Správne nastavenie mikrotiku 941. Mikrotik hAP AC - smerovač pre všetky príležitosti. Porty Mikrotik RB941

Zariadenie je kompaktný prístupový bod, ktorý je ideálny pre byty, domy a malé kancelárie. Na puzdre je tlačidlo WPS, ktoré umožňuje klientom bezdrôtové pripojenie bez zadávania hesla alebo prepnutie zariadenia do režimu cAP pre centralizované ovládanie pomocou ovládača CAPsMAN jednoduchým stlačením tlačidla. Prístupový bod je vybavený multifunkčným operačným systémom RouterOS so všetkými jeho funkciami: firewall, kontrola prístupu používateľov, obmedzenie šírky pásma atď.

hAP lite TC je vybavený výkonným procesorom Atheros s taktovacou frekvenciou 650 MHz, 32 MB pamäte RAM, rádiovým modulom 2,4 GHz s podporou MIMO 2x2, štyrmi portami Fast Ethernet a štvrtou licenčnou úrovňou operačného systému RouterOS. Napájací zdroj USB je súčasťou balenia.

technické údaje

CPU	Atheros QCA9533, 650 MHz
RAM	32 MB DDR SDRAM
ROM	16 MB
Ethernetové porty	4 x 10/100 Mbps Fast Ethernet s Auto-MDI / X
Modul Wi-Fi	802.11b / g / n, MIMO 2x2
Zvláštnosti	Tlačidlo Reset / WPS
Zisk antény	1,5 dBi
Maximálny výkon rádiového modulu	Až 20 dBm pre RF (až 22 dBm pre ostatné krajiny)
USB vstup	1x port (pre napájanie)
Výživa	USB napájanie 5 V, 0,7 A (súčasť balenia)
Maximálna spotreba energie	3W pri 5V
Veľkosť	124 x 100 x 54 mm
Pracovná teplota okolia	-20 .. +70 ° C
Operačný systém	Mikrotik RouterOS úroveň 4

Charakteristiky rádiového modulu

Šírka pásma	Moc	Citlivosť
1 Mbps	22 dBm	-96 dBm
11 Mbps	22 dBm	-89 dBm
6 Mbps	20 dBm	-93 dBm
54 Mbps	18 dBm	-74 dBm
MCS0	20 dBm	-93 dBm
MCS7	16 dBm	-71 dBm

Mikrotik hAPac sa dodáva s nasledujúcou konfiguráciou:

• MikroTik hAPac (RB962UiGS-5HacT2HnT);
• Napájanie 24V 1200mA;
• Pokyny pre rýchly štart.

Vzhľad modelu sa nijako zvlášť nelíši od klasického zariadenia MikroTik RB951. Na prednej strane je 5 gigabitových ethernetových rozhraní a SFP rozhranie 1,25 Gbps. K dispozícii je tiež konektor pre pripojenie napájacieho zdroja.

hAP ac má schopnosť prijímať napájanie cez PoE na prvom porte. Piaty port môže fungovať ako zdroj PoE pre zariadenia MikroTik a ďalšie kompatibilné zariadenia.

V hornej časti modelu sú indikátory aktivity portov, WiFi rozhraní a kontrolka napájania. Na vrchnej strane sú vetracie otvory na odvod tepla zo zariadenia.

Na zadnej strane hAP ac sú špeciálne protišmykové nožičky, otvory na upevnenie na zvislé povrchy, nálepka so sériovým číslom a MAC adresami rozhraní.

Na bočnej strane je rozhranie USB na pripojenie periférnych zariadení. K dispozícii je tiež tlačidlo RESET. Je zodpovedný za resetovanie zariadenia na výrobné nastavenia a môže ovládať režim spustenia hAPac.

Ďalšou funkciou tohto tlačidla je aktivácia režimu WPS. Navrhnuté na rýchle nastavenie WIFI medzi prístupovým bodom a klientom.

Ak sa pozriete dovnútra smerovača, vidíte vnútornú štruktúru zariadenia. Prítomnosť 6 antén, z ktorých dve sú pripevnené k telu zariadenia. V prípade potreby je možné ich nahradiť externými anténami.

Keď Mikrotik naraz predstavil hAP lite, stalo sa to skutočným impulzom pre širšie využitie routerov spoločnosti. Vynikajúci súbor funkcií, bohatá funkčnosť, flexibilita, spoľahlivosť a dostupná cena sa zmenila na skutočný bestseller, ktorý dodnes vedie k hodnoteniam predaja mnohých internetových obchodov.

Zoznámte sa s HAP ac²!

Mnoho ľudí si mylne myslí, že hAP ac² je náhradou za predchádzajúcu vlajkovú loď hAP, je to čiastočne pravda, ale nie úplne. Zistíme to.

HAP ac² je dodávaný v obvyklom kartónovom obale. Jediné, čo sa za posledných niekoľko rokov zmenilo, je vzor vložený do škatule a pripomína vyšívanú košeľu.

Ako predtým, zariadenie je dodávané bez prepojovacieho kábla a farebnej tlače. Mnoho ľudí by však asi na kvalitný patchcord nevzdalo.

Vďaka matnému povrchu, ktorý je príjemný na dotyk, je hAP ac² balený v polyetyléne, čo by malo zaistiť bezpečnosť, kým sa zariadenie nedostane do rúk koncového zákazníka.

Z neštandardných možností balík obsahuje iba držiak na stojan a krátky ilustrovaný návod na používanie samotného tohto stojana.

Článok modelu sa ukázal byť veľmi zložitým-RBD52G-5HacD2HnD-TC, ak pre ten istý hEX na miestach pri komunikácii na fórach mohli používatelia použiť identifikátor článku, potom v prípade tohto modelu nie každý uspeje spomínanie na článok prvý krát.

Z článku je však možné vyčítať veľa informácií:

RB - RouterBOARD

D - dvojreťazový (plný)

52 - Dvojpásmový 5 + 2,4 GHz

G - Gigabitový ethernet

5HacD-5 GHz 802.11ac, vysokovýkonný (typ 1), dvojreťazový

2HnD-2,4 GHz 802.11n, vysoký výkon (typ 1), dvojreťazový

Pokiaľ ide o výkon vysielača, Mikrotik má 4 gradácie:

normálny výkon (bez indexu), menej ako 23-24 dBm;

H - zvýšený výkon, 23-27 dBm;

HP - vysoký výkon, 25-29 dBm;

SHP - veľmi vysoký výkon, viac ako 27-30 dBm;

V skutočnosti „typ 1“ znamená index „H“. Index „U“ (USB) sa však v názve nepoužíva, aj keď tu je toto rozhranie.

Samotný dizajn je vo všeobecnosti dosť neobvyklý. Spoločnosť pokračuje v experimentoch s vežou Tower-Case, pričom hAP lite TC je prvým „experimentálnym“ zariadením. Potom sa objavili hAP ac lite TC (RB952Ui-5ac2nD-TC) a hAP mini (RB931-2nD).

Prieskumy ukazujú, že takmer 70% respondentov súhlasí s domestikovaným dizajnom hAP ac2.

Indikátory a samotné rozhrania sú umiestnené na protiľahlých stranách, čo je štandard pre domáce a SOHO riešenia. Indikácia portu nie je príliš pohodlná, ale nie je rušivá a v noci vás nebude obťažovať svojou prácou.

Všetkých 5 rozhraní je tienených a na puzdre nie je žiadne uzemnenie.

HAP ac² má okrem indikátora napájania aj ďalší používateľský indikátor, ktorý je vhodné nakonfigurovať napríklad podľa stavu pripojenia VPN.

Tlačidlá WPS a reset sú kombinované, už so sebou nepotrebujete nosiť kancelársku sponku, teraz postačí pero alebo ceruzka - dlhé držanie tlačidla je stále nepohodlné, čo ochráni pred náhodným resetom.

Jedným z vrcholov v dizajne hAP ac² je stojan.

Nie je to len stojan, je to stropný alebo nástenný držiak. Toto zariadenie sme už nainštalovali jednému z našich klientov na sadrokartónový strop. Proces inštalácie je rýchly a pohodlný, s výškou umiestnenia 4 metre nie sú absolútne žiadne problémy s kvalitou povlaku.

Prvok je pripevnený západkou k dolnému okraju alebo k krytu. V prvom prípade dostanete stolnú stojaciu verziu, v druhej - ležiacu verziu na stôl alebo nástenný (stropný) držiak. Na nohách sú silikónové vložky, ktoré poskytujú protišmykové vlastnosti stojana.

Samotný ac2 je mimoriadne kompaktný, veľkosťou je novinka porovnateľná s bežným hAP lite a v stoji zaberá minimum miesta.

Výplň Mikrotik hAP ac²

Mnoho majiteľov sa pokúšalo nazrieť do útrob ac ^ 2, ale nie všetci mu podľahli, niektorí z tých, ktorým podľahol, jednoducho zlomili západky. Z tohto dôvodu vás vyzývame, aby ste sa zdržali otvárania tohto modelu.

Prvá vec, ktorú stojí za to venovať pozornosť, je uzavretosť vnútorného priestoru puzdra. To znamená, že na prednom paneli sú vetracie „štrbiny“, ale nie je potrebné hovoriť, že obzvlášť zlepšujú vetranie. Náplň zariadenia sa v nečinnosti ľahko zahreje na 45 stupňov a počas načítania môže stúpnuť až na 52 stupňov.

V tomto by ste nemali panikáriť, starý hAP ac sa zahrial oveľa viac. Zariadenie, ktoré sme vybrali ako server, sa dokonca v čase nečinnosti zahreje na 62-65 stupňov.

Takmer polovica hornej časti dosky RBD52G-5HacD2HnD-TC je pokrytá masívnym chladičom ihlového typu.

Na rovnakú stranu dosky sú spájkované 2 antény, rozhrania, subsystém napájania a port USB.

Po obvode dosky sú 4 montážne otvory, pravdepodobne spoločnosť predtým experimentovala s rôznymi možnosťami puzdra, vrátane klasického.

Všetky hlavné náplne hAP ac ^ 2 sú umiestnené na zadnej strane DPS.

Zariadenie je založené na čipe Qualcomm IPQ-4018. Jedná sa o vysoko integrované riešenie kombinujúce 32-bitový procesor ARM a bezdrôtové moduly.

Napriek silnej podobnosti s IPQ-4019 nie sú tieto 2 čipy zameniteľné. Starší IPQ-4019 má väčšiu fyzickú veľkosť, iný dizajn a schému zapojenia.

Aj keď sa vo všeobecnosti IPQ-4018 a IPQ-4019 líšia iba v sérii rozhraní.

Hlavnou výpočtovou jednotkou IPQ-4018 sú 4 jadrá ARM Cortex A7 s hodinovou frekvenciou 717 MHz. Čip obsahuje blok Hardware NAT a Crypto Engine, ako asi tušíte, prvý blok je zodpovedný za vykladanie NAT, druhý za hardvérové ​​šifrovanie.

Oba bezdrôtové moduly majú konfiguráciu MIMO 2x2 (Dual-Chain), pričom každý modul má svoj vlastný koprocesor, ktorý zaisťuje zníženie hardvéru. V blokovom diagrame sú označené CPU # 1 a CPU # 2.

Na výstupe každého reťazca je spájkovaná jedna zosilňovacia jednotka (skrytá pod obrazovkami), celkovo sú ich 4.

Ak sa pozriete na oficiálny blokový diagram hAP ac2, obsahuje zoznam gigabitového prepínača AR8327 a je označený ako zabudovaný priamo v IPQ-4018.

Súčasne je vedľa procesora spájaný QCA8075 na doske, ktorá implementuje 5 gigabitových portov.

Ak sa vrátime k oficiálnemu blokovému diagramu Qualcomm, IPQ-4018 obsahuje „5GE L2 / 3/4 Switch Engine“, trochu vľavo od diagramu je externý blok „QFE8075 / 2 (5/2 portov PHY) “.

V skutočnosti je teda fyzická vrstva (PHY) implementovaná na samostatnom externom čipe QCA8075, ale zvyšok zväzku je umiestnený priamo v SoC. RouterOS sám identifikuje prepínač ako Atheros-8327.

Ako obvykle, trvalej pamäte nie je veľa - iba 16 MB (Winbond 25Q128JVSM).

Zaujímavejšia je situácia s RAM. Oficiálne má hAP ac2 128 MB RAM. Prvé šarže sú zároveň vybavené 256 MB čipmi Nanya NT5CC128M16IP-DI.

Koncový používateľ má k dispozícii 233 MB. Mikrotik túto skutočnosť potvrdil, ale popis a charakteristiky pre hAP ac ^ 2 neopravia, pretože existujú dávky so 128 MB. Niekto z logistického oddelenia toho veľa pokazil.

Doposiaľ sme nenarazili na jediné zariadenie so 128 MB, všetky nami testované kópie boli vybavené 256 MB RAM.

Platforma hAP ac2 bude čiastočne použitá v modeli RB450Gx4, aj keď je založená na IPQ-4019 s deaktivovaným bezdrôtovým rozhraním. Náklady na dosku budú takmer dvojnásobné v porovnaní s testovaným zariadením. Mikrotik na oplátku ponúka 1 GB RAM, 512 MB NAND Flash, 5. úroveň licencie a podporu microSD.

Výkon HAP ac 2 s L2TP / MPPE

V súčasnej dobe existuje pomerne široká škála možností na kombináciu vzdialených sietí do jednej počítačovej siete. Najpopulárnejšími nástrojmi sú PPTP, L2TP, OpenVPN a IPsec.

PPTP je najstarší a najbezpečnejší protokol a zároveň, napodiv, drvivá väčšina používateľov Mikrotiku používa na vzdialené pripojenia zastaraný protokol pptp. Vzhľadom na to, že tento protokol je úplne zastaraný a dokonca aj zariadenia Apple ho prestali podporovať, tento protokol nebudeme testovať.

Najoptimálnejšími protokolmi sú IPsec a OpenVPN.

IPsec je jednou z najbezpečnejších metód sieťového prepojenia, aké dnes existujú. Vďaka silnému šifrovaniu AES s podporou 128 a 256-bitových kľúčov poskytuje tento protokol najvyššiu spoľahlivosť a dôvernosť prenášaných údajov, čo môže mať zásadný význam pre firmy a vládne agentúry. Dnes aj pri využití výkonu superpočítačov bude dešifrovanie údajov šifrovaných pomocou AES trvať miliardy rokov. Táto metóda má aj nevýhody - prítomnosť externej statickej IP na oboch koncoch pripojenia a vysoké požiadavky na hardvérovú platformu. Spojenie IPsec je v zásade možné aj medzi dynamickými IP adresami, aj keď v tomto prípade budete musieť parametre prekonfigurovať pri každej zmene jednej z adries. Hardvérová platforma tiež nie je taká jednoduchá. Rozpočtové RouterBOARDy základnej triedy môžu poskytovať maximálne 10-20 Mbit s plným zaťažením CPU.

Pokročilejšie zariadenia, ako napríklad RB750Gr3, RB850Gx2 (ukončené), RB450Gx4, RB3011, RB1100AHx2, RB1100AHx4 a CCR1009, sú schopné dosahovať vyššie rýchlosti IPsec. S príchodom hAP ac2 môže byť tento zoznam doplnený ešte jedným modelom, ale najskôr.

Existuje aj možnosť použitia L2TP v spojení s IPsec, hlavnou výhodou tejto kombinácie je vysoké zabezpečenie, rýchla a jednoduchá konfigurácia a tiež veľká lojalita k NAT na strane koncového klienta. Zo závažných nevýhod tejto možnosti je potrebné poznamenať, že veľmi vysoké požiadavky na hardvérovú platformu sú možno najnáročnejším protokolom L2TP / IPsec. Za všetko môže dvojité zapuzdrenie údajov a potreba šifrovania.

Protokol OpenVPN, ktorý je založený na knižnici OpenSSL a protokoloch SSL / TLS, tieto nedostatky neobsahuje. Samotný OVPN je extrémne flexibilný v konfigurácii a dokonca vám umožňuje maskovať prenos ako bežný HTTPS, čo umožňuje obísť všetky druhy obmedzení na strane poskytovateľa. OVPN je spravidla rýchlejší ako IPsec a stále podporuje množstvo šifrovacích algoritmov vrátane AES. Táto metóda stále má svoje nevýhody - komplexnejšia konfigurácia a vysoké hardvérové ​​požiadavky (ako aj pre IPsec).

Pokiaľ ide o nás, najskôr otestujeme L2TP so štandardným 128-bitovým šifrovaním MPPE.

L2TP je spoľahlivejší a bezpečnejší v porovnaní s protokolom predchádzajúcej generácie - PPTP. Dôrazne odporúčame, aby ste upustili od používania protokolu PPTP v prospech modernejších protokolov. Ak nemáte možnosti a / alebo túžite používať OVPN / IPsec / L2TP + IPsec, odporúčame vám použiť L2TP / MPPE.

Hlavným odporúčaním na zvýšenie zabezpečenia L2TP / MPPE je používať veľmi dlhé heslá pozostávajúce zo sady náhodných písmen (s rôznym rozložením), číslic a špeciálnych znakov. Používanie hesiel „slovníka“ sa neodporúča, pretože L2TP / MPPE má množstvo nedostatkov, ktoré umožňujú používať slovníkové metódy hádania hesiel, čo v konečnom dôsledku vedie k zníženiu zabezpečenia 128-bitového kľúča, čo je ekvivalentom 56 -trocha (). V každom prípade je to oveľa lepšie ako používať PPTP.

Ako pár pre hAP ac2 sme vybrali osvedčenú platformu CCR1009, a to the.

Jedná sa o najdostupnejší člen radu CCR, ktorý má výkonný 9-jadrový procesor Tile Gx a 1 GB RAM. Táto kombinácia poskytuje vysoký výkon a schopnosť zvládnuť až 2,5 Gbps prenosu IPsec.

Počas testovania sme dodatočne skontrolovali stabilitu a spoľahlivosť pri vysokom zaťažení, údaje o výkone sú uvedené pre návštevnosť používateľov (užitočná návštevnosť), do úvahy sa berie priemerná vzorka. Pri výpočte priemerného ukazovateľa sa neberú do úvahy maximálne hodnoty výkonu, ak je ich trvanie kratšie ako 30 sekúnd.

Na oboch stranách sa ako generátory prevádzky používajú počítače s iperf, ktoré poskytujú spoľahlivejšie hodnoty a flexibilitu ako vstavaný BTest.

CCR1009 - WAN IP 192.168.106.20 / VPN 10.0.0.1 / LAN 192.168.1.0

hAP ac2 - WAN IP 192.168.106.30 / VPN 10.0.0.2 / LAN 192.168.2.0

Pre CCR1009 bola použitá manuálna konfigurácia, podobná defconf na nízkoúrovňových zariadeniach. ETH1 (nie Combo) sa používa ako sieť WAN, štandardné pravidlá brány firewall, port 1701 je navyše otvorený.

Konfigurácia servera L2TP je založená na štandardnom šifrovanom profile, MTU sa nezmenilo a dodatočne je aktivovaná možnosť „Povoliť rýchlu cestu“.

Všetky staršie metódy autentifikácie MSCHAP1, CHAP a PAP sú zakázané, aktívny je iba MSCHAP2 (MS-CHAPv2).

V modernej realite je najlepšie nepoužívať kompresiu na dosiahnutie maximálneho výkonu.

Na strane klienta sú nastavenia podobné, používa sa predvolený profil so šifrovaním a tiež možnosť „Povoliť rýchlu cestu“.

Smerovanie do vzdialenej siete zabezpečuje statická trasa v kombinácii s NAT maškarádou, predvolená trasa sa nepoužíva.

Obe zariadenia majú vo firewalle nakonfigurované pripojenie Fasttrack na nadviazané a súvisiace pripojenia.

Na výstupe máme klasickú kombináciu 2 sietí založených na L2TP / MPPE

V závislosti od smeru prevádzky a konfigurácie CCR načíta 1 jadro alebo rozdelí výpočty medzi všetkých 9 jadier. Napríklad pri odosielaní údajov z CCR sa používa 1 jadro, zatiaľ čo pri príjme údajov na dešifrovanie sa všetky jadrá načítajú rovnomerne.

Výmena paketov 1 400 bajtov, režim TCP

Prvý test priepustnosti sa vykonáva pre 1 400 bajtové pakety.

Priemerný výkon 1-vláknového testu je 112 Mbps pre príjem a 128 Mbps pre odosielanie.

S nárastom počtu relácií na 10 sa rýchlosť zmení na 111 a 170 Mbit, ako vidíte, dochádza k zvýšeniu výkonu odosielania s nárastom počtu relácií.

Bez ohľadu na veľkosť balíkov neexistuje žiadne špeciálne zvýšenie pre sťahovanie. Je zaujímavé, že vo všetkých týchto prípadoch bolo využitie IPQ-4018 v priemere až 25%. Je načítané iba 1 jadro, iba príležitostne systém vykonáva vykladanie na iných jadrách - vo viacvláknových režimoch.

Vykonávame ďalší test nahrávania a zvyšujeme počet relácií na 20 a 100, v dôsledku čoho sa rýchlosť zvyšuje na 201 respektíve 235 Mb / s.

Na ďalšie monitorovanie počas testov bol pravidelne používaný nástroj Nástroje - profil, pomocou ktorého sme sledovali distribúciu zdrojov a ich zaťaženie.

V skutočnosti to ukazuje, že s nárastom počtu simultánnych pripojení RouterOS, aj keď s odchýlkou, distribuuje časť výpočtov do ostatných jadier. Spolu so zvýšením výkonu sa zaťaženie CPU zvýši na 35-45%.

Posledný test v tomto bloku sa vykonáva pre FDX (Full Duplex) s 10 opačnými pripojeniami v každom smere, celkovo 10 + 10 relácií.

Výsledkom bolo, že celková priepustnosť bola 185 Mbps.

Výsledný diagram výkonu pre 1400-bajtové pakety vyzerá takto:

Podľa štatistík predaja je to najobľúbenejší router z nášho sortimentu. Existuje na to mnoho dôvodov, ale dva z nich sú podľa nás najvýznamnejšie: prvý, stojí len 20 dolárov, Za druhé, toto je Mikrotik... Spolu ukazuje sa „Mikrotik za 20 dolárov“, čo je skutočne pôsobivé.

Vyjadrime o tom svoj názor vopred: router je viac ako hodný pozornosti. Funguje to veľmi stabilne, rýchlosti káblového a bezdrôtového pripojenia sú vcelku v súlade s uvedenými údajmi a jeho funkčnosť je porovnateľná so špičkovými smerovačmi Cisco / Juniper, ktoré v cenovkách stoja neskutočne tisíce dolárov. Existujú aj nevýhody: má iba 4 ethernetové porty (vrátane portu WAN), rádiový modul je slabý a nepodporuje štandard 802.11ac. Avšak tu, ako v známom vulgárnom vtipe: „No, čo ste chceli za 20 dolárov?“

Takže, skrotme hrdinu nášho materiálu... Našim východiskovým bodom je poskytovateľ, ktorý nám poskytuje dynamickú IP adresu. Začnime:
1. Zapneme kábel poskytovateľa v 1. port routera
2. Pripojíme kábel z počítača k akémukoľvek zostávajúcemu voľnému portu
3. Rovnako ako všetky zariadenia Mikrotik, štandardne je hAP Lite priradená adresa IP 192.168.88.1... Priraďme nastavenia našej počítačovej siete z tej istej podsiete. Napríklad, adresa 192.168.88.10, maska ​​255.255.255.0, brána 192.168.88.1, DNS 192.168.88.1:

4. Prejdeme k routeru cez prehliadač:

Tu urobíme malú odbočku: v hAP Lite Mikrotik implementoval predvolenú konfiguráciu, ktorá umožňuje rýchly štart. Router je už nakonfigurovaný na príjem dynamickej adresy na 1. rozhraní, je povolený server DHCP a je nakonfigurovaný most medzi portami. V našej topológii router skutočne fungoval podľa očakávania bezprostredne po zapnutí. Nie sme tu však na to, takže ...

5. Obnovte výrobné nastavenia smerovača. Ak to chcete urobiť, kliknite nad sekciu Systém tlačidlo Obnoviť konfiguráciu:

6. Skontrolujte parameter Žiadna predvolená konfigurácia a stlačte Obnoviť konfiguráciu:

7. Potvrdzujeme náš zámer:

8. Asi po minúte sa router reštartuje. Tu je malý háčik: po resetovaní smerovača odstránením predvolenej konfigurácie mu už nebude priradená adresa IP a nebude k nemu prístup z prehliadača. Žiaden problém, pre tento prípad má Mikrotik špeciálnu aplikáciu na konfiguráciu - WinBox... Stiahnite si ho zo stránky http://www.mikrotik.com/download v sekcii Užitočné nástroje a pomôcky:

9. WinBox nevyžaduje inštaláciu. Spúšťame ho a v spodnej časti kliknite na kartu Susedia... V zozname nižšie by sa mali objaviť všetky zariadenia Mikrotik v rámci vysielacej domény. V našom prípade to bude jediný hrdina článku. Kliknite na jeho MAC adresu (to je dôležité!), potom stlačte tlačidlo Pripojte sa v hornej časti obrazovky:

10. Rozhranie smerovača sa javí v celej svojej sláve. Okno R. externalOS Predvolená konfigurácia zatvorte stlačením OK:

11. V ponuke vľavo kliknite na Rozhrania... Poznač si to v prázdnej konfigurácii je bezdrôtové rozhranie na smerovači vypnuté... To sa nazýva wlan1. Vyberte ho a kliknite na modré začiarknutie v hornej časti okna. Bude to pre nás v blízkej budúcnosti užitočné:

12. Dvojité kliknutie otvorte rozhranie ether2, zmeňte jeho názov na ether2-master a stlačte OK:

13. Teraz otvorte rozhranie ether3, a zmeňte parameter Hlavný port na ether2-master:

14. Rovnakú akciu opakujeme pre rozhranie ether4: otvorte a zmeňte parameter Master Port na ether2-master.

Tento odsek by si mali prečítať iba tí, ktorí sa vážne zaujímajú o technickú stránku problému! Ak ste článok otvorili len preto, aby ste mali pred očami nastavovací cheat, môžete ho preskočiť!
A teraz poďme rozlúštiť, čo bolo urobené v bodoch 12-14: na rozdiel od známejších routerov pre domácnosť, v smerovačoch Mikrotik nie sú štandardne porty zahrnuté v jednej matici prepínania, t.j. nie sú súčasťou spínača ako takého. „Zhromaždiť“ ich do logického prepínača existujú 2 spôsoby: softvér a hardvér. Software - bridge - používa na prepínanie centrálny procesor routera. Hardvér používa špeciálny hardvérový prepínací čip a procesor sa nepoužíva. Preto sa pre prevádzku portov v režime prepínača prirodzene navrhuje použitie spínacieho čipu. Teraz k tomu, čo sme urobili predtým: premenovali sme port ether2 na ether2-master, aby sme v konfiguračnej konzole jasne videli, ktorý port je hlavný pre ostatné, a routeru povedali, že port ether2 je hlavným portom pre ostatné dva. Použitím hlavného portu sme použili spínací čip a CPU sa už nezúčastňuje na výpočte prepínania paketov medzi portami ether2-ether4. Viac informácií o prepínaní čipov a ich schopnostiach si môžete prečítať tu: http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

15. Vytvorme most pre rozhrania, ktoré tvoria obrys lokálnej siete. V ponuke vľavo kliknite na položku Most, na prvej karte Most tlačiť + , v otvorenom okne zadajte názov mosta(napríklad, LAN) a stlačte Ok:

16. Míňame na kartu Porty, stlačte + , vyberte si Rozhranie- wlan1, Most- LAN, stlačte OK:

17. Zopakujeme postup pre rozhranie ether2-master.

18. Tvoj konečný zoznam prístavov v moste by mal vyzerať takto:

19. Ako je spomenuté vyššie, v našej topológii nám poskytovateľ poskytuje dynamickú adresu IP... Zapnite klienta DHCP na porte WAN smerovača. Ak to chcete urobiť, otvorte ponuku vľavo IP-> Klient DHCP a v zobrazenom okne kliknite na + :

20. Kábel poskytovateľa je vložený do 1. portu smerovača. Vyberáme Rozhranie- éter1, nevyhnutne nastaviť parameter Pridať predvolenú trasu do polohy Áno a stlačte OK:

21. Teraz v okne klienta DHCP uvidíte, na ktorom rozhraní je klient DHCP povolený a akú adresu dostal:

22. Zapnite NAT. Ak to chcete urobiť, v ponuke vľavo otvorte IP-> POŽARNE dvere, prejdite na kartu NAT, stlačte + V zobrazenom okne nastavte parameter Reťaz do polohy srcnat, parameter Von. Rozhranie do polohy éter1:

23. Bez toho, aby ste opustili okno Nové pravidlo NAT, prejdite na kartu Akcia, a nastavte parameter Akcia do polohy maškaráda a potom stlačte Ok:

24. Nakonfigurujme DNS. V ponuke vľavo IP-> DNS... Náš poskytovateľ nám už poskytol 2 dynamické servery, ale ich zoznam je možné doplniť (vyplniť v parametri Servery) vlastnou rukou. Hlavná vec v tomto okne Nezabudnite začiarknuť políčko Povoliť vzdialené požiadavky, potom môžete stlačiť Ok:

25. Je načase priradiť smerovaču IP adresu, aby fungoval v lokálnej sieti. Prejdite do ponuky vľavo IP-> Adresy, v okne, ktoré sa otvorí, kliknite na + a zadajte IP adresu / masku podsiete... V našom prípade použijeme 192.168.88.1/24... Parameter Rozhranie by mal byť nastavený do polohy LAN(toto je náš most vytvorený v kroku 15; môže mať pre vás iný názov), potom môžete stlačiť OK:

Náš zoznam adries IP by teraz mal vyzerať takto(adresa na rozhraní ether1 bude pre vás samozrejme odlišná):

26. Mimochodom, v počítači by sme mali mať prístup na internet! Skontrolujme to:

Naozaj sa objavil! Oslavu ale odložíme na neskôr.

27. Teraz nakonfigurujme server DHCP. Prejdite do ponuky vľavo IP-> Server DHCP, v okne, ktoré sa otvorí, kliknite na Nastavenie DHCP:

28. Ako rozhranie, na ktorom bude fungovať DHCP, vyberieme náš most - LAN, klikni Ďalšie:

29. Nastavili sme priestor adries. Plánujeme vydávať adresy v sieti 192.168.88.0 s maskou 255.255.255.0, preto zadávame 192.168.88.0/24 a stlačte Ďalšie:

30. Označujeme bránu. Máme to 192.168.88.1. Tlačiť Ďalšie:

31. Definujte skupinu adries IP, ktoré budú vydávané klientom. Tu vám odporúčame urobiť vlastné rozhodnutie na základe topológie siete. Použijeme rozsah 192.168.88.2-192.168.88.254, zadajte a kliknite Ďalšie:

32. Zadajte servery DNS(môžete mať svoj vlastný alebo použiť verejný server DNS od spoločnosti Google alebo Yandex), kliknite na položku Ďalšie:

33. Zadajte dobu prenájmu IP adries(predvolený nemôžete zmeniť), kliknite na tlačidlo Ďalšie:

Na toto Konfigurácia servera DHCP je dokončená:

34. Teraz nakonfigurujme WiFi. Kliknite v ponuke vľavo na Bezdrôtový, v otvorenom okne dvojitým kliknutím otvorte rozhranie wlan1 a nastavenie parametrov:
- Režim- ap most
- Kapela- 2 GHz-B / G / N.
- SSID- zadajte názov svojej siete WiFi
- Bezdrôtový protokol - 802.11
- Režim WPS - zakázaný

Potom kliknite na ok:

35. Teraz si nastavme heslo pre našu sieť. Poďme ďalej na kartu Profily zabezpečenia, otvorme predvolený profil... Teraz:
-nastavte parameter Mode do polohy dynamické klávesy
- začiarknite políčko WPA2 PSK v parametri Typy autentifikácie
- vložte všetky políčka do šifier Unicast a Group Ciphers
- do poľa WPA2 Pre-Shared Key zadajte heslo z WiFi siete
- stlačiť OK

36. Pripojme sa k WiFi, skontrolujte jeho výkon. Aktívne pripojenia je možné zobraziť na karte Registrácia:

37. Teraz vypnite všetky rozhrania na správu smerovača, okrem WinBoxu(v prípade potreby si nechajte tie, ktoré potrebujete, ale z bezpečnostného hľadiska neodporúčame používať firewall). Ak to chcete urobiť, prejdite na stránku IP-> Služby, vyberte nepotrebné služby a kliknite na červený kríž:

38. Zostáva nastaviť heslo správcu.Ísť do Systém-> Používatelia, zadajte správcu užívateľského profilu, stlačte Heslo, dvakrát zadajte heslo do polí Nové heslo a Potvrďte heslo a klikni OK:

V súčasnosti teda máme štandardnú konfiguráciu bez oddelenia siete. Aby sme ohraničili našu lokálnu sieť, vytvoríme segment (časť) siete pre deti. Ak to chcete urobiť, vyberte v ponuke winbox → Bridge (1) → Bridge (2) → plus (3) → General (4) → a do poľa name (5) zadajte meno bridge-child. Uložiť zmeny - OK.

Pripravme rozhrania (porty) na zahrnutie do mosta-dieťaťa. V našej konfigurácii bude pre dieťa nakonfigurovaný štvrtý port ether4 a ďalšia detská wifi sieť. To znamená, že pripojením k štvrtému portu káblom a / alebo k detskej sieti prostredníctvom WiFi budete mať prostredníctvom týchto rozhraní prístup detí na internet.

Nastavme bezpečnostný profil pre detskú WiFi sieť. WinBox → Bezdrôtový (1) → Profily zabezpečenia (2) → plus (3) → Všeobecné (4) → do poľa Meno (5) zadajte dieťa → do polí WPA (6) a WPA2 (6), zadajte budúcnosť heslo na Wifi detskej siete ... Uložme nastavenia - OK.

Pridajme novú wifi sieť. WinBox → Bezdrôtový (1) → Rozhrania (2) → plus (3) → Virtuálny AP (4) → Bezdrôtový (5) → do poľa SSID (6) zadajte názov detskej WiFi siete → vyberte bezpečnostný profil (7 ) pre našu sieť. Uložme nastavenia - OK.

Nakonfigurujme rozhranie ether4. Winbox → Rozhrania (1) → Rozhranie (2) → dvakrát kliknite na ľavé tlačidlo na serveri ehter4 (3) a zadajte nastavenia rozhrania → v poli Hlavný port (4) vyberte žiadne. Použiť nastavenia - OK.

Ďalej zahrnieme naše rozhrania do pripraveného mosta-dieťaťa. Winbox → Bridge (1) → Porty (2) → plus (3) → pridať rozhranie ether4 (4) → do Bridge (5) bridge-child. Urobíme to aj pre rozhranie wlan2 (6) (7). Uložiť všetky zmeny - OK.

Priraďme rozhraniu most-dieťa internú adresu. WinBox → IP (1) → adresa (2) → plus (3) → vyplňte polia (4), (5), (6) podľa snímky obrazovky.

Teraz musíte priradiť server DHCP k segmentu siete dieťaťa, aby automaticky konfiguroval parametre IP sieťových klientov. Na to potrebujete Winbox → IP (1) → DHCP server (2) → DHCP (3) → DHCP nastavenie (4) → v poli dhcp Server Interface (5) vyberte rozhranie bridge-child.

Potom musíte kliknúť na tlačidlo Ďalej a postupovať podľa sprievodcu konfiguráciou servera DHCP bez toho, aby ste čokoľvek zmenili. Akonáhle sa dostanete do okna Vybrať dobu prenájmu:

Tu musíte zmeniť štandardný čas prenájmu na 3d 00:10:00 a dokončiť konfiguráciu servera DHCP.

Ak ste urobili všetko správne, v tomto bode by ste mali mať dva segmenty siete:

Detská sieť LAN-4; wifi. Adresovanie-192.168.99.0/24 Sieť pre dospelých LAN-2, LAN-3; wifi. Adresovanie - 192.168.88.0/24

Teraz tieto dve siete nemajú žiadne obmedzenia a sú si úplne rovné. Ak chcete začať nastavovať obmedzujúce funkcie pre detskú sieť, musíte vykonať predbežné nastavenia smerovača, konkrétne:

• Nastavte heslo a SSID (názov siete) na wifi sieť pre dospelých
• Nastavte heslo pre správcu
• Aktualizujte svoj smerovač na najnovšiu verziu.

Ak je pre vás ťažké to urobiť sami, nájdete podrobné pokyny na nastavenie týchto parametrov v