Základy Mikrotiku #7 Module 5: Wireless, Wireless Standards, 2.4Ghz Channels, 5Ghz Channels, Country Regulations, Radio Name, Wireless Chains, Tx Power,

Wireless

Mikrotik RouterOS poskytuje kompletní podporu pro standardy IEEE 802.11a/n/ac (v 5Ghz pásmu) a 802.11b/g/n (ve 2.4Ghz pásmu).

Bezdrátové standardy

  • 802.11a  frekvence 5Ghz rychlost 54Mbps
  • 802.11b  frekvence 2.4Ghz rychlost 11Mbps
  • 802.11g  frekvence 2.4Ghz rychlost 54Mbps
  • 802.11n  frekvence 2.4 a 5Ghz rychlost až 450Mbps (u rychlosti záleží však na Routerboardu)
  • 802.11ac  frekvence 5Ghz rychlost až 1300Mbps (u rychlosti záleží však na Routerboardu)

2.4Ghz kanály

13x22Mhz kanálů (většina světa). 3 vzájemně se nepřekrývající kanály (1,6,11), 3 Access Pointy (dále jen AP) mohou pokrývat stejnou oblast bez vzájemného rušení.

USA má 11 kanálů, Japonsko má 14 kanálů. Šířka kanálu je 20Mhz, 2Mhz zbývá jako „guard band“ (u standardu 802.11b).
802.11g má 20Mhz šířku, 802.11n 20/40Mhz šířku.

5Ghz kanály

RouterOS podporuje plný rozsah 5Ghz frekvencí.
5180-5320Mhz (kanály 36 – 64)
5500-5720Mhz (kanály 100-144)
5745-5825 (kanály 149-165)
Opět to není po celém světě stejné, rozdílnosti záleží na regulacích jednotlivých států a teritorií.

  • 802.11a šířka pásma = 20Mhz
  • 802.11n šířka pásma = 20Mhz i 40Mhz
  • 802.11ac šířka pásma = 20Mhz, 40Mhz. 80Mhz, 160Mhz (proto dokáže dosahovat tak velkých rychlostí ve srovnání s ostatními standardy)

Country Regulations

Jedna z nejdůležitějších vychytávek u mikrotiku. Tímto si pohlídáte, aby Váš mikrotik nezářil víc, než povoluje konkrétní regulace v daném státě. Tím se vyhnete případným pokutám či právním problémům. Dokonce i když nastavíte mikrotiku, aby zářil dvojnásobek, co povoluje daná země, kterou jste si nastavili ve:

wireless/2x kliknutím na wlan1/tlačítko advanced mode / country: Czech republic

tak i přesto Váš mikrotik nebude svítit více, než povoluje nastavení v country: Czech republic, což je 20 dBm.

cl7_country_regulations

 

Dynamic Freqency Selection (DFS)

je vychytávka, která umožňuje detekci radarů v 5Ghz pásmu a tedy možnost utéct z kanálu kde vysílá nějaký radar, na volný kanál. Některé kanály mohou být použity pouze tehdy, když je funkcionalita DFS zapnuta. (V EU: 52-140, US: 50-144 kanál).

cl7_dfs

Radio Name

defaultně je Radio Name mac adresa (V mém případě D4CA6DD72F4D). NEsplést s SSID! Je to viditelné pouze mezi RouterOS-RouterOS zařízeními, může být vidět ve Wireless Tables. (kam se dostanete když v levém menu kliknete na Wireless). Nastavíte ho ve stejném advanced menu, jako v předchozí případech a screenshotech.

Wireless Chains

802.11n uvádí koncept MIMO (ne mimo jako mimo ale Multiple In and Multiple Out – vícenásobný vstup a vícenásobný výstup, když to přeložím hodně tupě).
V princip jde o paralelní posílání a příjem dat skrze více „rádií“/antén. //pokud to tady uvádím nepřesně, prosím, opravte mě v komentáři pod článkem, rád to uvedu na pravou míru.
Bez MIMO by 802.11n dosahovala pouze rychlosti 72.2Mbps.

Tx Power

Jedna z nejdůležitějších praktik při nastavování wifiny do domácností. Kdekoliv mohu, nastavím si v Wireless/2x kliknutím na wlan1/tlačítko advanced mode/ záložka Tx power následující nastavení:

Tx power mode: All rates fixed

Tx Power: defaultně je tam tuším 17 (v případě mého mikrotiku, právě jsem na RB951Ui-2HnD), já nastavuji 0 a úplné minimum je -30  (v případě mého mikrotiku).

Počítání Dbm na Watty mrkněte na tento odkaz na online kalkulačku dbm to watts.

V případě hodnoty -30 dBm = 0.000001 W. Což bohatě stačí na pokrytí jedné místnosti v malém bytě a občas to dosáhne i do vedlejší místnosti. Když jsem se ale ptal na podrobnosti, tak jsem se dozvěděl, že v nějaké (snad to už opravili) verzi RouterOS či Winboxu je bug, který bez ohledu na to, jak nízkou hodnotu nastavíte, tak to stejně nastaví nejnižší hodnotu okolo 5dbm, ikdyž vám to spolkne -30. Co je na tom pravdy, nebo jak moc se mikrotik od roku 2015 v tomto změnil, to nejsem schopen říct a opět to nechme na diskusi pod článkem.

Když bude hodnota 0 dBm je výsledek stále „zdravých“ 0.001 W.

U hodnoty 17 dBm (což je default) už je to 0.050118723363 W (nezapomeňme, že nějaký zisk udělá i anténa). V případě 20 dBm už pálíte 0.1W. Diskuse jsou vleklé, někdo říká, že to je nula nula nic. Někdo zase říká, že byste rozhodně v takové místnosti neměli spát. Fakta jsou taková, že koho znám, kdo někde pracoval na radarech, nebo montoval silnější wifiny někde na straně poskytovatele několik let, tak v případě mužů se mu rodí pouze dcery a pokud se někomu narodil syn, tak měl nějakou genetickou vadu či mentální postižení (statistická odchylka nebo výjimka se najít může, opět to nechme na diskusi pod článkem). V mém případě wifi zapínám pouze pro návštěvy a pálím na 0 dBm, na tu místnost to stačí a nepálím to navíc k sousedům, tudíž by to mělo být i „bezpečnější“, protože signál, který k Vám nedoletí nemůžete odposlouchávat, stejně tak se na takovou wifinu budete těžko připojovat, když k Vám nedoletí signál. Co mohu, to tahám po kabelech. Získávám tím větší stabilitu, bezpečnost, rychlost. Přece jen 1 gbps po kabelu je lepší než 150 nebo 300mbps po wifi.

cl7_txpower

 

802.11n kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11n kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 3 dBm
802.11n kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 5 dBm

802.11ac kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power -3dBm, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power -5dBm, celkový výkon se rovná nastavené hodnotě v Tx Power

Rx Sensitivity

Receiver sensitivity (citlivost příjemce) je nejnižší power level, na kterém interface (rozhraní) dokáže ještě rozpoznat/detekovat nějaký signál.
Při srovnání RouterBoardů tato hodnota by měla být brána na vědomí vzhledem k plánovanému použití.
Menší Rx sensitivita threshold (práh citlivosti příjemce) znamená lepší detekci signálu.

Wireless Station

Wireless station (bezdrátová stanice) je klient (notebook, telefon s wifi, router).
Na routerOS tomuto módu nastavení odpovídá Mode station.

cl7_station

Všimněte si na screenshotu:

Mode: station
SSID: Jakékoliv jméno si tam napíšete, takové uvidí klienti jakožto název wifi.
country: Czech republic (pakliže se nacházím v české republice, pokud jste slovák, dejte si tam Slovakia). Tady jsou limity v pdf pro celý svět pro každou zemi. Slováci mají jiné limity než my, pozor na to.

Security profile: Wireless/ otevře se Vám Wireless Tables kliknete na záložku Security Profiles a 2x kliknete na default, případně založíte nový profil tlačítkem +.

cl7_security_profile

Mode: Dynamic Keys

Authentication Types: Wpa PSK a WPA2 PSK a tam kde je WPA Pre-Shared Key a WPA2 Pre-Shared Key si nastavíte heslo pro přístup do wifi sítě. „to heslo na wifinu, které pak řeknete tomu, kdo se na wifi potřebuje připojit).
Mikrotik toho umí strašně moc, proto si tu probereme jen základy. Do WPA a WPA2 Pre-Shared Key si nastavíme třeba heslo mikrotik123mikrotik456 (na zkoušku).

Security

Pouze WPA (WiFi Protected Access) nebo WPA2 by měl být používán. Já tam zaškrtnu vždycky obě kvůli starším zařízením, která třeba WPA2 nemusí vůbec umět. V oficiálních materiálech se uvádí buď WPA nebo WPA2.
WPA-PSK nebo WPA2-PSK používají AES-CCM šifrování. Radu v podobě „používejte dlouhý a silný klíč“ nemusím snad neustále opakovat.

Access Point (Ap bridge)

přepneme si WiFi v sekci wireless/2x kliknutí v záložce interfaces na wlan1/záložka Wireless na Mode: ap bridge.
cl7_clientA už se můžeme připojit na naši vlastní wifi.  Potom co se připojíme s nějakým koncovým zařízení na náš mikrotik, tak ve Wireless/ v záložce Registration již uvidíme klienta, na kterého když klikneme pravým tlačítkem myši a vybereme možnost Copy to Connect List, dostane se nám klient do connect listu.

Connect List

cl7_connect_list

Kde už s ním můžeme provádět cokoliv se nám zlíbí. Můžeme ho zakázat, povolit, přidat si k němu komentář (třeba že to je tchýně), pravidlo můžeme zakázat či povolit (pokud jsme tedy někde na někoho aplikovali nějaké pravidlo, můžeme provedené změny anulovat a udělat z uživatele běžného uživatele s běžným heslem, jako mají ostatní) Nebo si můžeme pro jednotlivé klienty přiřadit jejich vlastní tajná hesla pro přístup do naší wifiny, pakliže na řádek se záznamem poklikáme 2x, objeví se nám následující okno:

cl7_station_Connect_rule

Pokud si tedy vytvoříme vlastní Security profile, můžeme mít klidně co klient, to vlastní heslo, či jiný způsob autentizace.

 

WPS

WiFi Protected Setup (Dále jen WPS) je funkcionalita pro běžný přístup na WiFi bez nutnosti zadávat heslo. RouterOS podporuje obojí možnosti využití WPS, jak pro AP, tak jako WPS client pro station módy. (módy, kdy se chová náš mikrotik jako koncová stanice). Moje rada do praxe – nepoužívat, není to bezpečné a často se na to útočí.

WPS Accept

K povolení přístupu uživatele můžete využití WPS accept button (WPS tlačítko přímo na routeru).
Když tlačítko zmáčknete, umožní připojení na AP zhruba na 2 minuty, nebo dokud se stanice nepřipojí. WPS tlačítko musíte zmáčknout pokaždé, kdykoliv se připojuje nějaké nové zařízení do WiFi sítě. Pro každé zařízení se WPS tlačítko zmáčkne pouze jednou. Všechny RouterOS zařízení s WiFi rozhraním (WiFi interface) má i virtuální WPS push button (virtuální WPS tlačítko). Některé (zejména ty naše domácí mají wps tlačítko přímo na svém těle. Obvykle blízko portu k napájení, nebo mezi portem napájení a prvním ether1 portem.

Virtual WPS Button (virtuální WPS tlačítko) je k dispozici v levém menu v QuickSet /WPS Accept, ale musíte mít povolen příslušný balíček. Na mém mikrotiku to nikde nevidím, takže to bdu mít nejspíš zakázané tím, že nemám naloadovaný balíček, který to umožňuje. RouterOS nepodporuje insecure PIN mode (Nezabezpečený PIN mód). WPS client je podporován většinou operačních systémů.

V LABu si nakonfigurujte routerboard, pak si nakonfigurujte Wifi a na tu se připojte potom, co odpojíte kabel. Když se dostanete na wifi, tak si pohrajte s možností Connect List, Registration atd…

Registration

Do registration se dostaneme přes Wireless/ objeví se Wireless Tables a tam klikneme na záložku Registration/ V registration 2x poklikáme na konkrétního připojeného klienta a na záložce signal vidíme jeho sílu signálu, kvalitu, útlum a další užitečné věci. V registration vidíme všechny aktuálně připojené klienty na wifi. Můžeme ho pingnout, zkopírovat do Access Listu, Connect Listu atd… NA záložce statistics už vidíme kolik packetů (Packets) , rámců (Frames) si APčko s klientem poslalo a jaké jsou Tx a Rx rychlosti aktuální a maximální.

 

cl7_registration

Access List

Pokud si klienta zkopírujeme pravým tlačítkem v Registration do access list (Copy to Access list), tak v Access Listu si můžeme vykopírovat jeho MACovku pro další účely, můžeme ho v případě potřeby přesunout na jiný interface (pakliže je to možné, já mám jen wlan1 takže tam si moc nevyberu), zakšrtnu jestli chci aby se mohla autentizovat vůči APčku, nebo dokonce omezit čas, odkdy dokdy se klient může připojit, který den v týdnu. Mohu mu nastavit osobní Pre-Shared Key a mohu nastavit, jestli může forwardit data s ostatními uživateli na síti, nebo jestli se bude bavit pouze s APčkem a s nikým jiným. Stejně tak mohu klientovi na tvrdo nastavit Tx limit na straně AP nebo na straně klienta, jakou rychlostí bude komunikovat. V možnostech nastavení je zkrátka mikrotik fantastický.

cl7_access_list

 

Default Authenticate

Vraťme se k prvnímu screenshotu pod nadpisem Acess Point (AP bridge), tam vidíme na spod kolonku k zaškrtnutí „Default Authenticate“. Defaultně je povolená a uživatelům je umožněn vstup do Wifi a autentizace skrze heslo. Pokud je nějaký klient (dříve autentizovaný a vpuštěný do sítě a zaznamenaný v Access či Connect Listu) tak pro něj platí pravidla v Connect či Access listu, pokud v těchto listech uveden není, platí pro něj defaultní Security profile (bezpečnostní profil). Pokud default authentication je zakázán (tedy NEzaškrtnutý, prázdný), tak se připojí pouze klienti, kteří mají záznam povolený v Access či Connect listu a nikdo jiný se tam nedostane, i kdyby měl správné heslo.

Default Forward

Kolonka hned pod Default Authenticate na stejném místě ve Wireless/interfaces/wlan1 2x kliknout / Advanced Mode.

Když je to zaškrtnuté, mohou se spolu bavit a komunikovat autentizovaní klienti uvnitř vaši WiFi sítě. Když to zaškrtnete, tak bude umožněna komunikace pouze klient vs. AP ale už nikoliv Klient – AP – Klient (tedy myšleno klient vs. klient). Když kolonka Default Forward zůstane NEzaškrtnutá, prázdná, tak si klienti na Vaši síti mezi sebou counter-strike rozhodně nezahrají, protože se budou moci bavit pouze s APčkem a z vnějším světem, ale nikoliv mezi sebou. Vychytaná věc. 😉

 

 

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

1 × 2 =