Wisp ap mikrotik что
Что такое WISP AP, CAP, CPE, HomeAP на MikroTik?
Для начала давайте разберёмся, что же такое режим WISP? Это определённый мод маршрутизатора, при котором он может принимать интернет сигнал и подключаться к сети провайдера путём радиоволн по стандартам Wi-Fi. Если раскрыть аббревиатуру, то она звучит так – «Wireless Internet Service Provider», что дословно можно перевести как «беспроводной интернет сервис провайдера».
Данная технология достаточно редкая, но появилась давно. Давайте покажу на примере. У провайдера есть большая антенна с мощным передатчиком на несколько квадратных километров. Клиент настраивает роутер и подключается к беспроводной сети. То есть в данном случае роутер принимает сигнал не через WAN порт по проводу, а именно путём Wi-Fi сигнала.
Далее при подключении он принимает сигнал и распределяет на все сегменты сети: на компьютеры, ноутбуки телефону и т.д. Интернет раздаётся как по проводам, так и по WiFi. Теперь перед настройкой роутера, именно в этом режиме сразу – скажу, что проблемой является в разных названиях модов. Компании, которые выпускают эти аппараты, по разному называют этот «мод» из-за чего клиент может запутаться. Также не все роутеры имеют данный режим и поддерживают его, поэтому перед покупкой обязательно убедитесь, что он сможет работать как повторитель WISP.
MikroTik
WISP AP на роутере MikroTik – что это такое? У «Микротик» данный «мод» обозначает немного другое значение. Раз вы задаетесь таким вопросом, то скорее вы уже приступили к настройке этого чудного аппарата через «Quick Set». Эта функция позволяет быстро настроит роутер без муторных, педантичных конфигураций. Можно сказать некий «Быстрый старт».
В верхней части можно выбрать несколько вариантов:
Для настройки заполняем конфигурацию в левом блоке «Wireless» для настройки беспроводного мода. Вписываем имя сети и пароль от неё. Чтобы появилась строка ввода пароля укажите типа шифрования как WPA2 и WPA. Тут ничего сложного нет все как на других роутерах.
Справа идут настройки IP, маски и DNS адресов. По идее эти настройки роутер должен получать от провайдера. Тогда просто ставим режим «Automatic». Если у вас статический IP с маской, то ставим «Static» и вписываем данные с листа. В разделе «Local Network» идёт настройка «айпи» адреса шлюза или нашего Микротика и диапазон локальных адресов.
WISP на других маршрутизаторах
«AP client router» на ASUS
На аппаратах Асус к сожалению название не адаптивно и не понятно. Может быть это связано с переводом. Но на русской версии мод называется «Беспроводной сетевой адаптер». Для настройки вы можете использовать «Быструю настройку» – просто нажмите на волшебную палочку в левом углу окна. Или нажмите на «Режим работы» в самой верхней части на главной странице.
TP-Link
На TP-Link можно включить двумя способами. Заходим в «Operation Mode» или по-русски – «Рабочий режим». Далее выбираем наш мод. После этого переходим в «Сеть» – «WAN» и ставим динамический IP.
Второй способ – заходим в «Беспроводной режим». Теперь нажимаем «Включить WDS». Далее все просто, нужно просто подключиться к беспроводной сети провайдера. Для этого впишите данные вай-фай.
Zyxel Keenetic
Mikrotik RoS, полезные мелочи
Что такое Quick Set?
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
Безопасность
Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:
Доступность на внешних интерфейсах
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.
Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:
В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:
Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
А вот набор маршутов в «черную дыру»
Этот набор маршрутов направит весь трафик до сетей RFC 1918 в «черную дыру», однако, если будут маршруты с меньшей метрикой, то такой трафик пойдет через эти маршруты. Полезно для гарантии того, что приватный трафик не просочится во внешнюю сеть.
За совет благодарим achekalin
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:
SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.
IPv6 туннели
Если вы не используете IPv6 или не хотите что-бы рабочие машины с Windows поднимали IPv6 туннели без спроса, тогда заблокируйте следующий трафик:
За совет опять благодарим achekalin
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть особенность: глубина вложенности. Невозможно вложить вложенный список во вложенный список. Если вы так сделаете (фича такая) вам не сообщат о проблеме, просто такой список работать по факту не будет.
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes
Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.
Wisp ap mikrotik что
Заказать обратный звонок
Любой маршрутизатор Микротик может работать в нескольких режимах:
CPE (Customer Premises Equipment)- т.е. когда маршрутизатор подключен к провайдеру по беспроводному интерфейсу и раздает интернет на LAN порт(ы).
PTP Bridge (Point to point bridge)- hежим «прозрачного» радиомоста между двумя сетями (PtP). Возможно подключение только одного клиента. Если маршрутизатор подключен со стороны провайдера, то он выступает в роли Server AP, если со стороны клиента, то в роли Client AP (или можно скзать CPE).
Home AP (Home Access Point)- маршрутизатор/точка дочтупа офисной или домашней сети.
Все маршрутизаторы Микротик по умолчанию на LAN- интерфейсе имеют адрес 192.168.88.1, логин admin и пустой пароль.
Подключите патчкорд к сетевой плате вашего компьютера и к любому из портов роутера Mikrotik (кроме первого). Подключать компьютер к первому порту роутера нужно только в случае перепрошивки или восстановления маршрутизатора Mikrotik при помощи программы Netinstall.
Кабель приходящий от провайдера, включите в первый порт роутера Микротик. Теперь можно включать питание роутера.
А теперь подробнее о том как быстро настроить роутер Микротик.
Откройте вкладку «Сетевые соединения» в панели управления и выберите LAN интерфейс, к которому вы подключили патчкорд.
Щелкнув правой кнопкой мыши, выберите Свойства и в появившемся окне Протокол Интернета версии 4
Установите свойства сетевого подключения как показано ниже.
Теперь запустите любой браузер и в адресной строке наберите адрес http://192.168.88.1
Вы увидите окно входа на веб-интерфейс маршрутизатора Микротик.
Быстро настраивать маршрутизаторы Микротик можно не только при помощи веб-интерфейса, но и при помощи замечательной утилиты Winbox, которую можно скачать из памяти роутера, кликнув на иконке:
Запустите Winbox, перейдите на вкладку Neighbors и нажмите Refresh.
Вы увидите айпи-адрес и МАС-адрес вашего маршрутизатора Микротик в списке обнаруженных в сети устройств.
Вы можете подключиться к нему по МАС-адресу или по ай-пи адресу.
Для хода в интерфейс настройка роутера Микротик нажмите Connect
Вы увидите следующее начальное окно настроек маршрутизатора Микротик.
Вам предлагается начать настройку с конфигурацией по- умолчания или без нее. Если Вы собираетесь использовать маршрутизатор Микротик в режите HOME AP или WISP AP, то лучше нажать ОК. Если в режимах CPE или PTP bridge, то можно нажать Remove Configuration.
Перейдем на вкладку Quick Set
Здесь мы видим настройки нашего роутера Микротик.
Все необходимые настройки для соединения наш роутер получил от провайдера по DHCP. В данном случае наш роутер является и DNS- сервером (что видно из свойств сетевого соединения на LAN порту нашего компьютера).
На скриншоте ниже пример такой настройки со статическими адресами.
Настройка WiFi (подключения к беспроводной сети).
В поле Network Name укажем SSID (широковещательное имя) wifi сети.
Можно выставить нужную частоту, но для домашнего или офисного использования лучше оставить значение auto, чтобы маршрутизатор Микротик сам выбирал наименее загруженный канал.
Выбор страны влияет на регулировку максимальной мощности радиомодуля и на выбор допусустимых частот. Хотите иметь возможность выбора этих параметров- не трогайте эту настройку.
Далее включим все доступные протоколы безопасности и введем пароль для подключения к беспроводной сети. Если хотите, чтобы сеть была открытой- не меняйте эти настройки.
Если вам нужно разрешить подключение к вашей беспроводной wifi сети только устройствам с определенными МАС-адресами (фильтрация по MAC-адресам), то поставьте галочку в поле Use Access List. В дальнейшем список разрешенных МАС-адресов добавляйте в пункте меню Wireless на вкладке Access List
Для сохранения настроек нажмите Apply в правой части окна
Для расширенных настроек wifi сети маршрутизатора Mikrotik надо перейти в меню Wireless, выбрать wlan1 интерфейс и открыть окно настроек
Включите режим Advanced mode.
Для регулировки мощности радиомодуля перейдите на вкладку Tx Power
По-умолчанию мощность радиомодуля маршрутизатора Микротик стоит 17dBm, что соответствует 100мВт.
Если вам недостаточно этой мощности, то выберите для Tx Power Mode значение all rates fixed и в поле Tx Power поставьте нужную мощность в диапазоне 17-27 dBm
Повышение излучаемой мощности означает также и повышение чувствительности радиомодуля- т.е. меньшую помехозащищенность беспроводного канала и может приводить к падению скорости беспроводного соединения (особенно в многоквартирных домах с большим количеством активных WiFI роутеров работающих на одних и тех же частотах). Кроме того микроволновое излучение большой мощности может влиять на здороье.
Стандарт 802.11 – это единая среда передачи данных и клиенты сами определяют между собой, кто и когда будет производить запись, Но есть один нюанс: это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию.
Для сохранения настроек нажмите Apply или Ok.
Поллинг
Ну и возвращаясь к Микротику резюмируем, что если в качестве беспроводных клиентов будут выступать устройства Микротик, то для увеличения пропускной способности беспроводной сети нужно вместо стандартного 802.11 использовать протокол nv2. Сравнительные тесты показывают, что в условиях сильной зашумленности скорость передачи в nv2 может быть на 40% выше по сравнению с 802.11.
Superchannel
Стандарный протокол 802.11 определяет 13 каналов в диапазоне частот от 2412 до 2462 МГЦ. Это так называемые indoor каналы- именно на них работают все домашние роутеры.
Включив на вкладке Wireless опцию superchannel, мы получим возможность выбирать канал в расширенном частотном диапазоне от 2312 до 2732 МГц.
К сожалению, большинство беспроводных WiFi устройств не поддерживает эту возможность и использовать ее можно только с устройствами Mikrotik, Ubiquiti, Deliberant. (у всех производителей она называется по разному, но суть одна и та же).
Сохранение и восстановление конфигурации и настроек маршрутизаторов Mikrotik
Вы всегда можете сохранить настройки в бинарный файл и восстановить нужную вам конфигурацию.
Для сохранения конфигурации войдите в меню Files, потом нажите Backup, введите имя файла и нажмите Backup.
Данные в файле хранятся в бинарном виде и имеют нечитабельный в текстовом редакторе вид.
Этот файл может быть сохранен на локальном компьютере просто путем его перетаскивания в нужную папку. В случае поломки маршрутизатора этот файл может быть загружен в новый ТОЧНО ТАКОЙ ЖЕ маршрутизатор и конфигурация восстановлена. Еще раз повторимся что корректно конфигурация роутера может быть перенесена только в точно такой же роутер. Например из RB951ui только в RB951ui. При этом новый роутер получит и МАС-адреса старого роутера.
При необходимости перенести эту конфигурацию на любой другой роутер Микротик, можно текст из этого файла скопировать в буфер обмена и просто вставить в окно терминала нужного роутера. Либо можно сохранить файл с конфигурацией на жесткий диск нужного роутера, открыть терминал и набрать команду import FIle_name.rsc
Подробнее об управлении конфигурациями роутеров Mikrotik можно прочесть на официальном сайте RouterOS
Обновление firmware (прошивки, микропрограммы) маршрутизаторов Mikrotik
При перезагрузке произойдет обновление firmware роутера.
Когда закончите настраивать роутер Микротик, не забудьте установить пароль.
Инструкции по настройке MikroTik
Quick Set настройка MikroTik, быстрая настройка
Инструкция по настройке MikroTik через Quick Set. Описание режимов Home AP, Wisp AP, CAP, CPE.
Quick Set – это простая страница мастера настройки, которая подготавливает роутер(маршрутизатор) MikroTik или точку доступа WiFi за несколько кликов. Это первый экран, который видит пользователь, открывая IP-адрес по умолчанию 192.168.88.1 в веб-браузере.
Quick Set доступен для всех устройств, у которых есть заводская конфигурация по умолчанию. Устройства, для которых нет конфигурации, необходимо настраивать вручную. Самый популярный и рекомендуемый режим – Home AP (или Home AP dual, в зависимости от устройства). Этот режим быстрой настройки обеспечивает простейшую терминологию и наиболее общие параметры для домашнего пользователя.
Режимы быстрой настройки Quick Set
В зависимости от модели роутера(маршрутизатора), коммутатора(свитча) или точки доступа WiFi выпадающий список режимов в меню Quick Set может иметь разные состав:
Быстрая настройка MikroTik Home AP
Режим Quick Set Home AP является самый распространённым режимом мастера настройки MikroTik. Именно Home AP произведёт конфигурирование устройства в качестве роутера(маршрутизатора). Первый порт роутера MikroTik будет принимать подключение от интернет провайдера, остальные порты будет являться LAN, а WiFi модуль обеспечит доступ к локальной сети и интернета для беспроводных устройств.
Поддержи автора статьи, сделай клик по рекламе ↓↓↓
Простая настройка Mikrotik через Quick Set
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
Дальше мы будем в основном настраивать HomeAP\WISP AP, но советы пригодятся и в других конфигурациях.
Безопасность
Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:
Доступность на внешних интерфейсах
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.
Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:
В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:
Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:
SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:
В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes
Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.