Настройка MikroTik hAP ax³

Настройка MikroTik hAP AX3 (аналогично и hAP AX2) с функцией контроллера Wi-Fi, а так же работа трех провайдеров с автоматическим переключением и LAG на коммутатор с Vlan’ами.

Точки доступа WiFi управляемые общим контроллером, маркетинг называет MESH системой, но MESH никак не относится к управлению WiFi, а является технологией построения сетей.

Данная статья по настройке применима к любому MikroTik на RouterOS 7, за исключением особенностей WiFi AX на Wave2.

Реальная пропускная способность намного больше b/g/n/ac. Тесты на домашнем тарифе 600Мбит.

Тест на 5ГГц

Тест на 2.4Ггц

Table of Contents

• Фотографии устройства
• Данные для авторизации
• Как зайти на устройство
• Обновление прошивки
• Обновление загрузчика
• Сброс настроек
• Подключения по mac адресу
• Подготовка портов для LANСобираем LACP Сборка bridgeLAN
• Выделение Vlan’ыVlan1-LAN
• Vlan3-MGMT Vlan_X-ISP_XVlan11-ISP1 Vlan12-ISP2 Vlan13-ISP3 Vlan20-PC Vlan21-VoIP Vlan22-CAM Vlan23-WiFi-EAP Vlan24-WiFi-WORK Vlan25-SRV Vlan300-WiFi-GUEST
• IP адресация
• Подготовка запланированных Vlan’овСоздаем Vlan’ы Активируем Vlan’ы Вешаем Vlan’ы на порты1 порт — оператор 1 2 порт — оператор 2 3 порт — локальная сеть 4-5 порт — транк Вешаем IP адреса на Vlan’ы Собираем Vlan’ы в группы
• Настройка DHCPDHCP телефонии
• Настройка DNS
• Настройка Firewall
• Настройка NAT
• Подготовка портов для WANНастраиваем оператора 1 Настраиваем оператора 2 Настраиваем оператора 3
• Настройка Wi-FiCAPsMAN для старых точек CAPsMAN WiFi AX
• Настройка переключения между операторами
• Настройка безопасностиУсилить SSH и запретить Jump Отключить тест скорости Ограничить обнаружение соседей в сети Отключить mac-server
• QoS
• Заключение

Фотографии устройства

Данные для авторизации

Современные модели идут с язычком, где указан уникальный пароль от RouterOS и пароль WiFi

Как зайти на устройство

Стандартно через браузер http://192.168.88.1 или WinBox 192.168.88.1

Откройте статью ниже, чтобы узнать об этом подробнее. Все настройки будут выполняться через WinBox!

Как зайти в настройки MikroTik

Обновление прошивки

hAP AX3 имеет архитектуру процессора arm64, для него скачаем свежую прошивку на сайте https://mikrotik.com/download

Нам нужна Stable ветка, версия ARM64 — Main и Extra package

На hAP AX3 откат на RouterOS 7 невозможен!

Откат RouterOS 7 на 6 версию

Разархивируем файлы Extra packages. Перетягиваем в WinBox routeros-7.10.2-arm64.npk и wifiwave2-7.10.2-arm64.npk из архива, затем перезагружаем MikroTik

Как обновить MikroTik

Либо подключаете 1 порт hAP AX3 в домашнюю сеть и обновляете через System > Packages

Обновление загрузчика

System > RouterBOARD > Upgrade

Можно не перезагружаться, а сразу сбрасывать настройки

Сброс настроек

Подключения по mac адресу

Маршрутизатор стал без IP адреса, выбираем MAC и подключаемся по нему

И сразу меняем пароль

Подготовка портов для LAN

Так как у нас будет 3 оператора, все подключены через тегирование в Vlan. 1 порт выделяем под оператора, 2-3 под локальную сеть, и 4-5 под LACP для подключения к коммутатору. Остальные 2 и 3 операторы будут по Vlan на коммутаторе. При данной схеме подключения все операторы могут быть подключены в любой порт локальной сети с соответствующей настройкой Vlan на данном порту.

Собираем LACP

LACP 802.3ad MikroTik

Interfaces > Bonding

Сборка bridgeLAN

Bridge > Bridge

И сразу активируем VLAN Filtering

Bridge VLAN Filtering

В bridgeLAN соберем ether2, ether3 и bonding_4-5

Выделение Vlan’ы

Так как сеть с закосом под корпоративный уровень, будет несколько Vlan’ов.

Планирование Vlan

Vlan1-LAN

Он же Native Vlan, или просто локальная сеть без Vlan. Будет использована для подключения всех подряд, пока не настроен конкретный Vlan под устройство.

Vlan3-MGMT

Vlan управления сетевыми устройствами (коммутаторы, маршрутизаторы, точки доступа, ИБП и серверами)

Vlan_X-ISP_X

Использование Vlan для операторов позволяет быстро переносить подключение в другой порт, или даже в другой коммутатор, куда прокинут нудный Vlan. В продуктовой среде операторы подключаются через LAG (LACP) на стекируемый коммутатор, тем самым получая отказоустойчивость линков.

Vlan11-ISP1

Заготовка, на случай перевода 1 оператора на Vlan, если понадобится сменить порт. Настроить можно по аналогии с Vlan12-ISP2. Провайдер дает белый статичный IP адрес по DHCP

Vlan12-ISP2

Запасной провайдер 2. Провайдер дает белый статичный IP адрес, настройки указываются вручную

Vlan13-ISP3

Запасной LTE оператор, работает по DHCP от любого MikroTik LTE или как самое дешевое решение — KuWifi

LHG LTE6 kit MikroTik

KuWifi 3G/4G WiFi роутер

Vlan20-PC

Vlan для выделения компьютеров отельную сеть

Vlan21-VoIP

Vlan для IP телефонов

Vlan22-CAM

Vlan для видеонаблюдения

Vlan23-WiFi-EAP

Vlan для рабочего WiFi с доменной авторизацией

Wi-Fi WAP2 EAP Active Directory AD MikroTik

Vlan24-WiFi-WORK

Vlan для рабочего WiFi с PSK авторизацией

Vlan25-SRV

Серверная сеть

Vlan300-WiFi-GUEST

Vlan для гостевой сети

IP адресация

На все сети выделяем с запасом /19 маску, то есть 32 сети с /24 маской. Это позволит вырасти в не дробя адресацию. 10.88.0.0/19, где Vlan1 будет 10.88.1.0/24, Vlan3 — 10.88.2.0/24 и так по увеличению, а сервера Vlan25-SRV будут иметь более красивые адреса — 10.88.0.0/24. Только гостевая сеть будет не маршрутизируемой между другими сетями и имеет адресацию 172.17.0.0/24

Подготовка запланированных Vlan’ов

Создаем Vlan’ы

Interfaces > VLAN Создаются планируемые интерфейсы

Активируем Vlan’ы

Так как у нас включен Bridge VLAN Filtering, нужно активировать созданные Vlan’ы и приземлить операторские Vlan’ы на порты и сделать танковым bonding порты 4+5

Bridge > VLANs Под копирку все Vlan’ы приземляет тэгом на bridgeLAN чтобы трафик Vlan заходил на процессор и на bonding_4-5, чтобы заходил на коммутатор

Вешаем Vlan’ы на порты

1 порт — оператор 1

2 порт — оператор 2

Вешаем Vlan12 и admit only untagged and priority tagged

3 порт — локальная сеть

Native Vlan1, admit all разрешает все Vlan’ы

4-5 порт — транк

Native Vlan1, admit all разрешает все Vlan’ы

Вешаем IP адреса на Vlan’ы

IP > Addresses 2 оператор у нас статика, повесим сразу адрес

Собираем Vlan’ы в группы

Interface List MikroTik

Создаем листы WAN-ALL, WAN1, WAN4, WAN3, LAN, GUEST

Interfaces > Interface List > List

Где WAN-ALL содержит листы WAN1…3

И добавляем интерфейсы в созданные листы

Можно выделить лист MGMT, сделать DZM зону, но это тема остальной статьи.

Настройка DHCP

Быстрой нас тройкой в IP > DHCP Server > DHCP Setup

Делаем DHCP для всех Vlan локальной сети, даже для Vlan3 управления

IP > Pool Указываем названия пулов к интерфейсам

DHCP телефонии

Vlan для телефонии

Сразу создадим DHCP опцию для всех DHCP, что IP телефон должен попадать в Vlan21-VoIP

IP > DHCP Server > Options

И применим к DHCP Vlan20-PC

Настройка DNS

DNS MikroTik

Либо

DNS over HTTPS

Настройка Firewall

Сразу настроим базовые межсетевой экран на основе интерфейс-листов

Базовый Firewall MikroTik

Но с некоторыми изменениями. Разбор firewall тема даже не статьи, а курса MTCTCE

/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="GUEST only WAN-ALL" in-interface-list=GUEST out-interface-list=!WAN-ALL
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN-ALL

Настройка NAT

И настроим NAT для всех операторов сразу. Massuerade исправим при настройке операторов.

/ip firewall nat
add action=masquerade chain=srcnat comment=WAN1 ipsec-policy=out,none out-interface-list=WAN1
add action=masquerade chain=srcnat comment=WAN2 ipsec-policy=out,none out-interface-list=WAN2
add action=masquerade chain=srcnat comment=WAN3 ipsec-policy=out,none out-interface-list=WAN3

Подготовка портов для WAN

Настраиваем оператора 1

По классической домашней IPoE схеме настраиваем в качестве DHCP клиента

IP > DHCP Client Отключаем получение маршрута по умолчанию (Add Default Route), если у вас будет несколько операторов Если один оператор — ставьте получение этих опций по умолчанию

Если оператор выдает статику, то исправляем NAT

Меняем настройку NAT оператора на src-nat

Настраиваем оператора 2

Оператор предоставляет белую статику

IP > Addresses Указываем выданные оператором IP и маску

Для пересчета маски и ip адресов используйте IP калькулятор, например ip-calculator.ru

Аналогично правим NAT для WAN2

Настраиваем оператора 3

KuWifi или MikroTik LTE kit отдает DHCP, его и принимаем

Для 3 резерва по минимальной стоимости можно использовать 3G/4G WiFi роутер KuWifi, для 2 резерва лучше взять LHG LTE6 kit

Для WAN3 IP адрес динамический, оставляем маскарад

Настройка Wi-Fi

CAPsMAN для старых точек

Для работы WiFi AX нужен пакет Wave2

System > Packages

На монет написания этой статьи, Wave2 поддерживает только WiFi AX, если у вас имеются точки доступа не AX, то для них CAPsMAN делается на отдельной железке, например на одной из точек.

CAPsMAN контроллер 2.4/5GHz Multi SSID на Vlan

CAPsMAN контроллер 2.4/5GHz Multi SSID без Vlan

CAPsMAN WiFi AX

Более подробная статья: Настройка MikroTik AX WifiWave2 на CAPsMAN 802.11r/k/v

Так как у нас новый маршрутизатор с поддержкой AX, который работает только с пакетом Wave2, настроим его.

/interface wifiwave2 channel
add band=5ghz-ax disabled=no name=5-AX width=20/40/80mhz
add band=2ghz-ax disabled=no name=2-AX width=20/40mhz
/interface wifiwave2 security
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no group-encryption=ccmp group-key-update=30m name=wpa2-wpa3-ccmp passphrase=настройка-микротик.рф
/interface wifiwave2
set [ find default-name=wifi1 ] configuration=1Side-AX_5-local configuration.mode=ap disabled=no
set [ find default-name=wifi2 ] configuration=1Side-AX_2-local configuration.mode=ap disabled=no
/interface wifiwave2 cap
set discovery-interfaces=bridgeLAN enabled=yes
/interface wifiwave2 capsman
set ca-certificate=auto enabled=yes interfaces=bridgeLAN package-path="" require-peer-certificate=no upgrade-policy=none
/interface wifiwave2 configuration
add channel=2-AX datapath=datapathLAN disabled=no manager=capsman-or-local mode=ap name=1Side-AX_2 security=wpa2-wpa3-ccmp ssid=1Side-AX_2
add channel=5-AX datapath=datapathLAN disabled=no manager=capsman-or-local mode=ap name=1Side-AX_5 security=wpa2-wpa3-ccmp ssid=1Side-AX_5
add channel=2-AX datapath=datapathLAN disabled=yes manager=capsman mode=ap name=cfg1 security=wpa2-wpa3-ccmp ssid=1Side-AX_2
add channel=5-AX datapath=datapathLAN disabled=yes manager=capsman mode=ap name=cfg2 security=wpa2-wpa3-ccmp ssid=1Side-AX_5
add channel=2-AX datapath=datapathLAN disabled=no manager=local mode=ap name=1Side-AX_2-local security=wpa2-wpa3-ccmp ssid=1Side-AX_2
add channel=5-AX datapath=datapathLAN disabled=no manager=local mode=ap name=1Side-AX_5-local security=wpa2-wpa3-ccmp ssid=1Side-AX_5
/interface wifiwave2 datapath
add bridge=bridgeLAN disabled=no name=datapathLAN
add bridge=bridgeLAN disabled=no name=datapath_Vlan24-WiFi-WORK vlan-id=24
/interface wifiwave2 provisioning
add action=create-dynamic-enabled disabled=no master-configuration=1Side-AX_5 radio-mac=00:00:00:00:00:00 supported-bands=5ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=1Side-AX_2 radio-mac=00:00:00:00:00:00 supported-bands=2ghz-ax

Настройка переключения между операторами

1 оператор является основным, 2 резервным, а 3 самым крайним. При этом на запросы из вне должны отвечать все операторы со своих интерфейсов. Вся настройка вынесена в отдельную свежую статью, написанную под hAP AX3

2WAN RouterOS 7 MikroTik

Настройка безопасности

Первоначальная защита RouterOS

В данном примере сделаем только часть настроек

Усилить SSH и запретить Jump

IP > SSH

/ip ssh set strong-crypto=yes
/ip ssh set forwarding-enabled=no

Отключить тест скорости

Tools > BTest Server

/tool bandwidth-server set enabled=no

Ограничить обнаружение соседей в сети

IP > Neighbors

/ip neighbor discovery-settings set discover-interface-list=LAN

Отключить mac-server

Tools > MAC Server

/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

QoS

Настроим базовый QoS, который «справедливо» поделит скорость поровну.

QoS для дома

Устанавливаем Max Limit для каждого оператора относительно всей сети 0.0.0.0/0

И выставим pcq, который справедливо разделит скорость

Заключение

Правильная настройка MikroTik, как и других вендоров типа cisco и Huawei требует глубокого понимания работы сетей. Данная статья не имеет цели научить настраивать MikroTik, а показывает сколько действий нужно сделать, чтобы получить правильно настроенный маршрутизатор.

СЕТЕВЫЕ УСЛУГИ

• Настройка
• Мониторинг
• Консультация
• Подбор оборудования
• Telegram: @Engineer_MikroTik
• Все услуги без предоплаты
• Работаю с юридическими и физическими лицами