Wireless
Mikrotik RouterOS poskytuje kompletní podporu pro standardy IEEE 802.11a/n/ac (v 5Ghz pásmu) a 802.11b/g/n (ve 2.4Ghz pásmu).
Bezdrátové standardy
- 802.11a frekvence 5Ghz rychlost 54Mbps
- 802.11b frekvence 2.4Ghz rychlost 11Mbps
- 802.11g frekvence 2.4Ghz rychlost 54Mbps
- 802.11n frekvence 2.4 a 5Ghz rychlost až 450Mbps (u rychlosti záleží však na Routerboardu)
- 802.11ac frekvence 5Ghz rychlost až 1300Mbps (u rychlosti záleží však na Routerboardu)
2.4Ghz kanály
13x22Mhz kanálů (většina světa). 3 vzájemně se nepřekrývající kanály (1,6,11), 3 Access Pointy (dále jen AP) mohou pokrývat stejnou oblast bez vzájemného rušení.
USA má 11 kanálů, Japonsko má 14 kanálů. Šířka kanálu je 20Mhz, 2Mhz zbývá jako „guard band“ (u standardu 802.11b).
802.11g má 20Mhz šířku, 802.11n 20/40Mhz šířku.
5Ghz kanály
RouterOS podporuje plný rozsah 5Ghz frekvencí.
5180-5320Mhz (kanály 36 – 64)
5500-5720Mhz (kanály 100-144)
5745-5825 (kanály 149-165)
Opět to není po celém světě stejné, rozdílnosti záleží na regulacích jednotlivých států a teritorií.
- 802.11a šířka pásma = 20Mhz
- 802.11n šířka pásma = 20Mhz i 40Mhz
- 802.11ac šířka pásma = 20Mhz, 40Mhz. 80Mhz, 160Mhz (proto dokáže dosahovat tak velkých rychlostí ve srovnání s ostatními standardy)
Country Regulations
Jedna z nejdůležitějších vychytávek u mikrotiku. Tímto si pohlídáte, aby Váš mikrotik nezářil víc, než povoluje konkrétní regulace v daném státě. Tím se vyhnete případným pokutám či právním problémům. Dokonce i když nastavíte mikrotiku, aby zářil dvojnásobek, co povoluje daná země, kterou jste si nastavili ve:
wireless/2x kliknutím na wlan1/tlačítko advanced mode / country: Czech republic
tak i přesto Váš mikrotik nebude svítit více, než povoluje nastavení v country: Czech republic, což je 20 dBm.
Dynamic Freqency Selection (DFS)
je vychytávka, která umožňuje detekci radarů v 5Ghz pásmu a tedy možnost utéct z kanálu kde vysílá nějaký radar, na volný kanál. Některé kanály mohou být použity pouze tehdy, když je funkcionalita DFS zapnuta. (V EU: 52-140, US: 50-144 kanál).
Radio Name
defaultně je Radio Name mac adresa (V mém případě D4CA6DD72F4D). NEsplést s SSID! Je to viditelné pouze mezi RouterOS-RouterOS zařízeními, může být vidět ve Wireless Tables. (kam se dostanete když v levém menu kliknete na Wireless). Nastavíte ho ve stejném advanced menu, jako v předchozí případech a screenshotech.
Wireless Chains
802.11n uvádí koncept MIMO (ne mimo jako mimo ale Multiple In and Multiple Out – vícenásobný vstup a vícenásobný výstup, když to přeložím hodně tupě).
V princip jde o paralelní posílání a příjem dat skrze více „rádií“/antén. //pokud to tady uvádím nepřesně, prosím, opravte mě v komentáři pod článkem, rád to uvedu na pravou míru.
Bez MIMO by 802.11n dosahovala pouze rychlosti 72.2Mbps.
Tx Power
Jedna z nejdůležitějších praktik při nastavování wifiny do domácností. Kdekoliv mohu, nastavím si v Wireless/2x kliknutím na wlan1/tlačítko advanced mode/ záložka Tx power následující nastavení:
Tx power mode: All rates fixed
Tx Power: defaultně je tam tuším 17 (v případě mého mikrotiku, právě jsem na RB951Ui-2HnD), já nastavuji 0 a úplné minimum je -30 (v případě mého mikrotiku).
Počítání Dbm na Watty mrkněte na tento odkaz na online kalkulačku dbm to watts.
V případě hodnoty -30 dBm = 0.000001 W. Což bohatě stačí na pokrytí jedné místnosti v malém bytě a občas to dosáhne i do vedlejší místnosti. Když jsem se ale ptal na podrobnosti, tak jsem se dozvěděl, že v nějaké (snad to už opravili) verzi RouterOS či Winboxu je bug, který bez ohledu na to, jak nízkou hodnotu nastavíte, tak to stejně nastaví nejnižší hodnotu okolo 5dbm, ikdyž vám to spolkne -30. Co je na tom pravdy, nebo jak moc se mikrotik od roku 2015 v tomto změnil, to nejsem schopen říct a opět to nechme na diskusi pod článkem.
Když bude hodnota 0 dBm je výsledek stále „zdravých“ 0.001 W.
U hodnoty 17 dBm (což je default) už je to 0.050118723363 W (nezapomeňme, že nějaký zisk udělá i anténa). V případě 20 dBm už pálíte 0.1W. Diskuse jsou vleklé, někdo říká, že to je nula nula nic. Někdo zase říká, že byste rozhodně v takové místnosti neměli spát. Fakta jsou taková, že koho znám, kdo někde pracoval na radarech, nebo montoval silnější wifiny někde na straně poskytovatele několik let, tak v případě mužů se mu rodí pouze dcery a pokud se někomu narodil syn, tak měl nějakou genetickou vadu či mentální postižení (statistická odchylka nebo výjimka se najít může, opět to nechme na diskusi pod článkem). V mém případě wifi zapínám pouze pro návštěvy a pálím na 0 dBm, na tu místnost to stačí a nepálím to navíc k sousedům, tudíž by to mělo být i „bezpečnější“, protože signál, který k Vám nedoletí nemůžete odposlouchávat, stejně tak se na takovou wifinu budete těžko připojovat, když k Vám nedoletí signál. Co mohu, to tahám po kabelech. Získávám tím větší stabilitu, bezpečnost, rychlost. Přece jen 1 gbps po kabelu je lepší než 150 nebo 300mbps po wifi.
802.11n kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11n kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 3 dBm
802.11n kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 5 dBm
802.11ac kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power -3dBm, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power -5dBm, celkový výkon se rovná nastavené hodnotě v Tx Power
Rx Sensitivity
Receiver sensitivity (citlivost příjemce) je nejnižší power level, na kterém interface (rozhraní) dokáže ještě rozpoznat/detekovat nějaký signál.
Při srovnání RouterBoardů tato hodnota by měla být brána na vědomí vzhledem k plánovanému použití.
Menší Rx sensitivita threshold (práh citlivosti příjemce) znamená lepší detekci signálu.
Wireless Station
Wireless station (bezdrátová stanice) je klient (notebook, telefon s wifi, router).
Na routerOS tomuto módu nastavení odpovídá Mode station.
Všimněte si na screenshotu:
Mode: station
SSID: Jakékoliv jméno si tam napíšete, takové uvidí klienti jakožto název wifi.
country: Czech republic (pakliže se nacházím v české republice, pokud jste slovák, dejte si tam Slovakia). Tady jsou limity v pdf pro celý svět pro každou zemi. Slováci mají jiné limity než my, pozor na to.
Security profile: Wireless/ otevře se Vám Wireless Tables kliknete na záložku Security Profiles a 2x kliknete na default, případně založíte nový profil tlačítkem +.
Mode: Dynamic Keys
Authentication Types: Wpa PSK a WPA2 PSK a tam kde je WPA Pre-Shared Key a WPA2 Pre-Shared Key si nastavíte heslo pro přístup do wifi sítě. „to heslo na wifinu, které pak řeknete tomu, kdo se na wifi potřebuje připojit).
Mikrotik toho umí strašně moc, proto si tu probereme jen základy. Do WPA a WPA2 Pre-Shared Key si nastavíme třeba heslo mikrotik123mikrotik456 (na zkoušku).
Security
Pouze WPA (WiFi Protected Access) nebo WPA2 by měl být používán. Já tam zaškrtnu vždycky obě kvůli starším zařízením, která třeba WPA2 nemusí vůbec umět. V oficiálních materiálech se uvádí buď WPA nebo WPA2.
WPA-PSK nebo WPA2-PSK používají AES-CCM šifrování. Radu v podobě „používejte dlouhý a silný klíč“ nemusím snad neustále opakovat.
Access Point (Ap bridge)
přepneme si WiFi v sekci wireless/2x kliknutí v záložce interfaces na wlan1/záložka Wireless na Mode: ap bridge.
A už se můžeme připojit na naši vlastní wifi. Potom co se připojíme s nějakým koncovým zařízení na náš mikrotik, tak ve Wireless/ v záložce Registration již uvidíme klienta, na kterého když klikneme pravým tlačítkem myši a vybereme možnost Copy to Connect List, dostane se nám klient do connect listu.
Connect List
Kde už s ním můžeme provádět cokoliv se nám zlíbí. Můžeme ho zakázat, povolit, přidat si k němu komentář (třeba že to je tchýně), pravidlo můžeme zakázat či povolit (pokud jsme tedy někde na někoho aplikovali nějaké pravidlo, můžeme provedené změny anulovat a udělat z uživatele běžného uživatele s běžným heslem, jako mají ostatní) Nebo si můžeme pro jednotlivé klienty přiřadit jejich vlastní tajná hesla pro přístup do naší wifiny, pakliže na řádek se záznamem poklikáme 2x, objeví se nám následující okno:
Pokud si tedy vytvoříme vlastní Security profile, můžeme mít klidně co klient, to vlastní heslo, či jiný způsob autentizace.
WPS
WiFi Protected Setup (Dále jen WPS) je funkcionalita pro běžný přístup na WiFi bez nutnosti zadávat heslo. RouterOS podporuje obojí možnosti využití WPS, jak pro AP, tak jako WPS client pro station módy. (módy, kdy se chová náš mikrotik jako koncová stanice). Moje rada do praxe – nepoužívat, není to bezpečné a často se na to útočí.
WPS Accept
K povolení přístupu uživatele můžete využití WPS accept button (WPS tlačítko přímo na routeru).
Když tlačítko zmáčknete, umožní připojení na AP zhruba na 2 minuty, nebo dokud se stanice nepřipojí. WPS tlačítko musíte zmáčknout pokaždé, kdykoliv se připojuje nějaké nové zařízení do WiFi sítě. Pro každé zařízení se WPS tlačítko zmáčkne pouze jednou. Všechny RouterOS zařízení s WiFi rozhraním (WiFi interface) má i virtuální WPS push button (virtuální WPS tlačítko). Některé (zejména ty naše domácí mají wps tlačítko přímo na svém těle. Obvykle blízko portu k napájení, nebo mezi portem napájení a prvním ether1 portem.
Virtual WPS Button (virtuální WPS tlačítko) je k dispozici v levém menu v QuickSet /WPS Accept, ale musíte mít povolen příslušný balíček. Na mém mikrotiku to nikde nevidím, takže to bdu mít nejspíš zakázané tím, že nemám naloadovaný balíček, který to umožňuje. RouterOS nepodporuje insecure PIN mode (Nezabezpečený PIN mód). WPS client je podporován většinou operačních systémů.
V LABu si nakonfigurujte routerboard, pak si nakonfigurujte Wifi a na tu se připojte potom, co odpojíte kabel. Když se dostanete na wifi, tak si pohrajte s možností Connect List, Registration atd…
Registration
Do registration se dostaneme přes Wireless/ objeví se Wireless Tables a tam klikneme na záložku Registration/ V registration 2x poklikáme na konkrétního připojeného klienta a na záložce signal vidíme jeho sílu signálu, kvalitu, útlum a další užitečné věci. V registration vidíme všechny aktuálně připojené klienty na wifi. Můžeme ho pingnout, zkopírovat do Access Listu, Connect Listu atd… NA záložce statistics už vidíme kolik packetů (Packets) , rámců (Frames) si APčko s klientem poslalo a jaké jsou Tx a Rx rychlosti aktuální a maximální.
Access List
Pokud si klienta zkopírujeme pravým tlačítkem v Registration do access list (Copy to Access list), tak v Access Listu si můžeme vykopírovat jeho MACovku pro další účely, můžeme ho v případě potřeby přesunout na jiný interface (pakliže je to možné, já mám jen wlan1 takže tam si moc nevyberu), zakšrtnu jestli chci aby se mohla autentizovat vůči APčku, nebo dokonce omezit čas, odkdy dokdy se klient může připojit, který den v týdnu. Mohu mu nastavit osobní Pre-Shared Key a mohu nastavit, jestli může forwardit data s ostatními uživateli na síti, nebo jestli se bude bavit pouze s APčkem a s nikým jiným. Stejně tak mohu klientovi na tvrdo nastavit Tx limit na straně AP nebo na straně klienta, jakou rychlostí bude komunikovat. V možnostech nastavení je zkrátka mikrotik fantastický.
Default Authenticate
Vraťme se k prvnímu screenshotu pod nadpisem Acess Point (AP bridge), tam vidíme na spod kolonku k zaškrtnutí „Default Authenticate“. Defaultně je povolená a uživatelům je umožněn vstup do Wifi a autentizace skrze heslo. Pokud je nějaký klient (dříve autentizovaný a vpuštěný do sítě a zaznamenaný v Access či Connect Listu) tak pro něj platí pravidla v Connect či Access listu, pokud v těchto listech uveden není, platí pro něj defaultní Security profile (bezpečnostní profil). Pokud default authentication je zakázán (tedy NEzaškrtnutý, prázdný), tak se připojí pouze klienti, kteří mají záznam povolený v Access či Connect listu a nikdo jiný se tam nedostane, i kdyby měl správné heslo.
Default Forward
Kolonka hned pod Default Authenticate na stejném místě ve Wireless/interfaces/wlan1 2x kliknout / Advanced Mode.
Když je to zaškrtnuté, mohou se spolu bavit a komunikovat autentizovaní klienti uvnitř vaši WiFi sítě. Když to zaškrtnete, tak bude umožněna komunikace pouze klient vs. AP ale už nikoliv Klient – AP – Klient (tedy myšleno klient vs. klient). Když kolonka Default Forward zůstane NEzaškrtnutá, prázdná, tak si klienti na Vaši síti mezi sebou counter-strike rozhodně nezahrají, protože se budou moci bavit pouze s APčkem a z vnějším světem, ale nikoliv mezi sebou. Vychytaná věc. 😉
Tak nevím, v režimu station se RB přepne do režimu klienta, tzn. mikrotik se připojuje k nějaké existující wifi. Takže klienti neuvidí nic. Podobně podle toho co jsem zjistil (metoda pokus omyl) tak connect list funguje pouze v režimu station. (mikrotik si vybírá ke kterému Ap se připojí), takže si myslím, že věta s tchýní je taky zavádějící.
Pozor, tady byla zmíněna dobrá poznámka. Jednotlivé režimy chování routeru mají vliv na všechny ostatní funkcionality winboxu, které s tím souvisejí. Proto Station je jen klient, který umožní za routerboard připojených zařízení např. po LAN připojit se skrze router, jehož wi-fi se připojí na nějakou jinou wifinu a umožní tak drátem připojeným klientům dosáhnout na Wi-Fi síť, na kterou se mikrotik připojuje svým bezdrátem.
Nejčastější domácí použití pro domácí router je ap bridge. Tedy Router je připojen kabelem do modemu, nebo do zásuvky směrem k poskytovateli za port 1 (WAN). zbývající porty počínajem portem č.2 už se jedná o místní LAN síť a AP Bridge znamená, že Wi-Fi klienti jsou v bridgi na stejné úrovni, jako klienti připojení přes LAN uvnitř domácí sítě. Popisované funkcionality zde odpovídají tomu, když je router v nastavení ap bridge. Děkuji proto za komentář, měl bych v článku zmínit, že se uvedené funkcionality mohou lišit v zájmu módu, v jakém router funguje.
(ap bridge, bridge, nstreme dual slave, station, station bridge, station pseudobridge, station pseudobridge clone, station wds, wds slave).
Zdravím, chtěl bych se zeptat ohledně nastavení země u mikrotiku. Při nastavení czech republic, začne mít iPhone problém a po chvíli se odpojí. Při přepnutí na united states, vše funguje jako předtím. Tento problém mají pouze zařízení Apple. Vadí, když budu používat united states?
Děkuji.
Je to dáno tím, že iPhone je původem americký přístroj a umí pracovat i s dalšími wi-fi frekvencemi mimo ty Evropské.
Zde je odkaz.
https://en.wikipedia.org/wiki/List_of_WLAN_channels
Pokud vám to proto nefunguje, nechal bych nastavení United States a czech republic bych dal pryč. Výhoda nastavení czech republic tkví v tom, že pokud byste nastavil aby pálil mikrotik na 24 dBm, tak to zredukuje na zákonné normy, které odpovídají české republice. Pokud jste někde v baráku na vesnici, tak to neřešíte, protože je minimální šance, že byste ohrožoval sousedy. V paneláku, pokud tím nikoho nebudete omezovat a nebude vám mikrotik pálit na 100%, ale třeba jen na pár Db třeba do 9 dBm bych se tím netrápil. Pokud jste poskytovatel wi-fi, tak bych z obav z pokut tam měl na pevno nastavenou czech republic.
V paneláku se vám taky může stát, že na frekvencích, na kterých umí fungovat iphone, jsou v totálně zarušeném pásmu od sousedů, což by odpovídalo tomuto chování. Na frekvencích, kam mikrotik umí utéct, zase nemusí umět fungovat iPhone. Proto nechte klidně USA a hlídejte si, abyste nepálil víc než na 17 až 19 dBm a bude to v pohodě.