Mikrotik не работает wifi
Самая распространенная проблема MikroTik (точнее жалоба) — «у меня ничего не работает», причем чаще всего это неправда. Если у босса не открывается вложение в письме с темой «вы выиграли миллион», потому что его заблокировал антивирус, то настраивать роутер в этот день вряд ли придется.
Поэтому один из важных навыков админа — это умение вести диалог с пользователем и выяснять, что именно и как не работает. Увы, эта статья не будет посвящена данному вопросу, так что переходим сразу к технической части.
Ресурсы
Первое, на что обращает внимание любой системный администратор, — потребление ресурсов. Благо WinBox выводит эти данные прямо в главном окне. А если еще не выводит — сейчас же добавляй их туда. Это сэкономит много времени в будущем. Тебе нужно меню Dashboard → Add. И кстати, зеленый квадратик в правой верхней части — это не загрузка процессора. Не обращай на него внимания.
Если процессор постоянно загружен больше 80% (в зависимости от условий это значение может меняться, но в среднем давай примем такое число), то что‑то неладно. В первую очередь смотрим на местный «диспетчер задач», меню Tools → Profile. Тут мы увидим, что именно нагружает CPU, и поймем, как действовать дальше.
Длительную статистику по нагрузке CPU, трафику на интерфейсах и другим параметрам можно увидеть в Tools → Graphing.
Объяснение полей вы найдете в вики. Наиболее часто встречаются DNS, Encrypting и Firewall.
- Encrypting — роутер тратит много ресурсов на шифрование. Скорее всего, у вас много туннелей VPN и нет аппаратного чипа шифрования. Нужно поменять на железку со специальным чипом или выбрать более слабые алгоритмы.
- Firewall — прямое указание, что вы не читали мои предыдущие статьи.
- DNS — а вот тут вас ждет кое‑что интересное.
Сам по себе DNS-сервер почти не нагружает роутер в небольших и средних сетях (до нескольких тысяч хостов). А использовать RouterOS в качестве DNS-сервера в больших сетях не лучшая идея. Так откуда нагрузка? Давай разбираться. Если есть нагрузка, значит что‑то ее создает. Вероятно, серверу DNS приходится отвечать на большое количество запросов. Проверим, так ли это. Создадим в файрволе правило.
add action = accept chain = input dst - port = 53 log = yes log - prefix = DNS protocol = udpИ теперь смотрим в лог. Если наши предположения верны, то заметим много сообщений с префиксом DNS. Увидим, с каких адресов и на какие интерфейсы летят запросы. Скорее всего, это будет интерфейс WAN. Но мы не хотим обрабатывать DNS-запросы, пришедшие к нам из интернета. Закроем UDP-порт 53 на интерфейсе WAN, поместим правило в нужном месте — и наслаждаемся снизившейся нагрузкой. Поздравляю! Мы только что обнаружили, что были частью ботнета, закрыли эту дыру и сделали интернет чуточку чище. Подобные атаки часто проводятся с применением протоколов, работающих над UDP.
Firewall
Вообще, умение работать с файрволом несет в себе огромную силу. Правильно построенное правило укажет, как проходит пакет через систему, в какой интерфейс попадает, из какого уходит дальше и получает ли ответный пакет. По одним только счетчикам можно многое узнать о своей сети.
Counters
В столбцах Bytes и Packets отображаются количество байтов и пакетов, обработанных правилом. Кнопки Reset Counters сбрасывают эти счетчики. Теперь можно наблюдать, попадает ли трафик в нужное правило или нет.
Полезной часто оказывается вкладка Connections файрвола. Тут видно все потоки, проходящие через роутер: их состояние, количество прошедших байтов, флаги потока (для получения подсказки достаточно навести на значение в столбце). Для большей наглядности нужно добавить поля Reply Dst. Address и Reply Src. Address. В этих полях видно, в какой и из какого адреса был проведен NAT.
Connections
Файрвол со всеми его фичами позволяет детально дебажить весь трафик, проходящий через роутер. Чтобы лучше понимать, что происходит во всех этих вкладках, нужно изучить, как пакеты проходят через роутер. На картинке упрощенная версия схемы. Более подробная есть в документации.
Traffic Flow
Другие способы анализа трафика
Увидеть состояние потока, его адреса, байты и прочее — хорошо. Но файрвол не позволяет удобно и из единого места убедиться, что маршрутизация корректна. Чтобы узнать, в какой интерфейс вылетает пакет, достаточно воспользоваться инструментом Torch.
Torch
Torch можно воспринимать как некое подобие tcpdump. Здесь можно увидеть VLAN ID, source/destination address/port, DSCP, битовую и пакетную скорость. Есть удобные фильтры, которые позволяют делать точные выборки. Если данные в окне меняются слишком быстро, увеличивай значение Entry Timeout. К сожалению, в одном окне он может показывать только трафик на одном интерфейсе, но никто не мешает нажать New Window и наблюдать за несколькими интерфейсами. Если Torch не показывает нужного трафика на нужном интерфейсе — налицо проблемы с маршрутизацией.
Torch позволяет наблюдать за потоками трафика в реальном времени. Но в некоторых случаях нужны более детальные данные о трафике. Их позволяет получить инструмент IP Sniffer.
С его помощью можно увидеть параметры трафика и даже содержимое пакета.
Но иногда требуется более детальный анализ — например, чтобы убедиться, что TCP handshake успешно прошел и данные передаются. В таком случае в передаваемых пакетах должен присутствовать флаг ACK. Но искать пакеты в скудном интерфейсе «Винбокса» неудобно.
И тут на помощь приходит всеми любимый Wireshark — мощнейший инструмент для анализа сетевого трафика. В Filter указываем нужные параметры, чтобы не снифать все подряд, в General выбираем Filename, жмем Apply и Start. Теперь в Files на роутере можно найти наш дамп, перекинуть его на компьютер и открыть «Шарком». О нем написано много статей, поэтому даже не буду пытаться писать тут, как с ним работать.
Но это лишь начало. Можно в реальном времени наблюдать за трафиком из Wireshark. И без всяких операций с файлами! Открываем «Шарк», в фильтре пишем udp. port == 37008 , на сниффере RouterOS во вкладке Streaming ставим галочку Streaming Enabled и вписываем IP-адрес компьютера с запущенным «Шарком». Можно поставить галочку Filter stream, чтобы лить в «Шарк» не весь трафик, а только выбранный.
Snif-stream Shark
Лить трафик в сниффер можно и из файрвола. За это отвечает действие sniff-TZSP в таблице Mangle. Работает это по аналогии со Sniffer Streaming, но в файрволе можно сделать более точную выборку пакетов для сниффера.
Mangle-sniff
Wireless
Самая сложная часть диагностики — это Wi-Fi. Он и сам по себе очень сложная технология, к тому же среда передачи данных общая и все соседские роутеры мешают работать твоему, так же как и он им. О работе 802.11 написана не одна книга, пересказывать их я не буду. Посмотрим только на инструменты, которые могут помочь при диагностике.
В RouterOS их немного. Самый главный — вкладка Registration в Wireless. Здесь видно всю информацию о подключенных клиентах: MAC, уровень сигнала, качество сигнала.
Registration
Самые важные поля:
- CCQ — Client Connection Quality. Чем ближе к 100%, тем лучше. Ниже 60% означает плохую связь;
- TX/RX Signal Strength — уровень сигнала. Отличное значение — от 0 до –45, приемлемое — от –55 до –75. Все, что между, — хорошо. Ниже –75 можно считать отсутствием связи. По крайней мере, я ориентируюсь на такие цифры.
- Signal to Noise — отношение сигнал/шум. Чем выше — тем лучше.
Второй инструмент — логи. Собственно, этот инструмент должен активно использоваться не только при диагностике Wi-Fi. Если стандартных логов недостаточно — просто включи расширенные.
Log
Ping, Traceroute
Первым инструментом диагностики у сисадмина всегда был пинг. Но далеко не все знают, сколько возможностей он в себе скрывает.
Многие сталкивались с тем, что текст на сайте отображается, а картинки нет. Или скрипты не загрузились, и сайт «поехал». Это первые признаки несогласованности MTU. С помощью пинга можно проверить этот вариант. Ставим галочку Don’t fragment, выставляем нужный нам размер пакета и смотрим на результат. Если видим packet too large — MTU в канале ниже заданного нами значения пакета. Уменьшаем его и проверяем снова. Таким образом выявляем максимальный пакет, который проходит через сеть без фрагментации.
Ping
По умолчанию пакет отправляется с роутера с src address того интерфейса, в который он вылетает. Бывает, что нужно его поменять. Например, при диагностике маршрутизации внутри VPN или корректности работы файрвола. Для этого нужно заполнить поле src address. Не забывай, что адрес должен быть существующим, чтобы ответный пакет вернулся.
При сложной маршрутизации необходимо выбрать нужную Routing Table. Впрочем, те, кто пользуется несколькими таблицами маршрутизации, и так это знают.
Заключение
Невозможно в одной статье и даже в нескольких книгах описать все возможные проблемы и методы их диагностики и решения. Для эффективного дебага нужно понимать, как работает сеть на каждом уровне, ее особенности в конкретной реализации — ведь не бывает двух одинаковых сетей: рецепты, работающие в одной инфраструктуре, будут бесполезными для другой.
Для дебага необходимо понимать, как пакет проходит внутри RouterOS, а в особо сложных случаях — и знать особенности вендора. И это относится не только к MikroTik. Лучший инструмент дебага — знания и опыт!
Рассмотрим настройку Wi-Fi на микротиках для правильной работы со всеми Вашими девайсами.
Настройка и оптимизация wi-fi 2Ghz диапазона на Mikrotik
На всех утройствах Mikrotik настройки будут одинаковые. Я их испробовал на RB951, RB751 на hap AC и hap AC lite.
Для начала в программе Winbox, через которую мы подключаемся к Mikrotik перейдем в Wireless на вкладку Wireless.
Не забудьте выбрать Advaced Mode при настройке Wi-Fi, как показано на скриншоте выше.
Вкладка Wireless
Настройка wi-fi 2ghz на микротике
Вы можете сразу установить все настройки со скриншота, кроме SSID, Radio Name и Security Profile. Эти настройки индивидуальны и скорее всего у Вас уже настроен Security Profile и SSID, если Вы пытаетесь оптимизировать сигнал вай-фай. Опишу все действия.
Band: 2Ghz-B/G/N выбираем для того, чтобы к Вашему Wi-Fi могли подключиться как старые, так и новые устройства.
Channel Width: 20Mhz для максимального охвата. Данная ширина канала покрывает больше, чем остальные и проблем с тем, что девайс будет видеть микротик, а микротик не будет видеть девайса из-за слабого передатчика в нем не будет.
WPS Mode: Disabled для безопасности. На данный момент многими признано, что использование WPS небезопасно и неудобно.
Frequency Mode: manual-txpower чтобы выбрать одну мощность сигнала для всех рейтов. Так сохранится доступность точки доступа или роутера по всему радиусу действия.
Country: russia3 чтобы не нарушать законы РФ по мощности передатчиков и доступных каналов Wi-Fi. С выбором russia3 будьте уверены, что все устройства будут работать с Вашим вай-фаем.
Installation: indoor даст понять устройству, что возможны помехи из-за стен и других устройств.
WMM Support: enabled для определения трафика и приоретизации. При просмотре видео или звонках через интернет приоритет будет отдаваться именно такому трафику.
Вкладка Advanced
Настройки Advanced для Wi-Fi Микротик
Можете сразу всё поставить как на скриншоте, а так же прочитать описание ниже, что именно Вы сделали.
Distance: dynamic с этим параметром Mikrotik будет сам определять дистанцию и подстраиваться под неё.
Adaptive Noise Immunity: ap and client mode Данный параметр работает только с недавно выпущенными точками доступа и позволяет точке понимать собственный отраженный от различных поверхностей сигнал и игнорировать его. Происходит снижение шума и передача данных становится эффективней.
Preamble Mode: both для возможности подключения любых устройств. Short на данный момент поддерживается не всеми передатчиками, поэтому целесообразней использовать обе преамбулы.
Вкладка HT
Вкладка HT настройки wi-fi на микротик
Вкладка Tx Power
Выбор мощности сигнала Tx Power Mikrotik
Это все настройки, которые необходимо оптимизировать для работы wi-fi 2Ghz на микротиках. Оцените результат, напишите комментарий. И давайте переходить к настройке 5Ghz
Настройка и оптимизация wi-fi 5Ghz диапазона на Mikrotik
Настройка 5 гигагерцового диапазона не сильно отличается от настройки 2 гигагерцового, поэтому рассмотрим только отличия.
Вкладка Wireless
Настройка 5Ghz в Mikrotik Wi-Fi
Band: 5Ghz-A/N/AC все протоколы, для поддержки всех устройств.
Остальные вкладки 5Ghz Wi-fi в Микротик
Все остальные вкладки настроавиваем так же, как и 2Ghz wi-fi. Разницы никакой нет.
Хитрости Mikrotik для идеальной работы wi-fi и интернет
С помощью Queues мы можем убрать проблему торрентов, скачивальщиков и так далее. Проблема очень известна, но давайте рассмотрим пример.
Queues в Mikrotik
Давайте создадим правило очереди трафика для правильной приоретизации трафика, чтобы он делился по необходимой скорости для каждого клиента сети.
Во все лимиты ставим скорость из расчета скорость тарифа -7-10%, иначе ограничение не будет срабатывать. Burst Time лучше поставить 0-2 секунды.
Во вкладке Advanced необходимо выбрать всё так, как показано на скриншоте ниже.
Для проверки работы очереди трафика можете попробовать скачать что-то на компьютере и в тоже время зайти на youtube и запустить видео в максимальном качестве на другом устройстве. Больше проблемы с работой в таком сценарии не будет.
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Роутер MikroTik RB951G-2HnD. Внезапно перестал работать.
Случилась странная проблема с роутером MikroTik RB951G-2HnD.
Работал и в какой-то момент просто перестал раздавать связь.
Из внешних признаков перестала работать лампочка WiFi.
При этом лампы подключённых проводов мигают, как и положено.
Перезагрузка не помогла.
Не удается подключиться к роутеру через браузер или WinBox.
Не понятно какой у роутера адрес.
При соединении роутера с компом через провод информация о сетевых настройках выдается следующая.
Попытка сделать Reset по инструкции: Нажал ресет, включил роутер, отпустил Reset не дает результатов.
При перезапуске роутера он должен через какое-то время пискнуть, информируя что загрузился, но писков не происходит.
Подскажите, кто сталкивался с подобным, как лечить.
Я бы порекомендовал перепрошить Netinstall'ом. viewtopic.php?f=15&t=7515 Вот полное руководство, вам должно быть достаточно для перепрошивки. Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? . Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем.Случилась странная проблема с роутером MikroTik RB951G-2HnD.
Работал и в какой-то момент просто перестал раздавать связь.
Из внешних признаков перестала работать лампочка WiFi.
При этом лампы подключённых проводов мигают, как и положено.
Перезагрузка не помогла.
Не удается подключиться к роутеру через браузер или WinBox.
Не понятно какой у роутера адрес.
При соединении роутера с компом через провод информация о сетевых настройках выдается следующая.
Попытка сделать Reset по инструкции: Нажал ресет, включил роутер, отпустил Reset не дает результатов.
При перезапуске роутера он должен через какое-то время пискнуть, информируя что загрузился, но писков не происходит.
Какие возможности предоставляют нам обычные SOHO маршрутизаторы c Wi-Fi? Зачастую небольшие! С ними невозможно сделать несколько гостевых сетей, сделать разные пароли пользователям на подлючение к сети без использования Radius сервера. Бывают роутеры вообще без поддержки Radius или клиентского режима работы. Зачастую невозможно ограничить трафик гостевой сети или настроить политики доступа в основную сеть. Иногда нельзя использовать WDS мосты для соединения точек доступа по Wi-Fi. Невозможно снимать статистику использования интернет и проксировать трафик. Список можно продолжать. Многие вещи необходимые для построения корпоративных сетей на большинстве недорогих маршрутизаторов недоступны. Всё это можно реализовать на Router OS. Итак с делаем настройку Wi-Fi на Mikrotik.
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.
Данная статья относится к устаревшей версии RouterOS v5.26. Для работы обычного пользователя достаточно настроить Wi-Fi по этой инструкции.
Откроем в winbox Wireless. Зайдём в Interface и откроем настройки беспроводного адаптера. Перейдём в профессиональный режим настройки Advanced Mode.
Выберем вкладку Wireless:
Mode - режим работы точки доступа. AP bridge позволяет подключаться к ней клиентам и другим точкам доступа в режиме инфраструктуры.
Band - протокол по которому подключаются клиенты. Поддерживается самый современный 802.11n
Channel Width - позволяет выбрать ширину канала Wi-Fi. Широкие каналы 40Mhz поддерживаются только 802.11n совместимым оборудованием и позволяют добиться их максимальной производительности. Каналы 20Mhz могут дать выигрыш на больших дистанциях улучшив условия приёма. К тому же на узких каналах можно разместить больше точек доступа без интерференции между ними. Протоколы 802.11b/g работают только с узкими каналами. 20/40Mhz HT Above (20/40Mhz HT Below) позволяют управлять динамической составляющей канала 40Mhz. Необходимо чтобы она оставалась в диапазоне работы клиентских Wi-Fi устройств если вы собираетесь их использовать. Above для 1-ого канала (2412mhz) смещает динамическую составляющую до 5-ого (2427mhz) в то время как выбор Below делает недоступной точку доступа так как динамическая составляющая сместится на канал -4
Frequency - частота, важно выбрать максимально удалённую от самых мощных соседских точек доступа. Кроме того важно не вывести из диапазона 2412-2472 динамическую состовляющую канала 40Mhz.
SSID - Имя беспроводной сети, так её будут видеть клиенты.
Wireless Protocol - из опыта скажу лишь что максимальная производительность достигается в режиме unspecified
Security Profile - позволяет выбирать типы шифрования WPA/WPA2 и ключи доступа к сети. Профили следует создавать на одноимённой вкладке Security Profile. Профиль default используется по умолчанию и открывает сеть для всех клиентов.
WMM suport - позволяет включить поддержку Wi-Fi multimedia. WMM - является сертификацией Wi-Fi Alliance, базирующейся на стандарте IEEE 802.11e. Он обеспечивает основные возможности QoS для сетей IEEE 802.11. Отдавая приоритет VoIP-трафику над процессами, менее чувствительными к скорости передачи данных, можно добиться уменьшения флуктуации интервалов между пакетами при их прохождении по сети. Использование QoS является простым и недорогим решением для серьезного улучшения качества VoIP-звонков.
Default Forward - если снимете галочку то клиенты Wi-Fi не смогут обмениваться между собой данными. Иногда полезно делать для гостевых AP чтобы уменьшить нагрузку на сеть.
Hide SSID - если поставите галочку скроет сеть от обнаружения утилитами конфигурации Wi-Fi адаптеров. Вам придётся настраивать сеть вводя её SSID в мастере настройки беспроводных сетей. Серьёзной защитой от проникновения в сеть не является. Кроме того аккумуляторы мобильных устройств будут бестрее разряжаться при работе с такими сетями.
Перейдём на вкладку HT:
chain 1 - если галки сняты то отключается работа со второй антеной. Это полезно на маршрутизаторах со съёмными антенами типа Mikrotik RB751U-2HnD/RB751G-2HnD. Когда внешней антенны нет, снятие этих галочек позволяет добиться большей производительности.
Перейдём на вкладку Nstreme:
Enable Nstreame - снимаем галочку выключив проприетарный прокол Mikrotik ведь наши домашние и офисные клиенты всё равно его не поддерживают.
Enable Polling - тоже снимаем галочку, так как этот проприетарный протокол даёт преимущества только на дальних линках и к тому же наши SOHO клиенты не поддерживают его.
Disable CSMA - так же не ставим галочку, нормальная работа обычных Wi-Fi клиентов будет нарушена.
Перейдём на вкладку Tx Power - она управляет мощностью передатчика маршрутизатора. Интересным будет узнать то что высокая производительность достигается на маленьких мощностях. Высокие мощности глушат рядом стоящих клиентов и производительность падает у них. На больших растояниях наоборот увеличение мощности позволяет повысить скорость входящего канала для клиентов, не влияя практически никак на исходящий.
Вернёмся к окну Wireless Table. На вкладке Interfaces можно также добавить виртуальные точки доступа. Это можно использовать в офисе для отделения основной корпоративной Wi-Fi сети от сети предназначеной для гостей предприятия. Для виртуальных точек доступа можно использовать весь функционал Router OS: Настраивать маршрутизацию, QoS, Firewall, Proxy, Netflow, Wireless Securety и т.д.
Примеры созданных точек доступа:
Также можно индивидуально для каждого клиента назначать ключи доступа в сеть привязывая их к MAC, интерфейсу Wi-Fi и ограничивать время входа в сеть по расписанию:
Перейдём на вкладку Security Profiles и создадим профиль AlenaNet выбрав тип WPA шифрования и ключ для входа в сеть. Профили следует создать и установить в настройках каждой из точек доступа:
Тип аутентификации WPA-PSK/WPA2-PSK позволяет указывать ключ доступа к сети для всех клиентов точки доступа. WPA-EAP/WPA2-EAP используется в корпоративных сетях совмесно с Radius серверами и позволяет каждому пользователю иметь свой ключ для входа в сеть и централизованно ими управлять. aes ccm/tkit - алгоритмы шифрования практически одинаковые по силе. Для новых клиентских устройств имеет смысл использовать WPA2-PSK и шифрование AES так как они ими хорошо поддерживаются и обеспечивают хорошую защиту сети от проникновения. Если старый ноутбук не сможет подключится к такой сети следует подключить ещё и WPA-PSK или полностью на него перейти.
Настройка Wi-Fi на Mikrotik завершена!
Мы также оказываем услуги по настройке маршрутизаторов.
Для Wi-Fi можно также настроить мак фильтрацию на MikroTik
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Видео по настройке Wi-Fi на MikroTik:
Читайте также: