Stručný návod na základní konfiguraci AP zn. Mikrotik

Přístup ke konfiguraci

Default IP address: 192.168.88.1 (/24)
Login: admin, heslo je ve factory defaults prázdné.

Varování

Výrobce (Mikrotik) důrazně varuje, abyste nezapínali routerboard bez připojené antény. Jde hlavně o situace, kdy už máte k desce připojený pigtail (nebo delší anténní kabel), ale tento není řádně zakončený "spotřebičem" (anténa/terminátor) -> vysílaný výkon se odrazí na volném konci vedení zpátky do výkonového stupně a může ho poškodit.
Ono to varování je možná "zbytečně" důrazné - některé routerboardy sice umí až 1W (+30 dBmW), ale factory default je +17 dBmW (50 mW) což by koncový stupeň nemělo odpálit...
Případné experimenty s vyšším výkonem doporučujeme pouze v případě použití kvalitní antény (PSV=SWR blízké 1, raději ne víc než 1.5).
Kromě toho, v ČR je na WiFi legální vysílací výkon max. +20 dBmW (= 100 mW) a to ještě při použití všesměrové antény, se směrovou anténou by se výkon měl správně snížit úměrně zisku. Což ovšem málokdo dodržuje. V zásadě je třeba chovat se v bezlicenčním pásmu ohleduplně.

Venkovní sektorové antény a outdoorové krabice od Jirouse mají na spodní straně otvor pro volný odtok zkondenzované vody > ve venkovním prostředí montovat zásadně otvorem dolů!

Kudy do toho

Pro administraci doporučujeme utilitu Winbox.exe od Mikrotiku. Utilita v rámci L2 LAN najde instance RouterOS is na adresách mimo momentálně nakonfigurovaný subnet hostitelských windowsů, ale nedokáže IP adresu RouterOS změnit = je třeba přidat si ve Windowsech subnet 192.168.88.0/24, aby bylo lze RouterOS konfigurovat (jinak relace Winboxu při pokusu o login selže).
Případně lze použít HTTP rozhraní RouterOS Webfig. Ve firmwarech 5.x/6.x vypadá téměř stejně jako Winbox.exe, ale v některých aspektech se chová jinak/divně.
Maximálně jednoznačná a minimálně přítulná je konfigurace skrz příkazovou řádku routeru (SSH).

Jak se to chová, když je to v pořádku

Routerboard pípne nejprve jednou krátce po zapnutí (asi po 5 vteřinách), po dalších cca 30 vteřinách pípne dvakrát, a za dalších asi 5-10 vteřin se na router dá připojit.
Funglový routerboard (factory clean) po prvním zapnutí namísto jednoho pípnutí "zašvitoří".

Co se s tím dá dělat, když to v pořádku není

Pro smazání konfigurace do "factory-clean" stavu (ovšem s aktuálně flashnutým firmwarem a balíčky) stačí při zapnutí napájení routerboardu podržet křížový šroubovák v "resetovací díře" (dvě ledvinovité plošky s dírou mezi). Případně šroubovákem trochu zavrťte, aby prodřel ochranný lak až na měď. Že se zadařilo, poznáte podle "factory clean trylku" po dalším zapnutí.
Pokud máte přístup do konfigurace přes winbox nebo HTTP (webfig), lze provést "reset to defaults" také přímo z menu. Pozor, zdá se, že nastavuje IP adresu na 0.0.0.0... ale winbox najde board zřejmě i podle MAC adresy. Zdá se, že nevrací "factory clean trylek".

Pro vyproštění z nefunkční konfigurace včetně flashnutí firmwaru lze využít utilitu Mikrotik Netinstall - té stačí, aby ve flashce Routerboardu zbyl alespoň živý bootloader (umí loadnout firmware přes TFTP).
Netinstall umí preloadnout připravenou sadu balíčků (a případně i hotovou konfiguraci).

Postup:

ujasněte si, v rámci jakého subnetu se chcete s Routerboardem při instalaci bavit. Z tohoto subnetu si nastavte statické IPčko na metalickém ethernetovém rozhraní Vašeho počítače, ze kterého budete instalaci/záchranu routerboardu provádět. Rovnou si taky rozmyslete, jakou IP adresu dáte Routerboardu (níže).
Routerboard se svým počítačem propojte odpovídajícím kabelem... teoreticky kříženým, ale prakticky je to jedno, pokud aspoň routerboard nebo aspoň počítač mají gigabitový port (RB912 má Gb Ethernet). Můžete je propojit i skrz switch, ale není úplně vhodné páchat Netinstall v nějaké stávající síti, kde běží DHCP nebo PXE server, protože Netinstall patrně dělá totéž - vznikla by kolize.
nastartujte netinstall, pod Windows nejlíp v režimu správce, při prvním spuštění odsouhlaste díru ve Windows firewallu (nebo Windows Firewall předem úplně vypněte)
tlačítko Net Booting
nastavte IP adresu, kterou chcete, aby koupil bootující klient = Routerboard
zaškrtněte fajfku "Boot server enabled" - toto způsobí,
stiskněte OK, a vrátíte se do hlavního okna Netinstallu

vypněte routerboardu napájení
stiskněte resetovací tlačítko a držte - bude to chvíli trvat (tlačítko = mikrospínač na hraně routerboardu, nikoli ledvinovou díru někde uprostřed desky!)
zatímco držíte tlačítko, přiveďte napájení
držte dál tlačítko a počkejte cca 20 sekund. Probíhá docela složitá diskotéka na LEDkách, která končí tím, že se na chvíli vztekle rozbliká activity LED (na RB912 LD2 vedle RJ45). Toto patrně znamená, že Routerboard tahá z Netinstallu kernel.
v tuto chvíli můžete tlačítko bezpečně pustit. To rychlé blikání za chvíli skončí, pak routerboard normálně pípne.
po dalších pár vteřinách by měl naskočit řádek v netinstallu, v rámečku "Routers/Drives", odpovídající našemu AP
následně (nebo i předem) je možné, zvolit adresář, kde máte stažené balíčky pro kýženou verzi firmwaru (soubory s příponou .npk)
ovšem teprve v tuto chvíli, poté co se nám router v netinstallu nadetekoval, je možné vybrat (zafajfkovat) balíčky, které do něj chceme nalít ! Zdá se, že:
- velký balíček RouterOS<-verze->.npk obsahuje všechno. Pokud zvolíte jenom tento a jinak nic, chybu neuděláte.
- pokud si chcete vybírat jednotlivé součástky, tak základním balíkem je "system"
- ve verzi okolo 6.35.1 je přítomen nový wireless-cm2 . Je zřejmě ještě dost syrový. Pokud chcete věci "po staru", použijte místo něj wireless-fp (neobsahuje novinky). Wireless-rep umí fungovat jako single-radio repeater.
stiskněte Install a počkejte, dokud se všechny balíčky nenakopírují
nakonec by se tlačítko mohlo změnit na "reboot" - použijte.

Nejužitečnější průmyslová konfigurace: point-to-point bridge

Pro konfiguraci point-to-point bridge doporučujeme použít dialog "quick set", najdete ho v grafickém menu vlevo úplně nahoře.

Jak začít s konfigurací - quick setup, point-to-point bridge, AP
(klikněte pro větší obrázek)

V tomto dialogu je shrnuto několik dílčích oblastí konfigurace.
Možná proto se zdá, že nelze nakonfigurovat všechno naráz - doporučuji konfigurovat jednotlivé věci postupně, a po každém kroku použít tlačítko "Apply".
Např. není špatné začít tím, že si nastavíte nějakou vyhovující IP adresu (bridge ji potřebuje pro management) a administrátorské heslo.
Nenechávejte AP běžet dlouho s rozsvíceným rádiem bez zabezpečení, zejm. pokud už je AP připojeno metalikou do nějaké provozní sítě - nezabezpečené AP zve k návštěvě zvědavce a nenechavce. Čili rychle zapnout šifrování (doporučuji nejsilnější možné, tzn. WPA2) a zadat klíč resp. heslo.
Jiná věc je, že než někde na střeše uprostřed města rozsvítíte rádia na konkrétním kanálu (frekvenci), není špatné napřed se trochu rozhlédnout, které kanály jsou volné. K tomu lze použít buď nějaký sniffer na počítači (např. Metageek Inssider na notebooku s externím USB donglem) nebo lze přepnout Routerboard dočasně do režimu "klient", aby ukázal, co ve vzduchu všechno vidí - toto lze provést buď přímo v menu "quick set", nebo v menu Wireless.
Nezapomeňte si hned na začátku správně nakonfigurovat "country = ČR", aby Vám rádio dalo k dispozici odpovídající množinu frekvencí/kanálů (abyste omylem nerušili na kanálech, které u nás nejsou volné).

Jak začít s konfigurací - quick setup, point-to-point bridge, klient, před asociací
(klikněte pro větší obrázek)

Všimněte si, že po přepnutí do režimu "klient" zobrazí konfigurační dialog "quick set" viditelné access pointy, včetně grafického znázornění síly signálu - včetně krátké historie, s refreshem cca po vteřině.

Poté, co si vyberete "svůj" access point, stiskněte "connect".

Quick setup, point-to-point bridge, klient, asociován na zvolené AP (ESSID)
(klikněte pro větší obrázek)

Jakmile se klient asociuje na konkrétní AP, zůstane v dialogu "quick set" zobrazen stav (síla signálu a CCQ) pouze pro toto konkrétní AP.

Podrobnosti ohledně konfigurace wifi na straně AP a klienta (=station) v režimu "point to point bridge" si můžete prohlédnout v menu "wireless", případně některé věci doladit. Dialog "wireless" je v menu třetí shora.

Pokud o WiFi něco víte, bude Vás zajímat konkrétně konfigurace klienta. Zjistíte, že na klientu je zvolen režim "station_bridge", což znamená 4-address mode a povolený bridging na klientu (standardně není zapnuto WDS, a není potřeba). Tady je to zhruba vysvětleno v dokumentaci.

Je použit standardní "media access režim" 802.11 = kolizní half-duplex a individuální ACK pro každý paket. Mírně nestandardní je snad WPA2 šifrování v kombinaci s 4-adresním režimem (funguje to).

Point-to-multipoint bridge

Z výše uvedeného plyne, že "PTP Bridge" rozlišuje na obou koncích AP/client, tzn. oba konce nejsou úplně rovnocenné. Nejedná se o režim WDS (komunikace AP-to-AP), jedná se o proprietárně modifikovaný režim AP/Station. Potažmo se nabízí otázka, zda by bylo možno, připojit na jediné AP několik bridgujících klientů (stanic). Jinak řečeno, technicky zajímavá otázka zní, zda pak dokáže AP bridgovat provoz mezi více klienty, přestože není nahozen WDS režim.
Odpověď zní: ano, s malou ruční úpravou "quick set" konfigurace je možno připojit na jedno AP více bridgujících klientů (AP je ochotno více klientů asociovat), tzn. propojit více sítí. Klienti se přímo navzájem bavit nemohou, v tom jim brání několik praktických zádrhelů (struktura komunikace šifrované WPA2 a na nižší vrstvě směrovost klientských antén). Nicméně AP je ochotno bridgovat provoz mezi klientskými asociacemi navzájem.

Pokud v menu "Quick set" zvolíte "PTP Bridge", na straně AP je v menu Wireless automaticky nastaven režim "bridge". V tomto režimu je AP ochotno navázat asociaci pouze s jedním klientem (station-bridge). Pokud přijde druhý klient, jeho pokus o asociaci selže - ovšem v momentě, kdy prvního klienta ručně odpojíte, druhý klient se okamžitě chytí.
Pokud v menu "wireless" přepnete z režimu "bridge" do režimu "AP Bridge", AP je rázem ochotno přijmout více klientů v režimu "station-bridge" = bridgovat zároveň několik "klientských sítí". (Toto zřejmě funguje pouze s L4 licencí. L3 licence podporuje pouze základní PTP-bridge, tzn. AP v režimu "bridge", jinak L3 licence normální AP režim vůbeec neumí, je určena pouze pro klientský konec.)

Podrobnější konfigurace

Pravou čarodějovu zahrádku skrývá menu "wireless".
Nejprve se dostanete na seznam rozhraní:

menu Wireless - seznam rozhraní

Zde si můžete vybrat konkrétní rozhraní, případně použít některou z funkcí, které jdou "napříč" rozhraními - např. v režimu AP zde naleznete parádní seznam asociovaných klientů, včetně per-client CCQ.

Co lze zjistit a konfigurovat na konkrétním rozhraní:

menu Wireless - rozhraní - simple mode

Menu pro konkrétní rozhraní se standardně otevře v "simple" režimu, který je ovšem ochuzen o pár pozoruhodných tabů. Patrně budete chtít přepnout do "advanced" režimu:

menu Wireless - rozhraní - advanced mode

Menu Wireless -> "Data Rates" je k dispozici pouze v případě, že "wireless" menu přepnete do "Advanced Mode".

menu Wireless - rozhraní - Data Rates

Vysvětlivka: "basic rate" je rychlost, na které APčko vysílá "beacon" (= periodickou zprávu, kterou se AP představuje klientům) a snad na ní i probíhá úvodní handshake při navazování asociace a možná i vysílání broadcastů. Je vhodné, aby jako základní rychlost byl použit nejnižší bitrate pro danou variantu 802.11 - protože je v rámci možností nejodolnější vůči šumu a rušení.

Pokud hledáte vysílaný výkon, najdete ho v menu Wireless -> "TX Power". Můžete si vybrat, zda chcete nastavovat výkon pro každou rychlost (bitrate) zvlášť, nebo jeden pevný výkon pro všechny rychlosti.

V menu "Quick Set" na klientu jsou k vidění dvě hodnoty síly signálu: RX a TX (!).
RX Signal je lokální příjem na klientu.
TX Signal je příjem na APčku pro daného klienta (zjištěný klientem na dálku).

Mikrotik zobrazuje jeden zajímavý a citlivý indikátor, že je přenos v pořádku - tím indikátorem je CCQ. Sleduje se v každém směru zvlášť. Jedná se o procentní ukazatel, který říká, kolik paketů se podařilo doručit na první pokus. (Wifi ACKuje na druhé vrstvě každý paket zvlášť.) Čili CCQ=100% znamená, že v daném směru neprobíhají retransmise = že je přenos bezchybný.
CCQ souvisí s automatickým dolaďováním aktuální přenosové rychlosti. Při horším CCQ, při překročení určitého počtu retransmisí na jeden užitečný paket, rádia "podřadí" modulační rychlost. Počet retransmisí pro retrain se dá nastavit, default je patrně 7 (Wireless -> Advanced -> HW Retries).

CCQ je hodnotné v tom, že indikuje "ne zcela dokonalý" přenos i ve chvíli, kdy per-packet ACK a retransmise vykryjí třeba i několik desítek procent špatně přenesených paketů, takže v PINGu z Windows s rozlišením 1 ms nic moc nepoznáte.

Pokud vidíte horší CCQ, můžete ho zkusit vylepšit jednou velmi klasickou fintou: ručně srazit modulační bitrate. Nižší bitrate znamená, že se přenos spokojí s horší bitovou hloubkou (bitů na symbol) a potažmo s horším odstupem signál/šum v přenosovém kanálu. By default má Mikrotik povolenu celou škálu rychlostí, které daný modulační standard umožňuje.
Jednotlivé rychlosti lze v konfiguraci RouterOS individuálně povolit/zakázat - najdete to v menu Wireless v režimu Advanced Mode, karty Data Rates (pro 802.11a) a HT MCS (pro 802.11n).
Tady je vysvětlivka k HT MCS.

Pokud se týče indikátorů síly signálu, dost je toho vidět už v menu "quick set", docela podrobné údaje jsou na straně AP v menu Wireless -> karta Registration -> vyberete konkrétního klienta, poklepem otevřete detail -> karta Signal

Něco je taky v menu Wireless -> karta Interfaces -> vyberete rozhraní -> karta Status

Wireless - status (AP)

Wireless - status (client)

Relativně unikátní sada "fajfek" se vyskytuje v tabu "HT" - je zde možnost povolovat jednotlivé 802.11n RX/TX chainy pro RX a pro TX.

Wireless - HT RF chains

Praktický přínos této volby je patrně malý, protože rádio si zřejmě při startu autodetekuje (netuším jak) kde má připojenou anténu, a příslušný "RF chain" (anténní port) si pro N-kový režim zapne automaticky. Je možné, že tato volba nemá žádný vliv na defaultní anténní port (obvykle port č.0) v režimu 802.11a nebo 802.11g (= v režimech bez schopnosti MIMO).