Конфигурирование WiFi на точке доступа сегмента SOHO

1. Введение

Рассмотрим ситуацию, когда прокладка проводной сети в офисе затруднена или невозможна.

Существует ряд факторов, которые делают прокладку кабеля к каждому рабочему месту предпочтительной. Один из них — то, что устройства беспроводной связи, сосредоточенные локально, используют на физическом уровне одну и ту же среду для передачи своей информации — окружающий воздух. Это приводит к интерференции сигналов от разных устройств и, как следствие, к наведению помех, снижению качества передачи, скорости обмена информацией и росту задержек и сбоев.

Ещё один фактор связан с волновой природой сигнала WiFi. Способность огибать препятствия обусловлена соразмерностью волны сигнала WiFi и огибаемого препятствия. Длина волны в диапазоне 2,4 ГГц составляет порядка 12 см, в диапазоне 5 ГГц — 5—6 см. Большинство препятствий в офисах и жилищах заметно габаритнее. Для успешного огибания длина волны должна быть больше преграды.

Кроме того, диапазоны WiFi ограничены количеством доступных каналов. В диапазоне 2,4 ГГц в России доступны 13 каналов, последний из которых не всегда поддерживается клиентскими устройствами. Если принять за типичную ширину полосы пропускания 20 МГц, то в интервале 2412—2472 МГц мы получаем всего лишь 3 непересекающихся канала: 1, 6 и 11. Несколько лучше ситуация в диапазоне 5 ГГц.

Если эти доводы не убедили вас потратить время и силы на прокладку проводного Ethernet, приступим к грамотному конфигурированию WiFi в сложных условиях типичного офиса на примере распространённой точки доступа MikroTik hAP ac lite с микропрограммным обеспечением RouterOS с лицензией уровня 4.

2. Подготовка

Для конфигурирования будем использовать WinBox, стандартную утилиту для настройки RouterOS из GUI. Кнопки, названия полей, чекбоксов, прочие элементы интерфейса показаны курсивом.

Подопытное устройство располагает двумя антеннами: сдвоенная группа для диапазона 2,4 ГГц и одиночная антенна для диапазона 5 ГГц. Интернет вводится в интерфейс ether1. Интерфейсы ether2—ether5, wlan1 и wlan2 находятся в мостовом соединении bridge1 на 192.168.0.1/24 (рис. 1).

Рис. 1. Конфигурация портов.

Рассмотрим мост bridge1. Интерфейсы wlan1 и wlan2 выключены (рис. 2).

Рис. 2. Список беспроводных интерфейсов.

2.1. Перепрошивка

На первом этапе перепрошейте устройство с помощью утилиты Netinstall. Новая прошивка снимет региональные ограничения и добавит выбор «страны».

2.2. Профиль безопасности

Для двух частотных диапазонов нам потребуется создать 2 сети с одинаковым паролем. Для аутентификации по паролю необходимо создать профиль безопасности Security Profile (рис. 3). Нажмите кнопку с плюсом.

Рис. 3. Профили безопасности.

В появившемся окне (рис. 4) введите следующие данные:

• имя профиля — General WiFi;
• пароль для WPA2.

Поскольку шифрование по алгоритму WPA содержит известные уязвимости, рекомендуем отключить его. Для этого выключите чекбокс WPA PSK в области Authentication Types.

Рис. 4. Создание профиля безопасности.

3. Диапазон 2,4 ГГц

3.1. Настройка wlan1

Вернёмся к списку беспроводных интерфейсов и откроем беспроводной интерфейс wlan1 (рис. 5).

Рис. 5. Интерфейс wlan1.

Нажмите кнопку Advanced Mode, чтобы включить расширенный режим, и перейдите на вкладку Wireless (рис. 6).

Рис. 6. Вкладка Wireless.

В появившемся окне введите следующие данные (рис. 7):

• Mode: — ap bridge;
• Band: — 2GHz-G/N;
• Channel Width: — 20MHz;
• SSID: — WiFi_2.4;
• Wireless Protocol: — 802.11;
• Security Profile: — General WiFi;
• Country: — russia3.

Рис. 7. Беспроводные параметры wlan1.

3.2. Выбор частоты (параметр Frequency)

Если задать для параметра Frequency (см. рис. 7) значение auto, точка доступа будет сканировать эфир на доступность частотных полос при запуске. Выбранное фактическое значение сохранится до следующего перезапуска.

Однако MikroTik предлагает целый набор инструментов для более тонкой настройки рабочей частоты вручную.

Обратите внимание, что при использовании утилит сканирования эфира точка доступа переходит в режим клиента. Рекомендуется проводить эту настройку, подключившись по проводу, или использовать для входа безопасный режим.

В данной лицензии RouterOS доступны следующие утилиты для ручного выбора рабочей частоты:

3.2.1. Утилита Scan

Утилита исследует эфир и показывает следующие параметры соседних точек доступа (рис. 8):

• MAC-адрес;
• SSID;
• используемую частоту, канал, протокол и мощность;
• уровень сигнала;
• уровень шума.

Рис. 8. Окно утилиты Scan.

3.2.2. Утилита Freq. Usage

Утилита показывает список допустимых частот, согласно региональной настройке, и их использование в процентном соотношении, а также зашумлённость (рис. 9).

Рис. 9. Окно утилиты Freq. Usage.

3.2.3. Утилита Wireless Snooper

Особенность утилиты в том, что кроме адреса, частоты, канала, SSID и прочих параметров точек доступа она показывает те же параметры и для подключённых к ним клиентских устройств (рис. 10).

Рис. 10. Окно утилиты Wireless Snooper.

Проанализируйте радиообстановку с помощью этих утилит и выберите вручную наиболее подходящее значение для параметра Frequency (см. рис. 7). Рекомендуется придерживаться следующих критериев:

• используйте наименее загруженную частоту;
• радиомониторинг следует проводить периодически в разное время суток и в разные дни для выявления наиболее типичной для рабочего времени точки доступа радиообстановки;
• отдавайте преимущество не пересекающимся каналам 1, 6 и 11;
• более узкая полоса пропускания даёт меньше краевых наводок, следовательно, несёт более стабильную связь;
• выкручивание мощности на максимум не только мешает соседям, но и делает вашу сеть доступной для хакера за стенами офиса.

3.3. Включение интерфейса

Проверьте, что для данного интерфейса работают все доступные антенны (рис. 11). Должны быть включены все чекбоксы.

Рис. 11. Вкладка HT.

После установки всех значений нажмите кнопку Enable (рис. 12).

Рис. 12. Включение интерфейса wlan1.

Как только к диапазону 2,4 ГГц подключится любой клиент, интерфейс wlan1 переходит в состояние run. Можно проверить подключившихся клиентов на вкладке Registration (рис. 13).

Рис. 13. Список подключений.

4. Диапазон 5 ГГц

Настройка диапазона 5 ГГц аналогична настройке 2,4 ГГц. Вернёмся к списку беспроводных интерфейсов (рис. 2) и откроем интерфейс wlan2.

Необходимо задать следующие параметры (рис. 14):

• Mode: — ap bridge;
• Band: — 5GHz-A/N/AC;
• Channel Width: — 20/40/80MHz eeeC (данное значение подразумевает, что верхняя граница полосы пропускания будет расти вверх, выбирая ширину канала);
• Frequency: — выбрать значение вручную, руководствуясь п. 3.2;
• SSID: — WiFi_5;
• Wireless Protocol: — 802.11;
• Security Profile: — General WiFi;
• Country: — russia3.

Рис. 14. Параметры wlan2.

Параметр WPS Mode (полуавтоматическое подключение с помощью физической кнопки) может принимать 4 значения: выключено, быстрое нажатие кнопки, удержание кнопки в течение 5 с и использование виртуальной кнопки WPS Accept. Учтите, что технология скомпрометирована, а офисным клеркам не обязательно и не интересно знать, где установлен роутер с точкой доступа.

Проверьте антенну (рис. 15).

Рис. 15. Вкладка включения антенны для интерфейса wlan2.

Нажмите кнопку Enable. Подключившихся клиентов можно проверить на вкладке Registration (рис. 16).

Рис. 16. Список подключений к wlan2.

5. Запуск виртуальных точек доступа Virtual AP

Точка доступа MikroTik позволяет раздавать более одного SSID. Потребность в дополнительных WiFi-службах может возникнуть, например, при сегментировании локальной сети на виртуальные и сопоставлении групп клиентов из разных VLAN соответствующим SSID.

Технология виртуальных точек MikroTik Virtual AP поддерживает до 128 SSID на физическую точку доступа. Поскольку в hAP ac lite установлено 2 радиомодуля, нам доступны 256 SSID.

5.1. Добавление виртуальной точки доступа

Перейдите к списку беспроводных интерфейсов (рис. 2), щёлкните знак плюса и выберите Virtual (рис. 17).

Рис. 17. Добавление виртуальной точки доступа.

5.2. Настройка виртуальной точки доступа

Откройте новый интерфейс (wlan3) и переключитесь в расширенный режим, нажав кнопку Advanced Mode (см. рис. 5).

Необходимо установить следующие параметры (рис. 18):

• Mode: — ap bridge;
• SSID: — выберите название для виртуальной SSID в соответствии с принятым регламентом;
• Master Interface — выберите мастер-интерфейс из существующих физических интерфейсов;
• Security Profile: — General WiFi.

Рис. 18. Параметры виртуальной точки доступа.

При необходимости, выберите режим (VLAN Mode) и введите тег VLAN (VLAN ID).

5.3. Запуск виртуальной точки доступа

Проверьте, что выставлены все необходимые параметры и нажмите кнопку Enable.

Вернитесь в список беспроводных интерфейсов и проверьте, что виртуальная точка доступа создана (рис. 19).

Рис. 19. Виртуальная точка доступа в списке беспроводных интерфейсов.

Virtual AP вещает в диапазоне своего мастер-интерфейса.