Настройка защищенных беспроводных сетей MikroTik hAP AC
Рассказываю про настройку защищенных беспроводных сетей MikroTik hAP AC в двух диапазонах: 2.4 ГГц и 5 ГГц.
Преамбула
Я ожидаю, что читатель знаком с устройствами RouterBOARD, операционной системой RouterOS, владеет инструментами их настройки (SSH или Winbox) или, по крайней мере, изучил предыдущие главы.
Убедитесь, что в разделе Interfaces у вас присутствуют неиспользуемые интерфейсы wlan1
и wlan2
.
Что такое профиль безопасности
Профили безопасности определяют процедуры аутентификации устройств и шифрования передаваемых данных.
Наиболее часто встречаются три режима аутентификации:
- открытый подразумевает свободное подключение клиентов;
- на основе общего ключа — так называемый Pre-Shared Key
PSK
, — тот самый пароль, запрашиваемый при подключении к сети; - Extensible Authentication Protocol
EAP
использует проверку подлинности клиентских устройств с помощью внешних сервисов.
Алгоритмов шифрования больше:
- открытый (отсутствие шифрования, данные передаются в исходном виде);
- скомпрометированный
WEP
(а также его усовершенствованные версииCKIP
иTKIP
); AES/CCMP
на основеAES256
.
Аббревиатуры WPA
и WPA2
как раз определяют алгоритм шифрования: TKIP
для первого и AES
— для последнего.
В примере будут использоваться PSK
, WPA2
и динамические ключи.
Настройка профиля безопасности
Wireless — Security Profiles содержит дефолтный профиль, задайте в его настройках наиболее строгие параметры.
Пароль для доступа к будущей беспроводной сети задается атрибутом WPA2 Pre-Shared Key. Используйте значение повышенной сложности; к сетям с этим профилем подключайте только доверенные устройства.
general:
mode: "dynamic keys"
authentication_type: "WPA2 PSK"
unicast_ciphers: "aes ccm"
group_ciphers: "aes ccm"
wpa2_pre_shared_key: "password"
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=password
Настройка беспроводных интерфейсов
MikroTik hAP AC оснащен двумя трансиверами: wlan1
отвечает за диапазон 2.4 ГГц, wlan2
— за 5 ГГц. Процесс их конфигурирования практически не отличается, поэтому подробно будет рассмотрена настройка только одного из них.
В разделе Wireless — WiFi Interfaces откройте окно настройки интерфейса wlan1
. Переключитесь в расширенный режим, нажав кнопку Advanced Mode.
Вкладка «Wireless»
Mode
MikroTik поддерживает уйму режимов: от alignment-only
для юстировки антенн до wds slave
для построения распределенных беспроводных сетей. Для дома или офиса подойдет ap bridge
.
Band
Стандарт беспроводной сети определяет скорость передачи данных. По возможности используйте самый современный — 2GHz-only-N
, избегайте устаревших с индексами B
или G
(при наличии соответствующих устройств будет выбран самый низкий для всех подключений).
Channel Width
Ширина канала влияет на скорость передачи данных, радиус покрытия и интерференцию. При использовании стандарта 2GHz-only-N
стоит выбрать значение 20/40 MHz XX
, в остальных случаях — оставить 20 MHz
.
Индекс определяет направление увеличения емкости канала (
C
— основной,e
— дополнительный).Ce
(расширение следующим каналом),eC
(расширение предыдущим каналом) иXX
(автоматический выбор направления).
Frequency
Несущая частота — один из немногих параметров, настройка которого может принести пользу. Кнопка Freq. Usage запускает утилиту мониторинга частотного диапазона, изучив картину которого вы сможете выбрать наиболее свободный канал. При отсутствии проблем дайте устройству сделать это самостоятельно — значение auto
.
SSID и Radio Name
В имени беспроводной сети имеет смысл отразить используемый частотный диапазон; например: Mikrotik 2,4GHz
.
Параметр Radio Name можно игнорировать: он используется только взаимодействующими между собой устройствами MikroTik.
Wireless Protocol
Устройства MikroTik поддерживают как общепринятые протоколы беспроводной связи, так и собственные. Проприетарные недоступны для устройств других марок, поэтому используйте 802.11
.
Security Profile
Выберите из списка уже настроенный профиль безопасности — default
.
WPS Mode
Используйте disabled
.
Frequency Mode
Дополнительные настройки manual-txpower
и superchannel
частотного режима позволят управлять мощностью излучателя. regulatory-domain
использует законодательные ограничения выбранной страны (для России это 20 dBm).
Country
Власти ряда стран (например, Франции) законодательно ограничивают возможность использовать полный частотный спектр. (В Японии — наоборот, разрешают лишний канал.) Старайтесь использовать актуальное значение — укажите страну, в которой эксплуатируется оборудование.
WMM Support
Если устройство используется дома, укажите enabled
для поддержки Wi-Fi Multimedia; для офиса, кафе или конференц-зала — disabled
.
Bridge Mode
Используйте enabled
.
Default Authenticate
Аутентифицировать клиентов, которых нет в белых списках; активируйте опцию.
Default Forward
Разрешить маршрутизацию для клиентов, отсутствующих в белых списках; активируйте опцию.
Multicast Helper
Для дома, где используется IPTV, укажите full
. В иных случаях — default
(что равноценно disabled
).
Multicast Buffering и Keepalive Frames
Главным образом служат для корректной доставки пакетов на мобильные устройства, переходящие в энергосберегающий режим со сниженным использованием доступа к беспроводным сетям. Активируйте оба пункта.
Advanced
Distance
Используйте indoors
для всего «гражданского» оборудования.
Hw. Protection Mode (защита от скрытого узла)
Узнайте больше о «проблеме скрытого узла». Иначе используйте значение rts cts
.
При использовании режима
rts cts
в диапазоне 5 ГГц мой Айфон примерно каждые двадцать минут (или в процессе интенсивной сетевой активности) терял соединение. Измените значение опции, если столкнулись с аналогичной проблемой.
Adaptive Noise Immunity
Позволяет снижать интерференцию и влияние радиошумов на работу сети. Используйте ap and client mode
— хуже не будет.
HT
Guard Interval
Используйте long
для N
-стандарта; иначе — any
.
Nstreeme
Деактивируйте все опции.
Tx Power
Tx Power Mode
Если хотите снизить мощность передатчика, используйте all rates fixed
и явно задайте значение Tx Power. Начинайте, например, с 2 dBm и плавно повышайте значение до обеспечивающего стабильное соединение в радиусе действия. Иначе оставьте default
.
Настройка моста для обслуживания беспроводных интерфейсов
В разделе Bridge — Ports добавьте два элемента: по одному на каждый беспроводной интерфейс. Мост для обоих — bridge-private
.