Инструкция по быстрой настройке MikroTik R11e-LTE

Старт и схема подключения.

Подключение к устройству

Обновление RouterOS

Подключение к Internet

Безопасность

Настройка локальной сети

Что бы все наши устройства были в одной локальной сети, необходимо оставшиеся интерфейсы объединить в сетевой мост — это аналог функции коммутатора на маршрутизирующих устройствах. Объединение интерфейсов в сетевой мост. Заходим в раздел Brigde и добавляем новый сетевой мост, назовем его bridge1. Далее во вкладке Ports добавляем в наш мост интерфейсы (порты), который принадлежат нашей локальной сети. Интерфейс wlan1 — это беспроводной (Wireless, WiFi) интерфейс. Интерфейсы ether2(3-5) — это ethernet интерфейсы. Цифра соответствует номеру порта. При добавлении в сетевой мост порта, в который подключена рабочая станция, с которой производится настройка, произойдет отключение WinBox от маршрутизатора. Связано это с тем, что у порта маршрутизатора, при добавлении в сетевой мост, изменится MAC-адрес на MAC-адрес сетевого моста и нам необходимо подключиться к новому MAC-адресу. Новый MAC-адрес мы увидим во вкладке Neibhors WinBox`а. Назначение IP-адреса Далее необходимо назначить IP-адрес марщрутизатору, который, так же, будет основным шлюзом для устройств локальной сети. Заходим в раздел IP — Adresses. Вводим IP-адрес. Для локальной сети будем использовать адресацию 192.168.20.0/24, где 192.168.20.1/24 — это IP-адрес маршрутизатора (основной шлюз), а адреса 192.168.20.2 — 192.168.20.254/24 будут использоваться остальными устройствам в локальной сети, подключаемыми к нашему маршрутизатору. /24 указывает значение маски подсети, соответствующее значению 255.255.255.0, т.е. наша локальная сеть рассчитана на 254 IP-адреса. В поле Interface обязательно необходимо указать bridge1. Настройка DHCP-сервера После установки IP-адреса, настроим службу, которая будет присваивать IP-адреса устройствам, которые будут подключаться к маршрутизатору. Заходим в раздел IP — DHCP Server. Нажимаем кнопку DHCP Setup, выбираем DHCP Server Interface: bridge1 и нажимаем кнопку Next. В следующем окне предлагается указать DHCP Address Space. Это выбранная сеть 192.168.20.0/24, оставляем ее без изменения и жмем Next, следующее окно нам предлагает указать основной шлюз, который будет назначаться подключаемым к роутеру устройствам. Это IP-адрес, который мы назначили маршрутизатору 192.168.20.1, далее предлагается указать диапазон IP-адресов, которые будут назначаться подключаемым устройствам: 192.168.20.2 — 192.168.20.254, далее указываются DNS-сервера, которые будут использовать подключаемые устройства. Если роутер еще не подключен к интернету, эти поля будут не активны. Если их не заполнять, то будут назначаться те сервера, которые будут назначены оператором связи роутеру, когда он подключится к интернету. Можно указать другие DNS-сервера, например 8.8.8.8 (Google). Важно знать: не запрещено ли Вашим оператором использование сторонних (отличных от назначаемых оператором) DNS-серверов. Далее предлагается выбрать время, на которое подключаемому устройству будет назначен IP-адрес. Рекомендуется изменить его на значение 1d 00:00:00, т.е. на одни сутки. При нажатии на кнопку Next, DHCP-сервер будет создан и готов к работе. Настройка NAT Чтобы подключаемые к маршрутизатору устройства могли получить доступ в интернет, необходимо настроить подмену IP-адресов с сетевых, на внешний, до которого есть доступ из интернета. Если данную подмену не настроить, то пакеты из локальной сети будут уходить, но вернуться уже не могут, поскольку Интернет «не знает» где находится Ваша локальная сеть с внутренними IP-адресами. Для настройки заходим в раздел IP — Firewall, выбираем вкладку NAT. Настраиваем правила подмены по принципу: если пакету нужно уйти в интернет, т.е. исходящий интерфейс у него будет интерфейсом подключения к интернет — произвести подмену. Важно отметить, что, если подключение к интернет происходит при помощи туннелей PPPoE, PPTP или L2TP, интерфейсом доступа в интернет у нас будет не порт (ether1), а созданный интерфейс ppp. Для того, что бы был доступ к локальной сети оператора, для оператора ForceLine это адреса 10.216.0.0/16, добавляем еще одно похожее правило, где исходящим интерфейсом у нас будет ether1, подключенный к сети оператора. Настройка беспроводной сети Для настройки беспроводной сети заходим в раздел Wireless, вкладка WiFi Interfaces. Если у нас роутер с поддержкой 5ГГц, мы увидим 2 интерфейса. Обычно wlan2 — это интерфейс беспроводной сети 5ГГц. Производим двойной клик по интерфейсу wlan1 для его настройки. Справа в открывшемся окне нажимаем кнопку Advenced Mode, длч получения доступа к всему спектру настроек. В вкладке Wireless выбираем: 1. Mode: ap bridge — режим точки доступа 2. Band: 2GHz-G/N — для возможности подключения устройств стандартов 802.11g и 802.11n. Если Ваши беспроводные устройства достаточно современные, можете выбрать 2GHz-only-N, что бы исключить возможность устройствам подключаться по устаревшему протоколу 802.11g. * При настройке беспроводного модуля 5ГГц, выбирайте диапазон 5GHz-A/N/AC. 3. Channel Width — 20 MHz. Устанавливать значение 20/40 MHz не рекомендуется, в силу большого количества помех в данном диапазоне. Значения 5 и 10 MHz устанавливать нельзя, беспроводные устройства перестанут подключаться. * При настройке беспроводного модуля 5ГГц, можно смело выбирать 20/40/80 MHz 4. Frequency: auto. В данном случае роутер выберет самый свободный канал. Если беспроводная связь у Вас работает некорректно: пропадает связь, работает очень медленно — можно установить вручную один из каналов из ниспадающего меню. Путем перебора найти тот канал, который обеспечит наиболее корректную работу беспроводной сети. 5. SSID — Здесь указывается имя беспроводной сети, которую Вы будете выбирать на подключаемом устройстве. 6. Wireless Protocol: 802.11 — это общемировой стандарт беспроводной связи. 7. WPS Mode: disabled. Данный метод аутентификации беспроводных клиентов небезопасен и легко взламывается злоумышленниками. 8. Frequency Mode: regulatory-domain 9. Contry: russia Данные настройки используются для приведения мощности излучаемого сиглана беспроводным подулем в рамки закона определенной страны. 10. WMM Support: enabled Во вкладке Advanced: 1. Diatance: indoors 2. Adaptive Noice Immunity: ap and client mode. Данная настройка активирует алгоритмы устойчивости беспроводной связи к помехам. На этом закончим настройку беспроводного интерфейса и нажмем кнопку Ок. Для установки пароля на беспроводную сеть переходим во вкладку Security Profiles. Двойным щелчком мыши открываем профиль default, устанавливаем Mode: dynamic keys. Authentifacation Types выбираем WPA2 PSK, устанавливаем галки напротив aes ccm в Unicast Ciphers и Group Ciphers. В поле WPA2 Pre-Shared Key вводим пароль, который будем использовать для подключения к нашей беспроводной сети. По умолчанию беспроводной интерфейс выключен, его необходимо включить, выделив его и нажав на синюю галку. На этом первоначальную настройку маршрутизатора Mikrotik можно считать законченной. Можно подключать устройтства как к проводной сети, так и беспроводной. Важно отметить, что все подключаемые устройства должны быть настроены

  Эта статья описывает общие принципы работы, а также способы настройки оборудования для построения Wi-Fi сети с бесшовными роумингом на основе технологии CAPsMAN от Mikrotik.

    Controlled Access Point system Manager (CAPsMAN) – менеджер системы управляемых точек доступа. Суть работы технологии заключается в покрытии больших площадей единой сетью Wi-Fi с помощью множества точек доступа и безболезненное переключение от точки к точке без потери сети. Ключевым моментом является то, что для поднятия системы не требуется дополнительного оборудования – контроллером может выступать любая из точек в составе сети, с которой может происходить управление всеми остальными точками. Условием использования данной технологии является, собственно, наличие беспроводного оборудования Mikrotik с RouterOS v6.11 и выше, CAPsMAN v2 доступен в версии RouterOS v6.22 и выше. На самом контроллере наличие беспроводного интерфейса не является обязательным. 

 Возможность создать беспроводные сети с бесшовным роумингом была и раньше. Она реализовалась с помощью построения MESH-сетей. Главными отличиями CAPsMAN являются простота настройки, удобство администрирования, централизованное управление.

Настройка

Настройку устройств на базе RouterOS можно осуществить несколькими способами:

1. Настройка через Web-интерфейс или Webfig. По умолчанию IP-адресом устройства является 192.168.88.1. Также возможно, что при включении устройство идет без адреса, тогда нужно сбросить устройство до заводских настроек с помощью клавиши Reset, которая находиться на корпусе возле LAN-разъема. Сброс настроек Mikrotik осуществляется зажатием клавиши Reset на выключенном устройстве, затем включение устройства и удержание клавиши до тех пор, пока не “моргнут” светодиодные индикаторы.

   Webfig. Главная страница

2. Второй способ -это настройка Mikrotik через консоль в терминальном режиме. Для запуска заходим в Webfig или Winbox и выбираем пункт меню New Terminal. Также можно получить доступ к консоли через ssh при помощи, скажем, широко известной Putty. Настройка через терминал – это весьма сложный способ настройки с “недружественным” интерфейсом командной строки. Этот способ выбираем, когда точно уверены, что делаем, или когда больше ничего не остается.

   Окно консольного режима

3. И третий и, пожалуй, самый удобный способ настройки – это настройка Mikrotik через утилиту Winbox. На примере использования этой утилиты буду производить настройку роутеров. Эту утилиту Вы можете скачать на официальном сайте Mikrotik или через Web-интерфейс устройства. Итак, скачав Winbox и сбросив точку на настройки по-умолчанию приступаем к настройке. Первым делом контролируем настройки сетевого подключения. Необходимо находиться в одной подсети с точкой доступа, чтобы настроить её через Winbox. Так как по-умолчанию у точки адрес 192.168.88.1, то компьютеру присваиваем  адрес в диапазоне от 192.168.88.2 до 192.168.88.254, например 192.168.88.2.Подробно о том, как надо настраивать сетевые параметры ПК можно почитать в статье “Настройка роутера” 

Теперь запускаем скачанную программу Winbox.

Окно запуска Winbox

Адрес можно ввести вручную, но лучше выбрать из списка, нажав на кнопку “…”

Выбор устройства

Затем вводим пароль и нажимаем Connect. Можно также поставить галочки “Сохранить пароль” или “Безопасное подключение”, но это не обязательно. Можно также сохранить текущую группу адрес, логин, пароль, чтобы в дальнейшем не вводить.

QuickSet

Подключившись, нужно произвести начальную настройку точки, сменив ip-адрес, задав пароль и идентификатор точки. Настройку адреса можно провести через меню IP – Addresses, но проще все начальные настройки провести в пункте меню Quick Set. В моем случае я выбираю WISP AP (wireless interface service provider access point) в режиме работы Bridge, задаю настройки сети, пароль и идентификатор, и все в одном окне. Внимание! После смены ip-адреса точка снова станет недоступна, нужно будет сменить адрес ПК обратно для работы с точкой.

После настройки базовых параметров время обновить прошивку. Заходим на сайт Mikrotik, и в разделе “downloads” скачиваем самую новую версию прошивки.

Раздел загрузки на сайте Mikrotik

Для установки переходим в раздел меню System – > Packages, после чего откроется окно Package List. Для установки обновления просто перетаскиваем загруженный с сайта Mikrotik пакет прямо в окно Winbox|Package List. Откроется окно прогресса загрузки архива. По окончанию загрузки необходимо перезагрузить устройство. Сделать это можно либо отключением питания, либо через меню System -> Reboot.

Package List

После перезагрузки опять заходим в раздел меню System – > Packages, после чего контролируем, чтобы был включен CAPsMANv2. Для этого в списке Package List находим строку wireless-2 – пакет должен быть активирован (текст черного, а не серого цвета), а пакет wireless-fp – напротив деактивирован. Если это не так, то выделяем нужный пакет и сверху кнопками Enable/Disable выполняем необходимые действия. После активация/деактивации пакетов нужна перезагрузка оборудования.

Активация/Деактивация пакетов

После выполненных действий переходим в раздел меню CAPsMAN. В открывшемся окне на вкладке Iinterfaces находим кнопку Manager. По нажатию кнопки откроется окно CAPs Manager, в котором ставим галочку напротив Enabled, тем самым активирую CAPsMAN.

CAPs Manager

При использовании технологии CAPsMAN все устройства (в том числе и контроллер), входящие в систему, используют определенные настройки беспроводной сети, хранящиеся на контроллере системы. Может быть использована одна конфигурация настроек для всех устройств, либо различные конфигурации настроек для определенных устройств.

И нашим следующим шагом будет настройка нашего подключения. Здесь у нас есть возможность пойти двумя путями: либо настроить все параметры и внести их в одни файл конфигурации, либо создать настройки безопасности, настройки подключения и прочее в раздельно в соответствующих вкладках окна CAPsMAN, а в настройках конфигурации собрать все эти параметры в одно. Чем удобен второй подход, это возможностью создать сколько угодно различных вариаций конфигурирования беспроводного соединения, и менять настройки конфигурации в считанные секунды. Для меня удобен второй вариант, его и буду описывать.

Начнем настройку со вкладки Channels. Открываем вкладку, нажимаем +, открывается окна настройки канала связи:Name – названиеFrequency – частота в MHzWidth – полоса канала (при выставлении большей частоты нужно учитывать, что старые адаптеры сетей Wi-Fi могут не работать)Band – режим работыExtension Channel – нестандартные настройки ширины и частоты канала (возможность установки нестандартной частоты с шагом в кГц для устройств, это поддерживающих). По умолчанию не используется.Tx. Power – мощность передатчика в Dbm

Настройка канала

После ввода значений нажимаем ОК и у нас появляется строка с нашими настройками.

Далее переходим на вкладку Datapaths. Опять нажимаем плюсик и начинаем настройку:Name – наименованиеBridge – выбираем, к какому мосту подключиться наш CAPsMAN в качестве порта.Bridge Cost и Bridge Horizon – по умолчанию не используемLocal Forwarding – параметр управления трафиком. Если активирован то всем трафиком клиентов управляет точка. Если деактивирован, то весь трафик передаётся на контроллер и управляется им.Client To Client Forwarding – активирует трафик между клиентами точки

Настройка Datapaths

Нажимаем ОК и переходим на вкладку Security Cfg. Здесь мы настраиваем параметры безопасности нашего подключения. Снова нажимаем + и преступаем к настройке:Name – наименование настройкиAuthentication Type – тип аутентификации. Можно использовать одновременно несколько типов аутентификации.Encryption – тип шифрования. Предпочтительно использовать тип шифрования AES, тип шифрования TKIP использовать в случае не совместимости оборудования с AES (характеризуется проблемами в работе, либо невозможностью подключения).Group Encryption – устанавливает тип шифрования для групп, работающих по протоколу Ди́ффи-Хе́ллмана (DH aka Oakley).Passphrase – кодовая фразаEAP Methods – выбор типа авторизации EAP. Настраивается при использовании данной технологии.EAP Radius accounting – настройка при использовании RadiusTLS Mode – использование сертификатовTLS Certificate – выбор сертификата при активации в предыдущем пункте

Последним шагом будет сборка конфигурации в единое целое. Для этого переходим на вкладку Configurations, нажимаем плюсик и вводим:Name – наименование конфигурацииMode – режим работы ap (access point)SSID – название нашей будущей Wi-Fi сетиHide SSID – будет ли наша сеть скрытойLoad Balancing Group – по умолчанию оставляем пустымCountry – обычно оставляю по умолчанию, но если в процессе работы начинаются проблемы, тогда эту настройку нужно править. Данная проблема описана здесь. Также ставим все галки в HT. В остальных вкладках выбираем ранее созданные настройки и нажимаем ОК.

Настройка конфигурации подключения

Основные настройки CAPsMAN закончены, теперь нужно настроить правила распространения этих настроек на точки в сети. Для этого переходим во вкладку Provisioning. Распространение настроек может происходить либо с помощью сертификатов, либо по MAC-адресу точки, причем для разных точек мы можем распространять разные конфигурации.RadioMAC – вводим МАС-адрес ТД или все нули, если конфигурация распространяется на все точки доступаAction – выбираем действие после подключения для радио интерфейсаMaster Configuration – выбор основной конфигурации настроек для распространенияSlave Configuration – выбор второстепенной конфигурации для распространенияName Format – формат наименования создаваемых CAP интерфейсовName Perfix – перфикс для имен созданных интерфейсов

Настройка Provisioning

На этом настройка контроллера закончена, переходим к настройке точек доступа. Если наш контроллер сам является точкой доступа, то начнем настройку с него. Для это переходим в раздел Wireless, во вкладке interfaces нажимаем кнопку CAP, и в открывшемся окне производим следующие настройки: Ставим галочку Выбираем интерфейс wlan1 в поле В поле CAPsMAN Addresses ставим адрес контроллера сети (в данном случае свой) В поле Bridge выбираем наш бридж. Нажимаем ОК.

Настройка подключения к контроллеру CAPsaMAN

После этого в разделе Wireless на вкладке Interfaces должны появиться строки:— managed byCAPsMAN— chanel: XXXXXXXXXX, SSID: XXXXXXXXXXX

После подключения всех точек у вас должна быть примерно такая (в зависимости от количества точек) картина:

Процесс настройки завершен. Данная сеть легко масштабируется, также легко перенастраивается под различные конфигурации. При невысокой стоимости оборудования предложение от Mikrotik бесспорно является одним из лучших предложений на рынке.

Все удачи в настройке и спасибо за внимание!

Когда это нужно?

Первый сценарий. Допустим, есть какая-либо локальная сеть с вещающей WI-FI точкой доступа (роутером) и у нас есть устройство с ethernet-портом, которое невозможно воткнуть проводом напрямую. Поэтому используем второй роутер (тот, который нам предстоит настроить) в режиме «клиент» для подключения к ресурсам удаленной локальной сети.

Второй сценарий. Сосед решил скооперироваться с нами и снизить свои расходы на Интернет. Он поделился с нами паролем от своей WI-FI точки доступа и, подключившись нашим роутером Mikrotik в режиме «клиент», мы сможем получить Интернет и «перенаправить» его через Ethernet-порты на роутере к любым другим сетевым устройствам. В итоге можно даже создать собственную виртуальную точку доступа с совершенно другим паролем, что может значительно расширить зону покрытия беспроводного сигнала, например, для мобильных устройств таких как телефоны и планшеты.

Принципы и последовательность настройки нашего Mikrotik

1. Сбрасываем настройки микротик и производим обновление прошивки
2. При первом запуске отказываемся от предложенной конфигурации
3. Заходим в раздел Wireless и настраиваем наш единственный интерфейс wlan1, а именно внутри его настроек в одноименной вкладке Wireless указываем режим работы точки доступа (Mode): Station, остальные параметры точки доступа, к которой происходит подключение, в том числе устанавливаем пароль для авторизации WPA2 PSK внутри профиля «default» (отдельном или том, который идет по умолчанию) на вкладке Security Profiles. Если все настройки установлены правильно и парольная фраза совпадает с той, которая настроена на точке доступа, к которой мы подключаемся, то на вкладке «Registration» мы увидим установившуюся сессию. Можно двигаться дальше
4. При необходимости объединяем в мост (bridge1) те порты, которые нам нужны, те, которые будут использованы для доступа к нашим локальным адресам.
5. IP -> Addresses. Устанавливаем IP-адрес для интерфейса wlan1, который должен обязательно совпадать с реальным диапазоном IP-адресов, который используется удаленной WI-FI точкой доступа для выдачи подключаемым клиентам. Не забываем и про интерфейс нашей внутренней сети (bridge1 или отдельно взятый порт), которому даем отличный адрес из другого диапазона.
6. IP -> Firewall -> NAT. Создаем маршрут для того, чтобы все устройства нашей локальной сети «шли» за Интернетом через наш удаленный роутер. Chain: srcnat, Src. Address: 168.X.X/24> (наша локальная сеть), Action: masquerade.
7. Проверяем пинг из нашей локальной сети (пока еще со статическим адресом) на любой внешний IP в Интернете, например, на гугловский 8.8.8.8. Пинг должен проходить нормально.
8. IP -> DHCP Server. Для удобства «поднимаем» DHCP сервер на того порта или моста, который «смотрит» в нашу локальную сеть. Для этого предварительно задаем пул IP адресов в разделе IP -> Pool. Все, теперь можно перевести нашу сетевую карту на автоматическое получение настроек и убедиться в том, что происходит предоставление IP адреса из того диапазона, который мы задавали ранее в настройках Mikrotik. Пинг на внешние IP адреса также должен работать, но вот пинг по имени работать не будет, пока не настроим DNS.
9. IP -> DNS. В параметре Servers указываем DNS-адреса удаленного роутера (обычно это адрес, который предоставляется провайдером, но ни в коем случае не 192.168.0.1 или 192.168.1.1) либо указываем любые другие DNS серверы, можно всё те же гугловские 8.8.8.8, 8.8.4.4 или используем Яндекс DNS чтобы сразу блокировать вредоносные сайты согласно базе Яндекса 78.88.8.88, 78.88.8.2. Ставим галку «Allow Remote Requests». После этого должен заработать пинг по именам и должны начать открываться сайты в браузере. Проверяем.

Да, и еще, если вы не пользуетесь web-интерфейсом, то его лучше сразу отключить через IP -> Services, где отключаем 80 порт. При необходимости меняем MAC-адрес на интерфейсе wlan1, для этого два раза кликаем по самому интерфейсу и в открывшемся окне меняем MAC на новый. При необходимости можно поменять MAC-адреса и на Ethernet-портах с помощью команды в Terminal:

interfaceethernet set ether1 mac—address=D4:CA:6D:5C:69:B0

Выводы

Получилась такая небольшая шпаргалка, которая может пригодиться любому желающему настроить Mikrotik для приема Интернета из какой-либо WI-FI сети и «подать» его на любой компьютер или устройство, подключенные к lan-порту Mikrotik. Данные настройки были успено протестированы на роутерах Mikrotik RB751U-2HnD и RB951G-2HnD, но могут быть применены абсолютно на любом оборудовании, работающем на операционной системе RouterOS, например, в качестве WI-FI клиента могут быть настроены любые модели WI-FI маршрутизаторов: RB951Ui-2HnD, Mikrotik RB951G-2HnD, hAP, hAP lite, hAP ac, hAP mini, Mikrotik mAP 2nD, RB2011UiAS-2HnD-IN, SXT HG5, wAP, wAP AC и прочих. Настройка режима W-FI клиента на них точно такая же.

Удачи, коллеги!

Используемые источники:

• https://www.forceline.net/o-kompanii/novosti/tonkaya-nastroyka-mikrotik.html
• https://odnakish.ru/2016/08/12/%d1%82%d0%b5%d1%85%d0%bd%d0%be%d0%bb%d0%be%d0%b3%d0%b8%d1%8f-capsman-%d0%be%d1%82-mikrotik-%d0%b1%d0%b5%d1%81%d1%88%d0%be%d0%b2%d0%bd%d1%8b%d0%b9-%d1%80%d0%be%d1%83%d0%bc%d0%b8%d0%bd%d0%b3-wi-fi/
• http://tehnomozg.ru/mikrotik-wi-fi-client.html