Архив рубрики: Сети

Настройка беспроводного моста Mikrotik SEXTANT Bridge для создания магистрального канала точка-точка

Очень часто возникает задача – организовать канал передачи данных на расстояниях до 4-6 километров. Для ее решения можно применять только 3 технологии – оптический кабель, атмосферную оптику и беспроводной канал. У каждого есть свои достоинства и недостатки. Рассмотрим их более подробно.

Оптический кабель самое оптимальное и надежное решение, позволяет передавать практически не ограниченный поток данных, однако для прокладки требуется множество согласований и возможно оплата аренды за использование столбов. Так же для выполнения работ по монтажу нужны специфические инструменты, стоимость которых довольно высока.

Атмосферная оптика позволяет передавать поток данных не более 1 гигабита на дальности до 2-3 километров. Для создания такого канала не нужно получать никаких согласований, однако стоимость оборудования очень высока, для наведения устройств друг на друга нужно обладать опытом. Лазерный луч дает очень маленькое световое пятно и на больших расстояниях очень легко промахнуться. Так же для установки оптических устройств нужны крепкие опоры, поэтому осуществлять монтаж можно только на стене здания. Работает только при идеальной прямой видимости, во время сильных дождей, снегопада или туманов канал связи может обрываться.

Беспроводной канал на Mikrotik SEXTANT – самое оптимальное решение. Он обладает минимальной стоимостью, позволяет передавать порядка 70-170 мегабит на расстоянии до 6 километров в прямой видимости. Осуществить монтаж и наведение устройств может даже не специалист. Конечно, для легальной работы требуется получать частотные присвоения и регистрировать канал передачи данных. Однако в большинстве случаев беспроводные сети работают без регистрации, главное не мешать соседям по эфиру. Может работать даже с частично перекрытой видимостью, но при этом снижается максимальная пропускная способность и надежность канала связи.

Для создания беспроводного канала передачи данных потребуются 2 устройства Mikrotik SEXTANT, либо Mikrotik SXT. Настройка и характеристики каналов аналогичны, различие только по максимальной дальности использования. Так же есть версии с гигабитным сетевым портом – Mikrotik SEXTANTG и Mikrotik SXTG

Для создания канала одно из устройств нужно настроить в режиме базовой станции, другое в режиме клиента беспроводной сети. Что бы в последствии не перепутать устройства во время монтажа, одно из них следует пометить любым доступным способом, например карандашом или маркером, можно и проволочной биркой.

После выбора устройства для настройки, заходим на него с помощью программы Winbox. При первом заходе появляется окно начальной конфигурации, которую нужно отменить, нажав на кнопку Remove Configuration. Использование настроек из этой конфигурации может внести путаницу, поэтому всегда рекомендуется ее отменять.

Далее следует обновить программное обеспечение RouterOS. Для этого заходим на официальный сайт микротика – http://www.mikrotik.com в раздел Download, и скачиваем последнюю прошивку для архитектуры MIPS-BE. Файл с расширением NPK. Далее его нужно перетащить мышкой в окно винбокса.

После окончания загрузки файла следует в меню SYSTEM—+REBOOT осуществить перезагрузку Mikrotik SEXTANT. Процесс обновления будет иди 3-4 минуты, в это время нельзя отключать питание устройства.

После обновления программного обеспечения заходим в меню BRIDGE и создаем новый бридж нажатием на +. В открывшемся окне ничего не меняя сразу нажимаем кнопку Ok.

В созданный бридж нужно добавить беспроводной и сетевой адаптер для сквозного пропуска данных из кабельной сети в беспроводную. Для этого на вкладке Ports нужно создать 2 порта, в одном в пункте Interface указать Ether1, в другом Wlan1.

Беспроводная сеть может работать в режимах 802.11Nstreme и NV2. Для первых двух режимов пароль на доступ к сети задается в профиле шифрования, который находится в меню WIRELESS на вкладке Security Profiles. Нужно отредактировать существующий профиль Default, в пункте Mode указать Dynamic Keys, в пункте Authentication Types указать галочками WPA PSK и WPA2 PSK. В пунктах Unicast Ciphers и Group Ciphers отметить все галочки. Ключ беспроводной сети задается в пунктах WPA Pre-Shared Key и WPA2 Pre-Shared Key.

Переходим на вкладку Interfaces и выбираем беспроводной адаптер, в нем заходим на вкладку WIRELESS изменяем следующие параметры:

Mode – bridge для работы в режиме беспроводной точки доступа с возможностью подключения одного клиента.

Band – 5GHz-A для работы в режиме A-only для более высокой дальности и стабильности, или 5GHz-N для работы в режиме N-only для получения более высокой скорости. Можно поставить 5GHz-A/N для автоматического выбора.

Channel Width – 20MHz – для работы с шириной полосы 20мгц, можно поставить и 40MHz, что позволит увеличить скорость почти в 2 раза.

Frequency – 5180 – частота работы базовой станции.

SSID – PtP_Link – имя беспроводной сети.

Radio Name – имя клиента беспроводной сети, или имя базовой станции. Имя клиента  будет показано в статусе списка беспроводных клиентов.

Scan List – default, либо можно указать 5000-6000, этот диапазон будет сканировать устройства для поиска базовой станции. Если базовая станция будет работать на одной частоте и менять ее не предполагается, можно указать так же одну частоту – 5180. Работает на стороне клиента, либо при сканировании сетей при нажатии кнопки Scan.

Wireless Protocol – nv2, либо Nstreme.

Frequency Mode – superchannel – для получения доступа ко всему диапазону частот, в том числе к не стандартным.

На вкладке DATA RATES не нужно производить никаких настроек. Устройства сами выберут лучшую канальную скорость, исходя из условий радиоэфира.

На вкладке ADVANCED задаются дополнительные параметры адаптера.

Periodic Calibration – enabled – включает определение уровня шума с заданным интервалом в пункте Calibration Interval – 00:00:10. Это позволяет раз в 10 секунд сканировать эфир и устанавливать уровень шума беспроводного адаптера.

Hw/Retries – 15, задает количество переповторов потерянной информации во время передачи по радиоканалу. На канале точка-точка устанавливаются максимальные значения для максимальной стабильности.

На вкладке HT можно управлять каналами приема/передачи. Если устройство вынуть из коробки и включить, то галочки с chain1 сняты и работает только один канал приема/передачи, что не позволяет получать высокие скорости. Нужно обращать внимание на настройку этих параметров на всех новых устройствах.

При установке всех галочек устройство может работать в режиме MIMO.

Пункт HT Guard Interval всегда при работе в условиях улицы нужно устанавливать в значение LONG.

На вкладке HT MCS, так же как и на DATA RATES производится управление канальными скоростями. Для настройки канала точка-точка не нужно производить никакие изменения.

На вкладке WDS нужно включить динамическое добавление интерфейсов WDS в бридж. WDS Mode нужно поставить в Dynamic, и указывать в пункте WDS Default Bridge используемый бридж – Bridge1.

На вкладке NSTREME задаются настройки поллингового протокола.

Enable Nstreme – включает поллинговый протокол.

Enable Polling – включает динамический опрос подключенных клиентов.

Disable CSMA – отключает режим контроля несущей и обнаружения коллизий.

Framer Policy – выбирает режим упаковки маленьких пакетов в большие. Оптимальное значение – Dynamic Size.

Framer Limit – размер пакета, оптимальное значение 3200.

На вкладке NV2 производится управление поллинговым протоколом Nstreme Version 2.

TDMA Period Size – задает время передачи, чем меньше значение – тем меньше задержка, и меньше максимальная скорость, чем больше значение – тем больше скорость, однако, возрастает и задержка. Обычно используют значения 1-5. Для примера установим 1.

Cell Radius – максимальная дальность работы клиента, 10 километров минимальное значение.

Security – включение шифрования на канале. При использовании NV2 применяется свое отдельное шифрование.

Preshared Key – ключ беспроводной сети.

На вкладке TX POWER производится управление мощностью на передачу. Работать с высокой мощность не следует, обычно ее корректируют после установки таким образом, что бы уровень принимаемого сигнала лежал в пределах -60..-70dBm. Для настройки и тестирования в помещении следует устанавливать совсем маленькое значение мощности – 2dBm, иначе устройства могут выйти из строя из-за высокого уровня принимаемого сигнала. После проверки работоспособности нужно выключить одно из устройств и произвести установку уровня мощности до 15dBm, далее выключить это и включить другое, произвести аналогичную настройку.

После завершения настроек следует включить беспроводной адаптер на кнопку Enable или нажав на галочку вверху окна меню.

Для возможности управления устройствами, использующимися для создания канала точка-точка, нужно установить IP-адрес в разделе IP—+ADDRESS. В пункте Address указать 10.0.0.1/24 и в Interface выбрать Bridge1.

Самое главное для магистрального канала точка-точка – передавать данные без потерь и в той последовательности, в которой они приходят по проводному интерфейсу. Для этого нужно поменять и увеличить буферы интерфейсов. Делается это в разделе QUEUES на вкладке Queue Types.

Зайдем в настройку Ethernet-Default, она задает размер буфера проводного интерфейса, в пункте Queue Size укажем размер буфера – 500 пакетов.

Изначально в настройках буфера Wireless-Default указан тип буфера SFQ, что удобно при работе в режиме точка-многоточка и позволяет всем абонентским станциям иметь равные возможности передачи данных.

Для надежной передачи данных через радиоканал, следует поменять тип буфера у Wireless-Default на PFIFO в пункте Kind, и указать размер буфера Queue Size – 500 пакетов.

После установки таких размеров и типов буферизации при перегрузке канала будет увеличиваться задержка, что сообщит приложениям о перегрузке канала, и они автоматически снизят скорость. Потерь пакетов не будет. Вместо 500 пакетов в сложных случаях можно указывать и большие значения, например 2000.

Для исключения, не санкционированного доступа к настройкам устройств, следует установить пароль. В разделе SYSTEM—+USERS в свойствах пользователя Admin нажатием на кнопку Password нужно два раза ввести новый пароль.

На этом настройка базовой станции (главного устройства канала) завершена. Второе устройство следует настроить аналогично, за исключением некоторых пунктов на вкладке WIRELESS беспроводного адаптера:

Mode – station WDS для работы в режиме беспроводного клиента в режиме WDS.

Band – 5GHz-A/N для автоматического выбора режима работы.

Channel Width – 20/40MHz – для автоматического выбора ширины полосы.

SSID – PtP_Link – имя беспроводной сети.

Radio Name – имя клиента беспроводной сети, на базовой станции будет показано в статусе.

Wireless Protocol – Any – что позволит автоматически выбирать тип поллингового протокола.

Так же в меню IP—+ADDRESS следует ввести 10.0.0.2/24, что бы не было конфликта сетевых адресов между микротиками.

После настройки второго устройства и подключения к первому, на клиенте можно в окне статуса наблюдать параметры соединения:

Для проверки максимальной скорости в канале запустим тест пропускной способности, который находится в меню TOOLS—+BANDWIDTH TEST. Для его работы нужно указать IP-адрес соседнего устройства в пункте Test To, направление теста в пункте Direction и имя пользователя, и пароль в пунктах User и Password.

Сначала на прием – скорость 77 мбит/сек.

Потом на передачу – 87 мбит/сек.

В этих двух тестах видно, что канальные скорости максимальные – 130MBps, CCQ так же максимальный – 100%, однако пропускная способность в разные направления отличаются. Такое поведение из-за близкого расположения устройств внутри помещения. При расположении на улице скорости станут одинаковыми. Так же на скорость влияет параметр TDMA Period Size.

Тест пропускной способности в полосе 40мгц показывает совсем другие данные – 156 мбит/сек на прием.

И 180 мбит/сек на передачу.

Канальные скорости так же во всех случаях максимальные – 270Mbps. И так же наблюдается перекос скорости – опять влияние близкого расположения устройств.

Теперь можно устанавливать устройства на улице и проводить реальные тесты пропускной способности. Если расстояние между ними менее 4 километров, прямую видимость ничего не закрывает – можно получить надежный и высокоскоростной беспроводной канал передачи данных. Юстировку устройств нужно проводить в горизонтальной и вертикальной плоскостях. Штатный крепеж устройства не позволяет регулировать наклон, поэтому следует применять кронштейны с регулировкой наклона, либо наматывать изоленту или проволоку на опору под крепежом, что бы задрать или опустить антенну.

Серия устройств Mikrotik RB/SEXTANT и RB/SXT сполна отрабатывает свою стоимость и позволяет на канале точка-точка передавать до 98 мегабит трафика в полосе 20Мгц, либо до 190 мегабит трафика в полосе 40Мгц. Если требуется передавать много однонаправленного трафика следует выбирать устройства с гигабитным сетевым портом, тогда можно более полно использовать преимущества работы в полосе 40Мгц.

MIKROTIK IKEV2 СЕРВЕР. ANDROID STRONGSWAN КЛИЕНТ.

Настройка Микротик

Добавление пула адресов выдаваемых клиентам

Создание сертификатов

Корневой сертификат:

Подписываем как есть:

Если в поле “Subject Alt Name” указано FQDN, надо подключаться именно по имени, если указываете IP, то надо подключаться по IP. Иначе не получится.

Сертификат клиента:

Подписываем корневым

Настройка сервера IKEv2. IP- IPSEC

Последовательность настройки:

Profiles

Proposals

Groups

Policies

Peers

Mode Configs

Profiles

Экспортируем сертификат клиента

Переносим на смартфон

На смартфоне Android

Скачиваем устанавливаем приложение Strongswan

Скачиваем на смартфон два файла в любом удобном приложении-проводнике:
1 .sswan – файл конфигурации подключения
2. .p12 – сертификат для подключения

В проводнике:
1. Нажимаем на файле сертификата.
2. Вводим пароль для извлечения сертификата.
3. Указываем “сертификата пользователя и приложений VPN”.
4. Указываем имя под которым сертификат будет установлен в систему.
5. Получаем сообщение, что сертификат успешно установлен.

Открываем приложение Strongswan:
1. Нажимаем сверху три точки
2. Открываем “Import VPN profile”
3. Выбираем сертификат пользователя, который мы добавили на предыдущем шаге.

Сохраняем. Подключаемся.

Mikrotik. Отказоустойчивость и балансировка.

Запись не моя. Оставил для себя, ну и других, что бы не потерялось. Спасибо vdemchuk с хабра.

Когда у меня встала необходимость разобраться, как сделать failover или load balancing, имея два и более каналов в мир, я нашел множество статей и инструкций, в которых описывались рабочие конфигурации. Но почти нигде не нашел разъяснения, как все работает, и описания отличий разных вариантов. Хочу исправить эту несправедливость и собрать простейшие варианты построения failover и load balancing конфигураций в одной статье.

Итак, у нас есть роутер, который соединяет нашу локальную сеть и два канала в интернет (основной ISP1 и резервный ISP2).

Давайте рассмотрим что же мы можем сделать:

Сразу предупрежу: несмотря на то, что в этой статье буду все описывать для mikrotik, не буду касаться темы скриптов

У нас появился резервный канал, в который можно направить трафик при отказе основного. Но как сделать, чтобы mikrotik понял, что канал упал?

Простейшее резервирование каналов

Простейший failover можно настроить, используя приоритет маршрута (distance у mikrotik/cisco, metric в linux/windows), а так же механизм проверки доступности шлюза — check-gateway.

В приведенной ниже конфигурации весь интернет трафик по умолчанию ходит через 10.100.1.254 (ISP1). Но как только адрес 10.100.1.254 станет недоступным (а маршрут через него неактивным) — трафик пойдет через 10.200.1.254 (ISP2).

конфигурация: простейший failover

# Настроим сети провайдеров:
/ip address add address=10.100.1.1/24 interface=ISP1
/ip address add address=10.200.1.1/24 interface=ISP2
# Настроим локальный интерфейс
/ip address add address=10.1.1.1/24 interface=LAN
# скроем за NAT все что выходит из локальной сети
/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat
### Обеспечение резервирования каналов традиционным способом
### укажем 2 default gateway с разными приоритетами
/ip route add dst-address=0.0.0.0/0 gateway=10.100.1.254 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=10.200.1.254 distance=2 check-gateway=ping

check-gateway=ping для mikrotik обрабатывается так:

Периодически (каждые 10 секунд) шлюз проверяется отсылкой на него ICMP пакета (ping). Потерянным пакет считается, если он не вернулся в течении 10 секунд. После двух потерянных пакетов шлюз считается недоступным. После получения ответа от шлюза он становится доступным и счетчик потерянных пакетов сбрасывается.

Обеспечение failover с более глубоким анализом канала

В прошлом примере все замечательно, кроме ситуации, когда шлюз провайдера виден и пингуется, но интернета за ним нет. Нам бы это здорово помогло, если бы можно было принимать решение о жизнеспособности провайдера, пингуя не сам шлюз, а что-то за ним.

Я знаю два варианта решения этой инженерной задачи. Первый и самый распространенный — использовать скрипты, но так как в этой статье мы скрипты не трогаем, остановимся подробнее на втором. Он подразумевает не совсем корректное использование параметра scope, но поможет нам прощупать канал провайдера глубже, чем до шлюза.
Принцип прост:
Вместо традиционного указания default gateway=шлюз провайдера, мы скажем роутеру что default gateway это какой-то из всегда_доступных_узлов (например 8.8.8.8 или 8.8.4.4) и он в свою очередь доступен через шлюз провайдера.

конфигурация: failover с более глубоким анализом канала
# Настроим сети провайдеров:
/ip address add address=10.100.1.1/24 interface=ISP1
/ip address add address=10.200.1.1/24 interface=ISP2
# Настроим локальный интерфейс 
/ip address add address=10.1.1.1/24 interface=LAN
# скроем за NAT все что выходит из локальной сети
/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat
###Обеспечение failover c более глубоким анализом канала###
#с помощью параметра scope укажем рекурсивные пути к узлам 8.8.8.8 и 8.8.4.4
/ip route add dst-address=8.8.8.8 gateway=10.100.1.254 scope=10
/ip route add dst-address=8.8.4.4 gateway=10.200.1.254 scope=10
# укажем 2 default gateway через узлы путь к которым указан рекурсивно
/ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping

Теперь разберем, что происходит чуть подробнее:
Хитрость в том, что шлюз провайдера не знает о том, что 8.8.8.8 или 8.8.4.4 — это роутер и направит трафик по обычному пути.
Наш mikrotik считает, что по умолчанию весь интернет трафик нужно отправлять на 8.8.8.8, который напрямую не виден, но через 10.100.1.254 доступен. А если пинг на 8.8.8.8 пропадает (напомню что путь к нему у нас жестко указан через шлюз от ISP1) то mikrotik начнет слать весь интернет трафик на 8.8.4.4, а точнее на рекурсивно определенный 10.200.1.254 (ISP2).

Но у меня пару раз возникала ситуация, когда интернет через шлюз провайдера работает, а вот конкретный узел или сеть нет. В таких случаях вышеописанный метод не очень-то помогает и для обеспечения бесперебойной работы мне приходилось проверять доступность узла уже с помощью скриптов. Кстати, если кто знает решение файловера на один внешний хост без применения скриптов и протоколов динамической маршрутизации — поделитесь рецептом.

MikroTik Hairpin NAT

Доступ с локальной сети по внешнему ip

Что такое Hairpin NAT

Что такое Hairpin NAT MikroTik

Частая ситуация: после проброса порта и попытки обратиться из локальной сети по внешнему адресу завершается неудачей – не приходит ответ от указанного узла. И эта ошибка приводит в замешательство специалиста, привыкшего настроить роутер Asus, D-Link, Linksys, Netis, Tp-Link, Tenda, Xiaomi, Zyxel, Keenetic, Mercusys, Edimax.

Суть метода Hairpin NAT заключается в том, чтобы обращение по внешнему адресу переадресовывалось на локальный порт. Т.е. весь трафик будет просто заворачиваться с подменой адресов(NAT).

Типичные примеры:

  • доступ к видеонаблюдению;
  • сайту, размещенному в локальной сети;

Настройка MikroTik Hairpin NAT

Для этого нужно сделать два последовательных правила:

Настройка находит в IP-Firewall-NAT

Настройка Mikrotik winbox, проброс портов dstnat
Настройка Mikrotik winbox, проброс портов ip forwarding
add action=dst-nat chain=dstnat dst-address=8.8.8.8 dst-port=80,443 protocol=tcp to-addresses=192.168.0.3
Настройка Mikrotik winbox Hairpin NAT scrnat
Mikrotik winbox настройка NAT scrnat masquerade
add action=masquerade chain=srcnat dst-address=192.168.0.3 dst-port=80,443 protocol=tcp

Есть вопросы или предложения по настройке Hairpin NAT в MikroTik? Активно предлагай свой вариант настройки!