Ptp bridge cpe что это

Mikrotik RoS, полезные мелочи

Распространенность оборудования Mikrotik растет с каждым днем, все больше устройств, а значит и RoS, появляется не только в корпоративном секторе, но и у обычных, домашних пользователей.
К сожалению, не смотря на вполне нормальные настройки по умолчанию, которые можно сделать через Quick Set, в интернете можно встретить множество советов очистить конфигурацию, и сделать как-то по «особому», с «нуля». В этой статье я хочу поделится своим опытом и дать рекомендации, как изменить конфигурацию из Quick Set под свои нужды, при этом сохранив достаточный уровень защищенности.

Что такое Quick Set?

Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:

• CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
• CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
• HomeAP [dual] — Режим домашней точки доступа, тут количество настроек уменьшено, а их названия приближены к сленгу «домашних пользователей»

PTP Bridge AP\CPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE

WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»

Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)

Дальше мы будем в основном настраивать HomeAP\WISP AP, но советы пригодятся и в других конфигурациях.

Безопасность

Конфигурация по умолчанию уже не дает подключаться к роутеру из внешней сети, но основывается защита только на пакетном фильтре. Не забываем, про установку пароля на пользователя admin. Поэтому, в дополнение к фильтрации и паролю, я делаю следующие:

Доступность на внешних интерфейсах

Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.

Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:

/interface list add exclude=dynamic name=discover

Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.

Теперь настроим работу протокола, указав список discovery в его настройках:

В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:

Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.

Защита от DDoS

Теперь, добавим немного простых правил в пакетный фильтр:

/ip firewall filter add action=jump chain=forward connection-state=new in-interface-list=ISP jump-target=anti-DDoS add action=jump chain=input connection-state=new in-interface-list=ISP jump-target=anti-DDoS add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3 add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3

И поместим их после правила defcon для протокола icmp.

Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.

RFC 1918

RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик от\к таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.

/ip firewall address-list add address=10.0.0.0/8 list="RFC 1918" add address=172.16.0.0/12 list="RFC 1918" add address=192.168.0.0/16 list="RFC 1918" /ip firewall filter add action=drop chain=input comment="Drop RFC 1918" in-interface-list=WAN src-address-list="RFC 1918" add action=drop chain=forward comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN add action=drop chain=output comment="Drop RFC 1918" dst-address-list="RFC 1918" out-interface-list=WAN

Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.

А вот набор маршутов в «черную дыру»

/ip route add comment="RFC 1918" distance=249 dst-address=10.0.0.0/8 type=blackhole add comment="RFC 1918" distance=249 dst-address=172.16.0.0/12 type=blackhole add comment="RFC 1918" distance=249 dst-address=192.168.0.0/16 type=blackhole

Этот набор маршрутов направит весь трафик до сетей RFC 1918 в «черную дыру», однако, если будут маршруты с меньшей метрикой, то такой трафик пойдет через эти маршруты. Полезно для гарантии того, что приватный трафик не просочится во внешнюю сеть.
За совет благодарим achekalin

UPnP

Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:

SIP Conntrack

Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.

IPv6 туннели

Если вы не используете IPv6 или не хотите что-бы рабочие машины с Windows поднимали IPv6 туннели без спроса, тогда заблокируйте следующий трафик:

/ip firewall filter add action=drop chain=forward comment="Teredo TCP" dst-port=3544 protocol=tcp add action=drop chain=forward comment="Teredo UDP" dst-port=3544 protocol=udp add action=drop chain=forward comment=6to4 protocol=ipv6

За совет опять благодарим achekalin

Динамические и вложенные списки интерфейсов

Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть особенность: глубина вложенности. Невозможно вложить вложенный список во вложенный список. Если вы так сделаете (фича такая) вам не сообщат о проблеме, просто такой список работать по факту не будет.

WiFi

В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.

Bridge & ARP

Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes

Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.

Прочее

Для корпоративного применения рекомендую заводить списки интерфейсов и адресов, которые олицетворяют зоны доступа. Тогда, создав такие списки, вы сможете настроить правила прохождения трафика из одной зоны в другую, а так-же легко изменять состав зон. Вообще, чаще используйте списки, а не сами интерфейсы, это облегчит перенос конфигурации.

PC360

Вы находитесь здесь PC360 » Настройка ПО » MikroTik – Беспроводной мост внутри здания (быстрая настройка).

MikroTik – Беспроводной мост внутри здания (быстрая настройка).

Опубликовано 29 Ноя 2021 — admin. В рубрике: Настройка ПО. Теги: MikroTik, PROGRAM.

Беспроводной мост был организован для объединения двух частей локальной сети на разных этажах. Сделать проводное соединение нет возможности. Выполнена очень быстрая настройка через quick set. До использования MikroTik для беспроводных мостов в нашей организации использовались точки Wi-Fi TPLink CPE510 уличного типа для связи между отдаленными корпусами. Настройка микротика представлялась сложной инженерной задачей, для которой требуется обучение и много времени. Однако после исследования этой темы оказалось, что использование quick set микротика гораздо удобнее и быстрее, чем мастер настройки в точках TPLink.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

В схеме использованы два роутера RB951Ui2HnD с прошивкой 6.49. Расстояние между роутерами 20м, этажное перекрытие и стена.

Сервер лежит на распределительном шкафу СКС в коридоре.

Клиент расположился в кабинете на шкафу.

Настройки сброшены в пустую (blank) конфигурацию.

1.Настройка сервера (точка доступа).

Подключаемся к роутеру из локальной сети через WinBox по MAC-адресу.

Переходим в меню Quick Set. Выполним 6 минимально необходимых действий для настройки.

1.PTP Bridge AP – режим работы точки wi-fi (bridge).

2.Address Acquisition: Automatic – автоматическое получение IP-адреса от выше стоящего роутера.

3.Security: WPA2 – режим безопасности wi-fi (отмечаем галочкой).

4.Encryptyon: aes ccm – стандарт шифрования (отмечаем галочкой).

5.WiFi Password: Password12345 – пароль для wi-fi

6.Нажимаем кнопку Apply для сохранения настроек.

Дополнительно можно указать идентификатор для удобства обслуживания и сетевое имя, чтоб быстрей найти свой сервер в радиоэфире из множества других.

Конфигурация в текстовом виде, которая получается в результате этих настроек.

Другие настройки, такие как частота, диапазон, страна, ACL и прочие рассмотрены в подробной настройке беспроводного моста.

2.Настройка клиента (беспроводная станция).

Подключаемся к роутеру-клиенту из локальной сети через WinBox по MAC-адресу.

Переходим в меню Quick Set. Выполняем 6 минимально необходимых действий для настройки.

1.PTP Bridge CPE – режим работы точки wi-fi (station bridge).

2.Выбираем беспроводную точку доступа (сервер) из списка.

3.WiFi Password: Password12345 – пароль, такой же как в настройках сервера.

4.Address Acquisition: Automatic – автоматическое получение IP-адреса от выше стоящего роутера.

5.Нажимаем кнопку «Apply» для сохранения настроек.

6.Нажимаем кнопку «Connect» для подключения к серверу.

Дополнительно можно указать идентификатор устройства.

Конфигурация в текстовом виде, которая получается в результате этих настроек.

Клиент получит IP-адрес только после установки соединения.

Компьютеры и прочие сетевые устройства, подключенные к беспроводному клиенту «видят» всю локальную сеть (L3 и L2) и выходят в интернет через основной шлюз. Если IP-адрес на компьютерах не обновился, то нужно выполнить команду в cmd (для Windows) «ipconfig -renew» или передернуть сетевой провод, чтоб инициировать получение нового IP-адреса. Адреса для всех устройств раздает вышестоящий роутер по DHCP через беспроводной мост.

Кроме выше представленных настроек рекомендуется:

-сменить пароль админа — в прошивках выше 6.49 это предлагается при входе в роутер;

-определить доступы к обоим микротикам — сервисы и IP с которых разрешен вход.

Реальная картина по уровню сигнала.

Bandwidth Test между сервером и клиентом.

Скорость больше 5 Мбит/с увидеть не получилось, мешают стены. Для работы с документами, общими папками и просмотра интернет страниц для 10 ПК этого достаточно.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Инструкции по настройке MikroTik

Инструкция по настройке MikroTik через Quick Set. Описание режимов Home AP, Wisp AP, CAP, CPE.

Quick Set – это простая страница мастера настройки, которая подготавливает роутер(маршрутизатор) MikroTik или точку доступа WiFi за несколько кликов. Это первый экран, который видит пользователь, открывая IP-адрес по умолчанию 192.168.88.1 в веб-браузере.

Quick Set доступен для всех устройств, у которых есть заводская конфигурация по умолчанию. Устройства, для которых нет конфигурации, необходимо настраивать вручную. Самый популярный и рекомендуемый режим – Home AP (или Home AP dual, в зависимости от устройства). Этот режим быстрой настройки обеспечивает простейшую терминологию и наиболее общие параметры для домашнего пользователя.

Режимы быстрой настройки Quick Set

В зависимости от модели роутера(маршрутизатора), коммутатора(свитча) или точки доступа WiFi выпадающий список режимов в меню Quick Set может иметь разные состав:

• CAP: Controlled Access Point, устройство AP, которое будет управляться централизованным сервером . Используется только в том случае, если уже настроен сервер CAPsMAN;
• CPE: клиентское устройство, которое будет подключаться к устройству точки доступа (AP). Предоставляет возможность поиска и подключения устройств AP . Это режим адаптирован под работу репитера(усилителя);
• Home AP: страница конфигурации точки доступа по умолчанию, подходит для большинства домашних пользователей. Предоставляет меньше вариантов и упрощенную терминологию. Этим режимом настраивается функция роутера(маршрутизатора) в MikroTik;
• Home AP dual: двухдиапазонные устройства (2 ГГц / 5 ГГц). Страница конфигурации точки доступа по умолчанию для большинства домашних пользователей. Предоставляет меньше вариантов и упрощенную терминологию;
• Home Mesh: создана для создания больших сетей Wi-Fi. Включает сервер в маршрутизаторе и помещает локальные интерфейсы WiFi под управление CAPsMAN. Для подключения других точек доступа MikroTik WiFi необходимо загрузить их с нажатой кнопкой сброса. После чего, они присоединятся к этой сети Home Mesh;
• Ethernet: настройка функции роутера для оборудования MikroTik, которые не имеет WiFi модуля.
• PTP Bridge AP: когда нужно прозрачно соединить два удаленных местоположения вместе в одной сети, нужно установить одно устройство в этот режим, а другое устройство в следующий (PTP Bridge CPE) режим. Это режим моста для передатчика;
• PTP Bridge CPE: если необходимо прозрачно соединить два удаленных местоположения вместе в одной сети, нужно установить одно устройство в этот режим, а другое устройство в предыдущий режим (точка доступа PTP Bridge). Это режим моста для приёмника;
• WISP AP: аналогичен режиму Home AP, но предоставляет более расширенные возможности и использует стандартную отраслевую терминологию, такую ​​как SSID и WPA.

Быстрая настройка MikroTik Home AP

Режим Quick Set Home AP является самый распространённым режимом мастера настройки MikroTik. Именно Home AP произведёт конфигурирование устройства в качестве роутера(маршрутизатора). Первый порт роутера MikroTik будет принимать подключение от интернет провайдера, остальные порты будет являться LAN, а WiFi модуль обеспечит доступ к локальной сети и интернета для беспроводных устройств.

Что такое WISP AP, CAP, CPE, HomeAP на MikroTik?

Для начала давайте разберёмся, что же такое режим WISP? Это определённый мод маршрутизатора, при котором он может принимать интернет сигнал и подключаться к сети провайдера путём радиоволн по стандартам Wi-Fi. Если раскрыть аббревиатуру, то она звучит так – «Wireless Internet Service Provider», что дословно можно перевести как «беспроводной интернет сервис провайдера».

Данная технология достаточно редкая, но появилась давно. Давайте покажу на примере. У провайдера есть большая антенна с мощным передатчиком на несколько квадратных километров. Клиент настраивает роутер и подключается к беспроводной сети. То есть в данном случае роутер принимает сигнал не через WAN порт по проводу, а именно путём Wi-Fi сигнала.

Далее при подключении он принимает сигнал и распределяет на все сегменты сети: на компьютеры, ноутбуки телефону и т.д. Интернет раздаётся как по проводам, так и по WiFi. Теперь перед настройкой роутера, именно в этом режиме сразу – скажу, что проблемой является в разных названиях модов. Компании, которые выпускают эти аппараты, по разному называют этот «мод» из-за чего клиент может запутаться. Также не все роутеры имеют данный режим и поддерживают его, поэтому перед покупкой обязательно убедитесь, что он сможет работать как повторитель WISP.

MikroTik

WISP AP на роутере MikroTik – что это такое? У «Микротик» данный «мод» обозначает немного другое значение. Раз вы задаетесь таким вопросом, то скорее вы уже приступили к настройке этого чудного аппарата через «Quick Set». Эта функция позволяет быстро настроит роутер без муторных, педантичных конфигураций. Можно сказать некий «Быстрый старт».

В верхней части можно выбрать несколько вариантов:

• CAP – управляемая точка доступа.
• CPE — вот данный режим и отображает реальный «WISP», кагда клиентский аппарат подключается к другой вайфай сети.
• HomeAP – обычный домашнего роутера с меньшим количеством настроек.
• PTP Bridge AP\CPE – тут все понятно – «Режим моста». Для организации нужно два аппарата, один будет работать в AP, а второй в CPE.
• WISP AP – по сути это HomeAP, но там конфигурация более детальная, для более продвинутых пользователей.
• Basic AP – пуста конфигурация для развертывания.

Для настройки заполняем конфигурацию в левом блоке «Wireless» для настройки беспроводного мода. Вписываем имя сети и пароль от неё. Чтобы появилась строка ввода пароля укажите типа шифрования как WPA2 и WPA. Тут ничего сложного нет все как на других роутерах.

Справа идут настройки IP, маски и DNS адресов. По идее эти настройки роутер должен получать от провайдера. Тогда просто ставим режим «Automatic». Если у вас статический IP с маской, то ставим «Static» и вписываем данные с листа. В разделе «Local Network» идёт настройка «айпи» адреса шлюза или нашего Микротика и диапазон локальных адресов.

WISP на других маршрутизаторах

«AP client router» на ASUS

На аппаратах Асус к сожалению название не адаптивно и не понятно. Может быть это связано с переводом. Но на русской версии мод называется «Беспроводной сетевой адаптер». Для настройки вы можете использовать «Быструю настройку» – просто нажмите на волшебную палочку в левом углу окна. Или нажмите на «Режим работы» в самой верхней части на главной странице.

TP-Link

На TP-Link можно включить двумя способами. Заходим в «Operation Mode» или по-русски – «Рабочий режим». Далее выбираем наш мод. После этого переходим в «Сеть» – «WAN» и ставим динамический IP.

Второй способ – заходим в «Беспроводной режим». Теперь нажимаем «Включить WDS». Далее все просто, нужно просто подключиться к беспроводной сети провайдера. Для этого впишите данные вай-фай.

Zyxel Keenetic

1. Нажимаем на значок планетки в самом низу.

1. Находим вкладку «ВИСП» и активируем.

1. Выбираем кнопку обзора сетей и выбираем нужную из списка.

1. Далее вписываем пароль в поле «Ключ сети».
2. Настройка IP и DNS стоит в автономном режиме, но вы всегда можете настроить вручную эти параметры. В качестве ДНС можно использовать параметры от Google: 8.8.8.8 и 8.8.4.4.