P04A - Nodos MikroTik con Wi-Fi e 4G

Volver ao curso

Nodos N1, N2, N3 da topoloxía proposta con MikroTik

Imos explicar a configuración das MikroTik Powerbox Pro que sustentan os nodos principais. Para a configuración inicial, é recomendable usar Winbox (Windows | macOS) e tratar de acceder en base a dirección MAC. Usuario: admin, contrasinal . Comezamos coa unificación dos portos en tres bridges (similar a switches).

/interface bridge 
	add name=CLASE-A
	add name=CLASE-B
	add name=WAN

No bridge WAN poremos normalmente un só porto. Neste caso poño dous (un porto ethernet, outro SFP) para a conexión a Internet. De utilizar unha conexión de fibra óptica estándar GPON/FTTH, poderíamos simplificar a rede usando un módulo ONT SFP.

/interface bridge port
	add bridge=WAN interface=sfp1	
	add bridge=WAN interface=ether1	

É de esperar unha interrupción na conexión Winbox ó asignar o porto de conexión a un bridge.

No bridge CLASE-A poremos dous portos (radioenlaces Ubiquiti N1-N2 e N1-N3).

/interface bridge port
	add bridge=CLASE-A interface=ether2
	add bridge=CLASE-A interface=ether3

Estes portos requiren que forcemos o acendido do voltaxe de 24 Vcc PoE (en lugar de auto-on, que por algún motivo non funciona con Ubiquiti). Isto supón un risco xa que se por accidente conectamos nun deses portos un dispositivo que non soporte PoE… será destruído. Moito ollo con xogar á ruleta rusa co PoE:

/interface ethernet 
	set [find name="ether2"] poe-out=forced-on
	set [find name="ether3"] poe-out=forced-on

No bridge CLASE-B poremos o resto de portos. Será onde conectemos o(s) radioenlace(s) do(s) cliente(s), e tamén onde poremos os portos sobrantes de cara a futuros clientes ou a conexións de mantemento.

/interface bridge port
	add bridge=CLASE-B interface=ether4
	add bridge=CLASE-B interface=ether5

Chegados a este punto, deberías facer un esquema dos portos e bridges asociados para non trabucarte:

Repasa tamén as cores do esquema do nodo que che toque (no exemplo vou usar N1):

• VERMELLO: bridge “WAN” (DHCP).
• AMARELO: bridge “CLASE-A”.
• VERDE: bridge “CLASE-B”.
• NEGRO: “CLASE-C” (router CPE, aplica neste outro capítulo)

Procedemos agora a asignar IPs ós bridges (LEMBRA: as IPs se asignan só ós bridges (se existen), e NON ás interfaces físicas):

/ip address
	add address=10.0.1.1/16 interface=CLASE-A network=10.0.0.0
	add address=172.16.1.1/24 interface=CLASE-B network=172.16.1.0

Supoñamos que a conexión WAN se realiza por cliente DHCP:

/ip dhcp-client
	add disabled=no interface=WAN

A ruta de último recurso (“porta de enlace” ou conexión a Internet) debería rexistrarse automáticamente mediante o cliente DHCP

Rutas estáticas

Non son recomendables en redes de gran tamaño. Só con fins informativos, exemplo do nodo N3 a cada CPE:

/ip route
	add distance=1 dst-address=172.16.2.0/24 gateway=10.0.2.1
	add distance=1 dst-address=172.16.3.0/24 gateway=10.0.3.1
	# add distance=1 dst-address=172.16.1.0/24 gateway=10.0.1.1 # Esta non se declara xa que está conectada directamente a N3.

Rutas dinámicas OSPF

Cando a rede escala (medra), as rutas estáticas deixan de ser prácticas. Os sistemas dinámicos fan que toda a rede manteña a conectividade de xeito automático mediante o anuncio de rutas. O sistema OSPF (Open Shortest Path First) é o máis popular en redes WISP. Ver implementación no capítulo R04B.

ATENCIÓN: OSPF non exclúe que a ruta de último recurso sea estática. Tampouco exclúe o uso de dobre WAN.

Rutas estáticas de último recurso con dobre WAN ou “failover”

Como podes observar no esquema, desde o nodo 3 hai dúas rutas para acceder a Internet: a través do nodo 1, e a través do nodo 2. Deste xeito simulamos a necesidade que teñen os operadores WISP de ter distintos accesos para manter a dispoñibilidade no caso de suceder caídas na rede. Configuraremos ambas como rutas de último recurso (portas de enlace) dando prevalencia ó nodo 1. Isto é, outorgándolle menor distancia administrativa que ó nodo 2. Exemplo N3:

/ip route
add check-gateway=ping comment="N1" distance=1 gateway=10.0.1.1 # menor distancia, ruta prevalente
add check-gateway=ping comment="N2" distance=2 gateway=10.0.2.1 # maior distancia, ruta de respaldo

A ruta de último recurso se declara con dst-address=0.0.0.0/0, pero non hai que escribilo, aparece de maneira implícita.

No nodo 1 e 2 daremos prevalencia á rede directamente conectada (gateway do IES As Mariñas), pero tamén declararemos o nodo colindante para ter ruta de respaldo. Exemplo nodo 1:

/ip route
add check-gateway=ping comment="N1" gateway=10.42.160.1
add check-gateway=ping comment="N2" distance=2 gateway=10.0.2.1 

No nodo 2 tería de primeiro o gateway da Xunta, e de respaldo o router N1.A comprobación por ping se realiza cada 10 segundos.

Cando no menú IP → Route aparecen rutas en azul, quere dicir que non están en uso porque existe outra ruta á mesma rede con máis prioridade.

NAT masquerade para saír da rede

Ademáis da NAT nos CPE (que xa ven preconfigurada nos routers neutros, teremos que configurar NAT nos nosas liñas alugadas de acceso a Internet (neste caso, nas conexións á Xunta dos routers N1 e N2.

/ip firewall nat add action=masquerade chain=srcnat out-interface=bridgeWAN

Se non fas este último paso, non terás conectividade completa a Internet na rede (só nos nodos que teñan IP da Xunta).

Radioenlaces MikroTik SXT (explicación curta)

Access Point (máis preto da nube):

1. Conetar SXT a portátil, entrar por Winbox. Crear:
   • Resetear eliminando todo: /system reset-configuration no-defaults=yes
   • Fixar identity co número de nodo; /system identity set name="NxAP"
   • Crear Bridge. Engadir ó bridge interfaces eth e wlan
   • Poñer IP no bridge: /ip address add address=172.16.X.2/24 interface=bridge1
   • Engadir ruta predeterminada: /ip route add dst-address=0.0.0.0/0 gateway=172.16.X.1
   • Fixar DNS por futuras actualizacións: ip dns set servers=8.8.8.8
2. Conectar físicamente á Powerbox no bridge CLASE-B
3. Devolver portátil á rede da aula. PORTA ENLACE 192.168.2.25X
4. Conectar por Winbox a SXT en 172.16.X.2.
5. Radio en modo "Bridge". Crear perfil de seguridade só WPA2-PSK

   O modo “Bridge” permite asociar un único cliente á Wi-Fi. Para ter varios terías que usar “AP Bridge”, pero este modo require licencia nivel 4 ou superior.

6. Levantar Punto acceso Wi-Fi e seleccionar perfil anterior.

CLIENT/STATION (na casa do cliente):

1. Conetar SXT a portátil, entrar por Winbox. Crear:
   • Resetear eliminando todo: /system reset-configuration no-defaults=yes
   • Fixar identity co número de nodo; /system identity set name="NxCLIENTE"
   • Crear Bridge. Engadir ó bridge interfaces eth e wlan
   • Poñer IP no bridge: /ip address add address=172.16.X.3/24 interface=bridge1
   • Engadir ruta predeterminada: /ip route add dst-address=0.0.0.0/0 gateway=172.16.X.1
   • Fixar DNS por futuras actualizacións: ip dns set servers=8.8.8.8
2. Conectar por Winbox a SXT en 172.16.X.3.
3. Radio en modo "station bridge". Crear perfil de seguridade só WPA2-PSK.
4. Pulsar "SCAN" Punto acceso Wifi e seleccionar perfil. CONNECT.
5. Facer ping a 192.168.X.3 desde a Powerbox. ¡¡Radioenlace correcto!!!

Radioenlaces MikroTik SXT (explicación longa)

Video resumo:

Nesta práctica montaremos dúas ODU MikroTik de tipo all-outdoor. Trátanse de placas modelo RB411. Conectarémoslles módulos de radio Wi-Fi estándar “n” formato miniPCI para a banda de 2.4GHz:

Cada placa miniPCI conta con dous streams isto é, dous módulos de radio independentes, cada un cunha capacidade de 150 Mbps (MCS 7). Como as ODUs son idénticas, Isto nos permite dúas combinacións:

• Poñer un dos streams a transmitir e outro a recibir. Desta maneira obteremos comunicación full-duplex.
• Duplicar a taxa de transferencia.

Para obter isto, o preferible sería traballar con dúas antenas directivas en ambas polarizacións (un stream horizontal, outro vertical).

Falando de antenas, as antenas se conectan mediante dous conectores u.Fl hirose (“ipex”). Este conector se pode adaptar a outros tipos como RP-SMA, ou type-N mediante pigtails (latiguillos). Máis info.

Para esta práctica imos utilizar antenas tipo PCB, que son cómodas para montaxes provisionais.

Obxectivo da práctica

Estableceremos dous nodos:

• Punto de acceso (AP): é o nodo máis cercano ó núcleo da nosa rede e, por tanto, a Internet. “Ofrece” un SSID para conectarse por Wi-Fi.
• Estación/cliente: é o nodo afastado, aquel que queremos conectar a Internet conectándoo á Wi-Fi do punto de acceso.

Imos supoñer que o enclave de núcleo da nosa rede dispón de alimentación PoE nos seus switches. Así, na figura, o AP está á esquerda e o cliente á dereita:

 Interfaces

Os equipos contan con dúas interfaces de rede: ethernet e Wi-Fi. Temos dúas opcións de configuración:

• Poñer as interfaces en redes distintas (traballar con enrutamento) (con ou sen NAT).
• Unir as dúas interfaces nun ponte/bridge e asignar unha única IP ó conxunto. MOITO MÁIS SINXELO.

Estes equipos MikroTik RB411 teñen un software “capado” (licenza L3). Non permiten facer radioenlaces en redes distintas. Así, todas as conexións lóxicas se farán en ponte (sen cambiar de rede). Supoñendo que a rede do núcleo fora 192.168.99.0/24:

MikroTik ofrece unha morea de opcións en radioenlaces, pero a licenza L3 só nos permite dúas opcións:

• AP en modo “Bridge” e cliente en modo “station bridge”.
• AP en modo “Bridge” e cliente en modo “station pseudobridge” (desaconsellado).

Configuración

Comezamos poñendo as dúas estacións na mesma rede. A aplicación Winbox permitirá xestionar a configuración (dispoñible en Windows e outros sistemas mediante Wine). Winbox permite acceder a equipos MikroTik sen importar a súa configuración IP. É capaz de conectarse por IP, pero lle basta con ter a MAC (capa 2):

Abrimos o primeiro deles con dobre clic na MAC. Para abrir o outro, imos ó botón “New Winbox” abaixo á esquerda:

É bo eliminar configuracións previas. System → Reset configuration → No Default Configuration.

Hostname

System → Identity. Imoslles chamar MT-AP e MT-ST:

Así está mellor:

Creación de pontes/bridges

Bridge → pestana “Bridge” → “+”

Despois imos á pestana ports e engadimos todos os portos:

Ó aceptar, perderemos a conexión momentaneamente.

Configuración IP do bridge

Neste tipo de infraestruturas, deberíamos traballar con IPs estáticas. Imos ó menu IP → Address e establecemos unha IP para o bridge (non para as interfaces que o compoñen). Imos asignar 192.168.99.101/24 para o AP e 192.168.99.202/24 para a estación cliente.

Porta de enlace: Imos a IP → Routes → “+” e engadimos a IP do router que nos da acceso a Internet (no meu caso 192.168.99.3

DNS: Imos a IP → DNS → clic en servers, escribimos o DNS e pulsamos aceptar:

Radioenlace

Ambos: Establecer clave: Wireless → Security profiles → “+”. Fixamos clave WPA2 soamente:

Punto de acceso:

• Wireless → wlan1 (dobre clic) → pestana “Wireless”. “Advanced Mode”.
  • Mode: bridge (o único modo soportado na licenza L3)
  • Band: só “N” (xa non ten sentido manter compatibilidade)
  • Channel width: 20/40 xx. Se o espectro está libre, ocupará dous canais para duplicar a taxa de transferencia. O canal de control será escollido automáticamente.
  • Frequency: auto.
  • SSID: MT-AP (nome da rede)
  • Radio name: similar a SSID, pero propietario MikroTik. Pono igual que o SSID, facilitará a verificación do rexistro.
  • Wireless Protocol: 802.11. Wi-Fi estándar. Cando os dous equipos son MikroTik, podemos utilizar nv2, que aporta certas melloras e control.
  • Security profile: “clavewifi”, o que escrevemos antes.
  • WPS: deshabilitado sempre, é vulnerable a ataques.
  • Frequency mode: regulatory domain. Country: Spain. Para emitir dentro da potencia legal.
  • Antenna Gain: 3 dBi. Para saber a potencia máxima, o equipo colle a máxima legal e lle resta a ganancia da antena.
• Pestana HT: aquí eliximos os streams. Na imaxe limito un stream para transmisión e outro para recepción (elección persoal)

  

• Pestana “Data rates”: Marca configure se queres configurar as taxas de transferencia MCS:
  • Na pestana HT MCS se elixen: Basic MCS son as mínimas, e supported as máximas. As mínimas deben estar contidas dentro das máximas.
• Clic en “Enable” se aínda non está activada a radio.

Estación/cliente:

Explicacións simplificadas para a topoloxía obxectivo do curso:

1. System → Reset configuration
2. System → Identity
3. Crear bridge
4. Asignar wlan1, ether1 ó bridge
5. IP → Address → + 172.16.X.3/24 (ó bridge!!)
6. IP → Routes → 0.0.0.0/0 gw 172.16.X.1
7. IP → DNS → 8.8.8.8
8. Wireless → wlan1 enable
9. Wireless → security profiles.
10. Wireless → wlan1 dobre clic e "station bridge"
11. scan wifi → Connect. Se falla, comproba exhaustivamente que coincidan os secuirity profiles dos dous equipos. Comproba tamén que o security profile estea asignado á radio wifi.

Explicacións detalladas para a topoloxía desta práctica:

• Wireless → wlan1 (dobre clic) → pestana “Wireless”. “Advanced Mode”.
  • Mode: “Station bridge”. Pulsa “Aplicar”.
  • Security profile: “clavewifi”, o que escrevemos antes.
  • Radio name: similar a SSID, pero propietario MikroTik. Pono igual que o identificador do router, facilitará a verificación do rexistro.
  • Pulsa o botón “Scan” e escolle a rede do AP. Pulsa connect:

    

  • Se todo está correcto, xa debería aparecer o AP na pestana “Registration”:

    

  • É bo que axustes os streams para equiparalo ó AP:

Punto de acceso: Verifica a pestana registration en ambos equipos á vez:

 Aliñamento

MikroTik ten un sistema de pitidos tipo “radar” para axustar o aliñamento. Só precisas poñer o modo en “alignment only”, aplicar, pulsar o botón “Align”

Verificación

Podes testear a taxa de transferencia real usando iperf3.

Conectividade 4G

Realizarase en RBM33G, na seguinte práctica.

Creado para C2001003 - “Radioenlaces e redes metropolitanas sen fíos” e actualizado para V2101002 por Daniel Ríos Suárez.

Licenciado baixo a Licenza Creative Commons Recoñecemento Compartir igual 4.0

Volver ao curso