===== Sieci bezprzewodowe na urządzeniach Mikrotik =====
Mikrotik to łotewska firm produkująca routery, przełączniki, punkty dostępowe
i inny sprzęt sieciowy działający pod kontrolą własnościowego oprogramowania
(RouterOS/SwOS) [[https://en.wikipedia.org/wiki/MikroTik|wikipedia]], [[https://mikrotik.com/|strona domowa]], [[https://help.mikrotik.com/docs/display/ROS/RouterOS|dokumentacja RouterOS]].
Sprzęt oparty o RouterOS można konfigurować między innymi z [[https://help.mikrotik.com/docs/display/ROS/Management+tools|[1]]]:
* z linii poleceń – przez SSH, telnet, konsolę,
* przez wbudowaną aplikację webową (WebFig),
* aplikację okienkową dla systemu Windows (Winbox).
W domyślnej konfiguracji część sprzętu firmy Mikrotik ma ustawiony adres IP
[[http://192.168.88.1|192.168.88.1/24]] na interfejsie ''ether1'' oraz aktywne
wszystkie narzędzia konfiguracyjne((Informacje o domyślnych ustawieniach w
zależności od modelu: https://help.mikrotik.com/docs/display/ROS/Default+configurations)).
**W materiałach podane są komendy do CLI i zrzuty ekranu z WebFig; można je stosować wymiennie.**
Zrzuty ekranu z WebFig zostały "odchudzone" przez wycięcie w edytorze graficznym
opcji z domyślnymi wartościami.
RouterOS ma dwie implementacje sieci bezprzewodowych: ''wireless'' i ''wifi'' (wcześniej nazywane ''wifiwave2''). \\ Materiały są przygotowane dla nowszej – ''wifi''. \\ Na razie jednak urządzenia z laboratorium mają wersję oprogramowania używającą wcześniejszej nazwy ''wifiwave2''.
**Każda zmiana w konfiguracji jest natychmiast wykonywana i zapisywana na trwałe. \\ Jeśli zmieniając konfigurację odbierzesz sobie dostęp, sprzęt ponowne uruchomiony nie straci błędnych ustawień!**
__Po skończonych zajęciach zresetuj konfigurację urządzenia na którym pracowałeś do domyślnej!__\\
Możesz to zrobić komendą ''/system/reset-configuration'' lub analogicznym przyciskiem w GUI.
==== Poruszanie się w CLI ====
''Tab'' podpowiada i autouzupełnia.
Konfiguracja jest zorganizowana hierarchicznie.
Np. będąc na poziomie ''/'' można wpisać ''ip'' lub ''/ip'' żeby dostać się do ustawień IP, bądź ''ip/address'' lub ''/ip/address'' żeby dostać się do ustawień adresów IP.
Będąc na poziomie ''/ip/address'' można wpisać np. ''/'' lub ''../..'' żeby wrócić do najwyższego poziomu, bądź ''../route'' lub ''/ip/route'' żeby dostać się do tablic tras, bądź ''/interface/wifiwave2/'' żeby dostać się do konfiguracji sieci bezprzewodowych. \\
Zwykle na poziomach na których wykonuje się konfigurację dostępne są m. inn. komendy ''print'' (wyświetla stan), ''add'' / ''remove'' (dodaje nowe pozycje), ''set'' (zmienia ustawienia wskazanej pozycji) i ''enable'' / ''disable'' (włącza / wyłącza działanie wybranej pozycji).
Można też wykonywać komendy z innego poziomu poprzedzając go poziomem, np. skądkolwiek można wpisać ''/tools/ping 1.1.1.1'' żeby spróbować wykonać ping do podanego adresu czy ''/ip/address add interface=ether1 address=172.16.0.1/20'' żeby ustawić adres IP.
Poza SSH i portem szeregowym można się też dostać do CLI wybierając z WebFiga opcję ''Terminal''.
Więcej na: https://help.mikrotik.com/docs/display/ROS/Command+Line+Interface
==== Informacje o interfejsach ====
Lista interfejsów:\\
''/interface print''
Lista interfejsów bezprzewodowych:\\
''/interface/wifiwave2 print [detail]''
Możliwości kart:\\
''/interface/wifiwave2/radio print [detail]''
++++ Przykład CLI |
[admin@Mikrotik] > /interface/print
Flags: X, R - RUNNING
Columns: NAME, TYPE, ACTUAL-MTU, L2MTU, MAX-L2MTU, MAC-ADDRESS#NAMETYPEACTUAL-MTUL2MTUMAX-L2MTUMAC-ADDRESS
0 R ether1 ether 1500 1568 9214 48:A9:8A:B8:DA:7D
1 ether2 ether 1500 1568 9214 48:A9:8A:B8:DA:7E
2 ether3 ether 1500 1568 9214 48:A9:8A:B8:DA:7F
3 ether4 ether 1500 1568 9214 48:A9:8A:B8:DA:80
4 ether5 ether 1500 1568 9214 48:A9:8A:B8:DA:81
5 X wifi1 wifi 48:A9:8A:B8:DA:82
6 X wifi2 wifi 48:A9:8A:B8:DA:83
[admin@Mikrotik] > /interface/wifiwave2print
Flags: M - MASTER; B - BOUND; X, I, R - RUNNING
Columns: NAME#NAME
0 MBX wifi1
1 MBX wifi2
[admin@Mikrotik] > /interface/wifiwave2printdetail
Flags: M - master; D - dynamic; B - bound; X - disabled, I - inactive, R - running
0 MBXdefault-name="wifi1" name="wifi1" mac-address=48:A9:8A:B8:DA:82 arp-timeout=auto radio-mac=48:A9:8A:B8:DA:82
1 MBXdefault-name="wifi2" name="wifi2" mac-address=48:A9:8A:B8:DA:83 arp-timeout=auto radio-mac=48:A9:8A:B8:DA:83
[admin@Mikrotik] > /interface/wifiwave2/radioprint
Flags: L - LOCAL
Columns: RADIO-MAC, INTERFACE#RADIO-MACINTERFACE
0 L 48:A9:8A:B8:DA:82 wifi1
1 L 48:A9:8A:B8:DA:83 wifi2
[admin@Mikrotik] > /interface/wifiwave2/radioprintdetail
Flags: L - local
0 Lradio-mac=48:A9:8A:B8:DA:82 phy-id=0 tx-chains=0,1 rx-chains=0,1 bands=5ghz-a:20mhz,5ghz-n:20mhz,20/40mhz,5ghz-ac:20mhz,20/40mhz,20/40/80mhz,5ghz-ax:20mhz,20/40mhz,20/40/80mhz
ciphers=tkip,ccmp,gcmp,ccmp-256,gcmp-256,cmac,gmac,cmac-256,gmac-256 countries=all
5g-channels=5180,5200,5220,5240,5260,5280,5300,5320,5500,5520,5540,5560,5580,5600,5620,5640,5660,5680,5700,5720,5745,5765,5785,5805,5825,5845,5865,5885 max-vlans=128 max-interfaces=16
max-station-interfaces=3 max-peers=120 hw-type="QCA6018" hw-caps=sniffer interface=wifi1
1 Lradio-mac=48:A9:8A:B8:DA:83 phy-id=1 tx-chains=0,1 rx-chains=0,1 bands=2ghz-g:20mhz,2ghz-n:20mhz,20/40mhz,2ghz-ax:20mhz,20/40mhz ciphers=tkip,ccmp,gcmp,ccmp-256,gcmp-256,cmac,gmac,cmac-256,gmac-256
countries=all 2g-channels=2412,2417,2422,2427,2432,2437,2442,2447,2452,2457,2462,2467,2472 max-vlans=128 max-interfaces=16 max-station-interfaces=3 max-peers=120 hw-type="QCA6018" hw-caps=sniffer
interface=wifi2
++++
++++ Przykład WebFig |
Lista interfejsów bezprzewodowych:\\
{{interface_wifi.png}}
Informacje o możliwościach kart bezprzewodowych:\\
{{interface_wifi_radios.png}}
++++
==== Konfiguracja sieci bezprzewodowej ====
[[https://help.mikrotik.com/docs/display/ROS/Wireless|Wiki RouterOS dla sieci bezprzewodowych]]
[[https://help.mikrotik.com/docs/display/ROS/WiFi|Wiki RouterOS ≥7.13 dla wifi]]/[[https://web.archive.org/web/20240807023808/https://help.mikrotik.com/docs/pages/viewpage.action?pageId=46759946|Wiki RouterOS ≤7.12 dla wifiwave2]]
Aby skonfigurować kartę bezprzewodową, należy na interfejsie bezprzewodowym ustawić:
* konfigurację (''configuration'') — podstawowe ustawienia takie jak tryb pracy, nazwa sieci, …
* kanały (''channel'') — ustawienia używanych częstotliwości i standardów bezprzewodowych (802.11a/b/g/n/ac/ax/…)
* zabezpieczenia (''security'') — ustawienia uwierzytelniania i szyfrowania w sieci
Każdą z tych kategorii można skonfigurować osobno, a potem gotową konfigurację wybrać w ustawieniach interfejsu, bądź w ustawieniach interfejsu podać wszystko naraz.
**Uwaga:** Opcja uwierzytelniania ''WPA3-PSK'' konfiguruje – wbrew nazwie – uwierzytelnianie SAE, a nie PSK.
Dla konfiguracji istniejącej karty można użyć komendy: \\
''/interface/wifiwave2 set //nazwa_karty// //nazwa_ustawienia//=//wartość//…'' \\
np: ''/interface/wifiwave2 set wlan1 configuration.ssid=MojaSiec''
Karty bezprzewodowe są domyślnie wyłączone. Żeby wystartowały, należy je włączyć:\\
''/interface/wifiwave2 enable //nazwa_karty//'' \\
lub ''/interface/wifiwave2 enable //indeks_w_tabelce_wypisanej_przez_print//'' \\
lub ''/interface/wifiwave2 set //nazwa_karty// disabled=no'' \\
np: ''/interface/wifiwave2 enable wifi1''
Dla użycia więcej niż jednej sieci na jednej bezprzewodowej karcie sieciowej należy dodać kolejne interfejsy: \\
''/interface/wifiwave2 add master-interface=//istniejąca_karta// name=//nowy_interfejs// …''
Do wypisania efektywnej konfiguracji sieci bezprzewodowej służy komenda: \\
''/interface/wifiwave2/actual-configuration print [detail]''
++++ Przykład CLI |
++++
++++ Przykład WebFig |
Konfiguracja (zabezpieczonej) sieci bezprzewodowej:\\
{{interface_wifi_setup.png}}
++++
==== Wyświetlanie listy podłączonych urządzeń ====
Informacje o podłączonych do sieci bezprzewodowej stacjach można wyświetlić komendą: \\
''/interface/wifiwave2/registration-table print''
++++ Przykład CLI |
[admin@Mikrotik] > /interface/wifiwave2/registration-tableprint
Flags: A - AUTHORIZED
Columns: INTERFACE, SSID, MAC-ADDRESS, UPTIME, SIGNAL#INTERFACESSIDMAC-ADDRESSUPTIMESIGNAL
0 A wifi1 NazwaSieci E0:E1:A9:35:D7:47 1m53s -28
1 A wifi1 NazwaSieci 58:CE:2A:D8:A6:DA 1m24s -35
++++
++++ Przykład WebFig |
Lista podłączonych stacji:\\
{{interface_wifi_regs.png}}
++++
==== Mostkowanie interfejsów ====
Aby podłączyć AP do sieci dystrybucyjnej, należy stworzyć (wirtualny) interfejs mostka (=wieloportowego przełącznika) i podłączyć do niego wiele interfejsów:
++++
++++ Przykład WebFig |
Lista mostków (już po dodaniu jednego): \\
{{bridge1_list.png}}
Dodawanie mostka:\\
{{bridge1.png}}
Lista portów w mostkach:\\
{{bridge1_ports.png}}
++++
==== Wiele sieci, mostkowanie interfejsów + VLANy ====
Do uruchomienia wielu sieci bezprzewodowych na jednej karcie, należy stworzyć
nowy (wirtualny) interfejs bezprzewodowy powiązany ze wskazanym (zwykłym)
interfejsem bezprzewodowym i odpowiednio skonfigurować nowy interfejs.
Wiele sieci bezprzewodowych na jednym AP tworzy się po to, by podzielić
użytkowników sieci bezprzewodowych na odrębne sieci, np. na pracowników firmy i gości.
Zwykle pożądane jest utrzymanie takiego podziału w sieci dystrybucyjnej, tzn.
w połączeniu do switchy/routerów tworzących szkielet wewnętrznej sieci.
**Do osiągnięcia tego wykorzystuje się wirtualne sieci lokalne – VLANy.**
Do wykonania takiej konfiguracji, można:
- stworzyć mostek,
- włączyć na nim wsparcie VLANów,
- podłączyć do niego interfejsy przyporządkowując je do właściwych VLANów,
- ustawić reguły wskazujące na których połączeniach poza zwykłym ruchem mają być przekazywane pakiety z innych VLANów z odpowiednimi znacznikami((Port na którym przesyłane są, odpowiednio oznaczone ramki z różnych VLANów, nazywa się portem //trunk//. Ruch / ramki ethernetowe z odpowiednią etykietą (nagłówkiem zgodnym z protokołem 802.1Q) nazywa się po angielsku //tagged//. VLANy były omawiane w ramach laboratoriów Sieci Komputerowe 1.)),
- [opcjonalnie] można podłączyć do wybranych VLANów na mostku interfejs typu ''vlan'' dla łączności L3, np. przypisania urządzeniu adresu IP z tej sieci.
++++ Przykład WebFig - konfiguracja drugiej sieci wifi i wysłania tych sieci trunkiem |
Dodanie drugiego interfejsu sieci bezprzewodowej na tej samej karcie:\\
{{interface_wifi_add.png}}
Dodanie mostka z włączoną obsługą VLANów:\\
{{bridge2_add.png}}
Dodawanie portu z wybraniem VLANu do którego należy:\\
{{bridge2_port_add.png}}
Ustawianie na jakie porty ramki z danego VLANu mają być przekazywane i czy mają
być etykietowane numerem VLANu:\\
{{bridge2_vlan_add.png}}
Podsumowanie konfiguracji VLANów na mostku:\\
{{bridge2_vlan.png}}
++++
++++ Przykład WebFig - dodawanie interfejsu w jednym z VLANów dla podłączenia go na warstwie trzeciej do routera |
Dodanie nowego interfejsu do mostka:\\
{{vlan_add_1.png}} \\
{{vlan_add_2.png}}
Dodanie adresu IP do interfejsu:\\
{{ip_address.png}} \\
{{ip_address_add.png}}
Testowane łączności:\\
{{ping.png}}
++++
++++ Przykład CLI |
++++
-----
==== Jeżeli usuniesz sobie IP po którym konfigurowałeś Mikrotika... ====
Zepsułem sobie wszystkie IPv4 na Mikrotiku, używam w trakcie zajęć modelu który nie ma portu szeregowego, co teraz?
Użyj istniejącego adresu IPv6:
- wykonaj: ''ping ff02::1%//p4p2//'' (gdzie ''//p4p2//'' to nazwa przewodowej karty sieciowej którą jesteś bezpośrednio połączony do routera)
- powinny odpowiedzieć dwa urządzenia: twój komputer i router Mikrotik \\ Adres kończący się jak twój MAC jest twój, ten drugi to Mikrotik
- wykonaj ''ssh admin@//fe80::4aa9:8aff:feb8:da7d//%//p4p2//'', zmieniając IPv6 LL i nazwę karty na odpowiednie (tzn. skopiuj i wklej z wyników pinga)
- naciśnij //Ctrl+C// na prośbie ustawienia hasła
- wykonaj ''/interface/bridge/port print'', ''/interface print'' oraz ''/ip/address print'' żeby sprawdzić jak są ustawione interfejsy i adresy
- popraw konfigurację, np. przez ''/ip/address add interface=//ether1// address=//192.168.88.1/24//''
Użyj program Winbox:
- zainstaluj ''wine'' komendą ''zypper install -y wine''
- ściągnij program [[https://mt.lv/winbox64|Winbox]]
- upewnij się że masz jakikolwiek adres IPv4 na przewodowej karcie sieciowej bezpośrednio połączonej do routera
- uruchom Winbox komendą ''wine ./winbox64.exe''
- wybierz zakładkę ''Neighbours'' i jeśli nie ma twojego routera, kliknij w ''Refresh''
- sprawdź poprawność loginu i hasła i kliknij ''Connect''
- popraw konfigurację
![[link do obrazka]](/jkonczak/_media/sk2:wlan:mikrotik_bridge1.svg){kind=link}
![[link do obrazka]](/jkonczak/_media/sk2:wlan:mikrotik_bridge2.svg){kind=link}