Настройка Mikrotik в качестве точки доступа

Допустим, есть у нас роутер Mikrotik. Например такой:

И нужен нам от него не столько роутер, сколько WiFi, который он дарит людям своими двумя MIMO-антеннами по 2дБ каждая. Зря смеетесь – покрывает весьма и весьма неплохо, для встроенной-то антенны.
В общем, интересующимся просьба пот кат.

Перво-наперво, настраиваем, собственно, wifi. Т.к. за пример мы берем RB751U-2HnD, у которого внутри неонка одна wifi-карточка, то и интерфейс у нас один.

[admin@MikroTik] > /interface wireless set 0 name="wlan1" mode=ap-bridge ssid="private" frequency=2412 band=2ghz-b/g/n channel-width=20/40mhz-ht-above bridge-mode=enabled hide-ssid=no security-profile=default 

Итак, по порядку:

mode=ap-bridge — работа в качестве точки доступа. Так же может быть bridge и wifi-клиентом.
frequency=2412 — ровно то же, что и “каналы” в SOHO-роутерах. Предварительно сканируем и выбираем самый незанятый
band=2ghz-b/g/n — режим работы. Можно, например, цеплять только g-клиентов
channel-width=20/40mhz-ht-above — ширина канала. Для дома можно оставить только 20mhz
bridge-mode=enabled — бриджевать пакеты, что нам и требуется
hide-ssid=no — не скрывать SSID, чтобы к ней было проще подключиться.
ssid=”private” — собственно, SSID
security-profile=default — способ авторизации (см. ниже)

Авторизация может быть любая – открытая, WEP, WPA,WPA2 и т.д.

[admin@MikroTik] > /interface wireless security-profile set 0 name="default" mode=dynamic-keys authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa-pre-shared-key="PaSsWoRd" wpa2-pre-shared-key="PaSsWoRd"

mode=dynamic-keys — включаем WPA-режим.
authentication-types=wpa-psk,wpa2-psk,wpa-eap,wpa2-eap — поддерживаемые методы авторизации
unicast-ciphers=aes-ccm — шифрование
wpa-pre-shared-key=”PaSsWoRd” — WPA-ключ
wpa2-pre-shared-key=”PaSsWoRd” — WPA2-ключ

Так же возможна RADIUS-авторизация, но в рамках этой статьи мы ее касаться не будем. Подробнее о настройке wireless-интерфейсов можно почитать вот тут

После этого надо не забыть добавить в bridge порт ether1 (считаем, что роутер девственно чист, и никаких сервисов на нем нет.

[admin@MikroTik] > interface bridge add name=bridge-wifi
[admin@MikroTik] > interface bridge ports add interface=wlan1
[admin@MikroTik] > interface bridge ports add interface=ether1

Так же стоит добавить dhcp-сервер, который будет выдавать адреса подключившимся клиентам.

[admin@MikroTik] > /ip pool add name="default-dhcp" ranges=192.168.88.10-192.168.88.254
[admin@MikroTik] > /ip dhcp-server add name="default" interface=bridge-wifi lease-time=3d address-pool=default-dhcp bootp-support=static authoritative=after-2sec-delay

Хочу отметить, что при такой конфигурации DHCP-пакеты будут уходить не только в wlan-интерфейс, но и в ether1, так что нужно очень хорошо понимать, что и зачем вы делаете. Если у роутера есть свой дефолтный маршрут, возможно будет лучше организовать доступ wifi-клиентов через NAT или роутинг.

На этом, думаю, можно закончить – такая точка доступа подойдет в подавляющем большинстве случаев.

5 Comments

  1. Доброго времени.
    Такой вопрос – уже есть бридж из двух мастер-портов еther1 и ether6, с которыми объединены в свитчи остальные порты микротика (модель RB2011UiAS-2Hnd). Этому бриджу присвоен ip 192.168.0.1 и уже настроен DHCP, раздающий 192.168.0.2 – 192.168.0.20 со шлюзом и DNS 192.168.0.1
    Хочу к проводным клиентам добавить беспроводных, настраиваю интерфейс wlan1.
    Есть желание, чтобы беспроводные клиенты получали по DHCP ip из диапазона 192.168.0.21 – 192.168.0.40.
    Я могу настроить второй DHCP сервер на порте wlan1, но как только я wlan1 добавлю в бридж, то DHCP на нем сразу становится неактивным (будет работать DHCP бриджа).
    Как можно решить эту задачу?
    Заранее спасибо.

    1. и вам доброго.
      DHCP-сервер настраивается на весь бридж, а не на отдельные интерфейсы. Вы можете либо оставить wlan-интерфейс вне бриджа, и роутить его отдельно (тогда понадобится поднимать еще один интерфейс и указывать его как gw для wireless-устройств), либо в dhcp сделать отдельный пул для wireless-устройств, но тогда нужно будет явно указывать их мак-адреса (т.е. делать резервацию)

  2. Спасибо за быстрый ответ.
    При добавлении wlan1 в бридж и использовании общего пула ip и для проводных клиентов и для wi-fi клиентов все отлично работает, из локальной сети в инет доступ есть., т.е. практическая задача решена. Но хотелось бы для расширения кругозора решить такую задачку, как группирование в рамках одной сети 192.168.0.0./24 отдельно адресов проводных клиентов и отдельно беспроводных. Для меня логичным казалось создать два DHCP сервера – один для проводного бриджа (192.168.0.1) с пулом 192.168.0.2- 192.168.0.20 и второй для wlan1 интерфейса с пулом 192.168.0.21-192.168.0.40. Собственно если так сделать, то адреса раздаются корректно, проводная часть сети имеет доступ к инету. А вот беспроводная часть сети пингует только ip wi-fi интерфейса wlan1 (192.168.0.51). пинг до бриджа (192.168.0.1 )не доходит, хотя все они в одной ip сети находятся. Можете подсказать, что я упустил?

    1. Понимаете, dhcp-сервер допустим только один для интерфейса. В данном случае мастер-интерфейсом ко всем остальным является бридж. На него вешается ip, dhcp, правила фаервола и т.д.
      Если же вы какой-то интерфейс в бридж не заносите, то он остается routed – т.е. для него нужно назначать отдельную подсеть и отдельный шлюз.

Leave a Reply