Производительность
Распространенная ошибка при выборе маршрутизатора
Распространенной ошибкой при выборе маршрутизатора является подбор устройства по одному из приведенных ниже принципов:
- возможность работы маршрутизатора с заданным количеством ПК;
- возможность работы маршрутизатора с заданным количеством VPN-туннелей.
Такой подход является в корне неверным, т.к. ключевую роль играет не количество техники или VPN-туннелей, а нагрузка, которую эта техника или VPN-туннели создают. В реальной жизни легко получить ситуацию, в которой 5 компьютеров будут нагружать маршрутизатор в разы сильнее, чем 50 компьютеров. Аналогичная ситуация складывается и с VPN-туннелями
Важно не количество туннелей, а нагрузка, которая создается этими туннелями.
Правильный способ оценки производительности маршрутизатора
Производительность маршрутизаторов принято оценивать в битах в секунду или в пакетах в секунду. Оценка в пакетах в секунду с технической точки зрения является более правильным способом, но не всегда самым удобным, особенно для начинающих специалистов.
Таблица производительности маршрутизаторов MikroTik
Компания MikroTik приводит данные в виде таблицы, в столбцах которой указаны кадры размером 1518, 512 и 64 байта, а в строках – данные для программной коммутации (bridging) и маршрутизации при использовании FastPath либо правил в Bridge Filter, Simple Queue или IP Firewall Filter. Также иногда встречаются таблицы с информацией о скоростях при использовании IPSec.
Ошибки при оценке потенциальной пропускной способности маршрутизаторов MikroTik
Распространенными ошибками при оценке потенциальной пропускной способности на RB951G-2HnD являются:
- Оценка потенциальной пропускной способности по значениям, приведенным для FastPath. Эти значения являются самыми большими, но для того, чтобы технология FastPath заработала, одновременно должен быть соблюден ряд условий. В реальной жизни это встречается крайне редко, и поэтому значения, указанные для FastPath, надо игнорировать. Исключение необходимо сделать, только если заведомо известно, что будет использоваться FastPath.
- Оценка потенциальной пропускной способности устройства только по данным для кадров самого большого размера (1518 байт). На практике производится передача кадров разного размера – от 64 до 1518 байт – в разных пропорциях. Распределение кадров по размерам можно посмотреть на вкладке Overall Stats в настройках интерфейса. Типичный пример распределения кадров по размерам для ethernet-интерфейса, подключенного к интернет-провайдеру, можно посмотреть .
- Оценка потенциальной пропускной способности по суммарному количеству имеющихся правил, а не по количеству правил, через которые прошел кадр/пакет. Рассмотрим разницу на примере IP-файрвола. В самых распространенных конфигурациях файрвола 99,9 % пакетов проходит только через одно первое правило в каждой из стандартных цепочек (Forward и Input) для которых настраивают файрвол. Разумеется, при условии что файрвол настроен корректно. Таким образом получается, что в файрволе может быть 100 правил, но при этом основная масса пакетов будет проходить только через одно правило. Поэтому надо учитывать, что в таблице результатов тестирования указывается количество правил, через которые кадр/пакет прошел, а не суммарное количество правил.
Результаты тестирования
Результаты тестирования получены с помощью программно-аппаратного комплекса XenaBay и соответствуют требованиям RFC2544. Значение принималось в качестве результата тестирования, если его можно было беспрерывно получать в течение 30+ секунд при условии потерь не более чем 0,1 %. Результаты тестирования отображают максимальные возможности маршрутизатора MikroTik RB951G-2HnD в условиях, указанных в таблице. При изменении заданных условий значения с большой долей вероятности будут другими.
| Режим | Конфигурация | 1518 байт | 512 байт | 64 байт | |||
|---|---|---|---|---|---|---|---|
| Кп/с | Мбит/с | Кп/с | Мбит/с | Кп/с | Мбит/с | ||
| Программная коммутация (bridging) | FastPath | 81,0 | 983,7 | 232,0 | 950,3 | 269,6 | 138,0 |
| Программная коммутация (bridging) | 25 правил в Bridge Filter | 81,0 | 983,7 | 86,0 | 352,3 | 87,6 | 44,9 |
| Маршрутизация (routing) | FastPath | 81,0 | 983,7 | 210,0 | 860,2 | 226,9 | 116,2 |
| Маршрутизация (routing) | 25 правил в Simple Queue | 81,0 | 983,7 | 103,9 | 425,6 | 106,6 | 54,6 |
| Маршрутизация (routing) | 25 правил в IP Firewall Filter | 56,8 | 689,8 | 59,6 | 244,1 | 60,5 | 31,0 |
Кп/с = kpps = 1000 пакетов в секунду.
Настройка DHCP-сервера
Настройка DHCP-сервера выполняется через консоль или интерфейс Winbox. Максимально подробно о создании сервера и его тонкой настройке вы можете прочитать в соответствующей документации. Мы рассмотрим базовую стандартную конфигурацию:
- Установите утилиту Winbox. Скачать её можно на официальном сайте Mikrotik. Она разработана под Windows, но при желании её можно запустить и на MacOS или Linux через Wine.
- Откройте её. Для подключения к роутеру введите его MAC-адрес. Если ранее вы его не меняли, вводите стандартный (его можно найти в коробке или на наклейке на самом устройстве). Если же изменяли, то вводите изменённое значение.
- Введите логин и (при необходимости) пароль. Напомним — по умолчанию логин admin, пароля нет. Если вы уже меняли эти данные в WebFig, введите изменённые.
- Нажмите Connect.
- Появится графический интерфейс RouterOS. Нажмите слева IP — Pool.
- В открывшемся окне нажмите плюсик в верхнем левом углу. У вас появится небольшое окно настроек.
-
Выберите имя для пула (например, dhcp-pool1), а затем введите интервал адресов. В нашем примере — 192.168.15.101 — 192.168.15.200. Поле Next Pool не трогаем — пусть там останется none.
- Нажмите ОК.
- Теперь создаём сам сервер. Выберите в меню IP — DHCP Server.
- В открывшемся окне нажмите на синий плюсик.
- Введите запрошенные данные.
- Название сервера задаётся произвольно.
- В поле Interface из выпадающего меню выберите слот, в который подключён нужный Ethernet-кабель.
- В поле Lease Time выберите срок аренды, который вам нужен. В нашем примере это три дня.
- Выберите созданный ранее пул адресов в поле Address Pool.
- Нажмите ОК.
- Теперь сервер нужно настроить. Перейдите на вкладку Networks и нажмите плюсик.
-
Введите адрес, шлюз, DNS и WINS сервера, при необходимости нетмаску. Нажмите ОК.
Теперь проверим работоспособность нашего DHCP-сервера. Подключите любой компьютер к заданному в настройках сервера интерфейсу и выберите режим получения IP через DHCP. И в MacOS, и в Windows это делается в настройках сети. Убедитесь, что полученный IP соответствует настроенному пулу.
После запроса адреса через DHCP система должна установить один из адресов в пуле
Расширенные настройки безопасности
Чтобы защитить роутер от нежелательной прослушки, отключим ненужные сервисы и трафик, который шлет девайс, пытая всех вокруг уведомить своим присутствием. Сперва отключим не нужные службы и немного кастомизируем их. Переходим в IP – Services. Видим список активных служб. Отключаем то, что не собираемся использовать.
И изменим дефолтные значения двойным кликом по каждому. Порты Winbox и SSH я изменил на не стандартные, а на веб-интерфейс разрешил ходить только с локальной сети – это первый контур безопасности для www.
Далее отключим аналог CDP на Mirkotik. Тот самый трафик, который выдаёт наш роутер. Скажем что можно слать его, только в интерфейс лист LAN созданный ранее.
Далее открываем MAC Server. Разрешаем подключаться по MAC Winbox и MAC Telnet только с листа LAN, а MAC Ping запрещаем вовсе.
Теперь мы спрятали роутер от чужих глаз. Но на этом не все. Нужно сделать дополнительный контур безопасности.
Беспроводные интерфейсы
| Стандарт | Поддержка |
|---|---|
| Wi-Fi 2,4 ГГц | Да |
| Wi-Fi 5 ГГц | Нет |
| Wi-Fi 60 ГГц | Нет |
| 2G/3G | Нет |
| LTE 4 | Нет |
| LTE 6 | Нет |
Wi-Fi
| Частота | Параметр | Значение |
|---|---|---|
| 2,4 ГГц | Поколение | Wi-Fi 4 |
| Стандарты | 802.11b/g/n | |
| Максимальная скорость1 | 300 Мбит/с | |
| Модель чипа | AR9344 | |
| Максимальная мощность передатчика | 30 дБм (1000 мВт) | |
| Количество радиоканалов | 2 | |
| Характеристики приемопередачи (T x R : S) | 2 x 2 : 2 | |
| 5 ГГц | Поколение | – |
| Стандарты | – | |
| Максимальная скорость1 | – | |
| Скорость для стандарта 802.11ac | – | |
| Модель чипа | – | |
| Максимальная мощность передатчика | – | |
| Количество радиоканалов | – | |
| Характеристики приемопередачи (T x R : S) | – |
1 Приведено значение для физического уровня модели OSI. В реальной жизни даже в самых идеальных условиях для передачи полезных данных получится достичь не более 50 % от указанного значения.
| Ширина канала | 2,4 ГГц | 5 ГГц |
|---|---|---|
| 5 МГц | Да | – |
| 10 МГц | Да | – |
| 20 МГц | Да | – |
| 40 МГц | Да | – |
| 80 МГц | Нет | – |
| 160 МГц | Нет | – |
| 2,4 ГГц | 5 ГГц | |
|---|---|---|
| SISO | Да | – |
| SU-MIMO | Да | – |
| MU-MIMO | Нет | – |
| Неявное формирование диаграммы направленности (Implicit Beamforming) | Нет | – |
| Явное формирование диаграммы направленности (Explicit Beamforming) | Нет | – |
| Частота | Скорость | Чувствительность приемника | Мощность передатчика |
|---|---|---|---|
| 2,4 ГГц | 1 Мбит/с | не приводятся | не приводятся |
| 11 Мбит/с | не приводятся | не приводятся | |
| 6 Мбит/с | -96 дБм | 30 дБм | |
| 54 Мбит/с | -80 дБм | 25 дБм | |
| MCS 0 | -96 дБм | 30 дБм | |
| MCS 7 | -78 дБм | 23 дБм | |
| 5 ГГц | 6 Мбит/с | – | – |
| 54 Мбит/с | – | – | |
| MCS 0 | – | – | |
| MCS 7 | – | – | |
| MCS 9 | – | – |
Одним из важнейших показателей качества приемного тракта является чувствительность приемника. С помощью этого параметра можно оценить способность устройства принимать слабые сигналы. Чувствительность приемника определяется минимальным уровнем сигнала на входе устройства, который необходим для получения заданного значения скорости. Чем более низкое значение принимаемого сигнала достаточно для получения заданного значения скорости, тем лучше.
Антенны
Диаграмму направленности для устройства RB951G-2HnD компания MikroTik не приводит. Известна только ее форма, которую можно узнать из таблицы, которая размещена ниже.
| Антенна или разъем | Параметр | Значение |
|---|---|---|
| Антенна Wi-Fi | Наличие | Да |
| Количество | 21 | |
| Размещение | Внутреннее | |
| Коэффициент усиления для частоты 2,4 ГГц | 2,5 дБи | |
| Коэффициент усиления для частоты 5 ГГц | – | |
| Коэффициент усиления для частоты 60 ГГц | – | |
| Диаграмма направленности | Круговая | |
| Поляризация | – | |
| Разъем для внешней антенны Wi-Fi | Наличие | Нет |
| Количество | – | |
| Тип разъема | – | |
| Антенна 2G/3G/LTE | Наличие | Нет |
| Количество | – | |
| Размещение | – | |
| Коэффициент усиления | – | |
| Диаграмма направленности | – | |
| Разъем для внешней антенны 2G/3G/LTE | Наличие | Нет |
| Количество | – | |
| Тип разъема | – |
1 Указано количество антенн, а не радиоканалов. Так как на разных частотах используется разное количество радиоканалов, то и количество задействованных антенн будет различаться.
Плюсы и минусы роутеров Mikrotik
Mikrotik в России пока ещё не очень популярен, хотя в интернете всё чаще встречаются советы выбирать именно эти роутеры. Чем же они так хороши? Большинство плюсов связаны с возможностью тонкой настройки и функциями RouterOS, на которой основана работа «Микротиков»:
- огромный функционал, позволяющий настроить маршрутизатор практически под любые нужды;
- возможность настроить скрипт реакции при ошибке в работе;
- стабильность (по сравнению с роутерами «домашнего» сегмента вроде Zyxel, D-Link). Справедливости ради стоит отметить, что стабильная работа будет только при грамотной настройке;
- доступная официальная документация. Разработчики расписали все возможности настройки роутера и ОС. Правда, пока документация доступна только на английском. Если вы владеете техническим английским, проблем с пониманием не будет;
- ОС и система конфигурации абсолютно одинаковы на всех моделях роутеров. При необходимости можно просто перебрасывать настройки со старого устройства на новое или делиться уже настроенными параметрами с другими пользователями.
Главные минусы, как ни странно, связаны с той же тонкой настройкой:
- для получения полного функционала надо хорошо понимать, что именно и зачем вы настраиваете;
- по сравнению с более дорогими роутерами этого же проф-сегмента (например, Cisco или Juniper) «Микротики» всё-таки сбоят чаще;
- недружелюбность к начинающим пользователям. В настройках Mikrotik сложно разобраться рядовому юзеру, а потому покупать такое устройство нужно только в том случае, если вы чётко понимаете, что и зачем вы хотите получить. Если вы сомневаетесь, то перед покупкой настоятельно рекомендуем ознакомиться со страницей документации. Если вы не понимаете, как работать с ней, и у вас под рукой нет опытного администратора, то лучше отказаться от покупки;
- малое количество специалистов, которые разбираются в настройке роутеров этой компании. Это приводит к тому, что бывает очень сложно найти человека, который смог бы починить «Микротик» в случае поломки. Гарантийное обслуживание у компании есть, но оно не отличается оперативностью.
Сброс настроек роутера
Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox. Переходим на вкладку Neighbors и ждем, когда утилита найдет наш микротик. Это может занять какое-то время. На всякий случай можно нажать Refresh, если роутер долго не обнаруживается.
Нажимаем на мак адрес устройства, он должен будет скопироваться в поле Connect To. Пароль по-умолчанию для входа в роутеры mikrotik — пустой, а пользователь — admin. Вводим имя пользователя, поле с паролем оставляем не заполненным. Нажимаем connect. Нас встречает информационное окно, в котором приведено описание стандартных настроек.
Здесь их можно либо оставить, либо удалить. Я всегда удаляю, так как стандартные настройки чаще всего не подходят под конкретную ситуацию. Приведу несколько примеров, почему это так:
- Я запитал свой роутер по первому порту через poe адаптер и поэтому вынужден использовать этот порт как локальный. В настройках по-умолчанию этот порт используется как wan порт для получения интернета от провайдер.
- В настройках по-умолчанию установлено автоматическое получение настроек от провайдера по dhcp. Если у вас другой тип подключения, то вам стандартная настройка не подходит.
- По-умолчанию устанавливается адресное пространство 192.168.88.0/24. Мне лично не нравятся сетки по-умолчанию, так как если в них случайно воткнуть новое устройство, где будет так же забит умолчательный адрес, то в сети начнутся проблемы. Дома может это и не актуально, но в коммерческих организациях мне приходилось с этим сталкиваться. Поэтому я на всякий случай сетку всегда меняю.
Так что мы нажимаем Remove Configuration, чтобы удалить настройки. После этого роутер перезагрузится. Ждем примерно минуту и подключаемся к нему снова.
Если вы по какой-то причине не удалили сразу предустановки, то выполнить сброс настроек в mikrotik на заводские можно позже. Для этого надо в терминале набрать сначала system, а затем reset. У вас спросят подтверждение и после этого routerboard перезагрузится с заводскими настройками.
Настройка сетевых интерфейсов
Первым делом нужно поиздеваться над сетевыми интерфейсами. Если это домашняя сеть или просто одна линка провайдера, то можно просто переименовать сетевые интерфейсы, чтобы было понятно, что за что отвечает. Когда добавляется уже два провайдера на один роутер, тогда предпочтение идет просто в группировании интерфейсов как они есть. В данном случаи мы переименуем все сетевые интерфейсы. Переходи в Interfaces -> Вкладка Interface (Рис 11).
Рисунок 11 – Вид вкладки Interfaces
Далее один за одним кликаем на интерфейс дважды и называем как нам нужно. Первый интерфейс у меня будет называться WAN (Рис 12).
Рисунок 12 – Вид окна настроек первого интерфейса: WAN
Все остальные порты должны быть объединены в один сегмент локальной сети. Mikrotik RouteOS позволяет это делать двумя способами: Bridging и Master port. На официальном форуме mikrotik не раз задавался вопрос, что лучше выбрать, и ответ всегда был: это зависит о конфигурации, которая вам нужна. Ответ от представителя mikrotik:
Bridge is software switching, master port is hardware switching. Use master ports to switch multiple physical interfaces where you want full wire speed. Use bridges to connect those master ports together, possibly with wlan ports as well.
With hardware switching alone there is no way to place a wired Ethernet segment on the same broadcast domain as a wireless segment, or interconnect different switch chips. For that, you need to use software switching (bridge functionality).
In a WISP situation, I usually do not bother with master/slave ports because it is rare, given the limitations of wireless PtMP radio equipment, that you will ever be in a situation where you are switching gigabit traffic; in such situations, where you are usually switching
Ми идем по пути уменьшения нагрузки на CPU, и поэтому в нашей номинации побеждает Master/Slave конфигурация. Следующим у нас будет порт с названием eth0, который будет мастером для всех остальных (Рис 13).
Рисунок 13 – Вид окна настроек второго интерфейса: LAN Master
Все остальные интерфейсы переименуем и поставим для них как мастер порт eth0 (Рис 14).
Рисунок 14 – Вид окна настроек второго интерфейса: LAN Slave
Те же действия проделаем с остальными проводными интерфейсами. И на закуску переименуем беспроводной интерфейс (Рис 15).
Рисунок 15 – Вид окна настроек беспроводного интерфейса: LAN WiFi
Смотрим, что у нас получилось и также включаем WiFi (Рис 16).
Рисунок 16 – Вид окна списка интерфейсов
Обновление прошивки
Обновлять прошивку можно как вручную, так и с помощью специальных утилит от разработчика.
Через Winbox
Обновление через Winbox — простой процесс. Качать новую прошивку не нужно:
- Зайдите на страницу софта от Mikrotik.
-
Скачайте утилиту Winbox. Она разработана для Windows и имеет расширение .exe, но без проблем запускается через Wine на MacOS (потребуется актуальный Xcode) или Linux. Более подробно о самой утилите можно прочитать в .
- Подключите маршрутизатор с помощью Ethernet-кабеля к компьютеру (через первый слот, PoE).
- Запустите утилиту. Она обнаружит устройство. Нажмите на его имя.
-
В левом меню выберите System — Packages.
- В окне найдите кнопку Check for Updates.
-
Утилита проверит актуальность версии ОС и выдаст результат. Если появилась новая прошивка, вы увидите кнопки Download и Download&Upgrade. Нажмите на вторую.
- Установка пройдёт автоматически. По окончании роутер сам перезагрузится и будет готов к работе.
В большинстве случаев этот метод хорошо работает, но иногда нужно установить конкретную версию прошивки. Да и установка Winbox не всегда возможна (например, если у вас на Mac установлена бета-версия Xcode и вы не хотите её уничтожать). В этом случае воспользуйтесь ручным методом.
Ручное обновление
Этот метод также использует Winbox, но устанавливать обновление мы будем вручную. Перед началом работы нужно скачать свежую прошивку на сайте Mikrotik:
-
Найдите в таблице нужный роутер. Они разбиты по сериям. В таблице строчки с сериями отмечены серым.
- Скачайте файл, который находится в первой строчке (после серой) и среднем столбце. Это — основной пакет стабильной последней версии ОС.
- Откройте Winbox.
-
Перетащите скачанный файл в окно утилиты.
- Загрузка и прошивка начнётся автоматически.
- Когда процесс завершится (о чём вам уведомит утилита), перезагрузите роутер вручную.
Обновить прошивку можно и другими способами:
- через FTP-программу;
- через утилиту Dude;
- через WebFig.
Все эти методы подробно описаны в документации. Однако установка через Winbox является самой простой и универсальной.
Мы привели лишь общие и наиболее востребованные настройки Mikrotik. На самом деле функционал этих маршрутизаторов значительно шире. Все функции и их настройку можно найти в официальной документации, а это — самый надёжный источник знаний о софте.
Базовая настройка Firewall
Ранее мы оптимизировали отправку служебного трафика и порты для служб, но этого недостаточно для базовой защиты девайса. Мы не будем погружаться в тонкости фильтрации, просто покажу самый обычный фаерволл.
Вся настройка у rb951g 2hnd находится в Filter Rules. Порядок следования правил имеет значение, чем меньше цифра, тем выше приоритет. Рекомендуется более узкие правила ставить выше общих. Данная конфигурация разрешает новые входящие соединения для изменённых портов SSH, Winbox, DNS и HTTP трафик из локальной сети (второй контур безопасности), устоявшиеся и связанные соединения, ну и в конце, мы убиваем весь входящий трафик. Т.е. если входящий трафик не соответствует ни одному из правил, то убить пакет.
Правило для пересылки очень простое – форвардим весь трафик через FastTrack. Это полезная фича, которая позволяет пересылать пакеты не по всей цепочке Packetflow Diagram, что в совокупности ускоряет обмен данными и разгружает девайс. В Mangle появятся соответствующие правила маркировки.
Вышеописанную логику можно применить следующими командами:
Настройка PPTP клиента на Mikrotik
2 минуты чтения
В сегодняшней статье мы покажем, как настроить PPTP клиент на роутерах Mikrotik. Мы будем проводить все настройки на модели RB951Ui-2HnD, но написанное в этой статье будет актуально для любой модели Mikrotik, поддерживающей PPP.
Протокол PPTP
Для начала немного теории. PPTP (Point To Point Tunnel Protocol) это протокол, который позволяет создать незашифрованный туннель через публичную сеть Интернет. Для шифрования данного туннеля вместе с PPTP обычно применяется протокол Microsoft Point-to-Point Encryption (MPPE). PPTP поддерживает различные методы аутентификации, которые включены в PPP, такие как: pap, chap, mschap2, mschap1. Для использования PPTP зарезервирован порт 1723 и протокол GRE для энкапсуляции фреймов.
Основные задачи, которые решает PPTP:
- Безопасное соединение роутеров через Интернет по защищенному туннелю
- Подключение удаленных пользователей для доступа к ресурсам локальной сети
- Соединение распределенных локальных сетей через Интернет
Настройка PPTP клиента
Для того, чтобы настроить PPTP клиент на роутерах Mikrotik при помощи приложения WinBox, нужно открыть раздел PPP → Interface → + и выбрать PPTP Client, как показано ниже:
Откроется окно добавления нового интерфейса. На вкладке General можно оставить всё по умолчанию.
Переходим на вкладку Dial Out и выполняем следующие настройки:
- Connect To — Сюда вписываем адрес или ddns сервера PPTP/ VPN (Например — OpenVPN).
- User — Логин для подключения к серверу PPTP/VPN
- Password — Пароль для подключения к серверу PPTP/VPN
На самом базовом уровне этих данных вполне достаточно.
Осталось только добавить несколько правил, которые разрешат использование PPTP.
Для этого открываем раздел IP> → Firewall → NAT и нажимаем +. Перед нами открывается страница добавления нового правила, заполняем её следующим образом:
Здесь Out Interface — интерфейс для PPTP клиента, который мы создавали ранее.
Пожалуйста, расскажите почему?
Нам жаль, что статья не была полезна для вас Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации Просто оставьте свои данные в форме ниже.
VPN-туннели — распространенный вид связи типа «точка-точка» на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути «канал внутри канала» — выделенную линию внутри основной.
Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:
- Требуется предоставить доступ к корпоративной сетисотрудникам предприятия, которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
- Требуется предоставить доступ в интернет абонентам провайдера (в последнее время такая реализация доступа клиентов становится все более популярной).
- Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.
В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения. Так, наименее защищенным считается протокол PPtP, даже его «верхний» алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается. Наиболее безопасным считается набор протоколов IPsec.
Несмотря на укоряющую картинку, иногда смысл в отключении шифрования и аутентификации все же есть. Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU. Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора.
Правильно прошьём до версии RouterOS 6.47.3
Вот тут мы и прибегнем к маленькой хитрости – увеличим мощность wifi адаптера. Ну точнее — снимем ограничения через Netinstall. Дело в том, что с завода выпускаемые устройства для России лочатся по мощности, ну чтобы без проблем их ввозить в страну и продавать. Блокировка подразумевает уменьшение мощности до 100мВт и частот 2400 — 2483,5 МГц. Мы это ограничение снимем и получим 1Ват плюс весь доступный диапазон чипа. Прошиваем через NetInstall, в итоге получаем все, за что заплатили.
После прошивки подключаемся. Видим, что никаких настроек нет – это то, что нам нужно или Blank Config. Обязательно сравниваем версию BIOS и загрузчика в System — RoterBOARD. В моем случае они различаются. Жмём Upgrade и System — Reboot.
Настройка доступа в интернет WAN
Нам известно, что провайдер подаёт услугу по протоколу PPoE и подключён в ether1. С нашей стороны нужно настроить клиента. Но сначала, подпишем интерфейсы. Именно подпишем, а не изменим их название. Открываем вкладку Interfaces. Выделяем первый интерфейс и ставим комментарий.
Т.к. все оставшиеся интерфейсы будут объединены в bridge локальной сети, то зададим комментарий LAN только на ether2.
Теперь, наглядно понятно, кто куда относится. Создадим PPoE для выхода в интернет. Нажимаем на синий плюс, выбираем PPoE Client.
На основной вкладке задаём имя и интерфейс, с которого будет подключение.
В Dial Out задаём логин пароль в соответствующих полях. Default Route Distance не трогаем, если не хотим изменить метрику маршрута «последней надежды». Service и AC Name меняем только в том случае, если хотим всегда подключаться к определённому серверу. Применяем настройки. Статус должен быть Connected.
На вкладке статус видим полученный адрес — Local Address, количество разрывов — Link Downs, время жизни подключения – Uptime, а также Active Service Name и Active AC Name – это те параметры, которые можно жёстко указать в Dial Out, тогда девайс будет подключаться только к этому серверу.
Проверим корректность маршрутов IP – Routes. Маршрут выхода в интернет получил именно ту метрику, какую задали в свойствах клиентского подключения.
Почему у одной метрики значение 1, а у другой 2? Дело в том, что локально заданные адреса, будут всегда иметь наивысший приоритет 0 над другими.
Часто задаваемые вопросы (FAQ)
- Какая комплектация MikroTik RB951Ui-2HnD?
- Как вернуть старую версию прошивки у MikroTik RB951Ui-2HnD?
- Не могу разобраться с инструкцией ( manual-mikrotik-rb951ui-2hnd.zip), ошибка обновления, как бороться с этой проблемой?
- Помогите, как ограничить скорость на порту в MikroTik RB951Ui-2HnD?
- Погуглил все модели Микротик, перечитал отзывы, но всё равно не могу определиться. Какой бюджетный коммутатор выбрать для небольшого офиса?
- Как устранить самопроизвольные ребуты?
- Нужно отремонтировать разъем питания MikroTik RB951Ui-2HnD, ищу адекватный сервис во Владивостоке. Цена ремонта?
- Как обновить прошивку до последней версии?
- Не могу найти драйвера для MikroTik RB951Ui-2HnD ( rb951ui-2hnd_smartdriver.zip)
Обзоры других сетевых маршрутизаторов Mikrotik от ЗАО «Вива-Телеком»
| Обзор Mikrotik hAP-ac9 фото в обзоре | Обзор Mikrotik RB4011iGS-plus-RM10 фото в обзоре | Обзор Mikrotik PowerBox10 фото в обзоре |
| Обзор Mikrotik mAP8 фото в обзоре | Обзор Mikrotik hEX10 фото в обзоре | Обзор Mikrotik RouterBOARD-RB3011UiAS-RM11 фото в обзоре |
|
Контакты полностью | Краснодар(861) [email protected]Москва(499) [email protected] Омск(3812) [email protected]Статус счета |
Контакты и поддержкаНовости от 25.07.2021Наши преимуществаО компанииОплатаДоставка
КраснодарСолнечная, д. 4 «Б», офис 200+7 (861) [email protected]МоскваМО, Подольск, Рощинская, 22 «А», офис 302+7 (499) [email protected]Омск7-я Северная, д. 186+7 (3812) [email protected]
| Перейти в корзину |
| Перейти в закладки |
| Оборудование и решения профессионалов. 12 лет успешной работыФлагманский сайт и онлайн-магазин компании Вива-Телеком |
Обзор и фотографии Mikrotik RouterBOARD-RB951G-2HnD
Возможности свитч-чипа
На MikroTik RB951G-2HnD используется один отдельно стоящий свитч-чип Atheros 8327.
| Параметр | Значение |
|---|---|
| Порты | ether1 – ether5 |
| Поддержка неблокирующей коммутации | Нет |
| Зеркалирование трафика | Да |
| Ограничение скорости на передачу (Tx) | Да |
| Ограничение скорости на прием (Rx) | Да |
| Количество записей в таблице коммутации | 2048 |
| Количество записей в таблице VLAN | 4096 |
| Количество записей в таблице правил коммутации | 92 |
Как и на любых других устройствах, которые не являются коммутаторами CRS3xx, на маршрутизаторе RB951G-2HnD возможно отключение аппаратной коммутации при активации некоторых опций, связанных с коммутацией. При отсутствии совместимости отключение происходит принудительно, не зависимо от того, какое значение указано в параметре Hardware Offload в настройках Bridge Port.
| Технология | Совместимость |
|---|---|
| RSTP | Да |
| MSTP | Нет |
| IGMP Snooping | Нет |
| DHCP Snooping | Да |
| Bridge VLAN Filtering | Нет |
| Агрегация каналов Bonding | Нет |
Часто задаваемые вопросы по теме статьи (FAQ)
Подходит ли Микротик для домашнего использования?
Я считаю, что Микротик стоит использовать только тем, кто может его самостоятельно настроить. Если вы не системный администратор, не разбираетесь в сетевых технологиях, лучше поставить какой-то роутер попроще. Я сталкивался с ситуациями, когда пользователь обращается к провайдеру с проблемами доступа в интернет. И когда он говорит провайдеру, что у него устройство Микротик, тех. поддержка провайдера отвечает, что мы не можем помочь с таким устройством. Разбирайтесь сами.
Какую ветку прошивки вы рекомендуете использовать?
Если вас не интересуют нововведения, которые появляются в новых версиях прошивки, я рекомендую использовать ветку long-term. Это самая стабильная версия, куда оперативно вносятся все обновления безопасности.
Можно ли запитать устройства Mikrotik через стандартный poe адаптер 802.3af?
Нет, у Mikrotik свой стандарт poe адаптеров, которые подходят только для устройств этой же фирмы. Он отличается от промышленного стандарта 802.3af, поэтому необходимо приобретать фирменные poe адаптеры Mikrotik.
Из-за чего часто возникают проблемы со связью у устройств компании Apple и роутеров Mikrotik?
Корень проблемы подключения apple устройств, в частности iphone, к микротикам кроется в механизме обновления dhcp leases в режиме сна. Когда iphone или другое устройство apple «засыпает», оно не может корректно обновить dhcp аренду, поэтому при выходе из режима сна wifi сеть бывает недоступна. Частичное решение этой проблемы — делать большой интервал обновления dhcp аренды — несколько часов или суток.
Описание Mikrotik RB951G-2HnD
Вот он, герой сегодняшней статьи — Mikrotik RB951G-2HnD. Его описание, отзывы и стоимость можно быстро проверить на Яндекс.Маркете. По количеству отзывов уже можно сделать вывод об определенной популярности этого роутера.
Внешний вид устройства.
Важной особенностью этого роутера, которой лично я активно пользуюсь, является возможность запитать его с помощью специального poe адаптера
На изображении он справа. Берется стандартный блок питания от роутера и poe адаптер. Блок питания подключается к адаптеру, а от адаптера уже идет патч корд в первый порт routerboard. Маршрутизатор можно повесить на стену в любое место, нет необходимости привязываться к розетке. Сразу отмечу, что запитать роутер можно только poe адаптером микротика. У него другой стандарт и привычные poe свитчи 802.3af не подойдут.
Существует похожая модель RB951Ui-2HnD. Она отличается от описываемой мной только тем, что у нее 100Mb порт, а у RB951G-2HnD 1Gb. Если для вас эти отличия не принципиальны, то можете покупать более дешевую модель. В остальном они идентичны.
Будем потихонечку двигаться дальше. Как проще всего настроить микротик? Я для этого использую стандартную утилиту winbox. Можно пользоваться и web интерфейсом, но лично мне намного удобнее winbox. Так что для продолжения настройки скачивайте ее на компьютер.
Настройка Wi-Fi
Перед созданием беспроводного доступа нужно сконфигурировать профиль безопасности (Security Profile):
- Зайдите в WebFig.
- Выберите слева Wireless.
- Перейдите на последнюю вкладку Security Profiles.
-
Нажмите Add New, чтобы создать новый профиль, или выберите уже существующий, чтобы отредактировать его.
- В окне настроек измените параметры по своему усмотрению. Стандартными (и вполне безопасными) являются следующие:
- Mode = dynamic keys;
- Authentication Types = WPA PSK и WPA2 PSK;
- Unicast Ciphers = aes ccm;
- Group Ciphers = aes ccm.
- В полях WPA и WPA2 Pre-Shared Key введите комбинацию, которая будет служить паролем для подключения к Wi-Fi.
- Введите имя профиля. Оно может быть произвольным, например, profile1.
Настройка Wi-Fi производится через веб-интерфейс:
- Выберите в левом меню Wireless.
- Убедитесь, что вы находитесь на вкладке Interfaces.
-
Настроить уже существующую сеть можно, нажав на её название в списке. Чтобы создать новую, нажмите Add New.
- Откроется окно настроек. Вы можете изменять любые параметры по своему желанию. В большинстве случаев подходят следующие:
- Mode = ap bridge;
- Band = 2GHz-B/G/N/;
- Channel Width = 20/40MHz HT Above;
- Frequency = 22437.
- Введите SSID. Это произвольное название вашей Wi-Fi сети.
- Выберите профиль безопасности, который мы создали ранее.
Беспроводной доступ можно включать и отключать, меняя галочку напротив Enabled.
Резервная копия конфигурации и устройства
Делаем правильный бэкап. Мы можем сделать 2 вида бэкапа. Первый – экспорт конфигурации, второй – полный слепок устройства. Разница между первым и втором – экспорт можно загрузить в любой девайс, второй – только на этот же самый роутер.
Сделаем выгрузку через консоль с помощью команды export file=BK-Export
В файлах появится выгрузка с типом script. Его можно открыть текстовым редактором.
Здесь же, по кнопке Backup можно создать полный слепок, обязательно задаем пароль.
Оба файла копируем на ПК или внешний диск и удаляем с устройства. Хранить бэкапы на устройстве – плохая идея! Да статья конечно получилась длинна но в ней мы затронули все аспекты по настройке mikrotik rb951g 2hnd, привели его характеристики, прошивку и все что нужно знать когда вы берете его в руки.
Удачных конфигураций.
