Ввиду того, что не смог достаточно быстро насобирать на квартиру, где моего роутера RB2011UiAS-2Hnd (v6.37.3) мне бы хватило за глаза, как для домашнего использования, экспериментов, изучения, но не судьба. Но я не расстраиваюсь на этот счет, вместо его я живу в собственном доме и это намного лучше коробки c ограниченным пространством, сейчас у меня есть участок и дом на нем. А такое большое пространство предполагает, что все должно быть в подвластном доступе к сети интернет и ресурсам (Видеонаблюдению (Motion + ZoneMinder), FreePBX (Asterisk), умному дому (об этом я поведаю чуточку позже и тому что у меня применяется) моей локально вычислительной сети.
Так вот, как я давно приобщился к устройствам фирмы Mikrotik, то значит и все расширение будет строиться на их основе.
Вот мне понадобилось развернуть в дедовском доме Wi-Fi, а чтобы это сделать приложил кабель до него и поставил там Mikrotik RB951Ui-2Hnd (v6.38.1) и дабы не плодить кучу различных настроек для организации беспроводного доступа я завел его в CAPsMAN чтобы все настройки были едиными и легко распространяемыми.
Итого схема следующая:
Оптика → Главный Mikrotik (eth0) RB2011UiAS-2Hnd (v6.37.3) → (eth0) Mikrotik RB951Ui-2Hnd (Wi-Fi)
Решение:
Подключаюсь со своего рабочего места Ubuntu 14.04.5 Desktop (Gnome Classic) ноутбука Lenovo E555 посредством утилиты winbox к подключаемому Mikrotik RB951Ui-2Hnd и активирую, что все настройки по получению конфигурации Wi-Fi брать с главного:
winbox — IP&MAC (192.168.1.129) — User&PASS — Wireless — вкладка Interfaces настройка CAP:
- Enabled: отмечаю галочкой
- Interface: wlan1
- Discovery Interface: eth1
Настройки приняли вид:
Теперь открываю еще одну консоль командной строки и подключаюсь через Winbox к главному Mikrotik RB2011UiAS-2Hnd с которого осуществляется управление всеми точками доступа посредством интерфейса управления → CAPsMAN
winbox — IP&MAC (192.168.1.9) — CAPsMAN — вкладка Interfaces — настройка Manager
- Enabled: отмечаю галочкой
После нажимаю Apply & OK
После все также находясь в настройках CAPsMAN переключаюсь на вкладку Remote CAP я должен увидеть подключенную точку доступа так оно и есть.
Теперь создаю настройки все также на главном Mikrotik для Wi-Fi сети которые прикреплю к точке с именем DOM-1
winbox — IP&MAC (192.168.1.9) — user&pass – переходим в Bridge — Add –
- Name: Bridge_Wifi_Dom-1
и нажимаем Apply — OK
после переходим в IP — Addresses — Add
- Address: 192.168.10.1/24
- Interface: Bridge_Wifi_Dom-1
и нажимаем Apply — OK
Настраиваем, что выдачей IP–адресов при подключении к данной точке доступа будет заниматься DHCP–сервер:
IP — DHCP Server — DHCP Setup:
- DHCP Server Interface: Bridge_Wifi_Dom-1
- DHCP Address Space: 192.168.10.0/24
- Gateway for DHCP Network: 192.168.10.1
- Addresses to Give Out: 192.168.10.10-192.168.10.20
- DNS: оставляем по умолчанию (они от провайдера)
- Lease Time: 00:10:00
Затем переходим уже собственно в: CAPsMAN где во вкладке Interface вижу подключенное устройство, переименовываю его в любое именование отражающее суть где стоит данная железка
E4:8D:8C:B6:6B:99 (для последующих конфигурацией нужно будет на основе этого MAC адреса изменять к примеру так: 89, 88,87)
Затем переходим уже собственно в: CAPsMAN где во вкладке Security Cfg. – Add
- Name: dom-1
- Authentication Type: WPA2 PSK
- Encryption: aes ccm
- Group Encryption: aes ccm
- Passphrase: Aa1234567+
и нажимаем Apply — OK
после перехожу во вкладку Channels (меню CAPsMAN) — Add и создаю новую конфигурацию:
- Name: channel_dom-1
- Frequency: 2459
- Width: 20
- Band: 2ghz-b/g/n
- Extension Channel: disabled
- Tx. Power: 20
после перехожу во вкладку Datapath (меню CAPsMAN) — Add и создаю новую конфигурацию:
- Name: datapath_dom-1
- Bridge: Bridge_Wifi_DOM_1
после перехожу во вкладку Configurations (меню CAPsMAN) — Add и создаю новую конфигурацию, вкладка Wireless
- Name: cfg_dom-1
- Mode: ap
- SSID: dom-1
- Max Station Count: 5
вкладка Channel:
- Channel: channel_dom-1 (выбираю, т. к. создал выше)
вкладка Datapath:
- Datapath: datapath1_dom-1 (выбираю, т. к. создал выше)
вкладка Security:
- Security: dom-1 (выбираю, т. к. создал выше)
Отлично на этом настройки окончены.
Теперь нужно на интерфейс добавленного устройства (Mikrotik RB951Ui-2Hnd) нацепить конфигурацию созданную выше:
Interface — выделяем cap1 -Add – Interfaces — вкладка Genaral:
- Name: CAP1-DOM-1
- MAC ADDRESS: E4:8D:8C:B6:6B:98
- RADIO MAC: E4:8D:8C:B6:6B:98
- Master Interface: cap1
В итоге получиться следующее:
ну а дальне нужно в новом интерфейсе прописать настройки конфигурации Wi-Fi
Вкладка Wireless
- Configuration: cfg_dom-1
Вкладка Channel
- Channel: channel_dom-1
Вкладка Datapath
- Datapath: datapath1_dom-1
Вкладка Security
- Security: dom-1
и нажимаю Apply — OK
Теперь проверяю со своего телефона (Huawei Honor C5), что включив Wifi–модуль я вижу точку доступа с именем SSID равным dom-1, выбираю ее и ввожу пароль: Aa1234567+ и нажимаю «Подключить», успешно подключен.
Увидеть кто подключен к какой точке доступа можно на главном Mikrotik если открыть через winbox меню CAPsMAN вкладка Registration Table
Если же нужно, а это нужно подключаться из основной сети к той что за Wi-Fi подключение, то на главном Mikrotik нужно прописать маршрут до нее:
IP — Routes — Add
- Dst. Address: 192.168.10.0/24
- Gateway: 192.168.1.129 (IP адрес Mikrotik RB951Ui-2Hnd)
Проверяю:
[ekzorchik@mikrotik] > ping 192.168.10.20
SEQ HOST SIZE TTL TIME STATUS
0 192.168.10.20 56 64 50ms
1 192.168.10.20 56 64 251ms
sent=2 received=2 packet-loss=0% min-rtt=50ms avg-rtt=150ms max-rtt=251ms
Как видно пакеты ходят, а значит и я со своего ноутбука смогу получить к этой сети доступ:
ekzorchik@server:~$ ping 192.168.10.20
PING 192.168.10.20 (192.168.10.20) 56(84) bytes of data.
64 bytes from 192.168.10.20: icmp_seq=1 ttl=63 time=3.86 ms
64 bytes from 192.168.10.20: icmp_seq=2 ttl=63 time=251 ms
Итого: я получил в свое расположение сеть на устройствах Mikrotik, задействование технологии CAPsMAN где могу создать различные конфигурации для Wi-Fi сетей и получать к ним доступ и они ко мне, если же нужно запретить доступ из них в главную сеть, то делаем правило на главном Mikrotik:
IP — Firewall — Address Lists — Add
- Name: NoNetwork
- Address: 192.168.1.181
IP — Firewall — вкладка Filter Rules — Add — вкладка General
- Chain: forward
- Src. Address: 192.168.10.0/24
вкладка Advanced
- Dst. Address List: ! NoNetwork
вкладка Action
- Action: drop
Теперь если с мобильного устройства посредством различных приложений (PingTools) выполнить ICMP запрос в основную сеть, к примеру узлу 192.168.1.181, то ничего не удастся. Только не надо указывать всю подсеть иначе доступа в интернет также не будет.
Меня такая возможность и работа устраивает, но вот последнее правило мне не к чему, да и подобрать пароли к моим различным Wi-Fi сетям для различных целей будет проблематично, если мне срочно понадобится закрытая сеть, то я ее создам на подобии как я уже делал в этой заметке.
Вот собственно и всё, может показать что все сложно, но нет — Вам же достаточно купить себе Mikrotik и начать хотя бы повторять заметки за мной, а после вы уже сами будете строить сети/безопасность как Вам будет удобнее с уважением автор блога Олло Александр aka ekzorchik.