Настройка базовой станции и клиентского устройства Mikrotik на примере Mikrotik RB912UAG-2HPnD-OUT и Mikrotik SXT Lite2 (SXT 2nDr2)
!!! Внимание: никогда не включайте базовую станцию при отключенной антенне. Это может привести к выходу из строя радиомодуля!!!
Рисунок 1: Планируемая конфигурация сети
Отметим, что наличие роутера с адресом 192.168.88.1 не является необходимым, а просто вызвано удобством при настройке оборудования для данного примера.
При отсутствии роутера айпи- адрес базовой станции на интерфейсе Internet (192.168.88.20) на приведенных ниже примерах, нужно заменить внешним IP адресом присваеваемым провайдером, а вместо шлюза 192.168.88.1 должен быть адрес шлюза провайдера.
Настройка базовой станции
Сначала подключим базовую станцию к компьютеру , с которого будем производить настройку оборудования.
Всем устройствам Mikrotik по умолчанию присваивается адрес на LAN порту 192.168.88.1. Чтобы зайти в веб-интерфейс устройства нужно сетевой карте компьютера присвоить адрес из 88 подсети.
Открываем Панель управления и оснастку Сетевые подключения
Выбираем Протокол интернета IPv4 и нажимаем кнопку Свойства
Присвоим сетевой плате компьютера например такой айпи- адрес :192.168.88.22.
Адреса DNS серверов 8.8.8.8 и 4.4.4.4 - это публичные DNS сервера Гугла.
Теперь запускаем веб-браузер и в адресной строке вводим 192.168.88.1
Можно настраивать устройства Микротик через веб-браузер,но удобнее всего это делать через замечательную утилиту: Winbox.
Чтобы загрузить ее нажмите на иконку в нижней части стартовой страницы экрана веб-интерфейса .
Загрузится файл программы Winbox, которую Вам нужно будет запустить.
Также утилиту Winbox можно скачать с официального сайта Mikrotik
Теперь запускаем Winbox. Замечательная особенность этой программы состоит в том, что она позволяет соединяться с оборудованием Микротик не только по айпи -адресу, но и по МАС- адресу. Это значит, что при изменении настроек адресов интерфейсов Вам нет необходимости каждый раз перенастраивать сетевой интерфейс вашего компьютера.
В появившемся окне с найденным оборудованием выбираем МАС - адрес базовой станции и нажимаем Connect
Появляется окно, в котором предлагается принять конфигурацию по умолчанию.
Принимаем, нажав ОК.
Нажимаем на Quick Set и видим базовые настройки.
Теперь нам нужно выбрать рабочую частоту для нашей базовой станции. Можно поставить значение Аuto, а можно просканировать диапазон и выбрать наименее загруженный канал. Для этого входим в меню настроек беспроводного интерфейса, нажав Wireless, а потом Scanner.
Запускаем сканер
Смотрим результаты в динамике.
Решаем какой канал наименее загруженный. Останавливаем сканер и переходим на вкладку Quick Set.
Если мы будем использовать для подключения к базе только клиентские устройства Микротик, то переключаем протокол работы станции из 802.11 в безколлизионный протокол nv2. Выбираем имя сети (SSID) - я оставил без изменений предложенное Микротиком имя сети.
Далее выбираем нужную нам рабочую частоту (Frequency).
Я собираюсь разрешить подключаться к базовой станции только клиентам с определенными МАС-адресами, поэтому включаю опцию Use Access List. Обращаю внимание, что если клиентское оборудование (SXT Lite2 в нашем случае) будет настроено в режиме Router, то нужно в Access List будет указывать МАС адрес этого оборудования (SXT Lite2). Если клиентское оборудование будет настроено в режиме Bridge, то в Access List нужно указывать МАС - адрес оборудования (маршрутизатора или компьютера) подключенного к LAN - интерфейсу SXT Lite 2.
Уменьшаем максимальное расстояние до клиента до минимально возможных 10 км (Max Distance)
В поле Security вводим пароль для шифрования трафика.
Режим работы базовой станции будет Router
В режиме WISP AP настройки Internet относятся к LAN порту базовой станции, а Local Network к беспроводному интерфейсу базовой станции. Присвоим LAN интерфейсу статический айпи-адрес в 88 подсети- 192.168.88.20. Gateway (Шлюз)- это наш роутер с адресом 192.168.88.1, а адреса ДНС серверов возьмем публичных серверов Гугла. Если бы наша базовая станция была подключена напрямую к провайдеру, минуя роутер, то, в зависимости от политики провайдера, надо было бы либо включить автоматическое получение айпи- адреса от провайдера (Address Acquisition Automatic), либо прописать здесь статический адрес, предоставляемый провайдером.
В полях Local Network укажем ай-пи адрес базовой станции со стороны беспроводного интерфейса (wlan1). И включим DHCP сервер на беспроводном интерфейсе, указав диапазон раздаваемых адресов. Адреса вне диапазона, можно присваивать клиентским устройствам статически. В поле Router Identity можно указать описание роутера, например BaseStation.
После этого нажимаем Apply или Ok, чтобы сохранить / применить настройки. Соединение с роутером на время его перезагрузки будет потеряно.
Снова запускаем Winbox и выбрав МАС-адрес , подключаемся к базовой станции. Обратите внимание- нам не нужно перенастраить свойства сетевого подключения компьютера, если мы подключаемся по МАС - адресу.
Попадаем на страницу Quick Set и проверяем правильность введенных настроек.
Теперь проверим настройки DHCP сервера. Заходим IP, DHCP server. Видим, что абоненты базовой станции будут получать адреса в 89 подсети и пустое поле DNS servers говорит о том, что в качестве адресов DNS серверов будут раздаваться адреса внешних серверов прописанные нами (т.е. базовая станция не будет работать как DNS сервер).
Теперь заходим IP, DNS settings и отключаем опцию Allow Remote Access- это исключает возможность внешних DNS атак на базовую станцию.
Теперь добавим МАС -адрес клиентского устройства Mikrotik SXT Lite2 в список разрешенных к подключению.
Заходим Wireless, Access List, Добавить (+)
Вводим МАС -адрес WAN интерфейса клиентского устройства Mikrotik SXT Lite2 (адрес смотрим на наклейке на коробке или на устройстве- обратите внимание, что МАС -адреса для LAN и WAN интерфейсов различны).
Указываем интерфейс базовой станции на котором действует данное правило (wlan1) .
Устанавливаем скорости передачи клиенту Ap Tx Limit и от клиента Client Tx Limit . (1M- 1 мегабит, 512К- 512 килобит , 1024 - 1024 бита в секунду).
В поле Comment можно назначить идентификатор подключаемому устройству- например Petrovich_AP
Теперь можно сохранить настройки в файл на жесткий диск базовой станции, на всякий случай
Настройка клиентского устройства
Базовую станцию отключаем от компьютера и подключаем к роутеру как нашем прмере или к провайдеру. Для соединения кабеля провайдера и РОЕ- инжектора базовой станции может понадобиться вот такая Фурнитура-проходник RJ-45
Подключаем к компьютеру абонентское устройство, запускаем Winbox и по МАС-адресу подключаемся к устройству.
Нам предлагают выбрть или отказаться от конфигурации по умолчанию. Применяем конфигурацию по умолчанию.
Нужный нам режим СРЕ уже включен по умолчанию.
Наше клиентское устройство сканирует каналы в поисках открытой точки доступа . Нажимаем Disconnect, чтобы остановить сканирование.
Видим список всех доступных беспроводных сетей. Выбираем нужную нам сеть и нажимаем Connect. Если на базовой станции мы не прописывали пароль для нашей сети, то сразу подключимся к ней. Если же мы установили пароль, то для подключения к сети его надо прописать , но не в поле WPA password на этой вкладке, а в свойствах беспроводнгого интерфейса на вкладке nv2.
А пока выберем режим работы Router, получение адреса от базовой станции по DHCP (а можно сразу указать статический адрес ) и нажмем Apply
После того как применение настроек произойдет, введем пароль для подключения к базовой станции. Заходим в Wireless, выбираем интерфейс wlan1-gateway и дважды кликаем мышью.
Если Вы делали попытку подключиться к своей беспроводной сети, то все ее данные уже будут на вкладке Wireless открывшегося окна. Если нет, то прийдется ввести все вручную.
В конце ввода нажмите Apply и перейдите на вкладку NV2
И вот теперь в поле Preshared key введите пароль для подключения к вашей беспроводной сети.
Теперь, перейдя на Quick Set , можно выбрать нашу сеть и нажать Connect . Соединение с сетью будет установлено.
Осталось прописать айпи - адрес LAN интерфейса SXT Lite2 (192.168.90.1), включить DHCP сервер, задать диапазон раздаваемых адресов и нажать Apply.
Проверим, какие адреса получит наш компьютер от Mikrotik SXT Lite 2 ?
Для этого прейдем в Панель управления, откроем оснастку Сетевые соединения, выберем Соединение по локальной сети и зайдем в его Свойства.
Потом в Протокол инернета TCPIPV4, там выберем Получить айпи - адрес и адрес DNS - сервера автоматически.
После этого отключим сетевой кабель от компьютера и снова подключим его (также можно отключить интерфейс и включить его программно или нажать "Обновить")
Проверим сведения об установленном сетевом соединении.
Как видим наш компьютер получил по DHCP от Mikrotik SXT Lite2 адрес 192.168.90.254, адрес шлюза т.е. LAN - адрес Mikrotik SXT Lite2 - 192.168.90.1 тоже верный и адреса DNS серверов - адреса публичных серверов Гугла. Это именно то результат, который нам был нужен. Можно попробовать набрать в адресной строке браузера адрес какого-либо сайта. Все должно работать.
Основная настройка завершена.
Важно: перйдите на Quick Set и не забудьте установить пароль для доступа к клиентскому устройству (и к базовой станции, кстати, тоже).
Сейчас наш компьютер по-прежнему подключен к абоненской станции (Mikrotik SXT Lite2). Запустим Winbox и зайдем на базовую станцию , указав адрес ее беспроводного интерфейса.
Зайдя в Quick Set , видим наше подключенное абонентское устройство- Mikrotik SXT Lite2.
.
Теперь настроим возможность заходить на веб-интерфейс Mikrotik SXT Lite2 из внешней сети, чтобы настраивать его в любое время.
Для этого нам во-первых нужно, чтобы его айпи-адрес в беспроводной сети стал статическим.
Заходим на базовой станции IP, ARP List . Выбираем нашего беспроводного клиента, щелкаем на нем правой кнопкой мыши и в открывшемся меню выбираем Make Static. Теперь за этим МАС-адресом статически закреплен айпи- адрес 192.168.90.254. Отсутстие буквы D рядом с айпи- адресом в списке, говорит о том, что этот адрес стал статичский.
А теперь надо отключить в клиентском устройстве правило файервола, блокирующее доступ к нему из внешней сети.
Для этого на клиентском устройстве откроем владку IP, Firewall, Filter Rules. Выберем нужное нам правило и сделаем его неактивным.
Неактивное правило будет выглядеть вот так:
Настройка переадрессации портов для входящих соединений на роутере Микротик
После этого настроим переадрессацию портов на базовой станции таким образом, чтобы набирая в адресной строке веб-браузера компьютера В (см. рисунок 1 в начале статьи) адрес http://192.168.88.20:89 , мы попадали на веб-интерфейс нашего клиентского Mikrotik SXT Lite2.
Вместо 192.168.88.20 может быть внешний айпи- адрес (если маршрутизатор 192.168.88.1 отсутствует, т.е. база подключена напрямую к провайдеру) .
Если надо попадать на клиентское устройство из внешней сети (из интернета), то нужно просто настроить такую же переадрессацию и на роутере с адресом 192.168.88.1, который стоит на входе в нашу сеть (т.е. получается две последовательные переадрессации портов).
Для этого на базовой станции перейдем IP, Firewall, NAT, + (добавить новое правило)
Для переадрессации входящих соединений используется правило dst-nat, для исходящих - src-nat
Сделаем следующие настройки на соотвтствующих вкладках.
Адрес 192.68.88.20 это адрес нашей базовой станции на интерфейсе Internet (он же LAN порт).
89 порт это порт, который мы выбрали для входщих соединений для конкретного абонентского устройства. Для доступа к другому абонентскому устройств нужно будет использовать например порт с номером 90.
192.168.89.254 - это адрес WAN интерфейса нашего Mikrotik SXT Lite2 (клиентского устройства), 80 порт - это порт веб - интерфейса .
В поле Comment имеет смысл добавить комментарий о том на какое устройство работает эта переадрессация.
Результат будет выглядеть вот так:
Теперь попробуем зайти на SXT Lite2 c комрьютера В.
Получилось?
Рекомендуется такие правила переадрессации держать постоянного неактивными активируя только при необходимости получить доступ к устройству. После осущствления настроек, правила лучше деактивировать.