Mikrotik dhcp server relay настройка

Часто задаваемые вопросы по теме статьи (FAQ)

Подходит ли Микротик для домашнего использования?

Я считаю, что Микротик стоит использовать только тем, кто может его самостоятельно настроить. Если вы не системный администратор, не разбираетесь в сетевых технологиях, лучше поставить какой-то роутер попроще. Я сталкивался с ситуациями, когда пользователь обращается к провайдеру с проблемами доступа в интернет. И когда он говорит провайдеру, что у него устройство Микротик, тех. поддержка провайдера отвечает, что мы не можем помочь с таким устройством. Разбирайтесь сами.

Какую ветку прошивки вы рекомендуете использовать?

Если вас не интересуют нововведения, которые появляются в новых версиях прошивки, я рекомендую использовать ветку long-term. Это самая стабильная версия, куда оперативно вносятся все обновления безопасности.

Можно ли запитать устройства Mikrotik через стандартный poe адаптер 802.3af?

Нет, у Mikrotik свой стандарт poe адаптеров, которые подходят только для устройств этой же фирмы. Он отличается от промышленного стандарта 802.3af, поэтому необходимо приобретать фирменные poe адаптеры Mikrotik.

Из-за чего часто возникают проблемы со связью у устройств компании Apple и роутеров Mikrotik?

Корень проблемы подключения apple устройств, в частности iphone, к микротикам кроется в механизме обновления dhcp leases в режиме сна. Когда iphone или другое устройство apple «засыпает», оно не может корректно обновить dhcp аренду, поэтому при выходе из режима сна wifi сеть бывает недоступна. Частичное решение этой проблемы — делать большой интервал обновления dhcp аренды — несколько часов или суток.

Подключение роутера MikroTik и подготовка к настройке

Чтобы задать все необходимые параметры, нам сначала нужно подключится к маршрутизатору и подключить к нему интернет. Так как сетевого кабеля в комплекте нет, то вы скорее всего будете подключатся к нему по Wi-Fi сети. Настроить можно не только с ноутбука, или ПК. Можно использовать планшет, телефон, или другое устройство.

Сначала подключите адаптер питания и включите его в розетку. Так же сразу можете подключить к MikroTik интернет (сетевой кабель от провайдера, или модема). В порт Internet.

Если у вас есть сетевой кабель, и нет возможности подключится по Wi-Fi, то просто подключите один конец кабеля в LAN порт роутера, а второй в порт сетевой карты вашего компьютера.

Дальше просто подключаемся к открытой Wi-Fi сети, в названии которой есть «MikroTik».

Если в вашем случае сеть будет закрыта паролем, или при входе в настройки роутера будет появляться запрос пароля, то скорее всего его уже кто-то настраивал. Сделайте сброс настроек по инструкции: как сбросить пароль и настройки роутера MikroTik RouterBOARD.

Выглядит это вот так:

Доступа к интернету сразу может не быть. Мы еще не настроили подключение маршрутизатора к провайдеру. Это нормально. Переходим к настройке.

Настройка wifi точки доступа в mikrotik

Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.

Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.

Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys. Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm. В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети. Я рекомендую использовать длинный пароль (не меньше 12-ти символов) с цифрами и спецсимволами. Да, вводить не очень удобно, но после того, как я сам без проблем брутил хэши простых паролей, я убедился, что лучше поставить сложный пароль, если не хочешь, чтобы к твоему wifi кто-то подключался.

Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.

Обращаю внимание на следующие настройки:

• SSID — имя вашей беспроводной сети. Пишите то, что хочется.
• Frequency — частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.

Сохраняете настройки, нажимая ОК. Все, wifi  точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.

На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.

Summary

The MikroTik RouterOS DHCP client may be enabled on any Ethernet-like interface at a time. The client will accept an address, netmask, default gateway, and two dns server addresses. The received IP address will be added to the interface with the respective netmask. The default gateway will be added to the routing table as a dynamic entry. Should the DHCP client be disabled or not renew an address, the dynamic default route will be removed. If there is already a default route installed prior the DHCP client obtains one, the route obtained by the DHCP client would be shown as invalid.

RouterOS DHCP cilent asks for following options:

• option 1 — SUBNET_MASK,
• option 3 — GATEWAY_LIST,
• option 6 — TAG_DNS_LIST,
• option 33 — STATIC_ROUTE,
• option 42 — NTP_LIST,
• option 121 — CLASSLESS_ROUTE,

Option

DHCP client has a possibility to set up options that are sent to DHCP server. For example, hostname and MAC address. Syntax is same as for .

Note: This feature is available since RouterOS 6.0

Currently, there are three variables that can be used in options:

• HOSTNAME;
• CLIENT_MAC — client interface MAC address;
• CLIENT_DUID — client DIUD of the router, same as used for the DHCPv6 client. In conformance with rfc4361

DHCP client default options include these default Options:

Name	code	value
clientid_duid	61	0xff$(CLIENT_DUID)
clientid	61	0x01$(CLIENT_MAC)
hostname	12	$(HOSTNAME)

IPv6

Starting from v5.8 DHCP Client can receive delegated prefixes from DHCPv6 server.
Currently received prefix is added to IPv6 pool, which later can be used for example in pppoe server configuration.
Starting from v5.9, DHCPv6 client configuration was moved to /ipv6 sub-menu.

Быстрая настройка интернета с помощью QuickSet.

В мастере быстрой настройки «Quick Set» предусмотрено несколько режимов работы роутера:

• CAP: Контролируемая точка доступа, которая управляется CAPsMAN сервером
• CPE: Режим клиента, который подключается к точке доступа AP.
• Home AP: Домашняя точка доступа. Этот режим подходит для упрощенной настройки доступа к интернету.
• PTP Bridge AP: Создает точку доступа для подключения к ней удаленного клиента PTP Bridge CPE и создания единой сети.
• PTP Bridge CPE: Клиент для подключения к удаленной точки доступа PTP Bridge AP.
• WISP AP: Режим похожий на Home AP, но предоставляет более продвинутые возможности.

Выбираем режим Home AP и приступаем к настройке роутера в качестве обычной точки доступа к интернету, которую можно использовать для небольшого офиса и дома.

Настраиваем WiFi.

Network Name: Название сети. Это название будут видеть тот кто подключается к вашей сети по WiFi.

Frequency: в обычной ситуации лучше оставить значение Auto. роутер сам подберет оптимальную частоту работы.

Band: Диапазон частот для домашнего роутера 2GHz-only-N. Если в сети есть старые устройства, работающие по протоколам 802.11b или 802.11g, тогда нужно будет выбрать режим 2GHz-B/G/N, но будет потеря в скорости соединения.

Use Access List (ACL): Используется для того чтобы ограничить доступ по WiFi. Прежде чем включать эту опцию необходимо создать список клиентов, которым разрешен доступ. Выбираем из списка подключенных клиентов и нажимаем кнопу Copy To ACL.

В обычной ситуации этой функцией лучше не пользоваться т.к. аутентификация по паролю обеспечивает достаточные ограничения.

WiFi Password: укажите здесь пароль для подключения к роутеру по WiFi.

WPS Accept: эта кнопка используется для упрощенного подключения устройств, которые поддерживают режим WPS. Такими устройствами могут быть принтеры или видеокамеры, на которых затруднен ввод пароля вручную. В первую очередь включить WPS нужно на подключаемом устройстве, а затем нажать кнопку роутера «WPS Accept».

Guest Network: эта функция позволяет создать отдельную гостевую сеть WiFi. Те, кто подключаются через гостевой WiFi, не будут иметь доступа к вашему роутеру, локальной сети и устройствам, находящимся в ней. Используйте гостевую сеть для повышения сетевой безопасности.

Задайте пароль в поле «Guest WiFi Password» и ограничение скорости на скачивание «Limit Download Speed»

Wireless Clients: здесь можно увидеть подключенные в данный момент по WiFi устройства. В таблице показан MAC-адрес, IP-адрес, продолжительность подключения, качество сигнала и ACL (список разрешенных устройств)

Настраиваем интернет.

Здесь мы указываем те параметры подключения, которые нам передал провайдер интернета.

Port: Указываем физический порт, к которому подключен кабель провайдера

Adress Acquisition: указывем способ получения IP адреса. В моем случае адрес статический. При PPPoE подключении указываем логин, пароль и адрес pppoe-сервера.

MAC Address: физический адрес устройства, который будет видеть провайдер. Имеет смысл менять если вы Mikrotik ставите вместо другого роутера, а у провайдера на маршрутизаторе установлена привязка по mac-адресу.

MAC server / MAC Winbox: позволяет подключаться к роутеру используя его mac-адрес. Может пригодится при отладке или восстановлении, когда роутер недоступен по ip-адресу.

Discovery: позволяет распознавать роутер другими роутерами Mikrotik.

Настройка локальной сети.

IP Address: указываем ip-адрес устройства в нашей локальной сети.

Netmask: маску оставляем наиболее распространенную для большинства случаев 255.255.255.0.

Bridge All LAN Ports: объединяем все порты роутера в общий коммутационный узел, позволяя всем подключенным устройствам находится в одной сети и обнаруживать друг друга.

DHCP Server: включаем сервер автоматической раздачи ip-адресов устройствам, подключенным к роутеру.

NAT: должен быть включен для трансляции ip-адресов из локальных в публичные, иначе устройства локальной сети не получат возможность выйти в интернет.

UPnP: эту опцию лучше не активировать, если нет необходимости т.к. она позволяет выполнять автоматический проброс стандартных локальных портов в интернет. Порты лучше пробрасывать вручную, чтобы злоумышленники не знали их адреса.

Настройку VPN рассматривать в рамках данной статьи не будем. Отмечу лишь, что она так же доступна в QuickSet и может пригодится тем, кто использует VPN-туннели для объединения нескольких локальных сетей или устройств в одну частную сеть через интернет.

Настройка WAN интерфейса MikroTik

Смена MAC адреса WAN порта

Если Ваш провайдер блокирует доступ к сети по MAC адресу, то необходимо сначала изменить MAC адрес WAN порта роутера MikroTik. В противном случае пропустите этот пункт.

Чтобы изменить MAC адрес порта MikroTik, открываем в программе Winbox меню New Terminal и вводим команду:

, где ether1 — имя WAN интерфейса, 00:01:02:03:04:05 — разрешенный MAC адрес.

Изменить MAC адрес MikroTik

Чтобы вернуть родной MAC адрес порта, нужно выполнить команду:

, где ether1 — имя интерфейса.

Вернуть родной MAC адрес MikroTik

Настройка Dynamic IP

Если интернет провайдер выдает Вам сетевые настройки автоматически, то необходимо настроить WAN порт роутера MikroTik на получение настроек по DHCP:

1. Открываем меню IP;
2. Выбираем DHCP Client;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в списке Interface выбираем WAN интерфейс ether1;
5. Нажимаем кнопку OK для сохранения настроек.

Настройка DHCP клиента MikroTik

Теперь мы получили IP адрес от провайдера, который отображается в столбце IP Adress.

Получение IP адреса по DHCP MikroTik

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка Static IP

Если вы используете статические сетевые настройки, необходимо настроить WAN порт роутера MikroTik вручную.

Настроим статический IP адрес и маску подсети WAN порта MikroTik :

1. Открываем меню IP;
2. Выбираем Addresses;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Address прописываем статический IP адрес / маску подсети;
5. В списке Interface выбираем WAN интерфейс ether1;
6. Для сохранения настроек нажимаем кнопку OK.

Настройка статического адреса MikroTik

Настроим адрес интернет шлюза MikroTik:

1. Открываем меню IP;
2. Выбираем Routes;
3. В появившемся окне нажимаем кнопку Add (плюсик);
4. В новом окне в поле Gateway прописываем IP адрес шлюза;
5. Нажимаем кнопку OK для сохранения настроек.

Настройка шлюза MikroTik

Добавим адреса DNS серверов MikroTik:

1. Открываем меню IP;
2. Выбираем DNS;
3. В появившемся окне нажимаем кнопку Settings;
4. В новом окне в поле Servers прописываем IP адрес предпочитаемого DNS сервера;
5. Нажимаем кнопку «вниз» (черный треугольник), чтобы добавить еще одно поле для ввода;
6. В новом поле прописываем IP адрес альтернативного DNS сервера;
7. Ставим галочку Allow Remote Requests;
8. Нажимаем кнопку OK для сохранения настроек.

Настройка DNS MikroTik

Проверим, что есть доступ к интернету:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Настройка PPPoE

Если вы используете ADSL модем, к которому по сетевому кабелю подключен роутер MikroTik, сначала необходимо настроить ADSL модем в режим Bridge (мост).

Настроим клиентское PPPoE соединение на роутере MikroTik:

1. Слева выбираем меню PPP;
2. Нажимаем кнопку Add (плюсик);
3. Выбираем PPPoE Client.

Настройка PPPoE MikroTik

Настраиваем параметры PPPoE соединения MikroTik:

1. В поле Name указываем имя соединения;
2. В списке Interfaces выбираем первый WAN порт ether1, который подключен к провайдеру;
   Выбор интерфейса PPPoE MikroTik
3. Переходим на вкладку Dial Out;
4. В поле User указываем имя пользователя;
5. В поле Password вводим пароль;
6. Ставим галочку Use Peer DNS;
7. Нажимаем кнопку OK.

Настройка пользователя и пароля PPPoE MikroTik

После создания PPPoE соединения напротив него должна появиться буква R, которая говорит о том, что соединение установлено.

PPPoE соединение на MikroTik установлено

Проверим, что есть связь с интернетом:

1. Открываем меню New Terminal;
2. В терминале пишем команду ping 8.8.8.8 (пингуем сайт google) и жмем Enter на клавиатуре.

Как видим, идут пинги по 60ms, значит интернет подключен и работает. Остановить выполнение команды можно комбинацией клавиш на клавиатуре Ctrl+C.

ping MikroTik

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Прошивка – обновление

В следующем действии нужно рядом открыть два окна – на одном изображен winbоx, а на втором – файл с прошивкой. Так вот, файл с обновлением необходимо мышкой перетащить в список файлов интерфейса роутера.

Далее остается дождаться окончания загрузки, перезагрузить устройство, пройдя путь «Systеm» – «Rebооt». Обновление будет установлено во время перезагрузки маршрутизатора. Как правило, на установку требуется около 3–4 минут. После обновления программных компонентов остается еще обновить загрузчик.

Это можно сделать следующим образом: «Systеm» – «RоutеrBоаrd». Пройдя путь, нужно проверить строки «Upgrаdе   Firmwаrе», «Currеnt Firmwаrе». Если они отличны друг от друга, то надо нажать кнопку «Upgrаdе». В случае, когда они идентичны, то предпринимать каких-либо действий не нужно.

Обратите внимание! После обновления программных компонентов и загрузки можно настроить аппарат

Что нужно сделать после настройки роутера «Микротик»

После завершения настройки маршрутизатора Mikrotik нужно обязательно убедиться в работоспособности сетевого оборудования и провести на Mikrotik анализ (мониторинг, зеркалирование) трафика, присутствуют ли ограничения скорости.

Обратите внимание! На внешних накопителях или встроенной памяти маршрутизатора рекомендуется хранить резервную копию настроек. Настройка роутеров Mikrotik не имеет принципиальных отличий в сравнении с другими маршрутизаторами

Если строго следовать прилагаемым пошаговым алгоритмам настройки, удастся самостоятельно и быстро провести подключение беспроводной точки доступа

Настройка роутеров Mikrotik не имеет принципиальных отличий в сравнении с другими маршрутизаторами. Если строго следовать прилагаемым пошаговым алгоритмам настройки, удастся самостоятельно и быстро провести подключение беспроводной точки доступа.

Ручная настройка

1. Подключить и запустить устройство по схеме, описанной в первой части.
2. В окне заводских настроек выбрать опцию Remove Configuration.

1. Войти во вкладку System.
2. Кликнуть по строке Reset Configuration.
3. В открывшемся окне выбрать строку No Default Configuration и поставить галочку.
4. Далее – нажать на кнопку Reset Configuration.
5. Дождаться перезагрузки устройства и переходить к настройке интернета.

Internet

1. Со статическим IP-адресом.
2. DHCP-настройка.
3. Соединение с авторизацией.

Статический IP

1. Выбирает вкладку IP.
2. Переходит в раздел Addresses.
3. Вносит данные в поля Addresses и Network в открывшемся окне.
4. В строке Interface указывает порт WAN.
5. Переходит в Routes.
6. Нажимает на «+» в левом верхнем углу.
7. Выбирает маршрут по умолчанию.
8. Нажимает Apply.
9. Подтверждает действие кликом по OK.

На следующем этапе ему нужно добавить адрес DNS:

1. В разделе IP выбрать вкладку DNS.
2. Добавить адрес в поле Servers.
3. Нажать OK.

DHCP

1. Открывает вкладку IP.
2. Переходит в DHCP Client.
3. Нажимает на «+» в верхнем левом углу открывшегося окна.
4. Указывает порт WAN в поле Interface.
5. Отмечает галочками Use Peer DNS и Use Peer NTP.
6. Выбирает Yes в поле Add Default Route для добавления маршрута в таблицу маршрутизации.
7. Подтверждает создание клиента кликом по OK.

Настройка завершена.

Соединение с авторизацией

1. Выбрать вкладку PPP.
2. Нажать на «+» вверху слева.
3. Выбрать свой тип соединения в открывшемся списке.
4. Кликнуть по нему.
5. В графе Name открывшегося окна задать название нового подключения.
6. Во вкладке Type проверить правильность типа соединения.
7. В поле Interface должен быть указан порт WAN.

В верхней строке нужно выбрать вкладку Dial Out и ввести:

1. User (логин).
2. Password (пароль).

Выделить галочками графы:

1. Use Peer DNS.
2. Add Default Route.
3. Подтвердить действие нажатием на OK.

Настройка NAT

1. Войти в раздел IP.
2. Выбрать Firewall.
3. Выбрать раздел NAT – он находится в верхней горизонтальной строке.
4. Нажать на «+» вверху слева.
5. Далее опуститься до пункта Out. Interface в разделе General.
6. Вписать в поле ether5.
7. Переместиться в раздел Action (он находится на одной строке с General).
8. Вписать в поле masquerade.
9. Подтвердить действие OK.

Wireless

1. Войти в Wireless.
2. Выбрать «+».
3. В открывшемся окне ввести пароль Wi-Fi.
4. Выбрать шифрование.

1. Mode – ap bridge.
2. Band – 2GHz-G/N.
3. Frequency – auto.
4. Wireless Protocol – 802.11.
5. Security Profile – my wifi.
6. WPS Mode – disabled.
7. В полях Default Authenticate и Default Forward – галочки.

Lokal Network

1. Нажать «+».
2. В графу Name вписать bridge1.
3. Подтвердить создание моста нажатием OK.
4. Войти в IP – Addresses.
5. Назначить мосту IP-адрес.
6. Кликнуть OK.
7. Далее – IP– DHCP Server.
8. Кликнуть по DHCP Setup.
9. Выбрать нужные параметры.
10. Перейти к следующему шагу Next.
11. Войти в Bridge – Ports.
12. Добавить порты в созданный мост.

Подключение к провайдеру по L2TP/PPTP

Честно говоря я не припоминаю чтоб хотя бы раз настраивал такое подключение, но в некоторых странах этот тип подключений по прежнему остается широко распространенным, поэтому рассмотрим и его. Оба типа подключения требуют предварительной настройки IP-адреса и возможно прописывания маршрутов, подробности обычно можно узнать на сайте провайдера или в его поддержке. Предполагается что с этим вы разобрались и настроили статический или динамический IP-адрес по инструкции выше, а так же узнали логин, пароль и адрес VPN сервера для подключения.
Настройка аналогична PPPoE:
Добавляем интерфейс PPTP/L2TP: PPP > + > PPTP Client или L2TP Client смотря что у Вас, на вкладке General укажите имя подключения (например ISP1), а на вкладке Dial out нужно указать адрес сервера, логин, пароль, в Profile выбрать Default, поставить галку Add default route и выставить Distance = 1

Изменять/заполнять нужно только выделенные поля

Команды для консоли:

Для pptp-client:/interface pptp-client add name=ISP1 disabled=no connect-to=Адрес сервера user=Логин password=Пароль add-default-route=yes default-route-distance=1 profile=default

Для l2tp заменить pptp-client на :/interface l2tp-client add name=ISP1 disabled=no connect-to=Адрес сервера user=Логин password=Пароль add-default-route=yes default-route-distance=1 profile=default

Маркировка сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-10 будут работать в режиме коммутатора для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox

Записываем для первого порта ether1 комментарий «WAN»:

1. Открываем меню Interfaces;
2. Выбираем первый интерфейс ether1;
3. Нажимаем желтую кнопку Comment;
4. В появившемся окне вводим комментарий «WAN»;
5. Нажимаем кнопку OK.

Записываем для второго порта ether2 комментарий «LAN»:

1. Выбираем интерфейс ether2;
2. Нажимаем желтую кнопку Comment;
3. В появившемся окне вводим комментарий «LAN»;
4. Нажимаем кнопку OK.

Теперь в списке интерфейсов четко видно их назначение.

Подключение точек доступа

В моем повествовании участвуют две точки доступа с адресами 10.1.3.110 (xs-wl-office) и 10.1.3.111 (xs-wl-meeting), соединенные между собой по ethernet кабелю. Первая из них контроллер, вторая простая точка. Обе точки видят друг друга в локальной сети. Wifi интерфейс контроллера так же как и обычной точки подключается к capsman и берет у него настройки. То есть контроллер является одновременно и контроллером и рядовой точкой доступа. Даже комбинация из двух точек организует полноценную бесшовную wifi сеть на всей площади, которую покрывают их радио модули.

Подключение точек доступа CAP к контроллеру CAPsMAN возможно по двум разным уровням — Layer 2 или Layer 3. В первом случае точки доступа должны быть расположены физически в одном сегменте сети (физической или виртуальной, если это L2 туннель). То есть, если по-простому, подключены к одному свитчу. В них не обязательно настраивать ip адресацию, они найдут контроллер по MAC адресу.

Во втором случае подключение будет по протоколу IP (UDP). Нужно настроить IP адресацию и организовать доступность точек доступа и контроллера по IP адресам.

Для начала подключим отдельную wifi точку. Подключаемся к ней через winbox и переходим в раздел Wireless. Там нажимаем на CAP и указываем настройки.

Описание настроек CAP

Interfaces	интерфейс, которым будет управлять контроллер
Certificate	сертификат для авторизации, если используется
Discovery Interfaces	интерфейс, по которому CAP будет искать контроллер
Lock to CAPsMAN	привязать точку к конкретному мастеру
CAPsMAN Addresses	IP адрес по которому CAP будет искать контроллер
CAPsMAN Names	имя контроллера, который будет искать CAP, если не указано ничего, то поиск по имени не осуществляется
CAPsMAN Certificate Common Names	список CommonNames сертификатов на контроллере, которые будет проверять CAP при подключении
Bridge	bridge, к которому будет подключаться интерфейс, когда включена опция local forwarding
Static Virtual	CAP создаст статические виртуальные интерфейсы вместо динамических и попытается повторно использовать тот же интерфейс при повторном подключении к CAPsMAN, если MAC-адрес будет тем же.

В моем случае я не стал указывать ip адрес контроллера, а просто указал бридж, на котором его стоит искать. Тут это бридж, в который объединены все интерфейсы точки. В частности, в этот бридж входит ethernet порт, через который точка доступа подключается к свитчу, в который подключен и контроллер. Если у вас не в одном широковещательном домене точка и контроллер, то Discovery Interfaces оставьте пустым, а в CAPsMAN Addresses введите ip адрес мастера.

Сохраняем настройки и проверяем. Если точка доступа корректно подключится к контроллеру, то на самой точке будет такая картина:

А на контроллере в списке Interfaces появится только что созданный радио интерфейс подключенной точки доступа:

Интерфейс назван в соответствии с настроенным ранее префиксом.

Если у вас по точка доступа упорно не подключается к контроллеру и вы никак не можете понять, в чем проблема, то первым делом проверьте, удалили ли вы дефолтную конфигурацию при первоначальной настройке точки. Она часто является причиной того, что точка доступа не подключается к capsman контроллеру.

Проделаем теперь то же самое на самом mikrotik контроллере — подключим его wifi интерфейс к capsman v2. Делается это абсолютно так же, как только что проделали на отдельной точке wifi.

Для примера, я подключил точку к контроллеру по ip адресу. После подключения смотрим картинку на контроллере. Должно быть примерно так:

Все, основные настройки закончены. Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной wifi сетью. Все подключенные клиенты будут отображаться на вкладке Registration Table с указанием точки, к которой они подключены.

Для удобного и наглядного анализа сети рекомендуется придумать осмысленную схему назначения имен точкам доступа и радио интерфейсам.

Подключение со статическим IP

Теперь роутеру необходимо присвоить статический IP-адрес. Да, это тоже придётся делать вручную.

В боковом меню кликаем пункт IP – Adress. Здесь в поле Adress вписываем адрес роутера и через слеш маску подсети. Выглядеть это должно так: 192.168.1.1/24. Цифра 24 соответствует значению 255.255.255.0. Не спрашивайте, почему так, просто следуйте инструкции.

Поле Network не трогаем. После нажатия кнопки ОК оно заполнится само. А в поле Interface из выпадающего списка выбираем созданный нами до этого bridge_lan. Теперь подтверждаем ввод данных и переходим к настройке интернет-подключения.

Настройка Firewall и NAT

Чтобы компьютеры получали доступ к интернету, необходимо настроить Firewall и NAT на роутере MikroTik.

Откройте меню New Terminal для ввода команд.

Настройка NAT выполняется следующими командами:

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

, где ether1 — это интерфейс, на который приходит интернет от провайдера. Для PPPoE соединений указывается название PPPoE интерфейса.

Настройки NAT достаточно, чтобы заработал интернет.

Protect router — команды для защиты роутера:

ip firewall filter add action=accept chain=input disabled=no protocol=icmpip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=ether1ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=ether1ip firewall filter add action=drop chain=input disabled=no in-interface=ether1

Protect LAN — защита внутренней сети:

ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customerip firewall filter add action=accept chain=customer connection-state=established disabled=noip firewall filter add action=accept chain=customer connection-state=related disabled=noip firewall filter add action=drop chain=customer disabled=no

Назначаем типы интерфейсов для защиты внутренней сети (external — внешний, internal — внутренний LAN):

ip upnp interfaces add disabled=no interface=ether1 type=externalip upnp interfaces add disabled=no interface=ether2 type=internalip upnp interfaces add disabled=no interface=ether3 type=internalip upnp interfaces add disabled=no interface=ether4 type=internalip upnp interfaces add disabled=no interface=ether5 type=internalip upnp interfaces add disabled=no interface=bridge-local type=internal

Настройка MikroTik на примере модели hAP Lite TC

Чтобы зайти в настройки роутера, нужно в любом браузере перейти по адресу 192.168.88.1. Подробнее об этом я писал в статье: 192.168.88.1 – вход на роутер MikroTik (RouterOS). Сразу должна открыться панель управления RouterOS (в моем случае версии v6.34.2). Проверьте, чтобы роутер работал в режиме «Home AP».

Как я уже писал выше, все базовые настройки можно задать прямо на главной странице «Quick Set». Она разделена на блоки. Настроить нам нужно следующее:

1. Подключение к интернету (Internet).
2. Wi-Fi сеть (Wireless).
3. Установить пароль на защиту панели управления (System).

Этих настроек вполне достаточно в большинстве случаев.

Настройка интернета на MikroTik (Динамический IP, PPPoE)

Важный момент! Если интернет у вас уже работает через маршрутизатор, то скорее всего ваш провайдер использует тип подключения Динамический IP, и дополнительная настройка не нужна. Так как тип подключения «Automatic» стоит по умолчанию. Можете сразу настраивать Wi-Fi сеть.

У вас должна быть информация о типе подключения, которое использует ваш интернет-провайдер. А так же все необходимые данные для подключения к интернету (если у вас НЕ динамический IP). Так же желательно сразу выяснить, делает ли провайдер привязку по MAC-адресу.

Значит так, если у вас тип подключения «Динамический IP», без привязки по MAC-адресу, то все сразу должно работать. Если есть привязка по MAC-адресу, то вам нужно либо прописать у провайдера MAC-адрес роутера (он указан в поле MAC Address), или же посмотреть MAC-адрес компьютера к которому привязан интернет и прописать его в поле «MAC-адрес» в настройках роутера.

Не забудьте сохранить настройки, нажав на кнопку «Apply Configuration» (в правом нижнем углу).

Настройка PPPoE

Выделяем тип подключения PPPoE, задаем имя пользователя и пароль (их выдает провайдер) и нажимаем на кнопку «Reconnect». Роутер должен подключится к интернету. Если все хорошо, то переходите к настройке Wi-Fi сети. Об этом ниже в статье.

А вот подключения по PPTP почему-то не добавили в этот список. Наверное потому, что он не очень популярный. Но тем не менее, некоторые провайдеры его используют.

Настройка L2TP/PPTP

Сначала в разделе «PPP» нужно добавить «PPTP Client».

Дальше задаем адрес сервера (Connect To), имя пользователя (User) и пароль (Password). Эти данные выдает провайдер. Ставим галочку возле «Add Default Route». Затем сохраняем профиль нажав на кнопку «Apply» и «Ok».

Заключение

Подведем итог проделанной работы. На примере двух точек доступа wAP ac мы настроили бесшовный wifi роуминг на покрываемой этими точками площади. Площадь эта легко расширяется дополнительными wifi точками любой модели микротик. Они не обязательно должны быть одинаковыми, как это, к примеру, реализовано в некоторых конфигурациях Zyxell, которые мне доводилось настраивать. Примерно такая же производительность у точек Mikrotik RB951G-2HnD, которые я до сих пор использую. Единственный минус — у них нет 5 Ггц.

В этом примере я рассмотрел практически самую простую конфигурацию, но при этом расписал все настройки и принцип работы. На основе этих данных легко составить и более сложные конфигурации. Здесь нет какого-то принципиального усложнения. Если понять, как это работает, то дальше уже можно работать и делать свои конфигурации.

Трафиком с точек доступа можно управлять так же, как и с обычных интерфейсов. Работает весь базовый функционал системы — firewall, маршрутизация, nat и т. д. Можно делать бриджы, делить адресное пространство и многое другое. Но стоит учитывать, что при этом трафик будет весь идти через контроллер. Нужно это понимать и правильно рассчитывать производительность и пропускную способность сети.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.

Watch this video on YouTube