Настройка MikroTik hAP ax³

Настройка MikroTik hAP AX3 с функцией контроллера Wi-Fi, а так же работа трех провайдеров с автоматическим переключением и LAG на коммутатор с Vlan’ами.

Точки доступа WiFi управляемые общим контроллером, маркетинг называет MESH системой, но MESH никак не относится к управлению WiFi, а является технологией построения сетей.

Данная статья по настройке применима к любому MikroTik на RouterOS 7, за исключением особенностей WiFi AX на Wave2.

Реальная пропускная способность намного больше b/g/n/ac. Тесты на домашнем тарифе 600Мбит.

Тест на 5ГГц WiFi AX
Тест на 5ГГц
Тест на 2.4Ггц WiFi AX
Тест на 2.4Ггц

Содержание

Фотографии устройства

Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³

Данные для авторизации

Современные модели идут с язычком, где указан уникальный пароль от RouterOS и пароль WiFi

Настройка MikroTik hAP ax³

Как зайти на устройство

Стандартно через браузер http://192.168.88.1 или WinBox 192.168.88.1

Откройте статью ниже, чтобы узнать об этом подробнее. Все настройки будут выполняться через WinBox!

Обновление прошивки

hAP AX3 имеет архитектуру процессора arm64, для него скачаем свежую прошивку на сайте https://mikrotik.com/download

Настройка MikroTik hAP ax³

Нам нужна Stable ветка, версия ARM64 — Main и Extra package

На hAP AX3 откат на RouterOS 7 невозможен!

Разархивируем файлы Extra packages. Перетягиваем в WinBox routeros-7.10.2-arm64.npk и wifiwave2-7.10.2-arm64.npk из архива, затем перезагружаем MikroTik

Либо подключаете 1 порт hAP AX3 в домашнюю сеть и обновляете через System > Packages

Настройка MikroTik hAP ax³

Обновление загрузчика

Настройка MikroTik hAP ax³
System > RouterBOARD > Upgrade

Можно не перезагружаться, а сразу сбрасывать настройки

Сброс настроек

Настройка MikroTik hAP ax³

Подключения по mac адресу

Настройка MikroTik hAP ax³
Маршрутизатор стал без IP адреса, выбираем MAC и подключаемся по нему
Настройка MikroTik hAP ax³
И сразу меняем пароль

Подготовка портов для LAN

Так как у нас будет 3 оператора, все подключены через тегирование в Vlan. 1 порт выделяем под оператора, 2-3 под локальную сеть, и 4-5 под LACP для подключения к коммутатору. Остальные 2 и 3 операторы будут по Vlan на коммутаторе. При данной схеме подключения все операторы могут быть подключены в любой порт локальной сети с соответствующей настройкой Vlan на данном порту.

Собираем LACP

Настройка MikroTik hAP ax³
Interfaces > Bonding

Сборка bridgeLAN

Настройка MikroTik hAP ax³
Bridge > Bridge
Настройка MikroTik hAP ax³
И сразу активируем VLAN Filtering
Настройка MikroTik hAP ax³
В bridgeLAN соберем ether2, ether3 и bonding_4-5

Выделение Vlan’ы

Так как сеть с закосом под корпоративный уровень, будет несколько Vlan’ов.

Vlan1-LAN

Он же Native Vlan, или просто локальная сеть без Vlan. Будет использована для подключения всех подряд, пока не настроен конкретный Vlan под устройство.

Vlan3-MGMT

Vlan управления сетевыми устройствами (коммутаторы, маршрутизаторы, точки доступа, ИБП и серверами)

Vlan_X-ISP_X

Использование Vlan для операторов позволяет быстро переносить подключение в другой порт, или даже в другой коммутатор, куда прокинут нудный Vlan. В продуктовой среде операторы подключаются через LAG (LACP) на стекируемый коммутатор, тем самым получая отказоустойчивость линков.

Vlan11-ISP1

Заготовка, на случай перевода 1 оператора на Vlan, если понадобится сменить порт. Настроить можно по аналогии с Vlan12-ISP2. Провайдер дает белый статичный IP адрес по DHCP

Vlan12-ISP2

Запасной провайдер 2. Провайдер дает белый статичный IP адрес, настройки указываются вручную

Vlan13-ISP3

Запасной LTE оператор, работает по DHCP от любого MikroTik LTE или как самое дешевое решение — KuWifi

Vlan20-PC

Vlan для выделения компьютеров отельную сеть

Vlan21-VoIP

Vlan для IP телефонов

Vlan22-CAM

Vlan для видеонаблюдения

Vlan23-WiFi-EAP

Vlan для рабочего WiFi с доменной авторизацией

Vlan24-WiFi-WORK

Vlan для рабочего WiFi с PSK авторизацией

Vlan25-SRV

Серверная сеть

Vlan300-WiFi-GUEST

Vlan для гостевой сети

IP адресация

На все сети выделяем с запасом /19 маску, то есть 32 сети с /24 маской. Это позволит вырасти в не дробя адресацию. 10.88.0.0/19, где Vlan1 будет 10.88.1.0/24, Vlan3 — 10.88.2.0/24 и так по увеличению, а сервера Vlan25-SRV будут иметь более красивые адреса — 10.88.0.0/24. Только гостевая сеть будет не маршрутизируемой между другими сетями и имеет адресацию 172.17.0.0/24

Подготовка запланированных Vlan’ов

Создаем Vlan’ы

Настройка MikroTik hAP ax³
Interfaces > VLAN
Создаются планируемые интерфейсы

Активируем Vlan’ы

Так как у нас включен Bridge VLAN Filtering, нужно активировать созданные Vlan’ы и приземлить операторские Vlan’ы на порты и сделать танковым bonding порты 4+5

Настройка MikroTik hAP ax³
Bridge > VLANs
Под копирку все Vlan’ы приземляет тэгом на bridgeLAN чтобы трафик Vlan заходил на процессор и на bonding_4-5, чтобы заходил на коммутатор

Вешаем Vlan’ы на порты

1 порт — оператор 1

Настройка MikroTik hAP ax³

2 порт — оператор 2

Настройка MikroTik hAP ax³
Вешаем Vlan12 и admit only untagged and priority tagged

3 порт — локальная сеть

Настройка MikroTik hAP ax³
Native Vlan1, admit all разрешает все Vlan’ы

4-5 порт — транк

Настройка MikroTik hAP ax³
Native Vlan1, admit all разрешает все Vlan’ы

Вешаем IP адреса на Vlan’ы

Настройка MikroTik hAP ax³
IP > Addresses
2 оператор у нас статика, повесим сразу адрес

Собираем Vlan’ы в группы

Создаем листы WAN-ALL, WAN1, WAN4, WAN3, LAN, GUEST

Настройка MikroTik hAP ax³
Interfaces > Interface List > List
Настройка MikroTik hAP ax³
Где WAN-ALL содержит листы WAN1…3
Настройка MikroTik hAP ax³
И добавляем интерфейсы в созданные листы

Можно выделить лист MGMT, сделать DZM зону, но это тема остальной статьи.

Настройка DHCP

Быстрой нас тройкой в IP > DHCP Server > DHCP Setup

Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Настройка MikroTik hAP ax³
Делаем DHCP для всех Vlan локальной сети, даже для Vlan3 управления
Настройка MikroTik hAP ax³
IP > Pool
Указываем названия пулов к интерфейсам

DHCP телефонии

Сразу создадим DHCP опцию для всех DHCP, что IP телефон должен попадать в Vlan21-VoIP

Настройка MikroTik hAP ax³
IP > DHCP Server > Options
Настройка MikroTik hAP ax³
И применим к DHCP Vlan20-PC

Настройка DNS

Либо

Настройка Firewall

Сразу настроим базовые межсетевой экран на основе интерфейс-листов

Настройка MikroTik hAP ax³
Но с некоторыми изменениями. Разбор firewall тема даже не статьи, а курса MTCTCE
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="GUEST only WAN-ALL" in-interface-list=GUEST out-interface-list=!WAN-ALL
add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN-ALL

Настройка NAT

Настройка MikroTik hAP ax³
И настроим NAT для всех операторов сразу. Massuerade исправим при настройке операторов.
/ip firewall nat
add action=masquerade chain=srcnat comment=WAN1 ipsec-policy=out,none out-interface-list=WAN1
add action=masquerade chain=srcnat comment=WAN2 ipsec-policy=out,none out-interface-list=WAN2
add action=masquerade chain=srcnat comment=WAN3 ipsec-policy=out,none out-interface-list=WAN3

Подготовка портов для WAN

Настраиваем оператора 1

По классической домашней IPoE схеме настраиваем в качестве DHCP клиента

Настройка MikroTik hAP ax³
IP > DHCP Client
Отключаем получение маршрута по умолчанию (Add Default Route), если у вас будет несколько операторов
Если один оператор — ставьте получение этих опций по умолчанию

Если оператор выдает статику, то исправляем NAT

Настройка MikroTik hAP ax³
Меняем настройку NAT оператора на src-nat

Настраиваем оператора 2

Оператор предоставляет белую статику

Настройка MikroTik hAP ax³
IP > Addresses
Указываем выданные оператором IP и маску

Для пересчета маски и ip адресов используйте IP калькулятор, например ip-calculator.ru

Настройка MikroTik hAP ax³
Аналогично правим NAT для WAN2

Настраиваем оператора 3

Настройка MikroTik hAP ax³
KuWifi или MikroTik LTE kit отдает DHCP, его и принимаем

Для 3 резерва по минимальной стоимости можно использовать 3G/4G WiFi роутер KuWifi, для 2 резерва лучше взять LHG LTE6 kit

Настройка MikroTik hAP ax³
Для WAN3 IP адрес динамический, оставляем маскарад

Настройка Wi-Fi

CAPsMAN для старых точек

Для работы WiFi AX нужен пакет Wave2

Настройка MikroTik hAP ax³
System > Packages

На монет написания этой статьи, Wave2 поддерживает только WiFi AX, если у вас имеются точки доступа не AX, то для них CAPsMAN делается на отдельной железке, например на одной из точек.

CAPsMAN WiFi AX

Так как у нас новый маршрутизатор с поддержкой AX, который работает только с пакетом Wave2, настроим его.

Настройка тенят так же на отдельную статью аналогично MultiWAN

/interface wifiwave2 channel
add band=5ghz-ax disabled=no name=5-AX width=20/40/80mhz
add band=2ghz-ax disabled=no name=2-AX width=20/40mhz
/interface wifiwave2 security
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no group-encryption=ccmp group-key-update=30m name=wpa2-wpa3-ccmp passphrase=настройка-микротик.рф
/interface wifiwave2
set [ find default-name=wifi1 ] configuration=1Side-AX_5-local configuration.mode=ap disabled=no
set [ find default-name=wifi2 ] configuration=1Side-AX_2-local configuration.mode=ap disabled=no
/interface wifiwave2 cap
set discovery-interfaces=bridgeLAN enabled=yes
/interface wifiwave2 capsman
set ca-certificate=auto enabled=yes interfaces=bridgeLAN package-path="" require-peer-certificate=no upgrade-policy=none
/interface wifiwave2 configuration
add channel=2-AX datapath=datapathLAN disabled=no manager=capsman-or-local mode=ap name=1Side-AX_2 security=wpa2-wpa3-ccmp ssid=1Side-AX_2
add channel=5-AX datapath=datapathLAN disabled=no manager=capsman-or-local mode=ap name=1Side-AX_5 security=wpa2-wpa3-ccmp ssid=1Side-AX_5
add channel=2-AX datapath=datapathLAN disabled=yes manager=capsman mode=ap name=cfg1 security=wpa2-wpa3-ccmp ssid=1Side-AX_2
add channel=5-AX datapath=datapathLAN disabled=yes manager=capsman mode=ap name=cfg2 security=wpa2-wpa3-ccmp ssid=1Side-AX_5
add channel=2-AX datapath=datapathLAN disabled=no manager=local mode=ap name=1Side-AX_2-local security=wpa2-wpa3-ccmp ssid=1Side-AX_2
add channel=5-AX datapath=datapathLAN disabled=no manager=local mode=ap name=1Side-AX_5-local security=wpa2-wpa3-ccmp ssid=1Side-AX_5
/interface wifiwave2 datapath
add bridge=bridgeLAN disabled=no name=datapathLAN
add bridge=bridgeLAN disabled=no name=datapath_Vlan24-WiFi-WORK vlan-id=24
/interface wifiwave2 provisioning
add action=create-dynamic-enabled disabled=no master-configuration=1Side-AX_5 radio-mac=00:00:00:00:00:00 supported-bands=5ghz-ax
add action=create-dynamic-enabled disabled=no master-configuration=1Side-AX_2 radio-mac=00:00:00:00:00:00 supported-bands=2ghz-ax

Настройка переключения между операторами

1 оператор является основным, 2 резервным, а 3 самым крайним. При этом на запросы из вне должны отвечать все операторы со своих интерфейсов. Вся настройка вынесена в отдельную свежую статью, написанную под hAP AX3

Настройка безопасности

В данном примере сделаем только часть настроек

Усилить SSH и запретить Jump

Настройка MikroTik hAP ax³
IP > SSH
/ip ssh set strong-crypto=yes
/ip ssh set forwarding-enabled=no

Отключить тест скорости

Настройка MikroTik hAP ax³
Tools > BTest Server
/tool bandwidth-server set enabled=no

Ограничить обнаружение соседей в сети

Настройка MikroTik hAP ax³
IP > Neighbors
/ip neighbor discovery-settings set discover-interface-list=LAN

Отключить mac-server

Настройка MikroTik hAP ax³
Tools > MAC Server
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

QoS

Настроим базовый QoS, который «справедливо» поделит скорость поровну.

Настройка MikroTik hAP ax³
Устанавливаем Max Limit для каждого оператора относительно всей сети 0.0.0.0/0
Настройка MikroTik hAP ax³
И выставим pcq, который справедливо разделит скорость

Заключение

Правильная настройка MikroTik, как и других вендоров типа cisco и Huawei требует глубокого понимания работы сетей. Данная статья не имеет цели научить настраивать MikroTik, а показывает сколько действий нужно сделать, чтобы получить правильно настроенный маршрутизатор.