В первой части было рассмотрено создание автономного хотспота, который предоставляет доступ в Интернет через встроенный Wi-Fi адаптер или кабельную сеть. Для покрытия беспроводной сетью больших помещений этого будет мало и требуется подключать дополнительные Wi-Fi точки, которые будут установлены равномерно по территории, или в местах наибольшего скопления людей с ноутбуками и смартфонами, а так же переключать клиентов с точки на точку во время перемещения, то есть осуществлять роуминг.
Настройка Wi-Fi хотспота на Mikrotik с перенаправлением на сайт провайдера и отдельной сетью для служебного доступа. Часть 1.
Для установки большого количества устройств нужно подготовить типовую конфигурацию, что бы произвести настройку как можно быстрее и не совершать ошибок. Отличаться одно от другого будет только IP-адресом и именем, поэтому для максимального удобства будем использовать конфигурацию в текстовом виде - ее можно легко редактировать перед установкой на новый маршрутизатор Mikrotik.
Для установки распределенных по помещению точек можно использовать беспроводные маршрутизаторы Mikrotik RB751G-2HnD, RB951G-2HnD с гигабитными, или RB751U-2HnD 10/100 мбит сетевыми портами. У каждого маршрутизатора их по 5 штук.
Что бы не настраивать беспроводную сеть с нуля, возьмем конфигурацию с центрального роутера, уберем все лишнее и загрузим на новое устройство.
На маршрутизаторе, который настраивали в первой части обзора имеется большое количество сетевых интерфейсов и интегрированный беспроводной адаптер, поверх которого создана виртуальная точка доступа.
Что бы получить конфигурацию в текстовом виде заходим в New Terminal и вводим export compact.
Выводится конфигурация только с теми параметрами, которые были изменены при настройке, это и есть отличие от команды export без параметров. Текст занимает большое количество строк и его нельзя выделить полностью, поэтому нажимаем правой кнопкой мыши в фон экрана и выбираем Copy All.
Полученный конфиг вставляем в текстовый редактор и удаляем все записи, кроме создания бриджей и настроек беспроводного интерфейса.
Естественно не обходится без проблем. Нужно быть внимательным. Текстовая конфигурация встроенного беспроводного адаптера (как и любого другого, настоящего) не содержит упоминания о MAC-адресе, а вот у виртуального он имеется. Если просто скопировать полученный текст и размножить его на несколько других маршрутизаторов Mikrotik, ничего работать не будет, т.к. у каждого виртуального адаптера будет одинаковый MAC-адрес.
Удаляем из текста mac-address=D6:CA:6D:62:FD:D8 сохраняя существующую разметку строк с переносами в виде слеша.
Заходим на новое устройство и сбрасываем настройки с помощью меню System->Reset Configuration, ставим галочки для отмены начальной конфигурации и отключения автоматической резервной копии предыдущих настроек.
Из созданного и отредактированного ранее текстового файла вставляем текстовый кнофиг в окно New Terminal.
И без перезагрузки все уже работает. Смотрим правильность применения настроек - созданы два беспроводных адаптера - настоящий и виртуальный.
Установлено ограничение по уровню сигнала.
И настроен профиль шифрования.
Кроме этого созданы два бриджа для открытой и рабочей сетей.
Т.к. у маршрутизатора Mikrotik RB751G-2HnD 5 сетевых портов, то его можно использовать как обычный коммутатор и подключать цепочкой, что бы не протягивать длинные кабели до центрального, и не устанавливать дополнительное оборудование. Поэтому создаем 3-й бридж - bridge_lan, в который добавляем все сетевые порты.
После всех настроек на вкладке Ports раздела Bridge должна появиться следующая картина - все сетевые порты добавлены в бридж bridge_lan, беспроводной адаптер открытой сети в bridge_hotspot, а рабочей - bridge_work.
В разделе Interface на вкладке VLAN создаем новый влан с номером 10 на сетевом интерфейсе bridge_lan, для большей наглядности и удобства даем ему имя vlan_10_hotspot.
Аналогично добавляем влан с номером 11 для рабочей сети - vlan_11_work.
Теперь данные из влана с номером 10 будут передаваться через открытую сеть, а из 11 - в рабочую. Через сетевые порты 1-5 можно подключать точки между собой. Если в месте установки оборудования требуется подключить стационарные компьютеры - то несколько сетевых портов можно объединить с 11 вланом и получить доступ к сети.
Для управления в меню IP->Address добавляем адрес для управления - 192.168.1.2/24 на интерфейсе bridge_lan.
В меню IP->Routes указываем маршрут по умолчанию на адрес центрального маршрутизатора - 192.168.1.1.
И для удобного поиска точек в сети с помощью System->Identity даем каждой уникальное имя, в нашем случае LANMART_Wi-Fi_Cabinet1. Можно указывать и русскими буквами. Теперь при запуске winbox или сканирования сети будут показаны не только IP-адреса маршрутизаторов, но и их имена.
А для удобного сканирования беспроводной сети для определения уровней сигналов между точками, указываем Radio Name соответствующее расположению точки, так же LANMART_Cabinet1, и другую частоту, что бы точки не мешали друг другу. Теперь при сканировании сети можно будет отличить одну от другой, ведь имя беспроводной сети у них одинаковое.
После всех приведенных настроек получаем вот такую конфигурацию интерфейсов. Теперь ее можно сохранить и переносить на другие.
В меню New Terminal через export compact получаем конфигурацию в текстовом виде и копируем в буфер обмена.
И сохраняем в текстовый файл, не забываем удалить MAC-адрес Virtual AP.
Снова заходим на центральный маршрутизатор и так же добавляем на нем бридж - bridge_LAN.
И добавляем в него сетевые порты 2-8. Порт 9 можно использовать для подключения кабеля к стационарному компьютеру что бы получить доступ к рабочей сети, или в порт 10 к хотспоту. Естественно сетевые порты можно распределить и другим образом.
Так же создаем vlan_10_hotspot с номером 10 на порту bridge_LAN.
И аналогично vlan_11_work с номером 11 на порту bridge_LAN.
Получается следующий список объединения портов бриджа.
Выключаем встроенный беспроводной адаптер на центральном маршрутизаторе что бы проверить работу другой точки доступа.
Но вот подключение к ней не происходит. Оказывается при сохранении конфигурации не правильно настроен оказался параметр минимального уровня сигнала на вкладке Access List раздела Wireless, просто -77. Естественно уровень принимаемого сигнала был отличный от указанного и ноутбук не мог подключиться к сети.
Находим в текстовой конфигурации нужную строчку и видим что там так же -77.
Редактируем файл нужным образом, указываем нужный нам диапазон -77..120.
Для проверки копируем и вставляем нужную строчку из файла конфигурации.
И получаем вторую запись с правильным ограничением.
Стираем первую и все приходит в норму. При настройке микротика нужно следить за такими мелочами и всегда проверять правильность применения параметров, особенно при создании конфигурации для большого количества устройств. Указанное ограничение уровня минимального сигнала позволяет автоматически отбрасывать клиента с точки, и он тут же подключится к другой доступной. Это позволяет перемещаться по всей зоне действия сети без потери связи и обрывов сетевых соединений.
Теперь можно без проблем подключиться к беспроводной сети. На вкладке Registration виден MAC-адрес клиента и его уровень сигнала -34, а так же канальные скорости.
Подключаемся к открытой беспроводной сети и проверяем ее работу, а потом к рабочей. Если после проверки зайти на центральный маршрутизатор и посмотреть логи (нажатием на кнопку Log в меню слева), то видна вся активность клиентов.
Включаем беспроводной адаптер на центральном маршрутизаторе.
Теперь рассмотрим правку конфигурации для копирования на большое количество точек доступа при создании распределенной беспроводной сети на территории крупного офиса или гостиницы. Что бы было удобнее удалить комментарии, произведем их жирным текстом.
--- Создание бриджей, данную настройку трогать не нужно.
/interface bridge
add name=bridge_hotspot
add name=bridge_work
add name=bridge_lan
--- Настройка беспроводного адаптера, в ней следует изменять выделенные жирным параметры - частоту работы frequency и имя точки в эфире radio-name.
/interface wireless
set 0 band=2ghz-b/g basic-rates-b="" default-authentication=no \
default-forwarding=no disabled=no distance=indoors frequency=2437 \
frequency-mode=superchannel ht-rxchains=0,1 ht-txchains=0,1 \
hw-protection-mode=rts-cts l2mtu=2290 mode=ap-bridge name=wlan_hotspot \
periodic-calibration=enabled periodic-calibration-interval=10 radio-name=\
LANMART_Cabinet1 rate-set=configured scan-list=2400-2500 ssid=\
LANMART-FREE-WI-FI supported-rates-b="" tx-power=18 tx-power-mode=\
all-rates-fixed wireless-protocol=802.11
/interface wireless nstreme
set wlan_hotspot enable-polling=no
--- Создание вланов на интерфейсе. В данном случае на всех точках указаны одинаковые вланы, но правильнее для каждой сделать уникальные. Первая точка имеет влан 10 для открытой сети и 11 для рабочек, вторая влан 12 для открытой и 13 для рабочей и так далее. На центральном маршрутизаторе нужно будет добавить указанные вланы и внести их в нужный бридж. При этом трафик между клиентами разных беспроводных точек подключенных к открытой сети будет заблокирован.
/interface vlan
add interface=bridge_lan l2mtu=1594 name=vlan_10_hotspot vlan-id=10
add interface=bridge_lan l2mtu=1594 name=vlan_11_work vlan-id=11
--- Пароль на беспроводную сеть должен быть везде одинаковый.
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm \
management-protection=allowed mode=dynamic-keys name=profile_work \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
12345678 wpa2-pre-shared-key=12345678
/interface wireless
add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=0 \
default-authentication=no default-client-tx-limit=0 default-forwarding=no \
disable-running-check=no disabled=no hide-ssid=no l2mtu=2290 \
master-interface=wlan_hotspot max-station-count=2007 \
mtu=1500 multicast-helper=default name=wlan_work proprietary-extensions=\
post-2.9.25 security-profile=profile_work ssid=LANMART-WORK \
update-stats-interval=disabled wds-cost-range=0 wds-default-bridge=none \
wds-default-cost=0 wds-ignore-ssid=no wds-mode=disabled wmm-support=\
disabled
--- Добавляем порты в бридж, если некоторые сетевые порты нужно использовать для доступа к рабочей сети, то нужно из добавить в соответствующий бридж.
/interface bridge port
add bridge=bridge_lan interface=ether1
add bridge=bridge_lan interface=ether2
add bridge=bridge_lan interface=ether3
add bridge=bridge_lan interface=ether4
add bridge=bridge_lan interface=ether5
add bridge=bridge_hotspot interface=wlan_hotspot
add bridge=bridge_work interface=wlan_work
add bridge=bridge_hotspot interface=vlan_10_hotspot
add bridge=bridge_work interface=vlan_11_work
--- Ограничение по уровню минимального сигнала. Если какая-то точка будет установлена отдельно от остальных, то для обеспечения максимальной дальности работы параметры уровня сигнала могут быть изменены.
/interface wireless access-list
add forwarding=no signal-range=-77..120
--- Все точки должны иметь уникальные IP-адреса, при заливке конфигурации нужно их изменять.
/ip address
add address=192.168.1.2/24 interface=bridge_lan
/ip route
add distance=1 gateway=192.168.1.1
--- Имя точки доступа, так же должно быть уникальное у каждой. Через конфигурацию в текстовом виде можно указывать только английскими буквами.
/system identity
set name=LANMART_Wi-Fi_Cabinet1
--- Пароль на маршрутизатор. При сохранении через export compact не выводится, его нужно добавить вручную.
/user set 0 password=mikrotik
Схема настройки нового маршрутизатора простая - заходим через winbox, обновляем прошивку и загрузчик, сбрасываем начальную конфигурацию и через окно New Terminal вставляем новую конфигурацию устройства, которая сразу же применяется без перезагрузки. Таким образом можно быстро настроить большое количество устройств, промаркировать их и установить.
Получившаяся беспроводная сеть работает сама по себе, автоматически переключает клиентов с точки на точку во время перемещения (осуществляет роуминг), и не требует дополнительных контроллеров, как в решениях других производителей. Для мониторинга доступности оборудования и изменения настроек можно использовать систему управления The DUDE.
Николай Есипенко
/caps-man channel
add band=2ghz-b/g/n extension-channel=Ce frequency=2412 name=channel1 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2417 name=channel2 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2422 name=channel3 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2427 name=channel4 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2432 name=channel5 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2437 name=channel6 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2442 name=channel7 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2447 name=channel8 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2452 name=channel9 \
tx-power=30 width=20
add band=2ghz-onlyn extension-channel=Ce frequency=2457 name=channel10 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2462 name=channel11 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2467 name=channel12 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2472 name=channel13 \
tx-power=30 width=20
add band=2ghz-b/g/n extension-channel=Ce frequency=2484 name=channel14 \
tx-power=30 width=20
/interface bridge
add name=bridge_hotspot
add name=bridge_work
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(30dBm), SSID: Wifi, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n basic-rates-b="" \
default-authentication=no distance=indoors frequency-mode=superchannel \
hw-protection-mode=rts-cts l2mtu=1600 mode=ap-bridge name=wlan_hotspot \
radio-name=router_2 rate-set=configured scan-list=2400-2500 ssid=WiFi \
supported-rates-b="" tx-power=18 tx-power-mode=all-rates-fixed \
wireless-protocol=802.11
/caps-man datapath
add bridge=bridge_hotspot client-to-client-forwarding=no local-forwarding=no \
name=datapath1-hs
add bridge=bridge_work client-to-client-forwarding=no local-forwarding=no \
name=datapath2-work
/caps-man security
add authentication-types="" name=security-hp
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm,tkip \
group-encryption=aes-ccm name=security-work passphrase=123456@123456
/caps-man configuration
add channel=channel1 datapath=datapath1-hs mode=ap name=cfg1-hs security=\
security-hp ssid=Wifi
add channel=channel1 datapath=datapath2-work mode=ap name=cfg2-work security=\
security-work ssid=WiFi_work
/caps-man interface
#
add configuration=cfg1-hs disabled=no l2mtu=1600 mac-address=\
4C:5E:0C:66:BD:31 master-interface=none name=cap1 radio-mac=\
4C:5E:0C:66:BD:31
#
add configuration=cfg2-work disabled=no l2mtu=1600 mac-address=\
4E:5E:0C:66:BD:31 master-interface=cap1 name=cap2 radio-mac=\
00:00:00:00:00:00
#
add configuration=cfg1-hs disabled=no l2mtu=1600 mac-address=\
D4:CA:6D:C7:25:7E master-interface=none name=cap3 radio-mac=\
D4:CA:6D:C7:25:7E
#
add configuration=cfg2-work disabled=no l2mtu=1600 mac-address=\
D6:CA:6D:C7:25:7E master-interface=cap3 name=cap4 radio-mac=\
00:00:00:00:00:00
add configuration=cfg1-hs disabled=no mac-address=4C:5E:0C:7A:B5:3D \
master-interface=none name=cap5 radio-mac=4C:5E:0C:7A:B5:3D
add configuration=cfg2-work disabled=no mac-address=4E:5E:0C:7A:B5:3D \
master-interface=cap5 name=cap6 radio-mac=00:00:00:00:00:00
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=\
profile_work supplicant-identity="" unicast-ciphers=tkip,aes-ccm \
wpa-pre-shared-key=123456@123456 wpa2-pre-shared-key=123456@123456
/ip hotspot profile
add hotspot-address=192.168.10.1 login-by=http-chap,trial name=hsprof1 \
trial-uptime=30m/1h
/ip hotspot user profile
set [ find default=yes ] keepalive-timeout=1h rate-limit=1m/1m
/ip pool
add name=hs-pool-7 ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool1 ranges=192.168.11.2-192.168.11.254
/ip dhcp-server
add address-pool=hs-pool-7 disabled=no interface=bridge_hotspot lease-time=1h \
name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=bridge_work lease-time=1d \
name=dhcp2
/ip hotspot
add address-pool=hs-pool-7 disabled=no interface=bridge_hotspot name=hotspot1 \
profile=hsprof1
/ppp profile
set [ find name=default ] name=default
set [ find name=default-encryption ] name=default-encryption
/caps-man access-list
add action=accept interface=all mac-address=00:00:00:00:00:00 signal-range=\
-100..120
/caps-man manager
set ca-certificate=auto enabled=yes
/caps-man provisioning
add action=create-enabled master-configuration=cfg1-hs slave-configurations=\
cfg2-work
/interface bridge port
add bridge=bridge_work interface=ether3
add bridge=bridge_hotspot disabled=yes interface=wlan_hotspot
add bridge=bridge_work disabled=yes
add bridge=bridge_work interface=ether2
add bridge=bridge_work interface=ether5
add bridge=bridge_work interface=ether4
/interface wireless access-list
add forwarding=no vlan-mode=no-tag
/interface wireless cap
set caps-man-addresses=192.168.0.200 discovery-interfaces=ether2 enabled=yes \
interfaces=wlan_hotspot
/ip address
add address=192.168.10.1/24 interface=bridge_hotspot network=192.168.10.0
add address=192.168.11.1/24 interface=bridge_work network=192.168.11.0
add address=192.168.0.200/24 interface=ether1 network=192.168.0.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1
/ip dhcp-server network
add address=192.168.10.0/24 comment="hotspot network" dns-server=192.168.10.1 \
gateway=192.168.10.1
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
src-address=192.168.10.0/24
add action=masquerade chain=srcnat src-address=192.168.11.0/24
/ip hotspot user
add name=admin
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name="Router 2 \FD\F2\E0\E6 (main)"
/system leds
set 5 interface=wlan_hotspot
/tool romon port
add disabled=no
[admin@Router 2 \FD\F2\E0\E6 (main)] >