Правилна настройка на mikrotik 941. Mikrotik hAP AC - Рутер за всички поводи. Mikrotik RB941 портове

Устройството е компактна точка за достъп, която е идеална за апартаменти, къщи и малки офиси. На кутията има бутон WPS, който позволява на клиентите да се свързват безжично, без да въвеждат парола, или да превключват устройството в режим cAP за централизирано управление с помощта на контролера CAPsMAN, просто чрез натискане на бутон. Точката за достъп е оборудвана с многофункционална операционна система RouterOS с всички нейни възможности: защитна стена, контрол на потребителския достъп, ограничаване на честотната лента и др.

hAP lite TC е оборудван с мощен процесор Atheros с тактова честота 650 MHz, 32 MB RAM, 2,4 GHz радио модул с поддръжка на MIMO 2x2, четири Fast Ethernet порта и четвърто ниво на лиценз на операционната система RouterOS. В комплекта е включено USB захранване.

Спецификации

процесор	Atheros QCA9533, 650 MHz
RAM	32 MB DDR SDRAM
ROM	16 MB
Ethernet портове	4х 10/100 Mbps Fast Ethernet с Auto-MDI / X
Wi-Fi модул	802.11b / g / n, MIMO 2x2
Особености	Бутон за нулиране / WPS
Усилване на антената	1,5 dBi
Максимална мощност на радиомодула	До 20 dBm за RF (до 22 dBm за други страни)
USB порт	1x порт (за захранване)
Хранене	USB захранване 5 V, 0,7 A (включено)
Максимална консумация на енергия	3W при 5V
Размерът	124 х 100 х 54 мм
Работна температура на околната среда	-20 .. +70 °C
Операционна система	Mikrotik RouterOS ниво 4

Характеристики на радиомодула

Честотна лента	Мощност	Чувствителност
1 Mbps	22 dBm	-96 dBm
11 Mbps	22 dBm	-89 dBm
6 Mbps	20 dBm	-93 dBm
54 Mbps	18 dBm	-74 dBm
MCS0	20 dBm	-93 dBm
MCS7	16 dBm	-71 dBm

hAPac microtik се доставя със следната конфигурация:

• MikroTik hAPac (RB962UiGS-5HacT2HnT);
• Захранване 24V 1200mA;
• Инструкции за бърз старт.

Външният вид на модела не се различава особено от класическото устройство MikroTik RB951. От предната страна има 5 гигабитови Ethernet интерфейса и SFP интерфейс от 1,25 Gbps. Има и конектор за свързване на захранване.

hAP ac има способността да получава захранване през PoE на първия порт. Петият порт може да действа като PoE източник за MikroTik устройства и други съвместими устройства.

В горната част на модела има индикатори за активност на портове, WiFi интерфейси и лампа за захранване. От горната страна има вентилационни отвори за отвеждане на топлината от устройството.

На обратната страна на hAP ac има специални крачета против хлъзгане, отвори за закрепване към вертикални повърхности, стикер със серийния номер и MAC адресите на интерфейсите.

Отстрани има USB интерфейс за свързване на периферни устройства. Има и бутон RESET. Той е отговорен за нулирането на устройството до фабричните настройки и може да контролира режима на зареждане на hAPac.

Друга функция на този бутон е да активира WPS режим. Проектиран за бързо настройване на WIFI между точката за достъп и клиента.

Ако погледнете вътре в рутера, можете да видите вътрешната структура на устройството. Наличието на 6 антени, две от които са фиксирани на корпуса на устройството. При необходимост те могат да бъдат заменени с външни антени.

Когато Mikrotik представи hAP lite по едно време, това стана истински тласък за по-широко използване на рутерите на компанията. Отличен набор от функции, богата функционалност, гъвкавост, надеждност и достъпна цена се превърнаха в истински бестселър, който и до днес води рейтингите за продажби на много онлайн магазини.

Запознайте се с hAP ac²!

Много хора погрешно смятат hAP ac² за заместител на предишния флагман hAP, това е отчасти вярно, но не напълно. ще разберем.

hAP ac² се доставя в обичайната картонена опаковка, единственото нещо, което се е променило през последните няколко години, е шарката, добавена към кутията и наподобява бродирана риза.

Както и преди, устройството се предлага без пач кабел и цветен печат. Въпреки това мнозина вероятно не биха отказали висококачествен пачкорд.

Благодарение на матовото меко на допир покритие, hAP ​​ac² е опакован в полиетилен, което трябва да гарантира безопасност до момента, в който устройството попадне в ръцете на крайния клиент.

От нестандартните опции пакетът съдържа само крепежни елементи-стойка и кратки илюстрирани инструкции за използване на точно тази стойка.

Статията на модела се оказа много сложна - RBD52G-5HacD2HnD-TC, ако за един и същ шестнадесетичен на места, когато комуникират във форумите, потребителите биха могли да използват идентификатора на статията, тогава в случая на този модел не всеки ще успее като си спомня статията за първи път.

Въпреки това, много информация може да се почерпи от статията:

RB - RouterBOARD

D - двойна верига (пълна)

52 - Двулентова 5 + 2,4 GHz

G - Gigabit Ethernet

5HacD - 5GHz 802.11ac, висока мощност (тип 1), двойна верига

2HnD - 2,4GHz 802.11n, висока мощност (тип 1), двойна верига

Що се отнася до мощността на предавателя, Mikrotik има 4 градации:

нормална мощност (без индекс), по-малко от 23-24 dBm;

H - повишена мощност, 23-27 dBm;

HP - висока мощност, 25-29 dBm;

SHP - много висока мощност, повече от 27-30 dBm;

Всъщност "тип 1" означава индекс "H". Но индексът "U" (USB) не се използва в името, въпреки че този интерфейс присъства тук.

Като цяло самият дизайн е доста необичаен. Компанията продължава да експериментира с Tower-Case, като hAP lite TC е първото „експериментално“ устройство. Тогава се появиха hAP ac lite TC (RB952Ui-5ac2nD-TC) и hAP mini (RB931-2nD).

Проучванията показват, че близо 70% от респондентите одобряват опитомения дизайн на hAP ac2.

Индикаторите и самите интерфейси са разположени от противоположни страни, което е стандарт за домашни и SOHO решения. Индикацията за порт не е много удобна, но не е натрапчива и няма да ви притеснява с работата си през нощта.

Всичките 5 интерфейса са екранирани и няма заземяване на корпуса.

В допълнение към индикатора за захранване, hAP ​​ac² има и допълнителен потребителски индикатор, който е удобен за конфигуриране, например, според състоянието на VPN връзката.

Бутоните за WPS и нулиране са комбинирани, вече не е необходимо да носите кламер със себе си, сега ще се справят с химикалка или молив - задържането на бутона за дълго време все още е неудобно, което ще предпази от случайно нулиране.

Един от акцентите в дизайна на hAP ac² е стойката.

Това не е просто стойка, това е монтаж на таван или стена. Вече инсталирахме това устройство на един от нашите клиенти на таван от гипсокартон. Процесът на монтаж е бърз и удобен, с височина на поставяне от 4 метра няма абсолютно никакви проблеми с качеството на покритието.

Елементът се закрепва с ключалка към долния ръб или към капака. В първия случай ще получите стояща версия за маса, във втория - лежаща версия за маса или монтаж на стена (таван). На краката има силиконови вложки, които осигуряват противоплъзгащи свойства на стойката.

Самият ac2 е изключително компактен, размерът на новостта е съпоставим с обикновения hAP lite, а в изправено положение заема минимум място.

Пълнене Mikrotik hAP ac²

Много собственици се опитаха да разгледат вътрешността на ac ^ 2, но не всички му се поддадоха, някои от тези, на които се поддаде, просто счупиха ключалките. Поради тази причина ви призоваваме да се въздържате от отваряне на този модел.

Първото нещо, на което си струва да се обърне внимание, е затвореността на вътрешното пространство на кутията. Тоест има вентилационни "слотове" на предния панел, но не е необходимо да се казва, че те особено подобряват вентилацията. Пълнежът на устройството лесно се загрява до 45 градуса на празен ход, а по време на натоварване може да се повиши до 52 градуса.

Няма нужда да се паникьосвате за това, старият hAP ac загрява много повече. Устройството, което сме избрали за сървър, дори загрява до 62-65 градуса в неактивен режим.

Почти половината от горната част на платката RBD52G-5HacD2HnD-TC е покрита с масивен радиатор от игла.

От същата страна на платката има 2 антени, интерфейси, захранваща подсистема и USB порт.

Има 4 монтажни отвора по периметъра на платката, вероятно компанията преди това е експериментирала с различни варианти на корпуса, включително класическия.

Цялата основна плънка на hAP ac ^ 2 се намира на гърба на печатната платка.

Устройството е базирано на чипа Qualcomm IPQ-4018. Това е силно интегрирано решение, комбиниращо 32-битов ARM процесор и безжични модули.

Въпреки силната прилика с IPQ-4019, тези 2 чипа не са взаимозаменяеми. По-старият IPQ-4019 има по-голям физически размер, различен дизайн и схема на свързване.

Въпреки че като цяло IPQ-4018 и IPQ-4019 се различават само по набора от интерфейси.

Основният изчислителен блок на IPQ-4018 е 4 ARM Cortex A7 ядра с тактова честота 717 MHz. Чипът включва хардуерен NAT блок и Crypto Engine, както може би се досещате, първият блок е отговорен за разтоварването на NAT, а вторият за хардуерното криптиране.

И двата безжични модула имат 2x2 (Dual-Chain) MIMO конфигурация, като всеки модул има собствен копроцесор, който осигурява разтоварване на хардуера. Те са обозначени с CPU #1 и CPU #2 в блоковата диаграма.

На изхода на всяка верига е свързано едно усилващо устройство (скрито под екраните), общо 4 от тях.

Ако погледнете официалната блокова диаграма на hAP ac2, тя изброява гигабитовия превключвател AR8327 и е обозначен като вграден директно в IPQ-4018.

В същото време, до процесора, QCA8075 е запоен на платката, която реализира 5 гигабитови порта.

Ако се върнем към официалната блокова диаграма на Qualcomm, IPQ-4018 съдържа "5GE L2 / 3/4 Switch Engine", малко вляво от диаграмата има външен блок "QFE8075 / 2 (5/2 порта PHY) ".

Така всъщност физическият слой (PHY) е реализиран на отделен външен чип QCA8075, но останалата част от сбруя се намира директно в SoC. Самият RouterOS идентифицира превключвателя като Atheros-8327.

Както обикновено, няма много постоянна памет - само 16 MB (Winbond 25Q128JVSM).

Ситуацията с RAM е по-интересна. Официално hAP ac2 има 128 MB RAM. В същото време първите партиди са оборудвани с 256 MB Nanya NT5CC128M16IP-DI чипове.

Крайният потребител разполага с 233 MB. Mikrotik потвърдиха този факт, но няма да коригират описанието и характеристиките за hAP ac ^ 2, т.к. има партиди със 128 MB. Някой от отдела по логистика много обърка.

Досега не сме попаднали на нито едно устройство със 128 MB, всички тествани копия бяха оборудвани с 256 MB RAM.

Платформата hAP ac2 ще се използва частично в RB450Gx4, въпреки че е базирана на IPQ-4019 с деактивирани безжични интерфейси. Цената на платката ще бъде почти двойно по-висока от тази на тестваното устройство. В замяна Mikrotik предлага 1 GB RAM, 512 MB NAND Flash, 5-то ниво на лиценз и поддръжка на microSD.

HAP ac 2 производителност с L2TP / MPPE

В момента има доста широк спектър от възможности за комбиниране на отдалечени мрежи в една компютърна мрежа. Най-популярните инструменти са PPTP, L2TP, OpenVPN и IPsec.

PPTP е най-старият и най-несигурен протокол, в същото време, колкото и да е странно, преобладаващото мнозинство от потребителите на Mikrotik използват остарелия протокол pptp за отдалечени връзки. Поради факта, че този протокол е напълно остарял и дори устройствата на Apple са спрели да го поддържат, ние няма да тестваме този протокол.

Най-оптималните протоколи са IPsec и OpenVPN.

IPsec е един от най-сигурните методи за мрежово взаимно свързване, налични днес. Със силно AES криптиране с поддръжка на 128 и 256-битови ключове, този протокол осигурява най-висока надеждност и поверителност на предаваните данни, което може да бъде от критично значение за бизнеса и държавните агенции. Днес, дори с помощта на силата на суперкомпютрите, ще са необходими милиарди години, за да се декриптират данни, криптирани с AES. Има и недостатъци на този метод – наличието на външен статичен IP в двата края на връзката и високи изисквания към хардуерната платформа. По принцип IPsec връзка е възможна и между динамични IP адреси, въпреки че в този случай ще трябва да преконфигурирате параметрите всеки път, когато един от адресите се промени. Хардуерната платформа също не е толкова проста, бюджетните RouterBOARD от начално ниво могат да осигурят в най-добрия случай 10-20 Mbit при пълно натоварване на процесора.

По-модерните устройства като RB750Gr3, RB850Gx2 (прекратено), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 и CCR1009 са способни на по-бързи скорости на IPsec. С появата на hAP ac2 този списък може да бъде допълнен с още един модел, но първо.

Има и възможност за използване на L2TP във връзка с IPsec, като основното предимство на тази комбинация е висока сигурност, бърза и лесна конфигурация, както и голяма лоялност към NAT от страна на крайния клиент. От сериозните недостатъци на тази опция трябва да се отбележи, че много високите изисквания към хардуерната платформа са може би L2TP / IPsec е най-взискателният протокол. Всичко е виновно за двойното капсулиране на данните и необходимостта от криптиране.

Протоколът OpenVPN, който се основава на библиотеката OpenSSL и протоколите SSL / TLS, е лишен от тези недостатъци. Самият OVPN е изключително гъвкав в конфигурацията и дори ви позволява да маскирате трафика като нормален HTTPS, което прави възможно заобикалянето на всякакви ограничения от страна на доставчика. По принцип OVPN е по-бърз от IPsec и все още поддържа различни алгоритми за криптиране, включително AES. Този метод все още има някои недостатъци - по-сложна конфигурация и високи хардуерни изисквания (както и за IPsec).

От наша страна, като начало, ще тестваме L2TP със стандартно MPPE 128-битово криптиране.

L2TP е по-надежден и сигурен в сравнение с протокола от предишното поколение - PPTP. Силно препоръчваме да се откажете от използването на PPTP в полза на по-модерни протоколи. Ако нямате възможност и/или желание да използвате OVPN / IPsec / L2TP + IPsec, препоръчваме да използвате L2TP / MPPE.

Основната препоръка за повишаване на L2TP / MPPE сигурността е да се използват много дълги пароли, състоящи се от набор от произволни букви (с различни оформления), цифри и специални знаци. Използването на пароли за "речник" не се препоръчва, тъй като L2TP / MPPE има редица недостатъци, които позволяват използването на речникови методи за отгатване на пароли, което в крайна сметка води до намаляване на сигурността на 128-битов ключ, което го прави еквивалентен на 56 -бит (). Във всеки случай е много по-добре от използването на PPTP.

Като двойка за hAP ac2 избрахме доказаната платформа CCR1009, а именно.

Това е най-достъпният член на линията CCR, който има мощен 9-ядрен процесор Tile Gx и 1 GB RAM. Тази комбинация осигурява висока производителност и способност за обработка до 2,5 Gbps IPsec трафик.

В хода на тестването допълнително проверихме стабилността и надеждността при високи натоварвания, данните за производителността са посочени за потребителски трафик (полезен трафик), взета е предвид средната извадка. Стойностите на върхова производителност не се включват в изчисляването на средния индикатор, ако тяхната продължителност е по-малка от 30 секунди.

От двете страни компютрите с iperf се използват като генератори на трафик, което дава по-надеждни стойности и гъвкавост от вградения BTest.

CCR1009 - WAN IP 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0

hAP ac2 - WAN IP 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0

За CCR1009 беше използвана ръчна конфигурация, подобна на defconf на устройства от ниско ниво. ETH1 (не Combo) се използва като WAN, стандартни правила на защитната стена, порт 1701 е допълнително отворен.

Конфигурацията на L2TP сървъра се основава на стандартен криптиран профил, MTU не е променен и опцията "Разрешаване на бърз път" е допълнително активирана.

Всички наследени методи за удостоверяване MSCHAP1, CHAP и PAP са деактивирани, само MSCHAP2 (MS-CHAPv2) е активен.

В съвременните реалности е най-добре да не използвате компресия за максимална производителност.

От страна на клиента настройките са подобни, използва се профилът по подразбиране с криптиране, както и опцията „Разрешаване на бърз път“.

Маршрутизацията към отдалечената мрежа се осигурява от статичен маршрут в комбинация с NAT маскарад, маршрутът по подразбиране не се използва.

И двете устройства имат бърза връзка, конфигурирана в защитната стена за установени и свързани връзки.

На изхода имаме класическа комбинация от 2 мрежи, базирани на L2TP / MPPE

В зависимост от посоката на трафика и конфигурацията, CCR зарежда 1 ядро ​​или разпределя изчисленията между всичките 9 ядра. Например при изпращане на данни от CCR се използва 1 ядро, докато при получаване на данни за декриптиране всички ядра се зареждат равномерно.

Обмен на пакети от 1400 байта, TCP режим

Първият тест за пропускателна способност се прави за 1400-байтови пакети.

Средната производителност на 1-нишков тест е 112 Mbps за получаване и 128 Mbps за изпращане.

С увеличаване на броя на сесиите до 10, скоростта се променя на 111 и 170 Mbit, както можете да видите, има увеличение на производителността за изпращане с увеличаване на броя на сесиите.

Няма специално увеличение за изтегляне, независимо от размера на пакетите. Интересното е, че във всички горепосочени случаи използването на IPQ-4018 е средно до 25%. Зарежда се само 1 ядро, само от време на време системата извършва разтоварване на други ядра - в многонишкови режими.

Извършваме допълнителен тест за Качване и увеличаваме броя на сесиите до 20 и 100, в резултат на което скоростта се увеличава съответно до 201 и 235 Mbps.

За допълнителен мониторинг по време на тестовете периодично се използва инструментът Инструменти – Профил, с който проследявахме разпределението на ресурсите и тяхното натоварване.

Всъщност това ясно показва, че с увеличаване на броя на едновременните връзки, RouterOS, макар и с пристрастие, разпределя част от изчисленията към останалите ядра. Заедно с увеличаването на производителността, натоварването на процесора се повишава до 35-45%.

Последният тест в този блок се извършва за FDX (пълен дуплекс) с 10 противоположни връзки във всяка посока, за общо 10 + 10 сесии.

В резултат на това общата пропускателна способност беше 185 Mbps.

Получената диаграма на производителност за 1400-байтови пакети изглежда така:

Според статистиката на продажбите това е най-популярният рутер от нашата гама. Има много причини за това, но две от тях според нас са най-значимите: първо, струва само $20, Второ, това е Микротик... Общо оказва се "Mikrotik за $20", което е наистина впечатляващо.

Нека предварително изразим мнението си за него: рутерът е повече от достоен за внимание. Работи много стабилно, скоростите на жични и безжични връзки са напълно съвместими с посочените, а функционалността му е сравнима с рутерите от най-висок клас Cisco / Juniper, които струват невероятни хиляди долари в ценови етикети. Има и недостатъци: има само 4 Ethernet порта (включително WAN порт), радиомодулът е слаб и не поддържа стандарта 802.11ac. Тук обаче, както в добре познатия вулгарен виц: "Е, какво искаше за 20 долара?"

Така, нека опитомим героя на нашия материал... Нашата базова линия е доставчикът, който ни дава динамичен IP адрес. Да започваме:
1. Включваме кабела на доставчика 1-ви порт на рутера
2. Свързваме кабела от компютъра към всеки останал свободен порт
3. Както при всички устройства Mikrotik, по подразбиране на hAP Lite е присвоен IP адрес 192.168.88.1... Нека зададем настройките на нашата компютърна мрежа от същата подмрежа. Например, адрес 192.168.88.10, маска 255.255.255.0, шлюз 192.168.88.1, DNS 192.168.88.1:

4. Да отидем на рутерачрез браузър:

Тук ще направим малко отклонение: в hAP Lite Mikrotik е внедрил конфигурация по подразбиране, която осигурява бърз старт. Рутерът вече е конфигуриран да получава динамичен адрес на 1-ви интерфейс, DHCP сървър е активиран и е конфигуриран мост между портовете. Всъщност в нашата топология рутерът работи както се очаква веднага след включване. Ние обаче не сме се събрали тук за това, следователно...

5. Нека нулираме рутера до фабричните настройки.За да направите това, щракнете над секцията Системабутон Нулиране на конфигурацията:

6. Проверете параметъра Няма конфигурация по подразбиранеи натиснете Нулиране на конфигурацията:

7. Потвърждаваме намерението си:

8. След около минута рутерът ще се рестартира. Тук има лек проблем: след нулиране на рутера с изтриване на конфигурацията по подразбиране, вече няма да му се присвоява IP адрес и няма да е възможно да се получи достъп до него с браузър. Няма проблем, за този случай Mikrotik има специално приложение за конфигуриране - WinBox... Изтеглете го от сайта http://www.mikrotik.com/download в секцията Полезни инструменти и помощни програми:

9. WinBox не изисква инсталация. Пускаме гои в долната част щракнете върху раздела Съседи... Всички устройства Mikrotik в рамките на излъчващия домейн трябва да се показват в списъка по-долу. В нашия случай това ще бъде единственият герой на статията. Кликнете върху неговия MAC адрес (важно е!), след което натиснете бутона Свържете сев горната част на екрана:

10. Интерфейсът на рутера се появява в целия си блясък. Прозорец R Конфигурация по подразбиране на външната ОСзатворете с натискане Добре:

11. В менюто вляво щракнете Интерфейси... Отбележи, че в празна конфигурация безжичният интерфейс е деактивиран на рутера... Нарича се wlan1. Изберете го и щракнете върху синята отметка в горната част на прозореца.Това ще ни бъде полезно в близко бъдеще:

12. Кликнете два пъти отворете интерфейса на ether2, промени името му на ether2-masterи натиснете Добре:

13. Сега отворете интерфейса на ether3и променете параметъра Главен портНа етер2-главен:

14. Повтаряме същото действие за интерфейса ether4: отворете го и променете параметъра Master Port на ether2-master.

Този параграф трябва да се чете само от тези, които силно се интересуват от техническата страна на въпроса! Ако сте отворили статията само, за да имате пред очите си лист с измамници за настройка, тогава можете да я пропуснете!
И сега ще дешифрираме какво беше направено в параграфи 12-14: за разлика от по-познатите домашни рутери, портовете в рутерите Mikrotik по подразбиране не са включени в една матрица за превключване, т.е. не са част от превключвателя като такъв. За да ги „съберете“ в логически превключвател, има 2 начина: софтуер и хардуер. Софтуер - мост - използва централния процесор на рутера за превключване. Хардуерът използва специален хардуерен чип за превключване, а процесорът не се използва. По този начин, за работата на портовете в режим на превключване естествено се предполага използването на комутационен чип. Сега към това, което направихме по-рано: преименувахме ether2 порта на ether2-master, за да можем ясно да видим в конзолата за конфигурация кой порт е главен за останалите и казахме на рутера, че ether2 портът е главен порт за другия две. Използвайки главния порт, използвахме чип за превключване и процесорът вече не участва в изчисляването на превключване на пакети между ether2-ether4 портове. Можете да прочетете повече за превключването на чипове и техните възможности тук: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

15. Нека създадем мост за интерфейсите, които образуват локална мрежова верига.Вляво в менюто щракнете Мост, в първия раздел Мостнатискам + , в отворения прозорец въведете името на моста(например, LAN) и натиснете Добре:

16. минаваме към раздела Портове, Натиснете + , избирам Интерфейс- wlan1, Мост- LAN, Натиснете Добре:

17. Повтаряме процедурата за интерфейса ether2-master.

18. Вашият окончателният списък с портове в моста трябва да изглежда така:

19. Както е споменато по-горе, в нашата топология доставчикът ни предоставя динамичен IP адрес... Включете DHCP клиента на WAN порта на рутера. За да направите това, отворете менюто вляво IP-> DHCP клиенти в прозореца, който се показва, щракнете + :

20. Кабелът на доставчика се вкарва в 1-ви порт на рутера.Ние избираме Интерфейс- етер1, задължително задайте параметъра Добавяне на маршрут по подразбиранев позиция даи натиснете Добре:

21. Сега в прозореца на DHCP клиента ще видите на кой интерфейс е активиран DHCP клиентът и какъв адрес е получил:

22. Включете NAT.За да направите това, отворете в менюто вляво IP-> защитна стена, отидете на раздела NAT, Натиснете + , в прозореца, който се показва, задайте параметъра Веригав позиция srcnat, параметър Навън. Интерфейсв позиция етер1:

23. Без да напускате прозореца за ново NAT правило, отидете в раздела Действие, и задайте параметъра Действиев позиция бал с маскии след това натиснете Добре:

24. Нека конфигурираме DNS.В менюто вляво IP-> DNS... Нашият доставчик вече ни е предоставил 2 динамични сървъра, но техният списък може да бъде допълнен (попълнен в параметъра Сървъри) със собствената ви ръка. Основното нещо в този прозорец не забравяйте да поставите отметка до Разрешаване на отдалечени заявки, след което можете да натиснете Добре:

25. Време е да зададете IP адрес на рутера, за да работи в локалната мрежа.Отидете в менюто вляво IP-> Адреси, в прозореца, който се отваря, щракнете + и въведете IP адреса/подмрежовата маска... В нашия случай ще използваме 192.168.88.1/24... Параметър Интерфейстрябва да се постави на позиция LAN(това е нашият мост, създаден в стъпка 15; може да има различно име за вас), след което можете да натиснете Добре:

Сега нашият списък с IP адреси трябва да изглежда така(разбира се, адресът на интерфейса ether1 ще бъде различен за вас):

26. Между другото, трябва да имаме достъп до Интернет на нашия компютър!Да проверим:

Наистина се появи! Но ще отложим празника за по-късно.

27. Сега нека конфигурираме DHCP сървъра.Отидете в менюто вляво IP-> DHCP сървър, в прозореца, който се отваря, щракнете Настройка на DHCP:

28. Избираме като интерфейс, на който ще работи DHCP, нашия мост - LAN, щракнете Следващия:

29. Задаваме адресното пространство. Планираме да издаваме адреси в мрежата 192.168.88.0 с маска 255.255.255.0, Следователно въвеждаме 192.168.88.0/24и натиснете Следващия:

30. Посочваме шлюза.Имаме го 192.168.88.1. Натиснете Следващия:

31. Определете групата от IP адреси, които ще бъдат издадени на клиентите.Тук ви съветваме да вземете свое собствено решение въз основа на топологията на вашата мрежа. Ще използваме диапазона 192.168.88.2-192.168.88.254, въведете и щракнете Следващия:

32. Въведете DNS сървъри(можете да имате свой собствен или да използвате публичен DNS от Google или Yandex), щракнете Следващия:

33. Въведете срока на наем за IP-адреси(не можете да промените по подразбиране), щракнете Следващия:

По този Конфигурацията на DHCP сървъра е завършена:

34. Сега нека конфигурираме WiFi.Кликнете върху менюто вляво Безжичен, в отворения прозорец отворете интерфейса на wlan1 чрез двойно щракване, и настройка на параметри:
- режим- ap мост
- Банда- 2GHz-B / G / N
- SSID- въведете името на вашата WiFi мрежа
- Безжичен протокол - 802.11
- WPS режим - хора с увреждания

След това щракнете върху ОК:

35. Сега нека зададем парола за нашата мрежа.Да продължим напред към раздела Профили за сигурност, да отворим профил по подразбиране... Сега:
-задайте параметъра Modeв позиция динамични клавиши
- поставете отметка WPA2 PSKв параметър Видове удостоверяване
- поставете всички кутии в Unicast шифри и групови шифри
- в полето WPA2 Pre-Shared Key, въведете паролатаот WiFi мрежата
- Натиснете Добре

36. Нека се свържем с WiFi, проверете работата му.Активните връзки могат да се видят в раздела Регистрация:

37. Сега изключете всички интерфейси за управление на рутера, с изключение на WinBox(ако е необходимо, запазете необходимите, но от гледна точка на сигурността не препоръчваме използването на защитна стена). За да направите това, отидете на IP-> Услуги, изберете ненужни услуги и щракнете върху червения кръст:

38. Остава да зададете паролата на администратора.Отидете на Система-> Потребители, въведете администратора на потребителския профил, Натиснете парола, въведете паролата два пъти в полетата нова паролаи потвърди паролаи щракнете Добре:

Така че в момента имаме стандартна конфигурация без разделяне на мрежата. За да разграничим нашата локална мрежа, ще създадем сегмент (част) от мрежата за деца. За да направите това, изберете в менюто winbox → Bridge (1) → Bridge (2) → плюс (3) → General (4) → и добавете името bridge-child към полето за име (5). Запазване на промените - ОК.

Нека подготвим интерфейсите (портовете) за включване в bridge-child. В нашата конфигурация за детето ще бъдат конфигурирани четвърти ether4 порт и допълнителна детска wifi мрежа. Това означава, че като се свържете към четвъртия порт с кабел и/или към детската мрежа чрез WiFi, ще имате детски достъп до Интернет през тези интерфейси.

Нека настроим профил за сигурност за детска WiFi мрежа. WinBox → Безжична (1) → Профили за сигурност (2) → плюс (3) → Общи (4) → в полето Име (5) въведете дете → в полетата WPA (6) и WPA2 (6), въведете бъдещето парола за Wifi на детската мрежа ... Да запазим настройките - ОК.

Нека добавим нова wifi мрежа. WinBox → Wireless (1) → Interfaces (2) → plus (3) → Virtual AP (4) → Wireless (5) → въведете името на детската WiFi мрежа в полето SSID (6) → изберете профила за защита (7 ) за нашата мрежа. Да запазим настройките - ОК.

Нека конфигурираме интерфейса ether4. Winbox → Интерфейси (1) → Интерфейс (2) → щракнете двукратно върху левия бутон на ehter4 (3) и въведете настройките на интерфейса → изберете нито един в полето Главен порт (4). Приложете настройките - ОК.

След това ще включим нашите интерфейси в подготвения bridge-child. Winbox → Bridge (1) → Портове (2) → плюс (3) → добавете интерфейс ether4 (4) → към Bridge (5) bridge-child. Ще направим и за интерфейса wlan2 (6) (7). Нека да запазим всички промени - ОК.

Нека присвоим вътрешен адрес на интерфейса bridge-child. WinBox → IP (1) → адрес (2) → плюс (3) → попълнете полетата (4), (5), (6) в съответствие с екранната снимка.

Сега трябва да зададете DHCP сървър към мрежовия сегмент на детето, за да конфигурирате автоматично IP параметрите на мрежовите клиенти. За да направите това, трябва да изберете Winbox → IP (1) → DHCP сървър (2) → DHCP (3) → DHCP Setup (4) → изберете интерфейса bridge-child в полето dhcp Server Interface (5).

След това трябва да щракнете върху бутона Напред и да следвате съветника за настройка на DHCP сървъра, без да променяте нищо. След като стигнете до прозореца за избор на време за наем:

Тук трябва да промените стандартното време за наем на 3d 00:10:00 и да завършите конфигурирането на DHCP сървъра.

Ако сте направили всичко правилно, до този момент трябва да имате два мрежови сегмента:

Детска LAN-4 мрежа; wifi. Адресиране - 192.168.99.0/24 Мрежа за възрастни LAN-2, LAN-3; wifi. Адресиране - 192.168.88.0/24

Сега тези две мрежи нямат ограничения и са напълно равни. За да започнете да настройвате ограничителни функции за детска мрежа, трябва да завършите предварителните настройки на рутера, а именно:

• Задайте парола и SSID (име на мрежата) за wifi мрежа за възрастни
• Задайте парола за администраторския потребител
• Актуализирайте вашия рутер до най-новата версия.

Ако ви е трудно да го направите сами, можете да намерите инструкции стъпка по стъпка за настройка на тези параметри в