wps mode что это mikrotik
Wps mode что это mikrotik
12:48:32 wireless,info wlan_1: WPS virtual button pushed
12:50:32 wireless,info wlan_1: WPS button reset
13:19:23 wireless,info wlan_1: WPS virtual button pushed
13:19:32 wireless,info wlan_1: WPS virtual button pushed, extend walk time
13:19:45 wireless,info wlan_1: WPS virtual button pushed, extend walk time
13:21:06 wireless,info wlan_1: WPS association from CC:CC:CC:CC:CC:CC
13:21:06 wireless,info CC:CC:CC:CC:CC:CC@wlan_1: connected
13:21:06 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC started, associated
13:21:07 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC, received info: ‘jae6xx’
samsung/GT-I9000/GT-I9000/355sdg3tg4gg
13:21:07 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC, do registration
13:21:09 wireless,info wlan_1: WPS of CC:CC:CC:CC:CC:CC complete
13:21:09 wireless,info wlan_1: WPS button reset
interface wireless wps-push-button 0
Настройка защищенных беспроводных сетей MikroTik hAP AC
Рассказываю про настройку защищенных беспроводных сетей MikroTik hAP AC в двух диапазонах: 2.4 ГГц и 5 ГГц.
Преамбула
Я ожидаю, что читатель знаком с устройствами RouterBOARD, операционной системой RouterOS, владеет инструментами их настройки (SSH или Winbox) или, по крайней мере, изучил предыдущие главы.
Что такое профиль безопасности
Профили безопасности определяют процедуры аутентификации устройств и шифрования передаваемых данных.
Наиболее часто встречаются три режима аутентификации:
Алгоритмов шифрования больше:
Аббревиатуры WPA и WPA2 как раз определяют алгоритм шифрования: TKIP для первого и AES — для последнего.
Настройка профиля безопасности
Wireless — Security Profiles содержит дефолтный профиль, задайте в его настройках наиболее строгие параметры.
Пароль для доступа к будущей беспроводной сети задается атрибутом WPA2 Pre-Shared Key. Используйте значение повышенной сложности; к сетям с этим профилем подключайте только доверенные устройства.
Настройка беспроводных интерфейсов
MikroTik hAP AC оснащен двумя трансиверами: wlan1 отвечает за диапазон 2.4 ГГц, wlan2 — за 5 ГГц. Процесс их конфигурирования практически не отличается, поэтому подробно будет рассмотрена настройка только одного из них.
Вкладка «Wireless»
Channel Width
Индекс определяет направление увеличения емкости канала ( C — основной, e — дополнительный). Ce (расширение следующим каналом), eC (расширение предыдущим каналом) и XX (автоматический выбор направления).
Frequency
SSID и Radio Name
Параметр Radio Name можно игнорировать: он используется только взаимодействующими между собой устройствами MikroTik.
Wireless Protocol
Security Profile
WPS Mode
Frequency Mode
Дополнительные настройки manual-txpower и superchannel частотного режима позволят управлять мощностью излучателя. regulatory-domain использует законодательные ограничения выбранной страны (для России это 20 dBm).
Country
Власти ряда стран (например, Франции) законодательно ограничивают возможность использовать полный частотный спектр. (В Японии — наоборот, разрешают лишний канал.) Старайтесь использовать актуальное значение — укажите страну, в которой эксплуатируется оборудование.
WMM Support
Bridge Mode
Default Authenticate
Аутентифицировать клиентов, которых нет в белых списках; активируйте опцию.
Default Forward
Разрешить маршрутизацию для клиентов, отсутствующих в белых списках; активируйте опцию.
Multicast Helper
Multicast Buffering и Keepalive Frames
Главным образом служат для корректной доставки пакетов на мобильные устройства, переходящие в энергосберегающий режим со сниженным использованием доступа к беспроводным сетям. Активируйте оба пункта.
Advanced
Distance
Используйте indoors для всего «гражданского» оборудования.
Hw. Protection Mode (защита от скрытого узла)
При использовании режима rts cts в диапазоне 5 ГГц мой Айфон примерно каждые двадцать минут (или в процессе интенсивной сетевой активности) терял соединение. Измените значение опции, если столкнулись с аналогичной проблемой.
Adaptive Noise Immunity
Позволяет снижать интерференцию и влияние радиошумов на работу сети. Используйте ap and client mode — хуже не будет.
Guard Interval
Nstreeme
Деактивируйте все опции.
Tx Power
Tx Power Mode
Настройка моста для обслуживания беспроводных интерфейсов
Удобное использование WPS в Mikrotik
Начиная с RouterOS v6.25 заявлена поддержка WPS — прекрасной технологии по быстрому подключению клиентов без проблем с длинными паролями. Вопреки распространённой шумихе о проблемах безопасности WPS, при правильной реализации и понимании механизма его работы технология становится отличным помощником в руках сисадмина.
Существуют два вида подключения по WPS — ввод PIN-кода и нажатие кнопки WPS на маршрутизаторе. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики решили не реализовывать вообще и правильно сделали — никакой возможности для перебора нет. Второй способ подразумевает, что в момент подключения к точке доступа на нём программно или физически нажимается соответствующая кнопка и соединение клиента с точкой происходит полностью автоматически. Именно этот способ мы и будем использовать в своей работе. Под катом детальная инструкция по настройке и использованию WPS на Mikrotik.
Как это работает
Физическая кнопка для WPS появилась только в нескольких последних маршрутизаторах Mikrotik, во всех остальных её нужно нажимать программно. Причём администратору должно быть удобно её нажимать, не заходя каждый раз в настройки роутера. Реализацию этой идеи я и выполнил, суть сводится к следующему: на точку доступа ставится сложный пароль WPA2, например 32 символа (максимальные 64 лучше не ставить, не все клиенты понимают такую длину, хотя по стандарту должны), затем на рабочем столе администратора нажимается ярлык WPS и нужный клиент должен в течении двух минут подключиться к нашей точке. Во избежание подключения сторонних клиентов лучше делать немного наоборот — сначала клиент пытается подключиться к точке доступа (ожидается ввод пароля или нажатие кнопки WPS), затем администратор нажимает у себя WPS и клиент тут же мгновенно подключается к сети. Ярлык на столе приведён для примера, реализация может быть какой угодно, от SMS до управления с телефона.
Базовые требования
Первое, что нам нужно сделать — обновить RouterOS до версии v6.25 или выше. Затем со страницы загрузок скачать тестовый пакет Wireless CAPsMANv2 (wireless-cm2-*.npk) и добавить его к пакетам. Поддержка WPS появилась только во второй версии CAPsMAN, поэтому первая версия (wireless-fp-*.npk) будет автоматически отключена, как и стандартный wireless-*.npk. Переход между пакетами можно осуществлять удалённо, после перезагрузки все настройки точек доступа сохраняются.
Определение интерфейса
Второе — нам нужно определить, какому интерфейсу будем «нажимать» WPS. Дело в том, что из интерфейса WinBox можно нажимать WPS только для основной точки доступа, хотя их может быть сколько угодно. Для этого в терминале пишем «int wir pr», что сокращённо означает interface wireless print — в RouterOS можно вводить только часть команды, если она уникальна. Запоминаем номер нужного нам интерфейса, именно ему будет отправляться команда WPS. Допустим нам нужен номер 0, он и будет использоваться далее в примере.
Последние штрихи
Третье. Создаём отдельного пользователя конкретно для команды WPS. Действие опционально, но так безопаснее. Создаём группу wps, которой даём только такие права: ssh, read, test. Создаём пользователя wps и добавляем его в эту группу. Заодно проверяем, чтобы в микротике был включен ssh (ip services), редактируем разрешённый диапазон адресов для входа и при необходимости ставим нестандартный порт.
Двойным щелчком
На самом маршрутизаторе всё готово, осталось только подключиться к нему и отправить команду. Для этой цели отлично подойдёт putty или его консольный аналог plink. Командная строка будет выглядеть следующим образом:
Следует заметить, что клиент тоже должен поддерживать WPS для такого быстрого подключения. Его поддерживают практически все устройства на Android, а вот iOS не поддерживает совсем. Для Windows-клиентов необходима поддержка WPS адаптером — старые модули могут его не видеть, но большинство ноутбуков поддерживают без проблем. Характерный признак — при подключении к точке доступа под паролем должно появиться сообщение, что кроме пароля также можно нажать кнопку WPS на маршрутизаторе. Если этого сообщения нет — чудо не произойдёт.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа
Wi-Fi в роутерах Mikrotik достаточно неоднозначная тема, с одной стороны количество посвященных ей публикаций достаточно велико, но с другой, большая часть из них является простым перечислением всех присутствующих в роутере настроек с кратким описанием, без пояснений об их назначении, нужности, либо, наоборот, ненужности. Поэтому мы в нашей статье сделаем упор на практическое применение и опции, которые реально могут вам потребоваться в повседневной деятельности. А также дадим необходимый теоретический минимум для понимания смысла отдельных настроек.
Все настройки беспроводной связи RouterOS расположены в разделе Wireless, открыв который мы увидим список беспроводных интерфейсов, в зависимости от модели роутера их будет один (2,4 ГГц) или два (2,4 ГГц + 5 ГГц). Большинство настроек для обоих диапазонов одинаково, поэтому мы будем рассматривать их применительно к диапазону 2,4 ГГц, делая необходимые отступления там, где появляются специфичные для диапазона 5 ГГц параметры.
Теперь перейдем к рассмотрению первого блока настроек, который отвечает за режим работы точки доступа и используемый частотный диапазон.
Как видим, все не очень хорошо, если не сказать по-другому. Более-менее свободными являются края диапазона, при этом выбрать начало более предпочтительно, как по эфирной обстановке, так и по причинам совместимости, многие устройства, например, продукция Apple не работают выше 11-го канала.
Когда устройства работают на соседних каналах, то «договориться» они не смогут и будут представлять друг другу межканальную помеху. Чем выше уровень сигнала соседней сети, тем хуже будет соотношение сигнал/шум и меньше доступная канальная скорость. Для примера приведем простую аналогию, попытайтесь продиктовать комбинацию букв и цифр собеседнику в условиях плохой слышимости, вы либо будете произносить буквы гораздо медленнее и отчетливее, либо вообще перейдете на фонетический алфавит, т.е. вместо «эн» и «эм» будете произносить «Николай» и «Михаил».
Что из этого следует? При выборе частоты следует выбирать часть диапазона с наиболее низким уровнем соседних сетей, а если приходится пересечься с широким каналом, то следует выбрать канал, совпадающий с его основной частотой. При нескольких равных вариантах следует выбрать частоту, на которой работает меньшее число клиентов. Все эти данные может предоставить любой сканер сети, в нашем случае это inSSIDer.
В диапазоне 5 ГГц для абонентского оборудования доступны только непересекающиеся каналы. Кроме того, данный диапазон не является единой последовательностью частот, как 2,4 ГГц, а состоит из нескольких поддиапазонов: UNII-1, UNII-2, UNII-3 и ISM. Подробнее вы можете прочитать в данной статье. И имеющееся у вас клиентское оборудование может поддерживать только один из этих диапазонов. Доступные для работы непересекающиеся каналы выделены в Mikrotik жирным шрифтом.
При таком раскладе широкий канал вам не нужен, но он включен в роутере по умолчанию и эффективно отравляет жизнь соседям, не принося вам никакой пользы. Но даже если у вас и появится оборудование способное эффективно работать с такими каналами, то вряд ли вы добьетесь заявленных скоростей. Почему? Да потому что со всех сторон у вас будут точно такие же соседи, чьи роутеры будут настроены на широкие каналы и будут эффективно ставить помехи друг другу.
Хотя если вы настраиваете Wi-Fi в загородном доме, где нет соседних мешающих сетей и есть много абонентов умеющих работать с широким каналом (ноутбуки), то мы не видим препятствий для их использования даже в диапазоне 2,4 ГГц.
Следующая пара параметров отвечает за имя беспроводной сети и наименование точки доступа:
Следующий блок настроек достаточно разноплановый, отражающий самые различные параметры работы точки доступа.
Еще раз обратим ваше внимание, данная настройка никак не ограничивает список доступных частот и каналов, а только ограничивает диапазон, используемый утилитами сканирования и мониторинга.
В диапазоне 5600-5650 ГГц (каналы 120, 124, 128) на которых работают погодные радары аэродромов (в России данные частоты к использованию запрещены) точка должна слушать перед началом работы в течении 10 минут.
Следует понимать, что данная опция никак не влияет на работу точки доступа на DFS-частотах: точка всегда будет уходить с частот DFS при появлении сигнала радара.
Ниже расположен достаточно важный блок настроек, который многие предпочитают сознательно игнорировать и совершенно зря.
И наконец добираемся до последних опций на данной закладке:
Опция Default Authenticate позволяет клиентам подключаться к точке доступа, если ее снять, то подключиться смогут только те клиенты, которые будут заранее включены в Access List. Default Forward разрешает беспроводным клиентам устанавливать связь между собой, рекомендуется снимать в гостевых и публичных сетях. Hide SSID отключает трансляцию SSID точкой доступа, для подключения такой сети SSID потребуется ввести вручную, однако это не сделает вашу сеть скрытой, она будет легко обнаружена любым сканером.
Использование трех последних опций имеет смысл только при включенной поддержке WMM и наличию потокового вещания (IPTV).
Аналогичная информация для N и AC режимов приведена на вкладке HT MCS, здесь указаны поддерживаемые системой индексы модуляции и схемы кодирования (MCS). Индекс представляет собой простое число, которое соответствует определенному сочетанию количества пространственных потоков, вида модуляции и схемы кодирования. Чем больше число в индексе, тем более высокую канальную скорость можно достичь. Полностью ознакомиться со списком индексов MCS можно здесь.
Что-либо изменять при настройке точки доступа здесь не требуется, особенно если вы не уверены в том, что вы делаете и что хотите получить. На практике иногда бывает необходимость отключить скоростные режимы в тяжелой эфирной обстановке, чтобы получить более стабильную связь, но на меньших скоростях.
Но чем большее количество состояний может иметь сигнал, тем ниже его помехоустойчивость. Различить два состояния можно даже при очень сильном уровне помех, а вот 64 состояния требуют достаточно высокого соотношения сигнал/шум. Таким образом, чем хуже эфирная обстановка, тем более простые способы модуляции можно использовать и тем ниже будет канальная скорость.
Теперь вернемся немного назад, на закладку Advanced, где сосредоточены опции для тонкой настройки работы точки доступа.
При установке Tx Power Mode в default устройство применит заранее заданные значения мощностей передатчика, специально подобранные для используемого чипа. Если Frequency Mode было выставлено в regulatory-domain, то произойдет ограничение мощности согласно региональным стандартам.
Отсюда же проистекает рекомендация снижать мощность точки доступа для обеспечения лучшего качества работы сети. И, наоборот, увеличение мощности точки может только ухудшить ситуацию. Дело в том, что параметры связи задает клиентское устройство, а не точка доступа. И если клиент видит хороший уровень сигнала от точки, то он выберет режим с высокой канальной скоростью, но в тоже время ни его передатчик, ни приемник точки не смогут обеспечить требуемого соотношения сигнал/шум и такая связь будет нестабильной. Внешне это будет проявляться как хороший уровень приема и высокая канальная скорость в свойствах соединения, но стабильной связи при этом не будет.
Данный режим имеет свои особенности, которые зависят от числа высокочастотных каналов (антенн), используемая нами hAP имеет два таких канала. В N-режиме точка доступа увеличивает излучаемую мощность на 3 dBm при двух каналах и на 5 dBm при трех. Поэтому на скриншоте выше мы установили мощность передатчика в 17 dBm, что будет соответствовать излучаемой мощности 20 dBm.
В AC-режиме точка наоборот будет снижать мощность на 3, 5 и 6 dBm при двух, трех и четырех каналах передачи, поэтому излучаемая мощность всегда будет равна заданной в параметре Tx Power.
Дополнительные материалы:
Mikrotik
The Dude
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Wps mode что это mikrotik
Wi-Fi Protected Setup (WPS) — стандарт (и одноимённый протокол) полуавтоматического создания беспроводной сети Wi-Fi. Целью протокола WPS является упрощение процесса настройки беспроводной сети, поэтому изначально он назывался Wi-Fi Simple Config. Протокол призван оказать помощь пользователям, которые не обладают широкими знаниями о безопасности в беспроводных сетях, и как следствие, имеют сложности при осуществлении настроек. WPS автоматически обозначает имя сети и задает шифрование для защиты беспроводной Wi-Fi сети от несанкционированного доступа в сеть, при этом нет необходимости вручную задавать все параметры.
Начиная с RouterOS v6.25 заявлена поддержка WPS. Существуют два вида подключения по WPS — ввод PIN-кода и нажатие кнопки WPS на маршрутизаторе. Атакам подвержена только ранняя реализация с PIN-кодом, этот вид подключения разработчики MikroTik решили не реализовывать вообще. Второй способ подразумевает, что в момент подключения к точке доступа на нём программно или физически нажимается соответствующая кнопка и соединение клиента с точкой происходит полностью автоматически. Физическая кнопка для WPS появилась только в нескольких последних маршрутизаторах Mikrotik, во всех остальных её нужно нажимать программно.
Для того, что бы воспользоваться этим функционалом на маршрутизатор следует загрузить дополнительный пакет из Extra packages под названием Wireless CAPsMANv2 (wireless-cm2-*.npk), загрузить его на роутер и выполнить перезагрузку.
После перезагрузки в RouterOS появиться соответствующая кнопка:
При подключении к точке доступа под паролем на вашем устройстве должно появиться сообщение, что кроме пароля также можно нажать кнопку WPS на маршрутизаторе. После нажатия на кнопку WPS клиент должен в течении двух минут подключиться к нашей точке по этому протоколу. Во избежание подключения сторонних клиентов лучше делать немного наоборот — сначала клиент пытается подключиться к точке доступа, затем администратор нажимает у себя WPS и клиент тут же мгновенно подключается к сети. Нажатие кнопки отображается в логе. Если никто не подключился вид будет такой:
Если подключение удалось:
Сразу после подключения статус WPS сбрасывается, для того, что-бы подключить еще одно устройство нужно еще раз нажимать эту кнопку (или программно или аппаратно).