2. Mikrotik
  3. Mikrotik WPA2-EAP WDS MESH

Mikrotik WPA2-EAP WDS MESH

Постановка задачи, реализовать Wi-Fi сеть WPA2-EAP с авторизацией через LDAP учетки или сертификаты с бесшовным роумингом, используя WDS-MESH. При этом трафик Wi-Fi клиентов завернуть во vlan (tagged), а трафик самого роутера оставить без тега (untagged).

Подготовка

  • Сброс кнопкой Reset на корпусе.
  • Подключаемся через Windox по кабелю 2-5 порты или Wifi, в открывшемся диалоговом окне сброс пока не нажимаем!

  • Прописываем статический ip на ether1, основной шлюз, DNS сервер.

    /ip address add address=10.10.0.101/24 interface=ether1 network=10.10.0.0
/ip dns set servers=10.10.10.254
/ip route add distance=1 gateway=10.10.0.1

  • Жмем сброс настроек в диалоговом окне (та самая кнопка, которую не нажимали в начале).

  • Роутер произведет сброс заводских настроек, но оставит пользовательские.
  • Если роутер, спустя минуту не ушол в ребут - делаем вручную.
  • Подключаемся по статическому ip и делаем остальные настройки, Identity (я выбрал простой нейминг точек ap1, ap2...), clock, SNTP, отключаем ненужные сервисы (telnet, api) и т.д...
    /system ntp client set enabled=yes primary-ntp=10.10.10.254
/system clock set time-zone-name=Asia/Novosibirsk
/system identity set name=ap1
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes

Добавляем интерфейс vlan5 от ether1.

/interface vlan add interface=ether1 l2mtu=1594 name=vlan5 vlan-id=5

Создаем Bridge интерфейс

Называем его например br-vlan5, добавляем в него порты wlan1, vlan5.

/interface bridge add name=br-vlan5
/interface bridge port add bridge=br-vlan5 interface=wlan1
/interface bridge port add bridge=br-vlan5 interface=vlan5

Создаем Mesh интерфейс

Называем его например Mesh-Interface, добавляем в него порт br-vlan5.

/interface mesh add hwmp-rann-propagation-delay=5 name=Mesh-Interface
/interface mesh port add interface=br-vlan5 mesh=Mesh-Interfacee

Создаем Security Profle:

/interface wireless security-profiles add authentication-types=wpa2-eap management-protection=allowed mode=dynamic-keys name=WPA2-EAP-MESH
  • Name: WPA2-EAP-MESH
  • Mode: dynamic keys
  • Authentication Types: [v] WPA2 EAP
  • Unicast & Group Ciphers: aes ccm
  • Supplicant Identity: ap1 (для каждой точки свой, на всякий случай, если вдруг точка начнет авторизовываться в RADIUS, будет легче найти проблемную).
  • Management Protection: Disabled
  • EAP Methods: passthrough
  • TLS Mode: no certificates
  • TLS Certificate: none

Настраиваем wlan1 интерфейс:

/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no l2mtu=2290 mode=ap-bridge radio-name=AP1 security-profile=WPA2-EAP-MESH ssid=YOUR_SSID wds-default-bridge=Mesh-Interface wds-mode=dynamic-mesh wireless-protocol=802.11

Выбираем канал

Частоту канал, я выбрал 2412

ВАЖНО, для работы WDS необходимо, чтобы канал на ВСЕХ роутерах был один.

  • Mode: ap bridge
  • Band: 2GHz-B/G/N

Настройка SSID сети

  • Wireless Protocol: 802.11
  • Security Profile: WPA2-EAP-MESH
  • Bridge Mode: Enabled
  • WDS Mode: Dynamic-Mesh
  • WDS Default Bridge: Mesh-Interface

Настройка WDS:

Создаем Security-Profile, чтобы роутеры могли авторизовывать друг друга:

/interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=4WDS supplicant-identity="" wpa2-pre-shared-key=wpa2password4wds
  • Name: 4WDS
  • Mode: dynamic keys
  • Authentication Types: [v] WPA2 PSK
  • Unicast & Group Ciphers: aes ccm
  • WPA2 Pre-Shared Key: ОдинаковыйПарольНаВсехРоутерах
  • Management Protection: Disabled

Создаем Connect-List

Добавляем в него MAC-адреса каждого роутера.

/interface wireless connect-list add interface=wlan1 security-profile=4WDS wireless-protocol=802.11 mac-address=4C:5E:0C:XX:XX:01 comment=ap2
/interface wireless connect-list add interface=wlan1 security-profile=4WDS wireless-protocol=802.11 mac-address=4C:5E:0C:XX:XX:10 comment=ap3
  • Interface: Wlan1
  • Mac Address: XX:XX:XX:XX:XX:XX
  • [V] Connect
  • Wireless Protocol: 802.11
  • Security Profile: 4WDS

Добавляем информацию о RADIUS сервере:

/radius add address=10.10.10.254 secret=supersecretpwd service=wireless
  • Service: [v] wireless
  • Address: 10.10.10.254 (у меня RADIUS на этом сервере).
  • Secret: ***** (Пароль от радиус сервера).
  • Authentication Port: 1812 (стандартный)
  • Accounting Port: 1813 (стандартный)

Настройка RADIUS сервера:

Продолжение следует...

Технология надежд не оправдала, возможно я неправильно что-то сделал, спустя какое-то время вернули обратно в обычный режим WPA2-EAP с разными частотами каналами и заниженой мощьностью передатчика (исходили из расчета ~10-20 активных клиентов на 1 точку доступа).

Ссылки по теме:

  1. Manual:Interface/Wireless
  2. Wireless WDS Mesh
  3. Контроллер Wi-Fi точек доступа на Mikrotik

Comments

comments powered by Disqus