Настройка роутера Микротик hAP Lite (RB941-2ND)

Три маршрутизатора лежат на столе от фирмы микротик

Сегодня вашему вниманию представим настройку роутера Mikrotik hAP lite RB941-2nD. За полторы тысячи рублей вы получаете больше, чем роутер. Популярность его связанна с ценой и функциональность. У вас не будет какой-нибудь обрезанный RouterOS, все как положено, лицензия 4 уровня, можете крутить BGP, OSPF, MPLS без проблем (но мы надеемся вы этого не делаете на нем). Основные технические характеристики, следующие:

  • Процессор архитектуры SMIPS — QCA9533, одно ядро 650 MHz;
  • ОЗУ 32 Mb;
  • Flash 16 Mb;
  • Лицензия RouterOS 4 уровня;
  • Порты 100 Mb/s в количестве 4 штук;
  • WiFi чип на частоте 2,4 GHz;
  • Кушает всего 3.5 W.

Маленький, скромный, но функциональный девайс, за хороший ценник, по функционалу ничем не отличается от своих старших братьев. Преимущественно падает выбор на эту модель, для не больших филиалов.

Если вы хотите построить CAPsMAN на базе данного устройства, то я вас огорчу, это не хорошая идея, т.к. антенны у него не изолированы. Доставит кучу хлопот. Для CAPsMAN стоит выбирать модели постарше.

Также вы можете воспользоваться статьёй про настройку Микротика с нуля, она подойдёт для всех моделей роутеров, в том числе и для RB941-2ND
Содержание
  1. Сброс и обновление
  2. Настройка WiFi
  3. Настройка DNS и DHCP
  4. Настройка NAT
  5. Firewall
  6. QoS

Сброс и обновление

Когда вы включите впервые девайс, по умолчанию в нем будет default config. Его достаточно для большинства случаев. Но мы пойдём другим путём и прошьём до актуальной версии 6.48 (Stable) через NetInstall. Об этом хорошо рассказано в нашей статье тут.

На выходе вы должны получить blank (чистый) config, т.е. абсолютно чистый девайс.

Настройка WiFi

Правильная настройка беспроводной сети начинается с профиля безопасности. В ней мы задаём типы шифрования, алгоритмы, а также пароль. Открываем Wireless – Security Profiles, создаём новый профиль. Указываем имя, протоколы аутентификации, и сам пароль.

Создание профиля безопасности WiFi

Рекомендуется не выбирать tkip, если вы используете WPA PSK.

Переходим в Wireless, двойным кликом открываем настройки адаптера wlan1, переключаем в расширенный режим кнопкой Advanced Mode. Открываем вкладку wireless. Это основное меню настройка адаптера. Указываем:

  • Точка доступа в режиме ap bridge (как это было не странно, она у нас не в бридже, но все равно);
  • Ширина канала 20MHz;
  • Частота (по желанию) 2462;
  • SSID MikrotikLab;
  • WiFi Protocol 802.11;
  • Профиль безопасности WiFi-1 (созданный ранее);
  • Страна russia3.
  • Убедитесь в наличии галочки Default Authenticate – без нее, клиенты не смогут подключаться к точке.

Конфигурация WiFi hap Lite

Применяем и включаем интерфейс (Enabled).

Наша команда рекомендует изучитьНаша команда рекомендует изучить углубленный курс по администрированию сетевых устройств MikroTik В курсе много лабораторных работ по итогам которых вы получите обратную связь. После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Настройка DNS и DHCP

Задача, следующая: сделать 2 сегмента, 192.168.10.0/24 для портов 2-4. Подсеть 192.168.11.0/24 для WiFi и запретить между ними forwarding. Для проводных клиентов создаём bridge. Дадим ему корректное имя.

Создание Bridge hap Lite

Далее добавим порты 2, 3, 4 в созданный бридж.

Добавление интерфейсов в свич

Зададим адреса через IP – Address.

Добавление IP адресов для интерфейсов

Настроим разрешение имён. DNS серверами для нас будут 1.0.0.1 и 8.8.8.8. Разрешим резолв на девайсе, а также изменим время жизни в кэше.

Расширенная настройка DNS сервера на Mikrotik

Настройка DHCP сервера. Воспользуемся мастером DHCP Setup. Выбираем интерфейс, на котором хотим его включить.

Настройка DHCP сервера на WiFi интерфейсе

Девайс сразу поймёт, какой address space у сети на основе заданного адреса.

Задаем адресное пространство DHCP сервера на WiFi интерфейсе

Шлюзом будет Mikrotik, здесь ничего не меняем.

Указываем default gateway для беспроводных клиентов

Далее предлагается ввести пул для раздачи. Я слегка изменил, и назначил раздачу с 192.168.11.10.

Редактируем пул адресов для раздачи DHCP сервером

DNS сервером указываем IP роутера, в той сети, в которой он раздаёт адреса.

DNS сервер для сети WiFi hap Lite

И, наконец, время аренды. Я предпочитаю изменять с 10 минут, на 1 день.

Правим время аренды клиентов беспроводной сети

Теперь, проделываем аналогичные действия для проводных клиентов. Напомню, что следует задавать IP роутера, 192.168.10.1, шлюзом и DNS сервером.

Настройка NAT

Но для начала настроим доступ в интернет, первый порт на mikrotik hap lite смотрит в провайдера, который подаёт доступ через PPPoE. В PPP – создадим PPPoE Client.

Создание PPPoE интерфейса доступа в интернет

Зададим ему понятное для нас имя, и задаём интерфейс, который подключён в провайдера.

Выбираем провайдерский порт для PPPoE

Пишем логин и пароль, и не забываем про галочку Add Default Route, если не хотите прописывать маршрут руками.

Пишем логин пароль доступа и метрику маршруту

Статус Connected говорит, что все хорошо, двигаемся дальше.

Для упрощения написания правила NAT, воспользуемся адрес листами. Находится в IP – Firewall – Address Lists.

Создание Address List hAP Lite

В строке Name – указываем имя листа, может быть любым. Главное, чтобы вам нравилось и было понятным. В Address, указываем наши подсети.

Параметры Address List для проводной сети

Применяем и создаём вторую запись. При создании второй записи, имя листа, можете выбрать из выпадающего списка. В итоге должна быть следующая картина.

Просмотр общего списка адрес листов

Переходим во вкладку NAT и создаём правило. Тут говорится, что мы хотим цепочку srcnat и выходной интерфейс будет WAN.

Создаем правило src nat для выхода в интернет

Переходим в Advanced, Src. Address List выбираем LAN.

Выбираем списки сетей для srcnat

На вкладке Action нас интересует masquerade. Применяем и если вы все сделали правильно, то проверяем что доступ в интернет появился у обоих сетей.

Маскарад IP адресов на hAP Lite

Firewall

Логика настройки и фильтрации трафика на маршрутизаторе MikroTik RB941-2ND не чем особым не отличается от старших моделей и будет следующая – разрешим подключение к Winbox, SSH откуда угодно. Web интерфейс будет доступен только с 192.168.10.0/24. Разрешим DNS только с локальных сетей, а все остальное запретим. Запретим пересылку между 192.168.10.0/24 и 192.168.11.0/24 используя ранее созданный адрес лист, тем самым обмен данными между WiFi и проводной сетями будет заблокирован. Разрешим new, established, related соединения.

Настройка Firewall на Mikrotik hAP Lite

Будьте аккуратны с правилом 8, дропает инвалид пакеты. В стандартных сценариях обычно не мешает, но иногда его стоит отключать. Все вышеупомянутые правила можно загрузить через терминал:

/ip firewall filter

add action=accept chain=input comment=IN-SSH-Allow connection-state=new \

dst-port=22 protocol=tcp

add action=accept chain=input comment=IN-Winbox-Allow connection-state=new \

dst-port=8291 protocol=tcp

add action=accept chain=input comment=IN-DNS-from-LAN-Allow dst-port=53 \

protocol=udp src-address-list=LAN

add action=accept chain=input comment=IN-Web-from-LAN-Allow connection-state=\

new dst-port=80 protocol=tcp src-address=192.168.10.0/24

add action=accept chain=input comment=IN-EST-REL-Allow connection-state=\

established,related

add action=drop chain=input comment=IN-ALL-Drop

add action=drop chain=forward comment=FRW-DROP-between-LAN connection-state=new \

dst-address-list=LAN src-address-list=LAN

add action=accept chain=forward comment=FRW-E&R&N-Allow connection-state=\

established,related,new

add action=drop chain=forward comment=FRW-Invalid-Drop connection-state=invalid

QoS

В нашем сценарии провайдер выпускает в интернет на 10Мб/с. Нам нужно ограничить для проводных клиентов до 8 Мб/с, а беспроводных до 2 Мб/с. Я предлагаю не просто ограничить, а ещё поровну делить каждое соединение в случае максимальной нагрузки. Это достигается типом очереди PCQ. Переходим в Queues – Simple Queue и создаём новое правило.

Окно создания очереди Simple Queue

Пишем имя правилу, в Target задаётся конкретный IP или диапазон адресов, для которых хотим применить правило. И конечно же сами значения скоростей в Target Upload и Target Download.

Ограничиваем скорость для проводной сети

Переходим на вкладку Advanced и выбираем тип очереди pcq-upload-default для секции Upload, и pcq-download-default для секции Download.

Задаем тип очереди PCQ для правила QoS

Проделываем аналогичные действия WiFi клиентов, указав соответствующую скорость в 2Мб/с и target.

Просмотр списка очередей Simple Queue

Из хорошего, данный алгоритм очередей может вас выпустить в интернет несмотря на то, что сосед качает торренты. Расплата за это будет серьёзная утилизация CPU.

На этом мы закончим настройку маршрутизатора MikroTik RB941-2ND, удачных конфигураций!

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.

Оцените статью
MikroTikLab
Добавить комментарий

  1. Антон

    Спасибо , очень помогло

    Ответить
© 2024 MikroTikLab
Adblock
detector