Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac

hapac-main Роутеры

Здравствуйте и Добро пожаловать на цикл статей по организации единой локальной сети!
Содержание:
Создание домашней сети на базе устройств MikroTik: Часть 1
Создание домашней сети на базе устройств MikroTik: Часть 2 — Настройка hAP ac (Вы тут)
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX
Создание домашней сети на базе устройств MikroTik: Часть 4 — Создание OpenVPN туннеля
Создание домашней сети на базе устройств MikroTik: Часть 5 — Создание EoIP туннеля
Создание домашней сети на базе устройств MikroTik: Часть 6 — Firewall защита доступа
Создание домашней сети на базе устройств MikroTik: Часть 7 — Firewall правильное перенаправление портов в сети с двумя шлюзами
Создание домашней сети на базе устройств MikroTik: Часть 8 — Установка и настройка MikroTik DUDE Network Monitor

Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!

Мы обозначили схему, которую нам необходимо реализовать.
Начнем мы с базового роутера MikroTik hAP ac.
Предварительно перед настройкой я заказал услугу Публичный статический IP адрес! Это важно, без него туннели будет сложно построить(DDNS)
Предположим провайдер назначил нам IP = 98.76.54.32 (Взят для примеров)

В данной статье я покажу основные настройки, чтобы роутер мог получать интернет и раздавать его клиентам.
Статья получится достаточно большая, поэтому запаситесь терпением )))
Настройка VPN будет в отдельной статье.

ВАЖНО!!!
Компания MikroTik довольно активно изменяет и добавляет новый функционал в свои изделия. От этого меняются версии прошивок и в них бывают настолько серьезные изменения, что статьи в некоторых местах теряют свою актуальность. Так вот данная статья написана для прошивки 6.39.3 из ветки Bugfix.
Именно ветка Bugfix стабильнее всего и реже всего обновляется. Я предпочитаю стабильность, вместо каких-то новых фич, которые еще не до конца протестированы.

Подключим роутер к ПК/Ноутбук через порт 2, а кабель провайдера в порт 1.

hap-ac-port2
Синим — Internet, Красным — Локальный

На ПК для сетевого интерфейса устанавливаем статический IP 192.168.88.5 и маску сети 255.255.255.0
Это нужно если у роутера отсутствует IP адрес.

Открываем утилиту WinBox (Подробнее: Тут и Тут).

Если нужен Multicast
Установим дополнительный пакет Multicast. Дальнейшие настройки Wi-Fi содержат поддержку передачи Multicast фреймов через Wi-Fi сеть.
Для этого необходимо скачать архив с дополнительными пакетами с официального сайта MikroTik со страницы загрузок: https://mikrotik.com/download
Напоминаю архитектуру роутера MikroTik hAP ac: MIPSBE
Скачать необходимо архив: Extra packages
Из него достать файл multicast-x.xx.x-mipsbe.npk, загрузить в память роутера и перезагрузить его. Как прошивать роутер и загружать в него файлы рассмотрено в прошлых статьях.
package-list
Уже установленный пакет Multicast

Сбрасываем все заводские настройки, они нам не понадобятся!

reset-configuration
Сброс настроек
Консольно:
/system reset-configuration no-defaults=yes skip-backup=yes
Подтверждаем сброс настроек.

После этой процедуры, у роутера не будет IP адреса, поэтому подключаемся по MAC адресу.
Все настройки будут сброшены, начнем настройку:

1. Настроим проводные интерфейсы
Меню настройки интерфейсов:

interfaces
Меню интерфейсов
Консольно:
/interface

Все интерфейсы RJ45 входят в один свич(switch1) поэтому нам нужно отделить порт для провайдера, и порты для локальных соединений. Отдельно у нас еще стоят два Wi-Fi интерфейса и разъем SFP.
Выбираем интерфейс ether1 и переименовываем его в WAN

ether1-rename
Меняем имя порта ether1
Консольно:
/interface ethernet
set [find default-name=ether1] name=WAN

Выбираем интерфейс ether2 и переименовываем его в LAN1-Ethernet
Т.к все сетевые порты у нас находятся в свиче, мы можем сделать один из портов ведущим(Мастер порт), а остальные ведомыми(Слейв порты). По сути получится, как будто каждый из портов это один и тот же порт.
Начиная с прошивки 6.41 был изменен алгоритм работы сетевого моста, а именно добавлен режим Bridge Hardware Offloading
Никаких особых действий не требуется, пока просто меняем имена интерфейсов.

ether2-rename
Переименовываем интерфейс ether2
Консольно:
/interface ethernet
set [find default-name=ether2] name=LAN1-Ethernet

Остальные ether3, ether4 и ether5 переименовываем соответствующе LAN2-Ethernet, LAN3-Ethernet, LAN4-Ethernet и назначаем им порт LAN1-Master

ether3-rename
Для остальных делаем по аналогии
Консольно:
/interface ethernet
set [find default-name=ether3] name=LAN2-Ethernet
set [find default-name=ether4] name=LAN3-Ethernet
set [find default-name=ether5] name=LAN4-Ethernet

Отключим SFP порт, лично мне он ни к чему, просто, как приятный бонус. Вдруг потом пригодится.
Вы же можете докупить SFP модуль для обычного RJ-45 порта и использовать его для подключения кабеля провайдера. Вы ведь помните, что он на отдельной шине 1Gbit ))

disable-interface
Кнопка выключения
Консольно:
/interface ethernet disable sfp1

С проводными соединениями разобрались, перейдем далее…

2. Настроим Wi-Fi соединения
В модели hAP ac присутствует два вида Wi-Fi. Это 2.4GHz и 5GHz частоты. Соответственно в роутере мы имеем два Wi-Fi интерфейса — wlan1 и wlan2
Зайдя в настройки каждого, можно определить, какой из них какой.
2.4GHz

wifi-24
Модуль 2.4GHz
5GHz
wifi-5
Модуль 5GHz

Консольно:
/interface wireless print

Для начала настроим профиль авторизации для наших Wi-Fi интерфейсов:

wireless
Wi-Fi интерфейсы и параметры
security-profiles-1
Настраиваем базовый профиль или добавляем свой
security-profiles-2
WPA2 Pre-Shared Key — это и будет Ваш пароль к Wi-Fi
Важное замечание по PMKID (Известная информация по вопросу взлома WPA2 preshared key brute force attack [ENG forum]):
Вам придется решить включать ли PMKID в кадр EAPOL, отправленный точкой доступа. Отключение PMKID может привести к проблемам совместимости с устройствами, использующими PMKID для подключения к точке доступа. Но если Вы заботитесь о безопасности оставьте этот пункт включенным.
Если у Вас наблюдаются проблемы при подключении каких-то устройств к Wi-Fi, попробуйте снять галку с пункта Disable PMKID
Это свойство влияет только на режим Wi-Fi, как точки доступа.

Консольно:
/interface wireless security-profiles
set default mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2-pre-shared-key="12345678" management-protection=disabled group-key-update=1h disable-pmkid=yes

Теперь можно переходить к настройке самих интерфейсов Wi-Fi. Настроек много, глаза разбегаются, но ничего страшного, каждый пункт важен.
Начнем с интерфейса 2.4GHz.

wifi24-general
Вкладка General: меняем имя интерфейса — LAN-wifi24ghz и активируем расширенный режим!!
wifi24-wireless
Достаточно много настроек
Давайте пробежимся по параметрам
Mode — Режим работы модуля Wi-Fi. Выбираем режим для работы как точки доступа в режиме моста.
Band — Стандарт Wi-Fi соединения. Есди у Вас нет старых ноутбуков или иных устройств работающих на стандартах b или g выбирайте максимально доступный. Лучше всего если у Вас нет устройств с b или g, выбирайте режим 2GHz-only-N.
Даже если у Вас нет таких устройств, но Вы оставили режим B/G/N, такие устройства могут быть у Ваших соседей и тогда у Вас «просядет» вся Wi-Fi сеть до самого низкого стандарта. Будьте внимательны!
Channel Width — Ширина канала. Тут подробнее:
Использование каналов расширения (например, Ce, eC и т. Д.) позволяет использовать дополнительные каналы расширения 20 МГц и, если они должны располагаться ниже или выше основного (основного) канала. Канал расширения позволяет устройствам стандарта 802.11n использовать до 40 МГц (802.11ac до 80 МГц) всего спектра, что увеличивает максимальную пропускную способность. Ширина канала с расширениями XX и XXXX автоматически сканируется для поиска менее переполненной частоты в зависимости от количества одновременных устройств, работающих на каждой частоте, и автоматически выбирает «C» — частоту управления.
Frequency — Рабочая частота.
SSID — Имя Вашей Wi-Fi сети
Radio Name — Имя радио интерфейса, будет отображаться в таблице регистрации при подключении по Wi-Fi к другому микротику. В принципе не нужен, работает только на Микротиках.
Wireless Protocol — Выбирайте 802.11 т.к. остальные это протоколы Микротика. unspecified использовался раньше в RouterOS 3 и 4 версий.
Security Profile — Выбираем наш профиль шифрования с паролями к Wi-Fi.
WPS Mode — Отключаем WPS мы не будем им пользоваться.
Frequency Mode — Частотный режим. Всего три режима (для конкретной страны, ручное назначение, суперканал). В принципе не важно, что Вы выберите, главное ничего не нарушать. И чтобы не нарушать законодательство нужно выбрать режим регулируется страной и ниже свою страну.
Country — Ограничивает доступные диапазоны, частоты и максимальную мощность передачи для каждой частоты в зависимости от страны.
Antenna Gain — Коэффициент усиления антенны в дБи, используемый для расчета максимальной мощности передачи в соответствии с национальными правилами.
WMM Support — Указывает, следует ли включать WMM.
Bridge Mode — Активируем режим моста для интерфейса.
Default Authenticate — Позволяем клиентам авторизовываться.
Default Forward — Возможность общения клиентов между собой.
Multicast Helper — Этот параметр можете выбрать самостоятельно. Если У Вас в сети используется IPTV по Wi-Fi, тогда без этой настройки не обойтись. Если ничего подобного нет, тогда можете отключить.
wifi24-advanced
Тут настроек не много, но они важные
Distance — Как долго ждать подтверждения одноадресных фреймов, прежде чем считать передачу неудачной. Если используем в небольшом помещении, ставим indoors, если на улице или в цеху, то dynamic.
Adaptive Noise Immunity — Это свойство действует только для карт на базе чипсета Atheros.
Hw. Retries — Количество повторов отправки пакета до того, как отправка будет признана неудачной. В случае превышения этого значения, скорость соединения с удаленным устройством будет понижена, после чего снова будут предприняты попытки передачи пакета. Если была достигнута минимальная скорость соединения, но пакет не был передан, попытки передачи приостанавливаются на время, указанное в параметре On Fail Retry Time. После этого снова будут предприняты попытки передачи пакета до тех пор, пока не истечет время, указанное в параметре Frame Lifetime, либо удаленное устройство не будет отключено по превышению параметра Disconnect Timeout.
Значения от 1 до 5 — скорость работы сети выше, однако для абонентов с плохим сигналом стабильность связи ухудшится (от потери пакетов будет чаще отключать от точки доступа).
Значения от 5 до 10 — золотая середина.
Значения от 10 до 15 — максимальная гарантия доставки данных, но в сети с плохими условиями скорость будет снижаться.
Disconnect Timeout — Временной промежуток, через который клиент, не отвечающий на запросы, будет отключен. (подробнее выше в Hw. Retries)
On Fail Retry Time — Время ожидания устройства перед повторной пересылкой данных. (подробнее выше в Hw. Retries)
wifi24-ht
Выбираем антенны для работы
Отключаем все. Этими настройками мы пользоваться не будем.
wifi24-nstreme
Специфические настройки для nstreme
wifi24-tx-power
Настройка мощности передатчиков
Я предпочитаю самостоятельно устанавливать мощность передатчиков. Но не ухожу за рамки законодательства. Для России лучше выбирать значения 15-17.
На практике я понял, что разницы для квартиры особой нет, можно оставить и базовые значения, чтобы роутер самостоятельно настраивал мощность. Все и так работает, как часы!

Консольно:
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-XX country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN5-wifi24ghz radio-name=POINT24_1 ssid=POINT24GHZ supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled hw-retries=10 disconnect-timeout=15s on-fail-retry-time=1s
/interface wireless nstreme
set LAN5-wifi24ghz enable-polling=no

Сканирование 2.4GHz сетей роутером - для информации
Найти сканер можно тут
scanner-menu
 
Судя по картине ниже, сеть 2.4GHz имеет 13 точек вокруг. Можно выбрать центральную частоту и вполне комфортно себя ощущать. Или оставить auto, как в статье.
scanner-24ghz
 
Для тех кому интересно по распределению частот в 2.4GHz
Канал WiFi Нижняя частота Центральная частота Верхняя частота
1 2401 2412 2423
2 2406 2417 2.428
3 2411 2422 2.433
4 2416 2427 2.438
5 2421 2432 2.443
6 2426 2437 2.448
7 2431 2442 2.453
8 2436 2447 2.458
9 2441 2452 2.463
10 2446 2457 2.468
11 2451 2462 2.473
12 2456 2467 2.478
13 2461 2472 2.483
2.4ghz-channel-overlay
Общая диаграмма перекрытия частотных каналов WiFi в 2.4GHz
В полосе частот WiFi 2.4GHz доступны 3 неперекрывающихся канала: 1, 6, 11.
Данное выделение строится на требовании IEEE по обеспечению минимума в 25MHz для разнесения центров неперекрывающихся частотных каналов WiFi. При этом ширина канала составляет 22MHz.
2.4ghz-channel-separation
 

С интерфейсом 2.4GHz закончили.

Переходим к интерфейсу 5GHz
Сразу напомню, что в ПК я использую PCI модуль Wi-Fi ASUS PCE-AC66. Он имеет три антенны и позволяет работать с AC стандартом.
5GHz еще может работать со стандартом N, но в этом случае скорости ~800-900 Мбит/сек Вам не светят.
Поэтому настройки у меня будут под чистый AC стандарт. Поехали…

wifi5-general
Меняем имя интерфейса, MTU, и убеждаемся, что ARP включено.
wifi5-wireless
Также большой список в Advanced режиме
В принципе все настройки идентичны тем, что устанавливаются для 2.4GHz. Но есть ряд особенностей!
Channel Width — С этими параметрами пришлось поиграть, чтобы подобрать верный диапазон и частоту на которых будет работать PCE-AC66.
Frequency — Частота для канала, задал в ручную т.к. канал не забит соседями ))

Данные параметры оказались самые стабильные для использования с PCE-AC66 от Асус.
wifi5-advanced
Тоже самое, что и для 2.4GHz
wifi5-ht
Аналогично 2.4GHz
wifi5-nstreme
Аналогично 2.4GHz
wifi5-txpower
Аналогично 2.4GHz

Консольно:
/interface wireless
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-onlyac channel-width=20/40/80mhz-XXXX country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN6-wifi5ghz radio-name=POINT5_1 ssid=POINT5GHZ wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled hw-retries=10 disconnect-timeout=15s on-fail-retry-time=1s
/interface wireless nstreme
set LAN6-wifi5ghz enable-polling=no

Сканирование 5GHz сетей роутером - для информации
Решил посмотреть, что есть в эфире. Нашел пару точек от МГТС. На 5GHz места много, не будем мешать соседям и они нам 🙂
scan-wifi
 
Сетка рабочих каналов WiFi и частоты в 5GHz
5ghz-work-channels-1
 
5ghz-work-channels-2
 
5ghz-work-channels-3
 
Для вычисления центральной частоты канала WiFi можно использовать следующую формулу:
5000+(5*N) = X MHz
где, N это номер канала WiFi, например 36, 40 и т.д.
Формирование каналов WiFi в 5 GHz
5ghz-channel-overlay
 

Закончили с интерфейсом 5GHz.

При настройке Wireless интерфейсов через WinBox не забудьте их включить т.к. по умолчанию они выключены.
При настройке через консоль они включаются через параметр disabled=no

3. Создадим сетевой мост всех наших интерфейсов
Сетевой мост будет служить основным интерфейсом, который соберет в себе все наши локальные интерфейсы. Т.е. нужно добавить к новому сетевому мосту все нужные интерфейсы.
Также мы помним, что мы сделали мастер порт и часть портов привязали к нему, соответственно все второстепенные порты добавлять не нужно.

bridge
В этом меню можно создавать сетевые мосты
Создадим сам сетевой мост. Назовем его LAN-Bridge
bridge-add-1
Создаем сетевой мост
Консольно:
/interface bridge
add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=no igmp-snooping=yes protocol-mode=none

Начнем добавлять порты.

bridge-port-add
И так для каждого нужного порта
Нам нужно добавить порты:
LAN1-Ethernet
LAN2-Ethernet
LAN3-Ethernet
LAN4-Ethernet
LAN5-wifi24ghz
LAN6-wifi5ghz

Консольно:
/interface bridge port
add interface=LAN1-Ethernet bridge=LAN-Bridge
add interface=LAN2-Ethernet bridge=LAN-Bridge
add interface=LAN3-Ethernet bridge=LAN-Bridge
add interface=LAN4-Ethernet bridge=LAN-Bridge
add interface=LAN5-wifi24ghz bridge=LAN-Bridge
add interface=LAN6-wifi5ghz bridge=LAN-Bridge

В момент добавления интерфейса LAN1-Ethernet Вас может отключить от роутера, в этом нет ничего страшного, просто подключаемся снова.

4. Разрешим нашему роутеру обрабатывать DNS

dns
Разрешаем обработку DNS запросов
Консольно:
/ip dns
set allow-remote-requests=yes cache-size=4096

5. Подключение к провайдеру
У меня Интернет провайдер предоставляет интернет по DHCP. Т.е. необходимо настроить DHCP клиент на порт в который вставлен кабель провайдера (WAN)

ip-dhcpclient
Находим нужное меню и добавляем новое правило
Указываем нужный интерфейс.
ip-dhcpclient-add
Параметров не много
В столбце IP Address мы должны увидеть свой статический IP от провайдера. Вы же помните, что для этого роутера нужно подключить Статический IP!!!

Консольно:
/ip dhcp-client
add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

6. Доступ в интернет

Out Interface List создаются через отдельное меню интерфейсов.
По данной тематике рекомендую прочитать отдельную статью: MikroTik RouterOS – Списки интерфейсов “Interface List”
Для того, чтобы наши клиенты могли выходить в сеть интернет, нам необходимо указать, через какой интерфейс они будут это делать.
Эти настройки делаются через Межсетевой экран (Firewall)
ip-firewall
Переходим в межсетевой экран
ip-firewall-add-1
Указываем основные параметры
ip-firewall-add-2
Указываем последнее правило и жмем OK
В принципе этого достаточно, чтобы на роутере уже появился интернет. Но у клиентов его не будет т.к. еще нет IP адреса и локального DHCP сервера.

Консольно:
/ip firewall nat
add chain=srcnat out-interface-list=Internet src-address=192.168.88.0/24 action=masquerade

7. IP адрес роутера
Теперь назначим нашему роутеру IP адрес.
Мы определили, что в Локации 1 будет следующий разброс:
IP адрес роутера: 192.168.88.1
IP адреса для клиентов: 192.168.88.5 — 192.168.88.29
24 адреса должно хватить для всех устройств в квартире, даже с избытком.

ip-addresses
Переходим в меню IP адресов
ip-addresses-add
Добавляем IP адрес для нашего сетевого моста
Так мы указываем, что IP адрес 192.168.88.1 привязать к интерфейсу LAN-Bridge.

Консольно:
/ip address
add address=192.168.88.1/24 interface=LAN-Bridge

8. DHCP Сервер для локальных клиентов
Для того, чтобы наши клиенты могли подключаться к нашему роутеру и получать от него IP адреса и другие параметры, необходимо настроить DHCP сервер.
Первоначально укажем Pool IP адресов

ip-pool
Переходим в меню
ip-pool-add
Добавляем обозначенный диапазон
Теперь добавляем сам DHCP сервер
ip-dhcpserver
Переходим к добавлению DHCP
ip-dhcpserver-add
Задаем настройки DHCP сервера
Осталось еще указать для какой сети и какие дополнительные параметры будут получать подключенные клиенты.
ip-dhcpserver-networks
Указываем дополнительные параметры
Каждый подключенный клиент будет получать от DHCP сервера набор параметров:
Шлюз и DNS — В нашем случае и тем и другим будет выступать сам роутер.

Консольно:
/ip pool
add name=LAN-Pool ranges=192.168.88.5-192.168.88.29
/ip dhcp-server
add name=DHCP-Server disabled=no interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 dns-server=192.168.88.1

В принципе уже можно подключать устройства по Wi-Fi и любые другие, уже должен работать интернет.
Для затравки ))))

wireless_reg
Тут важно понимать, что это не практические скорости, а расчитанные роутером. Эти параметры меняются при активном использовании Wi-Fi

На этом закончим статью, остальные настройки рассмотрим позже )) Сама статья получилась достаточно большая и если Вы дочитали до конца Вы определенно молодцы!!!
Продолжение:
Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750gr3 hEX

Список всех статей в хронологическом порядке: История статей

Поддержка блога
Если Вам не безразлична судьба блога или Вы просто хотите отблагодарить Автора за его труд, смело переходите на страницу Поддержки, там описана вся информация, по тому, как это сделать проще простого =)

UPD: 09.02.2018
Изменены настройки для Wi-Fi 2.4GHz и 5GHz на основании опыта эксплуатации.

UPD: 20.03.2018
Исправил ошибку отсутствия ручного ввода MTU в сетевой мост LAN-Bridge. Если этого не сделать, в статье по созданию EoIP туннеля меняется MTU сетевого моста. Т.к. Root Port-ом становится интерфейс EoIP туннеля.

UPD: 08.04.2018
Найдена проблема: radar detected on
Сработал радар детектор. Вернее сработала система DFS (Dynamic Frequency Selection — динамический выбор частоты)
В роутере это выглядит так. Смотрим лог:

hapac-1
 
Т.е сработал радарный детектор на частоте 5260 МГц. Радарные импульсы довольно трудно обнаружить, потому что они довольно быстрые (каждый импульс длится около половины микросекунды) и может присутствовать на очень низких уровнях мощности (от -62 до -64 дБмВт), но наш Роутер справился ))
А проблемой является постоянное отключение клиентов от точки 5 ГГц!!!
Это не хорошо, и я решил зафиксировать частоту на самой низкой в 5180 МГц
hapac-2
 
Понаблюдаю работу в этом режиме. Но на первый взгляд, канал стал работать стабильнее.

UPD: 02.10.2018
Внесены правки в настройки проводных сетевых интерфейсов и сетевого моста из-за выхода прошивки 6.42.9 (Long-Term)
Как я уже рассказывал я пользуюсь исключительно прошивками ранее (Bugfix), которые сейчас изменены на ветку (Long-Term) т.е. длительной поддержки.
Подробнее прочитать про Bridge Hardware Offloading можно на Wiki MikroTik Switch_Chip_Features (Bridge_Hardware_Offloading) [ENG]

Важное замечание. В hAP ac установлен switch chip модели QCA8337
Он поддерживает Bridge Hardware Offloading в части Bridge STP/RSTP

What's new in 6.42.9 (2018-Sep-27 05:19)
Important note!!! Backup before upgrade!
RouterOS v6.41 and above contains new bridge implementation that supports hardware offloading (hw-offload).
This update will convert all interface «master-port» configuration into new bridge configuration, and eliminate «master-port» option as such.
Bridge will handle all Layer2 forwarding and the use of switch-chip (hw-offload) will be automatically turned on based on appropriate conditions.
The rest of RouterOS Switch specific configuration remains untouched in usual menus.
Please, note that downgrading below RouterOS v6.41 will not restore «master-port» configuration, so use backups to restore configuration on downgrade.

*) bridge — ignore tagged BPDUs when bridge VLAN filtering is used;
*) bridge — improved packet handling when hardware offloading is being disabled;
*) crs317 — fixed packet forwarding on bonded interfaces without hardware offloading;
*) crs326/crs328 — fixed packet forwarding when port changes states with IGMP Snooping enabled;
*) defconf — properly clear global variables when generating default configuration after RouterOS upgrade;
*) dns — fixed DNS cache service becoming unresponsive when active Hotspot server is present on the router (introduced in 6.42);
*) filesystem — fixed NAND memory going into read-only mode (requires «factory-firmware» >= 3.41.1 and «current-firmware» >= 6.43);
*) health — added missing parameters from export;
*) health — fixed voltage measurements for RB493G devices;
*) hotspot — properly update dynamic «walled-garden» entries when changing «dst-host»;
*) ike2 — fixed rare authentication and encryption key mismatches after rekey with PFS enabled;
*) ike2 — improved subsequent phase 2 initialization when no child exist;
*) ipsec — improved invalid policy handling when a valid policy is uninstalled;
*) ipsec — improved stability when using IPsec with disabled route cache;
*) led — added «dark-mode» functionality for wsAP ac lite, RB951Ui-2nD, hAP, hAP ac lite and LtAP mini devices;
*) lte — fixed LTE interface not working properly after reboot on RBSXTLTE3-7;
*) lte — fixed LTE registration in 2G/3G mode;
*) ospf — improved link-local LSA flooding;
*) ospf — improved stability when originating LSAs with OSPFv3;
*) routerboard — fixed memory tester reporting false errors on IPQ4018 devices («/system routerboard upgrade» required);
*) routerboard — show «boot-os» option only on devices that have such feature;
*) routerboot — fixed RouterOS booting on devices with particular NAND memory;
*) sniffer — made «connection», «host», «packet» and «protocol» sections read-only;
*) supout — added «files» section to supout file;
*) upgrade — fixed RouterOS upgrade process from RouterOS v5 on PowerPC;
*) upnp — improved UPnP service stability when handling HTTP requests;
*) userman — fixed «shared-secret» parameter requiring «sensitive» policy;
*) w60g — added «frequency-list» setting;
*) w60g — fixed interface LED status update on connection;
*) w60g — fixed random disconnects;
*) w60g — general stability and performance improvements;
*) webfig — fixed time interval settings not applied properly under «IP/Kid Control/Kids» menu;
*) webfig — fixed www service becoming unresponsive;
*) winbox — show «System/RouterBOARD/Mode Button» on devices that has such feature;
*) wireless — accept only valid path for sniffer output file parameter;
*) wireless — fixed «/interface wireless sniffer packet print follow» output;

UPD: 14.10.2018
Адаптирован Security профиль Wi-Fi сетей, в том числе добавлена информация по безопасности WPA2 связанной с атакой на PMKID
Адаптированы настройки WI-Fi из-за добавления в новых прошивках дополнительных параметров channel-width
Добавлена информация по сканированию Wi-Fi сетей на частотах 2.4GHz и 5GHz и простые информационные сведения по распределению частот.
Firewall NAT адаптирован под Interface List

UPD: 30.11.2018
Добавлены настройки для Wireless интерфейсов в части уменьшения Дисконнектов(data loss)
Спасибо комментатору: Дмитрий

Хочешь получать уведомления о выходе новых статей?
Loading
Если Вы хотите изучить MikroTik, то это можно реализовать с помощью специального онлайн-курса "Настройка оборудования MikroTik". В курсе изучаются все темы из официальной программы MTCNA, а автором курса является официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто даже не держал его в руках. В состав курса входят 162 видеоурока, 45 лабораторных работ и вопросы для самопроверки с конспектом. Кстати я получал сертификат MTCNA именно тут!
GregoryGost

Мир интересен, если вы достаточно любопытны!!!

Оцените автора
GREGORY GOST
Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

  1. Артем

    Огромное вам спасибо за статью, спустя почти день серфинга интернета и потраченных нервов все наконец заработало!

    Ответить
  2. Сергей

    Здравствуйте,подскажите когда-то настраивал Микротик с master и slave портами.Теперь стоит новая прошивка 6.49.6-их нет.Стоит ли перенастраиать заново интерфейс Микротика,если всё работает нормально? Забыл уже где что менял,а главное боюсь потерять правила брандмауэра,хотя есть бэкап.rcs.В нём посмотрел Блокнотом-всё корректно,нигде нет упоминаний master/slave,всё обьединено в bridge и т.д.Может всё само настроилось?
    Хотя в Winbox в Interfase есть буковки S(slave).Боюсь при перенастрйке потерять интернет(жена убьёт!)

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Эти изменения уже освещены в статье Создание домашней сети на базе устройств MikroTik: Часть 3 — Настройка RB750Gr3 hEX

      Выдержка из статьи:

      Из-за изменений в прошивке 6.41 в работе Сетевых мостов старый метод не работает. У сетевых портов исключили параметр Master Port.
      Теперь в сетевой мост необходимо добавлять интерфейсы по отдельности.

  3. Рамиль

    Интересно, А почему нельзя использовать SNAT вместо masquarade ?

    Ответить
  4. Юрий

    Добрый день, настррил всё как в Вашей статье, также начал срабатывать radar detected. Пришлось перейти на частоту 5180, но на этом канале у меня в доме уже 3 роутера и достаточно близко, поэтому и ставил 5260. На какую еще можно переключиться частоту, чтобы все стабильно работало?

    Ответить
    1. GregoryGost автор

      Доброго!
      Вообще с 5ГГц все очень печально в нашей стране. Небольшой экскурс.
      В РФ у нас, насколько я помню, доступен только набор частот UNII-1, а вот все остальное (UNII-2, UNII-2 Extended, UNII-3, ISM) у нас не лицензировано. Вернее используется гражданскими спецслужбами и военными.
      Соответственно радары мы можем детектить (и как видим это реально) в UNII-2 и UNII-2 Extended. Т.е. самый жирный кусок частот мы нормально эксплуатировать не сможем. Ну может быть методом перебора удастся найти какую-то частоту на которой не будет ловить радары, но это не точно.
      Получается, что нам доступны только UNII-1 и UNII-3 (неофициально и не каждое устройство в РФ будет работать на UNII-3)
      Что по итогу? А по итогу для поддержки всех возможных устройств на частоте 5ГГц в РФ нам доступен только UNII-1…

      UNII-1 это частоты 5170-5250

      Причем нужно не забывать про ширину полосы пропускания, а это четыре возможных варианта: 20, 40, 80 и 160 MHz (не доступен в mikrotik, да еще занимает вместе UNII-1 и UNII-2)
      Вот картинка с иллюстрацией всего этого добра: https://hsto.org/getpro/habr/comment_images/6c9/c6d/eaa/6c9c6deaae15f21d6b73b7646e0a46e0.png

      В общем к чему я веду. А к тому, что если мы хотим выжать максимальную скорость, то необходимо использовать 80 MHz ширину (а это весь UNII-1).
      Но на этой же частоте будут сидеть все остальные ваши соседи и т.д. Т.е. тут ситуация еще хуже, чем с 2.4ГГц…

      Остаются только такие варианты:
      1. Сидеть на 5180 с шириной канала в 20, 40 или 80 MHz
      2. Искать частоты в UNII-2 и UNII-2 Extended в которых не будут попадаться радары.
      3. Искать возможность работы всего парка устройств или конкретных двух устройств (если делаете мост) с 5ГГц на UNII-3

      Кстати по 5ГГц и микротикам есть видео. Тут с привязкой по времени рассказывают про DFS и радары: https://youtu.be/dvy05fzCHvs?t=540

    2. GregoryGost автор

      У меня очень большие надежды на MikroTik с их RouterOS 7 и Wi-Fi 6, он же 802.11ax (не путать с частотой 6ГГц!)
      Тут девайсы будут работать, как в мобильных сетях практически т.к. появляется OFDMA модуляция. Можете почитать, что это такое.
      В теории эффективность сети и скорость на пользователя может возрасти в 4 раза! Даже если не в 4, то разница будет очень ощутима и это при высокой плотности соседних Wi-Fi точек.
      Остается только ждать…

  5. вася

    yadi.sk/i/noQXiD5yryuR2g
    Статье. Все работает . Но не понятно почему в ip – firewall — Nat не отображаются интерфейсы:
    VPN. LOCAL. INTERNET
    Заранее спасибо!

    Ответить
    1. GregoryGost автор

      Это списки интерфейсов. В последних версиях Winbox и RouterOS они отображаются по умолчанию!
      Про списки интерфейсов можно почитать тут: MikroTik RouterOS – Списки интерфейсов “Interface List”

  6. вася

    Здравствуйте Gregory.
    Вопрос по пункту 6.
    Фото прикрепил. yadi.sk/i/QdBNW6lXowC31w
    Статью MikroTik RouterOS – Списки интерфейсов “Interface List” — прочел, и настроил. И все проеверил.
    Но в настройках
    ip — firewall — nat — srcnat — «internet» не появляется. Я выбрал WAN — как на фото.
    Все работает.
    Прошивка 6,43,11
    В чем может быть дело.
    Прошивку после взлома сразу ставил эту. И на ней настраивал заново по вашей

    Ответить
    1. GregoryGost автор

      Проверьте еще раз все имена интерфейсов, как они добавлены в списки интерфейсов и уже в Firewall оперируйте только именами списков, а не интерфейсов.
      У вас WAN интерфейс добавлен в список Internet, но в Firewall вы почему-то все равно для src правила указали интерфейс (Out. Interface) а не список (Out. Interface List)

  7. Сергей

    Здравствуйте Gregory.Раскажите пожалуйста про функцию страны в настройках wi-fi 5 особенно про russia.russia6ghz.russia2.russia3.и какую именно использовать. Буду очень Благодарен!

    Ответить
    1. GregoryGost автор

      Тут на самом деле одним комментарием дело не обойдется.
      В сети есть информация по этому поводу.
      В кратце:
      Посмотреть на характеристики можно командами:

      /interface wireless info country-info russia
      /interface wireless info country-info russia2
      /interface wireless info country-info russia3
      /interface wireless info country-info russia4
      /interface wireless info country-info "russia 6ghz"

      и т.д.
      russia4 доступна с прошивки 6.46.1
      russia 6ghz доступна с прошивки 6.47

      Помним, что в России разрешенный уровень излучения 20 dBm или 100 мВт

      russia2 — добавлен диапазон 6ГГц — 5815-6425/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/outdoor
      russia3 — убран диапазон 902-927/b,g,g-turbo,gn20,gn40(30dBm), убраны частоты 5ГГц-27 dBm (500 мВт), отсутствует диапазон 6ГГц (5815-6425)
      russia4 — диапазоны 5650-5710 и 5755-5815 перевели в 5650-6425 и увеличили мощность для наружного применения (30 dBm), убран dfs (обнаружение радаров)
      russia 6ghz — доступен исключительно диапазон 5900-6425/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(30dBm)/outdoor более ничего в нем нет.

      По другим регионам можете сами посмотреть. Похожая ситуация есть и для других стран.
      Список стран можно посмотреть так:

      /interface wireless info country-list

      Я сейчас для себя вижу оптимальным для домашнего применения russia3, собственно на него и перешел.
      dfs на 36 канале 5GHz нет, поэтому мешать ничего не будет (кроме соседей). Ну и 80 Mhz без dfs у нас в России всего 1 вариант — это 36 канал (5180).
      2.4GHz соответственно — исключительно или 1(2412) или 6(2437) или 11(2462) каналы.

  8. Андрей

    Спасибо! Наслаждаюсь учебой! Всем доброго здоровья!

    Ответить
    1. GregoryGost автор

      Так держать!

  9. Анатолий

    Здравствуйте, у вас тут наверное самый толковый туториал для начинающих!! Не хватает только настройки гостевого вай-фая (ну чтобы доступа в основную сеть не было и чтобы скорость немного резалась).

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Благодарю за отзыв ) Такая тема уже лежит в копилке тем для статей 😉

  10. Сергей

    *комментарий, достался по случаю HAP AC, в прямом сравнении проиграл HAP AC2, тестировал на торрентах (раздача, канал 100мбит) в течении недели, -8-10% в раздаче с HAP AC, по сравнению с АС2, настройки идентичные.
    AC2 не режит ничего вообще, сравнивал с «чистым» подключением (комп сразу к провайдеру)

    Ответить
    1. GregoryGost автор

      Удивляться этому не стоит. hAP ac2 основан на CPU IPQ-4018 и он 4х ядерный.
      А вот hAP ac основан на QCA9558 и он одноядерный. Это архитектурные отличия, и 8-10 % не самый плохой результат )))

    2. Сергей

      но, стоимость ))), из выявленных явных + AC — wi-fi лучше, mimo-3 всетаки ))

  11. Дмитрий

    На новой прошивке? (6.43.8) еще точно нужно добавить dhcp-server-enable=true, иначе не заведется сеть, т.к. он будет не активный

    Ответить
  12. A7ex

    Приветствую!

    Пришло время и мне обновлять домашний роутер, прошлый прослужил 8 лет). Требования к новому роутеру были минимальные: гигабитеые порты, хороший WiFi, удаленный доступ к терминалу (проверить что-то из дома), VPN и безглючность. После прочтения данного блога к списку прибавилось требование по мониторингу. В итоге приобрёл hEX S и hAP ac). Идеально было бы уместить все в одной железке, но не нашёл такую. Подскажите, правильно ли понимаю, что оптимально сделать так:
    -настроить hEX как основной маршрутизатор, на нем будут сервисы DHCP, DNS, VPN и к нему же будет подключен провайдер. Объединить 4 порта в «мост»
    -hAP будет выступать в роли точки доступа, 4 порта объединить в «мост», а в пятый подключить что-то менее требовательное к пропускной способности (принтер, например)
    -соединить два устройства патч-кордом (два «моста»), в свободные порты подключить ПК, NAS, ТВ

    Благодарю за ответы.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Вы приближаетесь к моей сетевой архитектуре )
      Я также купил hEX S и теперь нужно сделать несколько изменений в квартире, чтобы все это поставить, как надо 😉

      Оптимально:
      — купить блок питания для hEX S на 48V (max потребление hEX S по оф.сайту = 24W [на практике у hEX и hEX S собственное потребление 5W, у hEX S при использовании SFP будет 11W])
      — запитать hAP ac по PoE, в этом случае не нужна розетка для блока питания. (max потребление hAP ac = 17W по оф.сайту)
      У hEX S на порту PoE Out (ether5) максимальный ток 500mA независимо от питающего напряжения. Это означает, что можно подключить по PoE к нему что-то потребляющее не больше 12W(24V*0.5A)
      Если делать с запасом, то нужен БП на 48V — 24W(48V*0.5A)
      — hEX S выделить 1 порт для провайдера, все остальные в мост, можно занять все кроме последнего PoE Out
      — hAP ac подключить в PoE In кабель из порта PoE Out роутера hEX S. Все порты, что есть объединить в мост (да, да, именно все). Можно занять все оставшиеся порты.
      отделять пятый порт особого смысла нет, если вы хотите работать в одной локальной подсети со всеми устройствами (принтер в том числе)

      По поводу PoE есть подозрения, если подключите раньше меня, протестируйте скорость между роутерами через встроенную утилиту Btest
      Ну и PoE Параметры hEX S командой в терминал: /interface ethernet poe monitor [find]

    2. A7ex

      Григорий, спасибо за ответ.

      С PoE я пока не связывался, розетки есть в наличии в нужном количестве.

      Объединил на AC все порты в «мост», соединил с «мостом» в hEX, заработало — беспроводные клиенты получают адрес, проводные видят беспроводных). Спасибо, буду настраивать дальше.

    3. Серж

      А зачем так все усложнять?
      Я вот приобрел Hap ac2 (https://mstream.com.ua/images/P/hap-ac2.png) как на фото и настроил как основной роутер в доме. Он и разруливает мне 2 телека 4К, 1 комп и 5 девайсов по вай фай. Тьфу тьфу пока нареканий нет вообще

  13. Сергей

    Доброго времени! прочитал данную статью на несколько раз,все супер, расписано очень понятно, но в одном месте IP/Firewall\Nat не могу понять от куда у вас взялся в пункт Out.Interface list значение Internet, может быть вы его где то отдельно создавали ?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за вопрос. Добавил в статью заметку. Действительно этот момент там был упущен.
      Ну и конечно ответ на Ваш вопрос:
      Out Interface List создаются через отдельное меню интерфейсов.
      По данной тематике рекомендую прочитать отдельную статью: MikroTik RouterOS – Списки интерфейсов “Interface List”

  14. Станислав

    Здравствуйте!
    Спасибо за инструкцию,все настроил так же,все заработало кроме5Ghz wifi, почему то не коннектится к нему,сбрасывает сразу после пароля, что может быть не так?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Спасибо за Ваш отзыв!

      1. Устройство не поддерживает выбранный роутером диапазон. Проверьте какие диапазоны доступны Вашему устройству.
      2. Проблемы с модулем Wi-Fi
      3. Что пишут логи роутера ?

      И хотел бы напомнить, что я не являюсь технической поддержкой компании Mikrotik, постарайтесь поискать варианты решения самостоятельно. Используйте различные варианты настроек. Сделайте бекап, чтобы не бояться что-то сломать.
      Также в WinBox есть отличная кнопка слева вверху «SafeMode», если Вы что-то поменяли пока она нажата и Вас отключило от роутера, он вернет все настройки на момент нажатия кнопки.
      Надеюсь Вы найдете решение и расскажете мне об этом!

      Ну и наконец напишите в support@mikrotik.com там понимают даже если Вы напишите по Русски !

  15. Максим

    Да, не так выразился.Спасибо. А не подскажите в какую сторону копать: есть телевизор и планшет ,на компьютере поднят dlna посредством Windows 10(1803) . Сами папки при подключении видны (как с телевизора ,так и с планшета через vlc player) но файлов в них нет(фильмов). Upnp включен ,lan-bridge добавлен ,но ситуация не изменилась .

    p.s. у вас очень крутые статьи! огромнейшее спасибо вам за них!

    Ответить
    1. GregoryGost автор

      Спасибо за отзыв, приятно.

      С Windows 10 DLNA особо дела не имел т.к. не очень люблю виндовые средства. Также не знаю, как Вы настраивали и что именно делали.
      Можете посмотреть статьи в интернете по настройке. Там необходимо папки добавлять в Media Player с включенным DLNA.
      Также можете указать статьи по которым настраивали, может быть что-то подскажу.
      Мне кажется это не проблема сети, это проблема настройки DLNA и Smart на телевизоре.

    2. Максим

      Спасибо! Настраивал в той же связки ток Windows 10(1709) + Keenetic Giga ,всё работало.но перепроверю(заного подрублю старый роутер или перейду на Plex,как я понял — отличная вещь для дома).Мне почему то показалось ,что пробелма как раз в замене роутера.Но могу ошибаться .

    3. GregoryGost автор

      Попробуйте, возможно понадобится поставить отдельный пакет Multicast

  16. Дмитрий

    Добрый день, еще одна рекомендация после Ваших замечательных статей:
    В настройках беспроводных интерфейсах лучше поменять дефолтные значения на:
    hw.retries=15
    disconnect timeout=00:00:15
    On Fail Retry Time=1.00
    Поможет при наличии большого кол-ва сообщений типа «клиент отвалился с data loss»

    Ответить
    1. GregoryGost автор

      Здравствуйте,

      Спасибо Вам за информацию, добавлю в статью !

    2. Роман

      До сих пор ломаю голову…
      Почему Bootp Support: dynamic
      Почему не static ?
      Если можно, то поподробнее.
      Спасибо !!!

    3. GregoryGost автор

      Роман, здравствуйте,

      Вот выдержка из Mikrotik wiki
      Поддержка клиентов BOOTP:
      none - не отвечать на запросы BOOTP
      static - предлагать клиентам BOOTP только статическую аренду
      dynamic - предлагать статические и динамические аренды для клиентов BOOTP

      Т.е. при режиме static выдаются адреса только клиентам жестко прописанным в DHCP Lease, а dynamic позволяет помимо привязки MAC-Static выдавать еще адреса динамическим клиентам не прописанным в DHCP Lease.

      К примеру вы настроили все свои девайсы по статике, и к вам в гости проходит друг, подключается к Wi-Fi.
      Если у Вас стоит static — ему IP адрес не будет выдан пока вы не внесете MAC его девайса в DHCP Lease
      Если у Вас стоит dynamic — он без проблем получит IP адрес и будет работать в вашей сети.

      Еще dynamic позволяет использовать время аренды (lease time) чтобы связки MAC-IP не висели в DHCP Lease постоянно

  17. Максим

    Доброго вам дня! активно изучаю микротик ,купил себе hap ac2 .Всё настроил и возник один вопрос :
    Дома имеется еще keenetic giga2 я его в режиме репитера подрубил к hap ac2 , но хотелось бы ему прописать статичечкий ip .например 192.168.88.2 , диапазон dhcp — 192.168.88.5-20.
    Правильно я понимаю .что нужно дабаить mac и ip в пункт Leases ?
    И как я понимаю,из Ваших статей — более ничего настраивать не надо ,в плане связки mikrotik + репитер?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Немного непонятно, что Вы хотите в итоге, чтобы у кинетика был статичекий IP или чтобы кинетик получал постоянно один и тот же IP от микротика?
      1. Если хотите статический IP на кинетике, то нужно его четко прописать в самом кинетике.
      2. Если хотите, чтобы кинетик получал постоянно один IP, то все верно. Нужно настроить связку IP и MAC в DHCP Leases

  18. Алексей

    В логах все время пишет ether link up/down, на данном порту подключен смарт тв, обрывы только когда тв в режиме ожидания (выключен с пульта). Кабель менял, не помогает. В чем может быть причина?

    Ответить
    1. GregoryGost автор

      Алексей, это не проблема роутера, это принцип работы Вашего Smart TV, он при уходе в режим ожидания отключает всю периферию, чтобы потреблять минимум энергии.
      И при включении он активирует периферию обратно. Роутер просто выводит в лог состояние входа, это его нормальное поведение.

    2. Алексей

      Было бы нормально если бы было так как Вы описываете, а так up\down каждые 2,3,5 мин хаотично как попало, несмотря на то что тв выключен и никто его не трогает..Смена порта тоже не влияет.

    3. GregoryGost автор

      В этом случае нужно провести диагностику, я бы себе задал следующие вопросы и стал бы их проверять:
      1. Связано ли это с конкретным портом роутера и его настройками?
      2. Связано ли это с кабелем, не поврежден ли он и корректно ли обжаты разъемы?
      Просто проверив это уже может стать понятно в чем конкретно проблема, в разъеме телевизора, может быть дело даже в его прошивке, а может дело в роутере и что-то с портом случилось. Лучше не гадать, а проверить конкретные вопросы.

  19. Алексей

    Не хватало сигнала по квартире, в соседней комнате на 5Ghz уровень сигнала уже 30%, купил антенну Omni Antenna RF-OARDSBX55 и пигтейл, собрал и результат такой же как и был до этого. Нужно ли под такую антенну менять настройки? Диапазон антенны 5.4-5.8 но у меня завелась на 5180, принудительная смена частоты на частоту из диапазона погоды не делает. Может ли быть проблема еще в пигтейле, т к мне кажется он на более чем 3Ghz не расчитан?
    Если антенна не поможет, то посоветуйте можно ли сделать бесшовный wifi в квартире, так что бы не дорого?
    Квартира 120 м кв

    Ответить
    1. GregoryGost автор

      Здравствуйте,

      Спасибо, за Ваш комментарий!
      Немного странно, почему Вы установили только одну антенну? 5GHz на hAP ac состоит из трех отражателей рядом с которыми есть UFL разъемы, что в итоге дает 3х3:3 MIMO. Если Вы хотели улучшить качество сигнала, то нужно было ставить все три. Причем замена антенны, которая приклеена к верхней части корпуса должна нормально работать, а вот другие UFL придется еще активировать припаяв рядом с ними нулевики(резисторы)
      Проблемами могут служить и заявленный диапазон частот, 5400 несколько далек от 5180. Рекомендую поискать с диапазоном 5150-5850. В принципе есть на Ali.

      Также в настройках можно вручную установить Antenna Gain «Усиление антенны в dBi, используемое для расчета максимальной мощности передачи в соответствии с национальными правилами»
      Этот параметр имеет смысл использовать только с внешней антенной. На величину указанного в нем значения роутер будет понижать усиление сигнала, рассчитывая, что антенна это дело компенсирует собственным усилением.

      Мне не известно, что для Вас является «не дорого». Бесшовный Wi-Fi сделать можно добавив еще одну точку типа wAP(cAP) ac, но это от 5 000 руб.
      Для них настраивается CAPsMAN, чтобы сеть была одна, либо использовать режим Repeater для wAP(cAP) ac, у меня нет пока понимания с какой скоростью будут передаваться данные в этом режиме.
      Я его пока изучаю.

  20. Максим

    Григорий, добрый день.

    Посоветуйте статью по настройке доп точки к Hap ac.
    Как ни странно, но мощности по квартире не хватает. Возможно это можно исправить какими нибудь настройками.
    Заранее благодарю.

    Ответить
    1. GregoryGost автор

      Здравствуйте Максим,

      Видимо у Вас либо большая квартира, либо картина Wi-Fi в месте, где Вы проживаете не радужная.
      1. Вы можете выбрать ручное задание мощности, но тут нужно помнить, чем больше мощность передатчика Wi-Fi Вы выставите, тем ниже скорость
      2. В интернете легко найти необходимую статью. MikroTik уже реализовал эту функцию через Setup Repeater в Wireless блоке WinBox. Главное не забудьте положить Wi-Fi интерфейс в Bridge и настроить DHCP-Relay, чтобы репитер мог раздавать IP адреса от основной точки доступа.

  21. Александр

    Добрый вечер! Приобрёл MicroTik haP ac RB952 для подключения к интернету по wi-fi. В данном роутере очень много настроек которые мне в данный момент могут быть не нужны, поэтому подскажите, пожалуйста, какие мне настройки нужно сделать, а какие лучше не трогать. Буду благодарен, если ответите или дадите ссылку по настройкам.

    Ответить
    1. GregoryGost автор

      Александр, здравствуйте.
      Вы говорите про множество настроек, которые по Вашим словам «могут быть не нужны».
      Позвольте спросить, как Вы определили нужность какой-либо настройки, если просите подсказать что нужно настроить? Из этого я могу сделать Вывод, что у Вас нет понимания нужности тех или иных параметров.

      Исходя из вашего сообщения я могу сделать Вывод, что Вы хотите роутер подключить к стороннему Wi-Fi, который будет являться для Вас внешней средой.
      Для примера, могу порекомендовать Вам похожую статью для другого устройства, но принцип идентичен: Настройка MikroTik cAP Lite как Wi-Fi клиент в режиме Bridge
      Единственное, если Wi-Fi, к которому Вы планируете подключить свой роутер является провайдерским, то Wlan Интерфейс нужно выводить из сетевого моста и делать его WAN интерфейсом.
      Но хочу Вам порекомендовать начать изучать RouterOS более детально. Т.к. я не могу рекомендовать Вам более детальные настройки самого роутера.
      Вариантов может быть несколько. Wi-Fi к которому Вы подключаетесь провайдера, соседский, другого Вашего роутера… в разных случаях нужны разные настройки.

  22. Иван

    Прошивка последняя 6.42.5 (Current).
    Проверил на ОС Windows 7 — все работает через winbox. Только в настройках интерфейса нет выбора master или slave порт.

    Ответить
    1. Иван

      Про master и slave порт уже все понял.

    2. GregoryGost автор

      Отлично, и все верно.
      Для прошивок старше 6.40.8 изменен принцип создания сетевого моста. Там нет уже пунктов master и slave. Нужно каждый порт заносить в bridge индивидуально.

    3. Иван

      Спасибо!
      Теперь только осталось понять, почему winbox через wine в ubuntu отказывается видеть роутер, после его сброса в дефолтное состояние, без сохранения конфигурации.

    4. Иван

      Необходимо настроить сетевой интерфейс — ip, маска, шлюз. К примеру: 192.168.1.5, 255.255.255.0, 192.168.1.1. После можно подключаться через winbox в linux, как сбросили конфигурацию роутера. В винде все работает без статики.

  23. Иван

    После сброса ip-адрес роутера 0.0.0.0.
    Также пробовал через wine. Все работает до момента обновления загрузчика. После чего winbox не видит роутер и дальнейшие действия невозможны.

    Ответить
    1. GregoryGost автор

      Какая у Вас версия прошивки?

  24. Иван

    Добрый вечер!
    Подскажите, пожалуйста, какой пароль после сброса настроек без сохранения конфигурации? Подключаюсь по mac, через mactelnet (в linux’е). Пробовал разные пароли, в том числе и пустой. Получаю ошибку — Connection failed.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      В RouterOS после сброса настроек имя пользователя admin и без пароля.
      Если у Вас не подключается, значит ничего не сбросилось. Вы WinBox лучше через Wine запустите, он отлично работает. И проверьте свалился ли IP адрес в 0.0.0.0 или нет.

  25. Андрей

    Здравствуйте. У вас отличная инструкция. Хотел бы попросить вас сождать подобную под hAP ac для следкющей сети:

    hAP ac- основной роутер с двумя подключениями.
    1) подключение по PPPoE протоколу ( с денамическим IP, и под статический, {в чем отличия, хотя в теории надо выбрать динамик, и он сам должен подхватить , а не писать в ручную})
    2) второе подключение от роутера asus RT-N66U через кабель во второй порт микротика. ( асус подключен ко второму провайдеру, слабенькому)
    Каждый роутер имеет свою Wi-Fi сеть не связанную. Мне главное что бы когда основной провайдер отваливался- он подхватывал секунд через 5 второго. И на hAP ac всегда было активное подключение

    Ответить
    1. GregoryGost автор

      Здравствуйте Андрей,
      Благодарю за отзыв!

      По вашему пожеланию.
      Понимаю, что хочется видеть статьи именно под «свою» конкретную реализацию, но боюсь помочь именно так, как хотите Вы, у меня не получится.
      По крайней мере писать целую статью под какой-то один тип подключения точно не буду (пока что).

      Но прошу Вас не сердиться на меня =)
      В планах описать статью, как сделать резервирование двух каналов связи на роутерах компании MikroTik. Есть достаточно много нюансов, скрипты там всякие например.
      Пока могу рекомендовать почитать статьи в интернете по запросам: MikroTik балансировка 2 каналов

  26. Кирилл

    Спасибо за ответ.
    Еще интересует как Вы коннектитесь с клиентов — по IPSec или OpenVpn?
    Во втором случае придется ведь сертификаты ставить на клиента и с яблочных гаджетов как коннектиться?

    Ответить
    1. GregoryGost автор

      В описанных статьях применяется связка двух устройств Mikrotik через OpenVPN + EoIP.
      Я не подключаюсь клиентами к своей сети, мне это пока не нужно.
      Но в будущем обязательно опишу подключение клиентских девайсов на Windows, Linux, Android и возможно iOS

      Касательно iOS, то можете рассмотреть клиент OpenVPN Connect, он должен быть в iTunes
      И да, при использовании OpenVPN необходимы сертификаты!

  27. Кирилл

    Добрый день.
    Хочю уточнить — для чего нужно создавать мастер порт? Собственно последовательность — создаем мастер порт, привязываем к нему остальные (слэйв) порты, а мастер порт добавить в бридж. Разве нельзя не создавая мастер порт просто добавить нужное количество портов в бридж?

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Данная процедура позволяет снизить нагрузку на процессор.
      При выборе мастер порта и указании для него остальных, как слейв, обработка пакетов идет на уровне L2 между портами силами Switch чипа, а не процессора.
      Например у hAP ac:
      Main-CPU-2.4GHz — QCA9558
      CPU-5GHz — QCA9880
      Switch-chip — QCA8337 (ether1-ether5)
      Если просто накидать все порты в бридж, то распредлением трафика и обработкой пересылкой пакетов, будет заниматься процессор, что для hAP ac не есть хорошо.

      Хочу сделать важно замечание. Мастер и слейв порты более не существуют начиная с прошивки 6.41
      Начиная с 6.41 MikroTik реализовал поддержку Bridge Hardware Offloading.
      Так, что не пугайтесь, если потом у Вас не окажется пунктов Master-Port. hw-offload применится автоматически.
      Но если будете делать Downgrade, то порты не вернутся в состояние Master и Slave. Нужно делать заранее бекап.

  28. Дмитрий

    Большое спасибо за мануал, но появилось пару вопросов:
    Если включить шнурок от провайдера в компьютер спидтест показывает скорости 450/850 (download/upload) мбит, при включении через роутер hap ac с дефолтной прошивкой скорости падают до 200/200 мбит ориентировочно, а если настраивать роутер по Вашему мануалу, то скорость загрузки падает 100/2 мбита и некоторые сайты не открываются — пишет err_connection_timed_out. Подскажите куда копать? Возможно ли добиться скоростей 450/850 мбит которые предоставляет провайдер? Уже весь мозг сломал…

    Ответить
    1. GregoryGost автор

      Здравствуйте Дмитрий,
      Уточните пожалуйста по какому каналу скорость падает до 100/2 ? По кабелю (роутер, как промежуток) или по Wi-Fi ?
      Вернее даже расскажите свою топологию, как далеко стоит роутер, каким устройством подключаетесь, к какому Wi-Fi каналу (2,4 или 5ГГц) ?
      Выполняли ли настройки отличные от данного мануала? Если да, то какие?

    2. Дмитрий

      Сначала я настроил все как у Вас на тех же роутерах. Впн поднялся все заработало, но скорость была копирования файлов из дома в офис была не более 2мбайт в секунду, грешил на провайдера. Потом откопал его кабель и очень удивился таким большим скоростях, при подключении напрямую к ноутбуку.
      Стал пытаться что-то сделать, подключил по кабелю, роутер как промежуток… Настройки Ваши на Hap Ac. Настройки отличные от данного мануала не делал, роутер стоит около ноутбука. Пробовал выключать правила фаевола — не помогает (. С работы принёс роутер 750.. Настроенный как у Вас 3 статье. Если его подключить по кабелю, то спидтест показывает 200/200…

    3. GregoryGost автор

      При тестировании посмотрите на загрузку процессора.
      Возможно нужно добавить правила FastTrack в Firewall.
      Что касается OpenVPN, то проверьте без шифрования вообще. И проверку делайте с помощью встроенного в роутеры Btest друг до друга.
      Полагаю Вы понимаете, что скорость будет ограничена самым узким каналом. Например дома 500 Мбит, а в офисе 20 Мбит. Получите скорость туннеля с включенным шифрованием 13-15 Мбит
      В принципе можно посмотреть на настройки. Сделайте файл supout.rif в WinBox и приложите ссылку на что-то вроде Гугл диска, яндекс диска и т.п. Этот файл, пароли не хранит в открытом виде ))

  29. Марина

    Gregory, если Вы из Санкт-Петербурга отзовитесь, пожалуйста, в личку: нужна помощь в настройке роутера

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Нет, я не из Санкт-Петербурга. Ориентировочно где-то в 700 км от него =)

  30. Семен

    Хм, грамотно расписано, еслиб не одно но. Если выставить указанные настройки, скорость WiFi падает, ощутимо. Каналы, мощность и ряд других параметров не дает желаемого результата. Выставляешь дефолтные настройки и о чудо, начинает работать. Странный мануал. Ну по крайней мере дает общее представление о настройках.

    Ответить
    1. GregoryGost автор

      Здравствуйте Семен,

      Отчасти Вы правы, данные настройки не идеальны и я планирую обновить статью, основываясь на уже достаточно большом сроке использования всей этой связки в домашних условиях.
      Немного обновил статью, это уже из реального использования на практике.

  31. Александр

    Здравствуйте. Настроил по Вашей инструкции. Вроде бы работает, но… есть маленькая проблемка со скоростью по порту LAN-Master. Поясняю. К этому порту у меня подключен ПК. После загрузки винды скорость по локальной сети 1Гбс. В течение 3-х минут происходит переподключение по этому порту: появляется надпись «Интернет отключен», затем «скорость по локальной сети 1Гбс». И так раза 3-4, затем уже «скорость по локальной сети 100Мбс». И дальше все нормально работает. Но скорость по локалке остается всего лишь 100Мбс. Как-то раз был один день, когда скорость по локалке не падала и держалась стабильно 1Гбс. Последующие дни ситуация повторяется. Сетевой адаптер на материнке ПК имеет пропускную способность 10/100/1000. Я так понимаю 1Гбс по локалке должен быть. Или я не прав? Подскажите пожалуйста где искать причину, в каких настройках?

    Ответить
    1. GregoryGost автор

      Здравствуйте Александр,

      Для начала необходимо установить прошивку из ветки Bugfix
      Если ситуация не решится, то нужно смотреть настройки сетевого моста и еще бы неплохо глянуть, что происходит в Log при таких подключениях и переподключениях, можно в System->Logging добавить debug и посмотреть

  32. Сергей

    Здравствуйте,
    Еще раз прошу прощения за мою не компетентность, мне попал в руки mikrotik hAP ac. но человека который мне его помог бы настроить я пока не нашел, не хотят или бояться связываться с данным оборудованием. Хочу использовать его для построение домашней сети, используя для контроля доступа 2-3 пк плюс wifi, следить за оборудованием «дети» Изучал много форумов мануалов. В данный момент у меня получилось настроить его, интернет есть, часто теряется, причину пока не нашел. Наткнулся на Ваши статьи, кое что попробовал. Понимаю что можно найти специалиста, но хотелось бы понимать что эта за «зверь» такой и как он работает «чайник я».

    Ответить
    1. GregoryGost автор

      Здравствуйте Сергей,
      Ничего страшного, все мы были «зелеными».
      Боюсь в рамках комментариев про возможности данного роутера рассказать не получится. Слишком уж много в нем различного функционала.
      Для человека, который не сталкивался с сетевыми технологиями, будет достаточно сложно самостоятельно настраивать оборудование MikroTik.
      Но, как говорится, знания приходят с опытом. Ищите различные методы настройки, применяйте, экспериментируйте. Благо есть бекапы настроек.
      Очень помогает официальное WiKi: https://wiki.mikrotik.com/wiki/Main_Page
      Оно конечно на английском, но можно использовать переводчик. Большинство вопросов отпадают после подробного изучения.
      На некоторых форумах есть разделы для новичков, где можно задать вопрос и получить иногда даже полноценное решение своей проблемы.
      Главное, это любопытство во всем.

  33. Сергей

    Добрый день, прошу прощения, опыта пока мало. Можно ли настроить MikroTik hAP ac:
    По дынным параметрам VPN-соединения:
    type (тип vpn): Windows VPN (pptp tunnel)
    authentication (проверка подлинности): refuse MS CHAP v2
    compression (сжатие): none (не использовать)
    использование этого параметра необязательно: encryption (шифрование): require 128 bit MPPE encryption / enable stateful MPPE
    Адрес сервера:……….

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      Я бы рекомендовал Вам изучить более подробно, что и для чего Вы хотите настроить. Почитать мануалы.
      Вы описали просто параметры pptp подключения, а что дальше Вам необходимо несколько непонятно.
      Настроить можно очень много, но нужно понимать, что Вы настраиваете и в первую очередь зачем Вы это делаете.

  34. Влад

    Хочу попробовать с прошивкой Hugo (380.65.9_HGG-FINAL) завести асус, не поделитесь ей?

    Ответить
    1. GregoryGost автор

      Боюсь, что не могу распространять подобные прошивки. Я ответственно отношусь к чужому интеллектуальному труду. Hugo прямо просит не распространять прошивки самостоятельно.
      Могу рекомендовать написать ему письмо с просьбой предоставить прошивку: asuswrt.hgg@gmail.com

  35. Влад

    Подключено также как и у вас. Прошивка от Мерлина. Пробовал и официальную прошивку но тоже Микротик не присваивает ip.
    Железо gigabyte z97n + 4770k
    Routeros стояла последняя, откатился до 6.37.4 ничего не изменилось.
    Настройки асуса по дефолту, когда в первый раз подключаю асус к компу, прохожу мастер настроек, указываю что ip автоматом, подключаю к микротику и ip не присваивается.

    Ответить
    1. GregoryGost автор

      Версия прошивки RouterOS роли не играет.
      Попробуйте подключать и отключать кабель от RT-AC66U и смотрите, что пишет RouterOS в логах (Log)
      Сделайте export в RouterOS в терминале, хочу посмотреть на настройки x86 машины.
      RT-AC66U так до сих пор и скадывает настройки на заводские самостоятельно?

  36. Влад

    Приветствую.
    Есть самосбор на routeros x86, подключаю к нему роутер ac66u в качестве точки доступа.
    Но асус ведет себя очень не стабильно, раз за разом скидывает свои настройки по умолчанию, как вы настраивали его?
    Так же не смог добиться, чтобы асус получал ip автоматом от микротика, тупо лочится на дефолте 192.168.1.1 (хотя пробовал другой роутер в качестве точки доступа n56u, там ip автоматом присвоил микротик), пришлось прописывать статику на асусе.

    Ответить
    1. GregoryGost автор

      Здравствуйте,
      В моем случае, RT-AC66U подключен кабелем к роутеру hEX (RB750Gr3). В RT-AC66U установлена прошивка от Hugo (380.65.9_HGG-FINAL)
      RT-AC66U находится в режиме — Режим точки доступа (AP) и получает от Микротика IP автоматически.
      Далее все устройства подключающиеся по «Вафле» получают IP от Микротика.

      Касательно Вашей ситуации, опишите подробнее, на каком железе стоит RouterOS, как подключаете RT-AC66U (кабель или Wi-Fi?)
      Без детального описания настроек RT-AC66U и RouterOS сложно сказать, что именно не так.

  37. Евгений

    Спасибо за совет.

    Ответить
  38. Евгений

    Спасибо за ваши материалы.
    ASUS RT-AC66U перестал раздавать интернет и пропала 5G.
    Поменял каналы и все заработало. Ищу роутер для маковской техники, компьютер, бук, телефоны, планшеты и скоро будет Apple TV 4K, а также нужно, чтобы он поддерживал Time Machine. Подскажите какой роутер выбрать? Можно с апгрейдом для улучшения качества сигнала.
    Рассчитываю на Вашу помощь.
    Спасибо.

    Ответить
    1. GregoryGost автор

      Здравствуйте, Евгений,
      Если Вам необходима надежная система с хорошей пропускной способностью, рекомендую рассмотреть именно MikroTik hAP ac
      6 антенн (по 3 на диапазон) пусть и встроенные, хорошо себя показывают.
      hAP ac

      Можно конечно рассмотреть и варианты вроде ASUS RT-AC87U, RT-AC88U или даже RT-AC5300 (цены от 22к), но… у Асуса прошивки не всегда получаются хорошими.

      Опять же все зависит от системы, которую Вы хотите построить. Если это все в рамках квартиры, можно использовать один роутер. Если это большой дом, то можно увеличить зону покрытия благодаря дополнительным точкам (наример wAP ac)
      Также MikroTik RouterOS позволяет легко управлять собой, да и в целом, много возможностей.
      Асусы же, больше мультимедийные обособленные системы (хотя куда им, до собранных в ручную на линуксе).

      Решайте сами, что Вам больше по душе, ну и конечно нужно исходить из собственных знаний и любопытства (чтобы изучить то, что Вы еще не знаете).
      В свою очередь, всегда готов ответить на дальнейшие вопросы =)

    2. Марина

      Евгений, на каком роутере Вы всё-таки остановились? У меня аналогичные задачи, но с такими настройками мне не справиться, где искать помощи?

  39. Дмитрий

    Прошу прощение за беспокойство, сам разобрался. Спасибо

    Ответить
  40. Дмитрий

    Простите мне мое невежество)) Можете, все-таки, подсказать как настроить SFP модуль с переходником на RJ-45? Заранее спасибо.

    Ответить