante para o lar, mas sim para o setor empresarial, onde é importante armazenar informações sobre quem, onde e porquê.

    • Estou terminando minha história. Eu ficaria feliz em receber quaisquer comentários sobre este tópico. Deixe-me lembrá-lo de que este artigo faz parte de uma única série de artigos sobre.

    Internet para os modernos tornou-se não apenas um atributo insubstituível e necessário, mas também um objeto de primeira importância, substituindo um grande número de outras coisas utilizadas anteriormente. Portanto, a Internet de alta qualidade e alta velocidade é cara. Para construindo uma rede sem fio Você só precisa de equipamentos comprovados e confiáveis ​​e de um integrador que implementará seu projeto. Compre o que você precisa equipamento de rede wi-fi para sua rede na venda gratuita não é tão simples. Não perca tempo procurando em vão, entre em contato Site da loja on-line. Aqui você encontrará equipamento ativo e passivo em uma ampla gama de marcas mundiais. Equipamentos Wi-Fi para restaurantes e hotéis, par trançado para instalação externa, cabo óptico, equipamentos PON, dispositivos PON, dispositivos OLT, equipamentos CWDM e muito mais são apresentados em nosso catálogo online de Internet Mstream.

    Cooperamos apenas com fabricantes comprovados do mercado de TI - Ubiquiti, Mikrotik, Cambium Networks, D-link, Hikvision, Furuno, Ajax, Ok-net, ICOM, Sailor, Zenitel, Cobham e é por isso que todos os equipamentos de radiocomunicações, navegação marítima, rede wireless ou local apresentados na nossa loja cumprem os mais elevados padrões de qualidade. Ordem equipamento de internet wi-fiÉ possível tanto no varejo quanto no atacado (cooperamos com provedores de Internet, integradores e revendedores). Para clientes habituais, a loja online Mstream dispõe de um sistema flexível de descontos e diferimentos de pagamento. Os preços dos equipamentos de Internet wi-fi agradarão até mesmo os compradores de varejo. Nossa tarefa não é apenas nos desenvolver, mas também ajudar a desenvolver o negócio de nossos clientes. O espaço Wi-Fi na Ucrânia ainda não está tão desenvolvido e ocupado, e o nosso objetivo é a integração global de novas tecnologias e desenvolvimentos no mercado tecnológico ucraniano.

    Ao comprar conosco equipamentos para rede wi-fi, você tem a garantia de receber soluções muito confiáveis, de alta qualidade e duráveis ​​dos melhores fabricantes e marcas de equipamentos sem fio do mundo no menor tempo possível. Grande variedade e entregas diretas Equipamento Wi-Fi do fabricante permitem-nos, como integradores de sistemas, satisfazer quaisquer projetos dos nossos clientes - criando uma rede wi-fi local. Consultores profissionais darão assessoria completa na escolha do equipamento de rede adequado, levando em consideração os projetos individuais e os desejos do cliente, o que economizará seu tempo e esforço. Entrega de equipamentos de rede para todas as cidades da Ucrânia - Odessa, Kiev, Kharkov, Kherson, Krivoy Rog, Kropyvnytskyi, Nikolaev, Dnepropetrovsk, Zaporozhye, Vinnitsa, Chernigov, Cherkassy, ​​​​Poltava, Mariupol, Lvov, Ternopil, Kramatorsk, Novomoskovsk, como bem como Transnístria, Tiraspol, Moldávia e outros.

    É proibido copiar qualquer informação do site sem colocar um backlink ativo.

    Publicações relacionadas