Контакты и Сообщения 

Сколько подключений поддерживает mikrotik wap. Настройка MikroTik для соединения точка-точка. Выбор режима работы

На нагрузке ресивера вместе с активным сабвуфером IPPON Smart Winner 2000 до заряда 25% (по индикации самого ИБП) работал 2 часа 10 минут. Громкость была выставлена на оптимальный уровень для домашнего прослушивания музыки в помещении 20 квадратных метров. До 75% заряд опустился через час. Кстати, уровень в 50% был пройден гораздо быстрее. А до 25% заряд снижался заметно медленнее. Некоторое несоответствие, возможно, возникло из-за нюансов алгоритма индикации, а также специфики отдачи аккумуляторной батареи. В целом, согласитесь, продемонстрированные показатели весьма впечатляют. В случае полного обесточивания квартиры при наличии ЖК-телевизора можно будет посмотреть целый полнометражный фильм, да ещё и с surround-звуком. Правда, с плазмой такой фокус не пройдёт. Телевизоры данного типа кушают электроэнергию гораздо аппетитнее: 300–400 Вт по самым скромным оценкам. Следует отметить, что переход в режим питания от батареи (и обратно) у IPPON Smart Winner происходит совершенно незаметно для воспроизводимого звука. Ни одного щелчка или заикания!

На изначальной тестовой аудионагрузке следующий наш испытуемый – IPPON Smart Winner 750 – просто отказался работать: мгновенно загорелся светодиод перегрузки и, потрещав релюшками, ИБП впал в оцепенение. Пришлось отключить слишком прожорливый сабвуфер и перезапустить ИБП. Нагруженный лишь ресивером и DVD-плеером, IPPON Smart Winner 750 проработал до полного разряда примерно 1 час 15 минут. Любопытно, что через первые полчаса индикатор ИБП зафиксировал уже 50% заряда, довольно быстро проскочив отметку в 75%. Следующие полчаса заряд снижался до 25%. Оставшиеся 15 минут Smart Winner 750 беспрерывно пищал (отключить звуковой сигнал на этом уровне уже невозможно), но продолжал исправно запитывать полным ходом функционирующую аудиоаппаратуру. Увеличение уровня громкости, конечно, снижает продолжительность работы от батарей, но не прямо пропорционально. Например, вдвое большая громкость звука (по ощущениям на слух) ещё не означает, что потребление электроэнергии усилителем-ресивером возрастёт в два раза. Кстати, чем объёмнее помещение, тем больше нужно «вкачать» звука для адекватного восприятия громкости, и, соответственно, тем больше электроэнергии потребуется усилителю. То есть факторов – масса. Если же смотреть «со стороны» аккумуляторной батареи (то есть закрыв глаза на то, что именно запитывается), то работа при половинной нагрузке обычно в 4 раза дольше, чем при полной, а при 1 / 4 нагрузки – в 10 раз дольше.

Теперь перейдём к традиционной, то есть компьютерной, нагрузке. В процессе эксплуатации выявилась парочка мелких, но досадных моментов. Во-первых, изменить какие-либо параметры как ИБП, так и его ПО (как-то параметры управления ИБП и параметры завершения работы) под Windows, можно только работая в качестве администратора. Во-вторых, ИБП издаёт резкий, далеко слышимый писк как при включении-выключении (что нелогично), так и при аномальной ситуации (что логично), например, низком заряде батарей. Причём при включении кнопку запуска придётся держать более 3 секунд, на протяжении которых навязчивый звуковой сигнал не выключить. А после включения ИБП запускает автоматическое тестирование себя любимого, при котором мигают все лампочки по очереди и каждую секунду звучит всё тот же писк. Тихо-мирно выключить бесперебойник не получится: он в очередной раз напомнит о своём присутствии всем спящим и бодрствующим в течение нескольких секунд. Для офиса это нормально, а вот для домашних условий… Хорошо ещё, что при заряде батарей более 25% этот сигнал можно отключить прямо на блоке. Кстати, а если в промышленной стойке работают несколько ИБП? Эх, вот где не помешала бы полифония!

Есть ещё один нюанс: любая аккумуляторная батарея обладает саморазрядом. Соответственно, батареи обоих ИБП на практике редко заряжаются до 100%. Светодиодный индикатор на блоке, округляя до большего значения, показывает полную зарядку (то есть 100%), а согласно Winpower, заряд батареи, например, после остановки на ночь, составляет ~90%, тогда как при постоянной подзарядке батареи в режиме работы ИБП от сети «софт» показывал ~99%.

Кнопки «Настройка» и «Установка», расположенные на лицевой части того и другого ИБП, задействовать методом «проб и ошибок» можно, но всё же имеет смысл внимательно прочитать руководство пользователя (стр. 9). С помощью кнопок управления можно подобрать напряжение на ВЫХОДЕ ИБП, между 220, 230 или 240В, что может быть весьма полезно.

Однако отмеченные мелкие «ляпсусы», думаю, не сильно расстроят пользователей. Налицо такие немаловажные плюсы, как запас заряда батарей и стабильная работа, что и является самым главным.

Internet для современных людей стал не только незаменимым и необходимым атрибутом, но и предметом первой значимости, заменив собой большое количество других вещей, используемых ранее. Поэтому качественный и скоростной Интернет дорогого стоит. Для построения беспроводной сети необходимо только проверенное, надежное оборудование и интегратор, который воплотит Ваш проэкт. Приобрести необходимое сетевое оборудование wi fi для вашей сети в свободной продаже не так просто. Не теряйте Ваше время на поиски зря, обратитесь в Интернет магазин сайт . У нас вы найдете активное и пассивное оборудование в широком ассортименте от мировых брендов. Оборудование wi-fi для ресторана и гостиниц, витая пара для наружной прокладки, оптический кабель, PON оборудование, PON устройства, OLT устройства, оборудование CWDM и многoе другoе представлено в нашем он-лайн интернет каталоге Мстрим.

Мы сотрудничаем только с проверенными производителями ИТ рынка- Ubiquiti, Mikrotik, Cambium Networks, D-link, Hikvision, Furuno, Ajax, Ok-net, ICOM, Sailor, Zenitel, Cobham и именно по-этому все оборудование для радиосвязи, морской навигации, беспроводной или локальной сети, представленные в нашем магазине, соответствуют самым высоким стандартам качества. Заказать wifi интернет оборудование можно как в розницу так и оптом (мы сотрудничаем с интернет провайдерами, интеграторами и реселлерами). Для постоянных клиентов в интернет магазине Mstream действует гибкая система скидок и отсрочек по платежу. Цены на wi-fi интернет оборудование порадуют даже розничных покупателей. Наша задача не только развиваться самим, но и помогать развивать бизнес наших клиентов. Wi fi пространство Украины еще не настолько развито и занято и наша цель это глобальная интеграция новых технологий и разработок на украинском рынке технологий.

Купив у нас оборудование для wi-fi сети , вы гарантировано получаете очень надежные, качественные и долговечные решения от лучших мировых производителей и брендов беспроводной техники в самые короткие сроки. Огромный ассортимент и прямые поставки оборудования Wifi от производителя позволяют нам, как системному интегратору, удовлетворить любые проекты наших клиентов- создание локальной сети wi fi. Профессиональные консультанты предоставят полную консультацию при выборе нужного сетевого оборудования с учетом индивидуальных проектов и пожеланий клиента, что сэкономит ваши силы и время. Доставка сетевого оборудования по всем городам Украины - Одесса, Киев, Харьков, Херсон, Кривой Рог, Кропивницкий, Николаев, Днепропетровск, Запорожье, Винница, Чернигов, Черкассы, Полтава, Мариуполь, Львов, Тернополь, Краматорск, Новомосковск, а так же Приднестровье, Тирасполь, Молдова (Moldova) и другие.

Копирование любой информации с сайта без размещения активной обратной ссылки запрещено.

Рассказываю про настройку защищенных беспроводных сетей MikroTik hAP AC в двух диапазонах: 2.4 ГГц и 5 ГГц.

Преамбула

Я ожидаю, что читатель знаком с устройствами RouterBOARD , операционной системой RouterOS , владеет инструментами их настройки (SSH или Winbox ) или, по крайней мере, изучил предыдущие главы.

Убедитесь, что в разделе Interfaces у вас присутствуют неиспользуемые интерфейсы wlan1 и wlan2 .

Что такое профиль безопасности

Профили безопасности определяют процедуры аутентификации устройств и шифрования передаваемых данных.

Наиболее часто встречаются три режима аутентификации:

  • открытый подразумевает свободное подключение клиентов;
  • на основе общего ключа - так называемый Pre-Shared Key PSK , - тот самый пароль, запрашиваемый при подключении к сети;
  • Extensible Authentication Protocol EAP использует проверку подлинности клиентских устройств с помощью внешних сервисов.

Алгоритмов шифрования больше:

  • открытый (отсутствие шифрования, данные передаются в исходном виде);
  • скомпрометированный WEP (а также его усовершенствованные версии CKIP и TKIP);
  • AES/CCMP на основе AES256 .

Аббревиатуры WPA и WPA2 как раз определяют алгоритм шифрования: TKIP для первого и AES - для последнего.

В примере будут использоваться PSK , WPA2 и динамические ключи.

Настройка профиля безопасности

Wireless - Security Profiles содержит дефолтный профиль, задайте в его настройках наиболее строгие параметры.

Пароль для доступа к будущей беспроводной сети задается атрибутом WPA2 Pre-Shared Key . Используйте значение повышенной сложности; к сетям с этим профилем подключайте только доверенные устройства.

General: mode: "dynamic keys" authentication_type: "WPA2 PSK" unicast_ciphers: "aes ccm" group_ciphers: "aes ccm" wpa2_pre_shared_key: "password" set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys wpa2-pre-shared-key=password

Настройка беспроводных интерфейсов

MikroTik hAP AC оснащен двумя трансиверами: wlan1 отвечает за диапазон 2.4 ГГц, wlan2 - за 5 ГГц. Процесс их конфигурирования практически не отличается, поэтому подробно будет рассмотрена настройка только одного из них.

В разделе Wireless - WiFi Interfaces откройте окно настройки интерфейса wlan1 . Переключитесь в расширенный режим, нажав кнопку Advanced Mode .

Вкладка «Wireless»

Mode

MikroTik поддерживает уйму режимов: от alignment-only для юстировки антенн до wds slave для построения распределенных беспроводных сетей. Для дома или офиса подойдет ap bridge .

Band

Стандарт беспроводной сети определяет скорость передачи данных. По возможности используйте самый современный - 2GHz-only-N , избегайте устаревших с индексами B или G (при наличии соответствующих устройств будет выбран самый низкий для всех подключений).

Channel Width

Ширина канала влияет на скорость передачи данных, радиус покрытия и интерференцию. При использовании стандарта 2GHz-only-N стоит выбрать значение 20/40 MHz XX , в остальных случаях - оставить 20 MHz .

Индекс определяет направление увеличения емкости канала (C - основной, e - дополнительный). Ce (расширение следующим каналом), eC (расширение предыдущим каналом) и XX (автоматический выбор направления).

Frequency

Несущая частота - один из немногих параметров, настройка которого может принести пользу. Кнопка Freq. Usage запускает утилиту мониторинга частотного диапазона, изучив картину которого вы сможете выбрать наиболее свободный канал. При отсутствии проблем дайте устройству сделать это самостоятельно - значение auto .

SSID и Radio Name

В имени беспроводной сети имеет смысл отразить используемый частотный диапазон; например: Mikrotik 2,4GHz .

Параметр Radio Name можно игнорировать: он используется только взаимодействующими между собой устройствами MikroTik.

Wireless Protocol

Устройства MikroTik поддерживают как общепринятые протоколы беспроводной связи , так и собственные. Проприетарные недоступны для устройств других марок, поэтому используйте 802.11 .

Security Profile

Выберите из списка уже настроенный профиль безопасности - default .

WPS Mode

Используйте disabled .

Frequency Mode

Дополнительные настройки manual-txpower и superchannel частотного режима позволят управлять мощностью излучателя. regulatory-domain использует законодательные ограничения выбранной страны (для России это 20 dBm).

Country

Власти ряда стран (например, Франции) законодательно ограничивают возможность использовать полный частотный спектр. (В Японии - наоборот, разрешают лишний канал.) Старайтесь использовать актуальное значение - укажите страну, в которой эксплуатируется оборудование.

WMM Support

Если устройство используется дома, укажите enabled для поддержки Wi-Fi Multimedia ; для офиса, кафе или конференц-зала - disabled .

Bridge Mode

Используйте enabled .

Default Authenticate

Аутентифицировать клиентов, которых нет в белых списках; активируйте опцию.

Default Forward

Разрешить маршрутизацию для клиентов, отсутствующих в белых списках; активируйте опцию.

Multicast Helper

Для дома, где используется IPTV, укажите full . В иных случаях - default (что равноценно disabled).

Multicast Buffering и Keepalive Frames

Главным образом служат для корректной доставки пакетов на мобильные устройства, переходящие в энергосберегающий режим со сниженным использованием доступа к беспроводным сетям. Активируйте оба пункта.

Advanced

Distance

Используйте indoors для всего «гражданского» оборудования.

Hw. Protection Mode (защита от скрытого узла)

Узнайте больше о «проблеме скрытого узла». Иначе используйте значение rts cts .

При использовании режима rts cts в диапазоне 5 ГГц мой Айфон примерно каждые двадцать минут (или в процессе интенсивной сетевой активности) терял соединение. Измените значение опции, если столкнулись с аналогичной проблемой.

Adaptive Noise Immunity

Позволяет снижать интерференцию и влияние радиошумов на работу сети. Используйте ap and client mode - хуже не будет.

HT

Guard Interval

Используйте long для N -стандарта; иначе - any .

Nstreeme

Деактивируйте все опции.

Tx Power

Tx Power Mode

Если хотите снизить мощность передатчика, используйте all rates fixed и явно задайте значение Tx Power . Начинайте, например, с 2 dBm и плавно повышайте значение до обеспечивающего стабильное соединение в радиусе действия. Иначе оставьте default .

Настройка моста для обслуживания беспроводных интерфейсов

В разделе Bridge - Ports добавьте два элемента: по одному на каждый беспроводной интерфейс. Мост для обоих - bridge-private .


Миниатюрный WiFi роутер, который обеспечивает доступ в интернет с ноутбуков, планшетов, смартфонов и других мобильных устройств. Его главное преимущество в том, что он может устанавливаться не только в помещении, но и на улице. выполнен в корпусе, защищенном от влаги и пыли, и устойчив к перепадам нашего климата: рабочий диапазон температур для него: от -40°C до +50°C.

С его помощью можно организовать WiFi HotSpot на летних площадках кафе и ресторанов, в общественных городских пространствах, парках, двориках больниц и университетов и т. д. А также доступ в интернет во дворе частного дома: в беседках, возле бассейна и т. д.

В обзоре рассматривается:

MikroTik wAP ac - вторая модификация в серии wAP: первая, поддерживает только 1 диапазон - 2,4 ГГц.

MikroTik wAP ac работает сразу в двух диапазонах: 2,4 ГГц и 5ГГц, с поддержкой нового скоростного стандарта 802.11ac и имеет некоторые отличия в аппаратной начинке и беспроводных возможностях.

Сравнение технических характеристик wAP и wAP ac

Характеристика
Поддерживаемые диапазоны и стандарты 2,4 ГГц, 802.11 b/g/n 2,4 ГГц 802.11 b/g/n , 5 Ггц 802.11ac/n/a
Максимальная мощность передатчика 22 дБм 25 дБм
Усиление антенны 2 дБи
Процессор QCA9531-AL3 650 Мгц QCA9556 720 Мгц
Оперативная и флеш-память 64 и 16 Мб
Порты Ethernet 10/100 Мбит/сек 10/100/1000 Мбит-сек
Операционная система MikroTik RouterOS, Level4 license
Установка и монтаж На улице и в помещении; на потолке, стене, трубе
Характеристики беспроводных модулей MIMO 2x2:2, две цепи 2,4 Ггц: MIMO 2x2:2, две цепи. 5 Ггц: MIMO 3x3:3, три цепи
Поддержка CapsMan Да


Конструктивные особенности

Конструкцией корпуса MikroTik wAP ac практически ничем не отличается от MikroTik wAP. Инженеры MikroTik продумали дизайн и крепление довольно тщательно, с заботой о пользователе.

На верхней иллюстрации видно, что роутер очень компактный, в длину он ненамного больше обычной авторучки.

Удобное крепление в любом месте

MikroTik wAP ac может устанавливаться на стене, потолке (в том числе подвесном) и на мачте/трубе. Крепление осуществляется с помощью специальной металлической панели с перфорацией:


  • Для установки на стене или сплошном (не подвесном) потолке панель крепится к ним шурупами.
  • Для крепления на подвесной потолок с внутренней стороны его плит накладывается металлическая пластина (есть в комплекте), которая совмещается по отверстиям для шурупов с крепежной панелью.
  • Для крепления на мачту-трубу сквозь отверстия в крепежной панели продергиваются пластиковые стяжки-хомуты.

После закрепления панели на месте установки, MikroTik wAP ac "одевается" на нее (в задней части корпуса для этого предусмотрена специальная ниша-паз).


Корпус точки доступа и панель скрепляются шурупом. Установленное устройство плотно прилегает к поверхности благодаря тому, что крепежная панель "утоплена" в корпусе.

В комплекте MikroTik wAP ac идет специальный трафарет, по которому можно наметить на стене или потолке места вкручивания крепежных шурупов и отверстие для сетевого кабеля. С установкой точки легко справится даже неопытный пользователь.


Для ввода сетевого кабеля в устройство предусмотрено два варианта:

Через имеющееся отверстие в торце MikroTik wAP ac:


Через квадратное отверстие на задней крышке устройства (его нужно выломать в предусмотренном месте):


Второй способ идеально подойдет там, где важен внешний вид установленной точки или предотвращение попыток вандализма - кабель будет скрыт от глаз и недоступен.

Влагозащищенность

Точка доступа MikroTik wAP ac позиционируется, как уличное всепогодное устройство. Детали корпуса, в том числе съемная крышка, плотно прилегают к друг другу таким образом, чтобы защищать роутер от попадания внутрь влаги и пыли. Однако резиновых уплотнителей по периметру корпуса мы не обнаружили, поэтому не стоит думать, что устройство выдержит действительно агрессивную водную среду.

При креплении в вертикальном положении лучше всего направлять точку таким образом, чтобы отверстие для кабеля в торце корпуса находилось внизу - через него будет вытекать все-таки попавшая внутрь влага или конденсат.

Защита от кражи/вандализма

Корпус MikroTik wAP ac запирается болтом, открутить который можно только при наличии специальной отвертки, идущей в комплекте к устройству. Обычной отверткой это сделать невозможно. А значит, никто не сможет незаметно и тихо снять точку доступа, открыв крышку и отвинтив крепежный шуруп.

Защитный болт подпружинен и для того, чтобы снять крышку, не нужно выкручивать его полностью: он всегда остается в своем гнезде. Это очень удобно: болт не выпадет и не потеряется при снятии крышки.

Сетевой кабель, подведенный со стороны задней крышки, надежно скрыт и повредить его вандалам или недоброжелателям будет сложно.

Аккуратный и незаметный внешний вид

В отличие от точек UniFi, которые нельзя назвать полностью незаметными из-за световой индикации работы (на внутренних точках доступа она выполнена в виде кольца, на внешних - в виде небольших световых индикаторов) точка доступа MikroTik wAP создана, чтобы не привлекать к себе внимание. Индикаторы работы спрятаны под крышкой корпуса и не видны.

Это хорошо и с точки зрения сохранности точки от кражи, и с дизайнерской - MikroTik wAP отлично впишется в любой интерьер или оформление, не добавляя лишнего визуального и светового "шума".

С другой стороны это не очень удобно, так как невозможно оценить состояние работы точки на расстоянии - по индикаторам. Для этого придется снять крышку, что проблематично, если роутер будет установлен в труднодоступном месте. Или же воспользоваться удаленным доступом к системе устройства.

Разбираем wAP ac (RBwAPG-5HacT2HnD)

Конструкция платы MikroTik wAP ac в своем роде уникальна. Чтобы сохранить эргономичный и компактный корпус в том же виде, в котором он был в модели wAP, и при этом разместить в нем два беспроводных модуля, плату сделали двусторонней. В других устройствах MikroTik все электронные компоненты размещаются на одной стороне платы.

В wAP AC на нижнюю часть платы перенесли процессор AR9556 (в него же встроен интегрированный WiFi-модуль для 2,4 ГГгц) и операционную память (DDR2 64 МБ).

Нижняя часть платы (по клику открывается увеличенное изображение):


Сверху на плате расположены:

  • WiFi-модуль для 5 ГГц (с радиатором)
  • 3 антенны и 3 радиоусилителя SKY21 85717 547UV , с общим экраном, для диапазона 5 ГГц,
  • 2 антенны и 2 экранированных радиоусилителя SiGe 2620 для диапазона 2 ГГц,
  • LAN-контроллер - отдельный, что радует: такие устройства более ремонтопригодны,
  • флеш-память на 16 МБ, в которой расположена операционная система и ключ лицензии.

Верхняя часть платы (по клику открывается увеличенное изображение):


Тестирование MikroTik RBwAPG-5HacT2HnD

Тест проводился на соединении между двумя wAP ac, с использованием протокола UDP.

На 5 ГГц сигнал очень ровный и стабильный, без перекосов и перепадов по уровням.

На 2,4 ГГц картина чуть хуже: присутствуют периодические незначительные проседания и провалы уровня сигнала, но сразу оговоримся: эфир в нашем офисе на этой частоте сильно зашумлен.

Итого удалось зафиксировать следующие показатели:

На 2,4 ГГЦ (при ширине канала 40 Мгц):

Прием (RX): до 125 Мb\s,
Передача (TX): до 145 Мb\s,
В обе стороны одновременно: RX - до 55 Мb\s, TX - до 65 Mb\s.

Скрины (по клику можно увидеть скриншот полностью):

На 5 ГГЦ (при ширине канала 80 Мгц):

Прием (RX): до 400 Мb\s
Передача (TX): до 450 Мb\s
В обе стороны одновременно: RX - до 230 Мb\s, TX - до 240 Mb\s

Скрины (по клику можно увидеть скриншот полностью):

К сожалению, полной пропускной для MIMO 3x3:3 (1300 Мбит/сек) нам увидеть не удалось. Но и тестирование проводилось в не самых лучших условиях: в помещении сервисного центра с металлическими стеллажами, так что вполне могли иметь место многочисленные переотражения сигнала.

Нас немного насторожило также и то, как нагрелся процессор во время тестов:

Хотя нужно учитывать время аптайма, и уровень нагрузки bandwich теста.

Итоги

На наш взгляд, MikroTik waP ac - отличный двухдиапазонный WiFi роутер для установки дома и в общественных местах: кафе, ресторанах, торговых центрах, на летних площадках, стадионах и т. д.

Недостатки:

  • недостаточно тщательно реализована влагозащищенность (резиновые уплотнители на стыках корпуса не помешали бы),
  • роутер может перегреваться при установке в незащищенном от солнца месте.

Преимущества:

  • одновременная работа в 2 диапазонах,
  • хорошая пропускная способность,
  • всепогодность,
  • компактный размер,
  • удобная установка и монтаж,
  • незаметный аккуратный внешний вид,
  • интересная и простая реализация защиты от вандализма и кражи,
  • ну и само собой - широкие возможности настройки роутера, благодаря RouterOs с четвертым уровнем лицензии.
сайт

Quick Set - это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:

Безопасность

Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:

Доступность на внешних интерфейсах

Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.

Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:

/interface list add exclude=dynamic name=discover

Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.

Теперь настроим работу протокола, указав список discovery в его настройках:

В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:

Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.

Защита от DDoS

Теперь, добавим немного простых правил в пакетный фильтр:

/ip firewall filter add action=jump chain=forward connection-state=new in -interface-list=ISP jump-target=anti-DDoS add action=jump chain=input connection-state=new in -interface-list=ISP jump-target=anti-DDoS add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS add action=jump chain=input connection-state=new dst-port=22,8291 in -interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3 add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3

И поместим их после правила defcon для протокола icmp.

Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.

RFC 1918

RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.

/ip firewall address-list add address=10.0.0.0/8 list="RFC 1918" add address=172.16.0.0/12 list="RFC 1918" add address=192.168.0.0/16 list="RFC 1918" /ip firewall filter add action=drop chain=input comment="Drop RFC 1918" in -interface-list=WAN src-address-list="RFC 1918" add action=drop chain=forward comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN add action=drop chain=output comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN

Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.

UPnP

Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:

SIP Conntrack

Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.

Динамические и вложенные списки интерфейсов

Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть неприятный баг (я о нём сообщил, но его еще не исправили), суть в том, что после презапуска роутера, правила файрволла, которые используют эти списки, не работают для интерфейсов входящих в дочернии списки. Лечится передобавлением дочерних списков. Автоматизация простая:

В Sheduler на событие start пишем скрипт (списки интерфейсов для конфигурации с балансировкой):

/interface list set ISP1TUN include="" set ISP include="" set TUN include="" :delay 2 set ISP1TUN include=ISP1,TUN1 set ISP include=ISP1 set TUN include=TUN1

WiFi

В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.

Bridge & ARP

Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes

Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.

P.S. статья взята от сюда https://habrahabr.ru/post/353730/



Есть вопросы?

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить