+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

mAP lite — настройка с фиксированным IP-адресом (отличным от стандартного)

mAP lite — настройка с фиксированным IP-адресом (отличным от стандартного), RouterOS

Buechi

Guest

12.04.2024 15:32:00

Дорогие участники сообщества, я работаю разработчиком встроенного ПО и имею лишь ограниченные знания в сетевых технологиях. Поэтому заранее спасибо за ваше терпение.

В чём мой вопрос? У меня есть встроенное устройство с Ethernet-интерфейсом (без WLAN). На этом устройстве запущен веб-сервер, к которому можно получить доступ только через статический IP (10.100.30.130). Я хотел бы настроить «mAP lite» так, чтобы с мобильного устройства (например, смартфона или планшета) по Wi-Fi можно было подключаться к моему встроенному устройству:

Встроенное устройство *) <==== ETH-кабель ====> mAP lite <==== WLAN ====> мобильное устройство (планшет / смартфон)
*) Веб-сервер с статическим IP 10.100.30.130

В чём проблема? Раньше я уже настраивал такую схему с другим точкой доступа. Тогда это не вызвало больших сложностей, но из-за очень компактного размера mAP lite было бы круто использовать именно его. К сожалению, я застрял с настройкой и не могу заставить устройство работать как надо.

Основная проблема — я попытался поменять IP-адрес mAP lite на 10.100.30.100. После перезагрузки с новым адресом я больше не могу зайти в меню настройки (ни по адресу 10.100.30.100, ни с дефолтным 192.168.88.1). После того как я сбрасываю mAP кнопкой на устройстве, доступ к меню появляется снова по умолчанию.

Может, кто-нибудь подскажет, как избежать этого и правильно настроить mAP lite через меню настройки? Заранее огромное спасибо за помощь!

С уважением, Даниэль

Buechi

Guest

07.05.2024 09:44:00

Дорогой jaclaz, большое спасибо за добрый ответ и вопросы. Вот мои ответы на них:

Встроенное устройство имеет IP 10.100.30.130, фиксированный, как я полагаю, /24.
Да, верно.

Ethernet-порт map lite (ether1) подключён к встроенному устройству и должен иметь IP 10.100.30.100 (/24), этот порт может быть отдельным или мостовым, см. ниже.
Да, верно.

Мобильное устройство (планшет, смартфон) должно подключаться по Wi-Fi, поэтому я предполагаю, что оно должно получать IP от DHCP-сервера map lite.
Да, верно.

Должен ли этот адрес находиться в той же сети, что и встроенное устройство (например, 10.100.30.0/24) или в другой (например, 192.168.1.0/24)?
Предпочтительно использовать второй вариант, чтобы на мобильном устройстве достаточно было просто найти и подключиться к WLAN-сети, предоставляемой map lite. После этого в адресной строке браузера можно ввести IP-адрес «10.100.30.130:8080», чтобы установить соединение с этим IP через WLAN и (c фиксированным IP) Ethernet-порт map lite.

Что касается файрвола: в вашей конфигурации нет необходимости в правилах /ip firewall filter, их можно отключить все.
Окей.

Если вы используете мост, то правила /ip firewall nat не нужны, если роутинг — нужна маскарадинг-правила NAT для трансляции LAN в WAN.
Окей.

RoS 6.49.8 — это очень старая версия, проблем быть не должно, но, возможно, стоит обновиться до версии 7.xx (или не стоит).
Окей.

Использовать “роутерный” подход в целом проще, чем “коммутаторный” с мостом, хотя оба варианта возможны.
Окей.

Если бы вы могли подсказать, как проще всего настроить ap lite согласно описанной выше схеме, был бы очень признателен. Заранее большое спасибо за вашу помощь.

С уважением, Дэниел

jaclaz

Guest

07.05.2024 12:12:00

Вот что я бы попробовал сделать (думаю, нужно подключиться по Wi-Fi, чтобы получить доступ к map lite «как есть» через Winbox по адресу 192.168.88.1 или по MAC):

поменять:
/tool mac-server mac-winbox set allowed-interface-list=LAN
на
/tool mac-server mac-winbox set allowed-interface-list=all

Это должно позволить подключаться к Winbox как по Ethernet, так и по беспроводному интерфейсу.

Меня сбивает с толку вот это:
/interface bridge port add bridge=bridge comment=defconf interface=pwr-line1
pwr-line1 не должен быть в дефолтной конфигурации map lite, верно?

В любом случае:
удалите порт ether1 из bridge1
добавьте нужный адрес на ether1:
/ip address add address=10.100.30.100/24 comment=testconf interface=ether1 network=10.100.30.0

Отредактируйте уже существующий IP 10.100.30.129 или оставьте как есть и используйте его вместо 10.100.30.100 в дальнейшем.

Поскольку ether1 теперь отдельный интерфейс со статическим IP, отключите следующее:
/ip dhcp-client (DHCP-клиент не может работать на slave-интерфейсе!)
добавьте
comment=defconf disabled=no interface=ether1
add disabled=no interface=bridge1

Пройдитесь по всем правилам /ip firewall filter и отключите их все.

Обязательно, чтобы было:
/ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade” ipsec-policy=out,none out-interface-list=WAN

На этом этапе (если я ничего не забыл) вы должны иметь возможность подключаться через Winbox к map lite через ether1 как по IP (10.100.30.100, при этом PC временно нужно выставить статический IP из диапазона 10.100.30.0/24), так и по MAC.

Проверьте текущие «динамические» маршруты командой:
/ip route print

Должен быть маршрут к 10.100.30.0/24 с gateway=ether1 или gateway=10.100.30.100 и маршрут к 192.168.88.0 с gateway=192.168.88.1 или gateway=bridge.

Теперь, если отключить PC от ether1, подключить встроенное устройство к ether1, а PC — к Wi-Fi, вы должны иметь возможность пинговать и заходить на встроенное устройство по адресу 10.100.30.130.

Если всё это работает, тогда можно поговорить о том, как улучшить и доработать конфигурацию.

Не воспринимайте всё вышеперечисленное как «окончательное и полное руководство по настройке map lite», там может чего-то не хватать или что-то упущено, максимум — это «добросовестная попытка указать правильное направление».

Buechi

Guest

08.05.2024 06:00:00

Привет, jaclaz, отлично. Теперь всё работает, как надо. Огромное-преогромное спасибо за твою отличную поддержку и терпение до сих пор. Пожалуйста, дай знать, если мне что-то попробовать или изменить на этом этапе. С наилучшими пожеланиями и ещё раз спасибо, Дэниел.

Buechi

Guest

08.05.2024 06:06:00

Кстати, вот текущая конфигурация:

/interface bridge
add admin-mac=78:9A:18:80:24:3A auto-mac=no comment=defconf name=bridge
add name=bridge1

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-80243B wireless-protocol=802.11

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip hotspot profile
set [ find default=yes ] html-directory=hotspot

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=wlan1

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.100.30.100/24 interface=ether1 network=10.100.30.0

/ip dhcp-client
add comment=defconf interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: принять established,related,untracked" connection-state=established,related,untracked disabled=yes
add action=drop chain=input comment="defconf: отбросить invalid" connection-state=invalid disabled=yes
add action=accept chain=input comment="defconf: принять ICMP" disabled=yes protocol=icmp
add action=accept chain=input comment="defconf: принять на локальный loopback (для CAPsMAN)" disabled=yes dst-address=127.0.0.1
add action=drop chain=input comment="defconf: отбросить всё, что не с LAN" disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: принять входящие ipsec-пакеты" disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: принять исходящие ipsec-пакеты" disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: принять established,related,untracked" connection-state=established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: отбросить invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: отбросить все новые пакеты из WAN, не проходящие DSTNAT" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

/tool mac-server
set allowed-interface-list=LAN

jaclaz

Guest

08.05.2024 08:46:00

Для вашего использования (когда к ether1 с фиксированным IP подключено только одно устройство через Wi-Fi) всё выглядит нормально. Вам не нужны никакие правила фильтрации в брандмауэре, решайте сами — либо оставить их отключёнными, либо просто удалить (это вопрос предпочтений: если хотите «чистую» и простую конфигурацию — удаляйте, если думаете, что потом что-то менять будете — можно оставить отключёнными).

Остаётся для меня загадкой эта строка: add bridge=bridge comment=defconf interface=pwr-line1. Я бы сначала попробовал её отключить, а потом удалить.

Поскольку ether1 теперь с фиксированным IP, вы можете отключить или удалить строку /ip dhcp-client add comment=defconf interface=ether1.

Возможно, вы пропустили в копировании вашей конфигурации: /tool mac-server mac-winbox set allowed-interface-list=all.

Можно оставить, как есть (доступ к Winbox с ether1 и wlan1), а можно теперь настроить так:
set allowed-interface-list=WAN ← обычно я бы сделал так в такой ситуации — разрешить доступ к Winbox только с WAN-интерфейсов, то есть через ether1. Это значит, что для доступа придётся отключать целевое устройство и подключать ПК через кабель. Лично я считаю, что такой способ надёжнее, если что-то пойдёт не так.

Или:
set allowed-interface-list=LAN ← тогда доступ к Winbox будет только через мост или wlan1, то есть по Wi-Fi. Это удобнее — не надо менять подключение или IP на компьютере и возиться с кабелями, но может быть менее надёжно по сравнению с проводным доступом.

Лично я бы оставил значение “all”, чтобы всегда был выбор способа подключения на всякий случай. Учитывая необычное использование устройства, на практике это не создаёт проблем с безопасностью.

Вот и всё, если работает — значит работает. Можно ещё упростить настройку (например, убрать bridge1 и сделать wlan1 отдельным интерфейсом), но смысла в этом особого нет. И — возможно — нет нужды менять настройки для повышения скорости передачи, у вас и так должен быть запас по пропускной способности больше, чем требуется.

Buechi Guest	#7 0 21.05.2024 09:00:00 Дорогой jaclaz, спасибо за очень полезные советы. Я попробую их, как только мы пройдем начальную тестовую фазу проекта и сможем сосредоточиться на деталях. Ещё раз большое спасибо и всего тебе наилучшего. С уважением, Daniel

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры