hEX + hAP AC2

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
gigamozg
Сообщения: 14
Зарегистрирован: 28 дек 2018, 14:45

Всем привет!

Друзья, в новую квартиру приобрел беспроводной роутер hAP AC2, однако столкнулся с тем, что будучи установленным в коммутационном шкафе, куда выведены все ethernet с квартиры и заведен провод от провайдера, роутер не покрывал всю площадь квартиры - ящик установлен в крайне неудачном месте, под потолком, в углу, образованном двумя несущими стенами.
В качестве варианта решения был приобретен роутер hEX и установлен в этот шкаф, а беспроводной hAP AC2 перенесен в помещение кладовки, которое расположено приблизительно +/- по центру квартиры и имеет только гипсокартонные стены. Изначально в этом помещении кладовки предполагалась установка NAS и там была заложена эл/розетка и проложен 1GB ethernet к комм. шкафу.

Таким образом схема текущего подключения в настоящий момент выглядит так:
Scheme_main.jpg
Scheme_main.jpg (13.33 КБ) 4931 просмотр
На hAP AC настроены оба беспроводных интерфейса, они + все порты объединены в бридж.
IP-адреса бридж получает по аплинку от поднятого DHCP на hEX.

На hEX в бридж объединены только порты 2-5 и на нем поднят DHCP-сервер, а порт 1 - WAN, получает IP по DHCP от провайдера.
Также на hEX настроен firewall.

Вопрос к гуру по конфигурации всего этого хозяйства...
Я только начинаю свое знакомство с миром Mikrotik и настроил всю эту связку только опираясь на общие знания как это может работать.
Возможно я что-то упустил или сделал неоптимальным образом...
Возможно для каких-то решений у Микротика есть автоматизация или что-то типа того (CAPsMAN).
Пожалуйста, подскажите как было бы правильно настроить такую связку.

В настоящее время все работает, но есть нарекания на работу беспроводных клиентов (iOS).
Время от времени интернет на них "замирает", порой даже приложения пишут об отсутствии подключения к Интернет, при этом соединения с роутером не обрываются.
От качества wifi сигнала это также не зависит.
Длиться это может пару минут, потом само собой проходит.
В логах ничего связанного с этим найти не могу.

Заранее большое спасибо любому откликнувшемуся!

С наступающим!
Последний раз редактировалось gigamozg 28 дек 2018, 16:26, всего редактировалось 2 раза.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

CAPsMAN хорошее решение, но в вашем случае не особо применимое, так как устройство с WiFi одно. Смысл в CAPsMAN пропадает.

А Apple подключены по 2,4ГГЦ и по 5ГГЦ? Пробовали ли подключать к другой частоте, менять каналы, мощность передатчика на микротике?

Говорят, но сам не сталкивался, что все проблемы с огрызками пропадают, если поставить регион США. Их там несколько, попробуйте все, по очереди.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Так же добавлю и свои 5 копеек.

1) на HAP AC2 - там у Вас скорее бридж есть, проверьте, что порты в этом
бридже имеют флаг "H" - что означает Аппаратная Разгрузка (Hardware Offload).
Включается эта галочка в свойствах каждого порта.
Что она даёт - она позволяет задействовать чип коммутации, что ускоряет
передачу данных между портами (а у Вас там NAS и UpLink), а также
разгружает основной процессор микротика.

2) на центральном роутере (на HexS) тоже надо сделать такое, но там есть подвох.
у HEX S (надеюсь я правильно понял по описанию и у Вас модель RB760??),
именно у него немного сэкономили на чипе коммутации.
Короче если в двух словах (режим Hardware Offload) на HEX S не включается,
вернее галочку Вы ставите, а флаг не появляется.
Увы, я с таким роутером лишь косвенно работал и помогал с настройкой, но коллега нашёл
как добиться этого режиме, надо в настройках бриджа отключить протокол
RSTP, поставить режим - none, проверить ещё раз галочки что стоят в настройках
портов и должны появиться флаги "H". На крайний случай перезагрузите роутер.

Всё выше позволит Вам облегчит и естественно улучшить работу самих роутеров,
(в рамках проводного подключения уж точно), а значит будет и лучше
и производительность, и лагов меньше.

3) На счёт ВиФИ = показали бы настройки самих ВиФи адаптеров?
Обычно народ включает все бэнды, и прочее прочее, а надо более
точечно настраивать, оставить бэнд N-only, выбрать оптимальный канал,
я бы ещё отключил мультикаст.

Также не забывайте, у Вас роутер HAP AC2 - двух-диапазонный, значит
и 5ггц тоже надо правильно настроить. Я бы даже принудительно
разрешил только на 5ггц подключаться с айфонов, правда тесты надо
делать в рамках 3-5 метров. И задача проверить не уровень приёма,
а именно не будет ли глюков по связи. Может по 2.4 есть помеха, а на 5ггц
всё у Вас чисто и облачно. Также при настройке ВиФи есть ещё ряд
средне-важных параметров. Надо их по-изучать и правильно выставить.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gigamozg
Сообщения: 14
Зарегистрирован: 28 дек 2018, 14:45

Спасибо за советы выше!

Регион wifi у меня на обоих диапазонах выставлен США, частоты сканировал, выбрал наименее загруженные.
Мощности передатчиков на обоих диапазонах оставил дефолтные.

На wifi роутере на портах был HW Offload, а вот на hEX - нет. Я еще удивлялся, почему так...
Спасибо за совет - отключил RSTP и offload появился.
Хотя, вообще говоря, загрузка CPU выше 4% никогда и не поднималась :)
Роутер, кстати, 750G r3.

Что касается конфига, то вот вывод export:
export.jpg
(136.19 КБ) 0 скачиваний
По нему можно будет что-то посоветовать?

Оставить только N на 2.4 не могу (пока), так как есть клиент (один), которому нужно G.
На 5.8 долго игрался с частотами и направлением расширения, чтобы в итоге получить 80Mhz полосу для лаптопов.
Получил :hi_hi_hi:

Ну а вообще у меня был скорее концептуальный вопрос - нет ли в такой схеме чего-то неправильного?
Может DHCP relay нужно на hAP AC поднимать или VLAN'ы какие...

Или схема вполне жизнеспособна в том виде, в котором она сейчас существует?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

gigamozg писал(а): 28 дек 2018, 23:36 Регион wifi у меня на обоих диапазонах выставлен США, частоты сканировал, выбрал наименее загруженные.
Мощности передатчиков на обоих диапазонах оставил дефолтные.
Ну я лично против выставление не своего региона. И не столько тут дело в патриотизме,
хотя и это тут есть :a_g_a: , сколько всё же есть свои правила и стандарты.
И я домашних роутеров наверно штук 8-10 уже людям настроил, и китайские бренды были,
и айфоны и всякое, проблем нету.
gigamozg писал(а): 28 дек 2018, 23:36 На wifi роутере на портах был HW Offload, а вот на hEX - нет. Я еще удивлялся, почему так...
Спасибо за совет - отключил RSTP и offload появился.
Не за что. На то и форум, делиться, подсказывать.
gigamozg писал(а): 28 дек 2018, 23:36 Хотя, вообще говоря, загрузка CPU выше 4% никогда и не поднималась :)
Роутер, кстати, 750G r3.
Ну тут не столько в нагрузке, сколько в целом. Зачем нагружать процессор, если
можно его не нагружать, а делегировать задачу другому.
И я сейчас посмотрел, чип коммутации что на 750, что на 760 - один и МедиаТек,
а на этом чипе программно пока не всё ещё реализовано, что есть в других
моделях на базе других чипов коммутации.
gigamozg писал(а): 28 дек 2018, 23:36 Что касается конфига, то вот вывод export:
export.jpg
Ну Вы задали средний уровень общение, так сказать практичный, и уж
делать вывод конфигурации в виде картинки, не совсем то для Вас :-)
Надо было скопировать и вставить сюда, с тегом "code"
gigamozg писал(а): 28 дек 2018, 23:36 По нему можно будет что-то посоветовать?
Ну я говорил ранее, можно в настройках ВиФи запретить мультикаст, это даст
некоторый выигрыш...
gigamozg писал(а): 28 дек 2018, 23:36 Оставить только N на 2.4 не могу (пока), так как есть клиент (один), которому нужно G.
Странно, но имейте ввиду, что G/N - это чаще будет всегда G для всей сети. Вифи работает почти как коммуна.
gigamozg писал(а): 28 дек 2018, 23:36 На 5.8 долго игрался с частотами и направлением расширения, чтобы в итоге получить 80Mhz полосу для лаптопов.
Получил :hi_hi_hi:
У человека Сони Плей стейшен по вифи на 5ггц показывает канальные скорости 433/390 Mbps
И это без шаманства, всё честно, с выставлением Russia3
gigamozg писал(а): 28 дек 2018, 23:36 Ну а вообще у меня был скорее концептуальный вопрос - нет ли в такой схеме чего-то неправильного?
Может DHCP relay нужно на hAP AC поднимать или VLAN'ы какие...
Тут только Вы можете сказать, сеть Ваша, Виланы нужны = если Вам надо по одному физическому проводу
провести/пропустить два-три и так далее разных вида трафика.
gigamozg писал(а): 28 дек 2018, 23:36 Или схема вполне жизнеспособна в том виде, в котором она сейчас существует?
Главное:
1) Вы не показали основной конфиг роутера (RB750)
2) Что у Вас с защитой?
2.1) Закрыли атаки от флуда ДНС (это сильно и канал садит и роутер по мощности)
2.2) Закрыли/отключили лишние сервисы ? (у роутера есть ряд служб которые работают,
но не всем в общем они нужны, их лучше отключить)
3) Я бы наверно (по результатам анализа в будущем) посмотрел, и возможно,
всё же купил маленький гигабитный свитч и поставил его перед НАСом и ВиФи-точкой.
4) Так как я конфиг основного роутера не вижу, то не вижу, как Вы настроили DHCP + сервер времени (поставили)?
5) Ну и прошивка, уже 6.43.8, а у Вас ? Так же не забываем и загрузчик обновить.

P.S.
Скриншот как PS4 сидит на хорошей скорости на 5ггц

Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gigamozg
Сообщения: 14
Зарегистрирован: 28 дек 2018, 14:45

Vlad-2 писал(а): 29 дек 2018, 13:02 Ну я лично против выставление не своего региона. И не столько тут дело в патриотизме,
хотя и это тут есть :a_g_a: , сколько всё же есть свои правила и стандарты.
И я домашних роутеров наверно штук 8-10 уже людям настроил, и китайские бренды были,
и айфоны и всякое, проблем нету.
Да я был бы и не против своего региона, если б получилось бы выствить полосу 80MHz для 5.8 :smu:sche_nie:
Но пока это удалось только на регионе USA.
Ситуация осложняется еще и зоопарком устройств, часть из которых была куплена тут, в России, часть в Финляндии, а часть в USA :sh_ok:
Vlad-2 писал(а): 29 дек 2018, 13:02 Не за что. На то и форум, делиться, подсказывать.
:co_ol:
Vlad-2 писал(а): 29 дек 2018, 13:02 Ну Вы задали средний уровень общение, так сказать практичный, и уж
делать вывод конфигурации в виде картинки, не совсем то для Вас :-)
Надо было скопировать и вставить сюда, с тегом "code"
Виноват, исправляюсь :smu:sche_nie: :

Код: Выделить всё

[_@MikroTik hAP ac2] > export
# dec/29/2018 18:51:17 by RouterOS 6.43.7
# software id = X3K4-BP16
#
# model = RBD52G-5HacD2HnD
# serial number = 1234567890
/interface bridge
add arp=proxy-arp fast-forward=no name=LAN-Bridge
/interface ethernet
set [ find default-name=ether2 ] name=LAN2-LaCie5big
set [ find default-name=ether3 ] name=LAN3
set [ find default-name=ether4 ] name=LAN4
set [ find default-name=ether5 ] name=LAN5
set [ find default-name=ether1 ] name=Uplink
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-g/n channel-width=20/40mhz-Ce country="united states" disabled=no distance=\
    indoors frequency=2472 frequency-mode=superchannel hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=WLAN2.4 radio-name=AirNet2.4 ssid=\
    AirNet wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-n/ac channel-width=20/40/80mhz-Ceee country="united states" disabled=no \
    distance=indoors frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=WLAN5.8 radio-name=AirNet5.8 ssid=AirNet \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set WLAN2.4 enable-polling=no
set WLAN5.8 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk disable-pmkid=yes eap-methods="" group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
    wpa2-pre-shared-key=<deleted>
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=LAN-Bridge interface=Uplink
add bridge=LAN-Bridge interface=LAN2-LaCie5big
add bridge=LAN-Bridge interface=LAN3
add bridge=LAN-Bridge interface=LAN4
add bridge=LAN-Bridge interface=LAN5
add bridge=LAN-Bridge interface=WLAN2.4
add bridge=LAN-Bridge interface=WLAN5.8
/ip address
add address=192.168.1.2/24 interface=Uplink network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=LAN-Bridge
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name="MikroTik hAP ac2"
[_@MikroTik hAP ac2] > 
Vlad-2 писал(а): 29 дек 2018, 13:02 Ну я говорил ранее, можно в настройках ВиФи запретить мультикаст, это даст
некоторый выигрыш...
Понял, попробую!
Vlad-2 писал(а): 29 дек 2018, 13:02 Странно, но имейте ввиду, что G/N - это чаще будет всегда G для всей сети. Вифи работает почти как коммуна.
Да вроде не, тянет на 2.4 до 115-130Mpbs (см. картинку ниже).
Vlad-2 писал(а): 29 дек 2018, 13:02 У человека Сони Плей стейшен по вифи на 5ггц показывает канальные скорости 433/390 Mbps
И это без шаманства, всё честно, с выставлением Russia3
С шаманством все-таки немного побыстрее получется :-):
wifi_speed.JPG
(82.58 КБ) 0 скачиваний
Vlad-2 писал(а): 29 дек 2018, 13:02
Главное:
1) Вы не показали основной конфиг роутера (RB750)
2) Что у Вас с защитой?
2.1) Закрыли атаки от флуда ДНС (это сильно и канал садит и роутер по мощности)
2.2) Закрыли/отключили лишние сервисы ? (у роутера есть ряд служб которые работают,
но не всем в общем они нужны, их лучше отключить)
3) Я бы наверно (по результатам анализа в будущем) посмотрел, и возможно,
всё же купил маленький гигабитный свитч и поставил его перед НАСом и ВиФи-точкой.
4) Так как я конфиг основного роутера не вижу, то не вижу, как Вы настроили DHCP + сервер времени (поставили)?
5) Ну и прошивка, уже 6.43.8, а у Вас ? Так же не забываем и загрузчик обновить.
1) Вывод export для RB750:

Код: Выделить всё

[_@MikroTik hEX] > export
# dec/29/2018 19:10:04 by RouterOS 6.43.7
# software id = A2Z0-HCV4
#
# model = RouterBOARD 750G r3
# serial number = 0987654321
/interface bridge
add admin-mac=XXXXXXXXXX arp=proxy-arp auto-mac=no comment=defconf fast-forward=no name=bridge protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether3 ] name=ether3-downlink
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.99
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3-downlink
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1-WAN list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1-WAN
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name="MikroTik hEX"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[_@MikroTik hEX] > 
2) Использовал только штатные правила из quick set'а. Тут у меня пробел в знаниях, что нужно, что нет :-(
3) Ооо, любопытно :-): А зачем?
4) Локальный NTP чет не поставил... Думаете стоит?
6) Принято, обновлю. Вот ведь как часто выходят, прям мечта перфекциониста :-)
Загрузчики обновляю, да.

Спасибо Вам огромное за комментарии и с Наступающим Вас!
:al_kana_ft:


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

gigamozg писал(а): 29 дек 2018, 19:16 2) Использовал только штатные правила из quick set'а. Тут у меня пробел в знаниях, что нужно, что нет :-(
Ааа QuickSetup.... :sh_ok: :sh_ok:
(советую его не использовать, он умеет лишь минимум....и портит потом конфиг)
gigamozg писал(а): 29 дек 2018, 19:16 3) Ооо, любопытно :-): А зачем?
Свитч - есть свитч, всегда лучше.
gigamozg писал(а): 29 дек 2018, 19:16 4) Локальный NTP чет не поставил... Думаете стоит?
Если у Вас есть DHCP + есть мобильные клиенты (планшеты/телефоны)
в которых адреса получают автоматом, то я ставлю сервер времени
чтобы и они (клиенты) были за-синхронизированы.
Да и в целом это удобно, когда все компьютеры идут правильно
и одинаково. Сервер времени - это отдельный пакет, ставится
отдельно, отдельно настраивается.
gigamozg писал(а): 29 дек 2018, 19:16 6) Принято, обновлю. Вот ведь как часто выходят, прям мечта перфекциониста :-)
Загрузчики обновляю, да.
Ну тут всё не так однозначно. Когда и 2 прошивки за месяц..а когда и одна за два месяца выходит.
Главное хотя бы раз в 3-4 месяца или раз в полгода обновлять.
Бывают и важно-критические обновления, а бывают полезно-инновационные. :-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить