Постановка задачи, реализовать Wi-Fi сеть WPA2-EAP с авторизацией через LDAP учетки или сертификаты с бесшовным роумингом,
используя WDS-MESH.
При этом трафик Wi-Fi клиентов завернуть во vlan
(tagged), а трафик самого роутера оставить без тега (untagged).
Подготовка
- Сброс кнопкой
Reset
на корпусе. - Подключаемся через
Windox
по кабелю 2-5 порты или Wifi, в открывшемся диалоговом окне сброс пока не нажимаем! -
Прописываем статический
ip
наether1
, основной шлюз, DNS сервер./ip address add address=10.10.0.101/24 interface=ether1 network=10.10.0.0 /ip dns set servers=10.10.10.254 /ip route add distance=1 gateway=10.10.0.1
-
Жмем сброс настроек в диалоговом окне (та самая кнопка, которую не нажимали в начале).
- Роутер произведет сброс заводских настроек, но оставит пользовательские.
- Если роутер, спустя минуту не ушол в ребут - делаем вручную.
- Подключаемся по статическому
ip
и делаем остальные настройки,Identity
(я выбрал простой нейминг точекap1
,ap2
...),clock
,SNTP
, отключаем ненужные сервисы (telnet
,api
) и т.д.../system ntp client set enabled=yes primary-ntp=10.10.10.254 /system clock set time-zone-name=Asia/Novosibirsk /system identity set name=ap1 /ip service set telnet disabled=yes /ip service set ftp disabled=yes /ip service set api disabled=yes /ip service set api-ssl disabled=yes
Добавляем интерфейс vlan5
от ether1
.
/interface vlan add interface=ether1 l2mtu=1594 name=vlan5 vlan-id=5
Создаем Bridge интерфейс
Называем его например br-vlan5
, добавляем в него порты wlan1
, vlan5
.
/interface bridge add name=br-vlan5
/interface bridge port add bridge=br-vlan5 interface=wlan1
/interface bridge port add bridge=br-vlan5 interface=vlan5
Создаем Mesh интерфейс
Называем его например Mesh-Interface
, добавляем в него порт br-vlan5
.
/interface mesh add hwmp-rann-propagation-delay=5 name=Mesh-Interface
/interface mesh port add interface=br-vlan5 mesh=Mesh-Interfacee
Создаем Security Profle:
/interface wireless security-profiles add authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys name=WPA2-EAP-MESH
- Name:
WPA2-EAP-MESH
- Mode:
dynamic keys
- Authentication Types: [v]
WPA2 EAP
- Unicast & Group Ciphers:
aes ccm
- Supplicant Identity:
ap1
(для каждой точки свой, на всякий случай, если вдруг точка начнет авторизовываться в RADIUS, будет легче найти проблемную). - Management Protection:
Disabled
- EAP Methods:
passthrough
- TLS Mode:
no certificates
- TLS Certificate:
none
Настраиваем wlan1
интерфейс:
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=ap-bridge radio-name=AP1 security-profile=WPA2-EAP-MESH ssid=YOUR_SSID wds-default-bridge=Mesh-Interface wds-mode=dynamic-mesh wireless-protocol=802.11
Выбираем канал
Частоту канал, я выбрал 2412
ВАЖНО, для работы WDS необходимо, чтобы канал на ВСЕХ роутерах был один.
- Mode: ap bridge
- Band: 2GHz-B/G/N
Настройка SSID сети
- Wireless Protocol:
802.11
- Security Profile:
WPA2-EAP-MESH
- Bridge Mode:
Enabled
- WDS Mode:
Dynamic-Mesh
- WDS Default Bridge:
Mesh-Interface
Настройка WDS:
Создаем Security-Profile, чтобы роутеры могли авторизовывать друг друга:
/interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=4WDS supplicant-identity="" wpa2-pre-shared-key=wpa2password4wds
- Name:
4WDS
- Mode:
dynamic keys
- Authentication Types: [v]
WPA2 PSK
- Unicast & Group Ciphers:
aes ccm
- WPA2 Pre-Shared Key:
ОдинаковыйПарольНаВсехРоутерах
- Management Protection:
Disabled
Создаем Connect-List
Добавляем в него MAC-адреса каждого роутера.
/interface wireless connect-list add interface=wlan1 security-profile=4WDS wireless-protocol=802.11 mac-address=4C:5E:0C:XX:XX:01 comment=ap2
/interface wireless connect-list add interface=wlan1 security-profile=4WDS wireless-protocol=802.11 mac-address=4C:5E:0C:XX:XX:10 comment=ap3
- Interface:
Wlan1
- Mac Address:
XX:XX:XX:XX:XX:XX
- [V] Connect
- Wireless Protocol:
802.11
- Security Profile:
4WDS
Добавляем информацию о RADIUS сервере:
/radius add address=10.10.10.254 secret=supersecretpwd service=wireless
- Service: [v]
wireless
- Address:
10.10.10.254
(у меня RADIUS на этом сервере). - Secret:
*****
(Пароль от радиус сервера). - Authentication Port:
1812
(стандартный) - Accounting Port:
1813
(стандартный)
Настройка RADIUS сервера:
Продолжение следует...
Технология надежд не оправдала, возможно я неправильно что-то сделал, спустя какое-то время вернули обратно в обычный режим WPA2-EAP с разными частотами
каналамии заниженой мощьностью передатчика (исходили из расчета ~10-20 активных клиентов на 1 точку доступа).
Ссылки по теме:
Comments
comments powered by Disqus