На днях к нам на тест попал один из самых доступных стоечных маршрутизаторов от Mikrotik, модель RB2011UiAS-RM. Говоря в общем, устройства линейки RB2011 очень схожи между собой, поэтому следует научиться их различать.

Во-первых, существуют упрощенные модификации – RB2011iL-IN , RB2011iL-RM и RB2011iLS-IN . Эти версии урезаны по части оперативной памяти (с 128 МБ до 64 МБ), уровня лицензии (Level 4 вместо Level 5) и не имеют LCD-экрана. RB2011iL-IN – настольная модификация. Настольную версию легко узнать по цвету передней панели – она красная. Дополнительно к такой версии можно приобрести специальное настенное крепление-органайзер (кстати, очень удобное). RB2011iL-RM – стоечная модификация, для которой в комплекте есть крепление Rack Mount. RB2011iLS-IN – версия со слотом SFP.

Стандартные версии также бывают как в настольном, так и стоечном исполнении: RB2011UiAS-IN , RB2011UiAS-RM и RB2011UiAS-2HnD-IN .

Модель RB2011UiAS-IN и RB2011UiAS-RM, по сути, идентичны – это настольная и стоечная версия соответственно. Различие в месте установки LCD-экрана. RB2011UiAS-2HnD-IN – настольная версия с беспроводным модулем Wi-Fi. В стоечную версию беспроводной модуль разработчики добавлять не стали, т.к. это лишено всякого смысла, исключением был бы разве что вариант с выносными антеннами.

Общим для всех этих железок является модель применяемого процессора, а именно Atheros AR9334 . Хотя, более правильно его называть SoC-чип, т.к. чип представляет собой целую систему с богатым набором фич, функций и модулей.

К слову, PCB-плата для всех моделей одинаковая и, в зависимости от модели, на ней распаяно разное количество компонентов.

AR9334 оснащен MIPS-процессором 74KC , во всей линейке RB2011 он имеет тактовую частоту 600 МГц, что несколько выше референсной в 533 МГц. Беспокоится по этому поводу не стоит, чип прекрасно себя чувствует на такой частоте, в зависимости от образца, его даже разогнать можно до 700-750 МГц. Слишком злоупотреблять разгоном мы настоятельно не рекомендуем, лучше сразу купите железо помощнее.

Чуть ниже содержится структурная схема RB2011 :

Mikrotik RB2011UiAS-RM, как и все модели RB2011 очень напоминают гибриды Mikrotik CRS (Cloud Router Switch). Сам чип имеет встроенный аппаратный свич AR8227 на 5 портов по 100 Мбит, что даже для продвинутого домашнего роутера явно маловато, как по скорости, так и по количеству.

Поэтому разработчики решили применить дополнительный гигабитный свич, для этих целей был выбран высокопроизводительный AR8327 , 5 физических интерфейсов которого обслуживают порты 1-5.

Atheros AR8327 имеет 2 дополнительных интерфейса – первый используется для SFP-слота, второй – для связи с процессором. Вот и получился гибрид, где 5 портов гигабитные и 5 Fast Ethernet.

Можно было конечно взять 2 свича AR8327, но тогда потребуется более мощный процессор, что, несомненно, повлияет на конечную цену – всё это есть в старших моделях RB1100AH и RB1100AHx2.

Под нужды процессора выделено 128 Мбайт оперативной памяти, чего должно хватить для большинства задач, тут скорее вы упретесь в производительность центрального процессора. Объем встроенной флэш-памяти – стандартные 128 Мбайт.

Точно такой же чип, Atheros AR9334 и 128 МБ RAM, использует достаточно популярная модель маршрутизатора TP-Link TL-WDR3600, правда в связке с AR8327N (модификация с аппаратным NAT). Конечно же, на этом все сходства заканчиваются, ведь RB2011UiAS-RM имеет больше интерфейсов и работает под управлением фирменной RouterOS с 5-м уровнем лицензии.

Корпус устройства не скрипит, однако к его качеству есть некоторые претензии по части толщины применяемого металла. Порт USB также можно было распаять полноценный – места хоть отбавляй. 3G-модем подключить можно, но будет ли он ловить сеть в железном шкафу?

Свободного места внутри корпуса столько, что вы без проблем сможете поместить в него блок питания, правда придется немного поработать паяльником. Жаль, что Mikrotik не сделал этого вместо нас, для RM-версии это было бы весьма кстати.

Из этого есть и плюс – внутренние компоненты не перегреваются, что для стоечного размещения весьма актуально.

Исходя из официальных данных, размещенных на сайте Routerboard, максимальная пакетная производительность составляет 270 kpps в режиме моста и 227 kpps в режиме маршрутизации. Речь, конечно же, идет о пакетах по 64 байта. Максимальная пропускная способность при обмене большими пакетами – 1480 Мбит/сек.

В реальных тестах , при использовании L2TP 128-бит MPPE + IPSec со 128-битным шифрованием AES, не стоит ожидать феноменальной производительности – аппаратного шифрования у нас нет, а процессор оснащен всего одним вычислительным ядром с частотой 600 МГц.

Несмотря на всё это, Mikrotik RB2011UiAS-RM получился достаточно функциональным, главным образом, благодаря наличию 11 сетевых интерфейсов, один из которых позволяет подключать оптику, а также RouterOS, которая позволяет гибко конфигурировать систему.

Шифрование – далеко не самый важный параметр при выборе маршрутизатора для офиса. Гораздо более важные параметры – функциональность и общая производительность. С функциональностью здесь всё в полном порядке. Производительности вполне хватит для нужд небольшого офиса с 20-50 устройствами, для которых необходимо обеспечить доступ к сети Интернет.

В ближайшее время ожидается появление на рынке RB850x2, который при той же цене будет обладать более высокой производительностью. Правда, на этот раз, разработчиком пришлось пойти на компромисс, ради снижения цены. Этим компромиссом стало количество интерфейсов. Если же количество интерфейсов для вас имеет значение – стоит подождать обновлённый RB3011 с более мощным процессором. Поставки ожидаются уже в ближайшее время, хотя заявленный ценник на 30% выше, чем у RB2011.

Mikrotik RB2011UiAS-RM будет отличной заменой для домашних, пускай и высокопроизводительных домашних роутеров, которые массово применяются в офисах украинских компаний.

Выражаем благодарность компании Lanmarket.ua за предоставленное оборудование.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс « ». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

RB2011 – серия многофункциональных мультипортовых устройств, разработанных для использования в помещении и доступных в различных конфигурациях корпуса.

Серия RB2011 разработана на базе RouterOS, полноценной ОС для маршрутизации, которую непрерывно улучшали в течение 15 лет.

Динамическая маршрутизация, хотспот, файервол, MPLS, VPN, улучшенное качество обслуживания, балансировка нагрузки и объединение каналов, мгновенное применение настроек и мониторинг в реальном времени - вот лишь некоторые из возможностей серии RB2011.

Mikrotik RouterBOARD 2011UiAS-2HnD-IN предлагает наибольшее число опций среди всех наших маршрутизаторов. Он работает на базе нового процессора Atheros 600MHz 74K MIPS, обладает оперативной памятью 128 Мб, 5 Gigabit Ethernet-портами, 5 портами Fast Ethernet и SFP-разъёмом (модули SFP в комплект не входит!). Кроме того, это беспроводная двухканальная точка доступа мощностью 1000 мВт 2.4 ГГц (2191-2732 Мгц в зависимости от страны) для стандарта 802.11b/g/n.

Маршрутизатор оснащён консольным портом RJ45, портом microUSB и лицензией RouterOS L5, настольный корпус с блоком питания, двумя всенаправленными антеннами 4dBi и ЖК-дисплеем.

В качестве дополнительного аксессуара можно приобрести комплект для монтажа (код продукта RBWMK).

Комплектация:
Маршрутизатор в настольном металлическом корпусе
Сенсорный LCD дисплей
Блок питания на вилке 24В 0,8А, шнур 2 метра
Переходник с USB-A на microUSB-B 15 см.
2 встроенные антенны 4dBi

Интерфейсы:
- 1 SFP разъем поддерживающий модули 10/100/1000Mbps, 1,25Gbps
- 5 Ethernet 10/100
- 5 Gigabit Ethernet 10/100/1000
- 1 microUSB (с питанием) для подключения накопителей, адаптеров(serial, ethernet), 3G и 4G модемов, беспроводных адаптеров
- 1 serial порт RJ45

Производительность:
- 90 тыс. пакетов в секунду standard forwarding
- 300 тыс. пакетов в секунду FastPath forwarding (скорость всех портов)
- до 1.5 Gbit/s пропускная способность

Управление:
- Console (SSH, Telnet, MAC Telnet)
- Winbox
- WebFig

Результаты тестирования

RB2011UiAS-2HnD-IN (600Mhz)		100M и 1G тест портов		RouterOS
Режим	Конфигурация	64 байт		512 байт		1518 байт
		kpps	Mbps	kpps	Mbps	kpps	Mbps
Сетевой мост	Отсутствует (без правил фильтрации)	269.6	176.9	232.0	983.7	122.0	1,499.1
Сетевой мост	25 правил фильтрации	87.6	57.5	86.0	364.6	83.6	1,027.3
Маршрутизация	Отсуствует (без правил фильтрации)	226.9	148.8	210.0	890.4	122.0	1,499.1
Маршрутизация	25 простых очередей	106.6	69.9	103.9	440.5	100.5	1,234.9
Маршрутизация	25 правил фильтрации по IP	60.5	39.7	59.6	252.7	56.8	698.0

1. Все тесты проведены с помощью специализированного оборудования (XenaBay) компании Xena Networks в соответствии со RFC 2544 (Xena 2544)

2. Максимальная пропускная способность определяется со второй попытки через 30 и более секунд, допустимая погрешность - 0,1% для пакетов 64, 512, 1518 байт

3. Значения курсивом указывают, что максимальная пропускная способность была достигнута не за счёт предельной работы процессора, а благодаря максимальному показателю интерфейсной платы.

4. Результаты испытаний демонстрируют максимальную производительность устройства и достигаются с помощью упомянутых аппаратных и программных конфигураций. Разные конфигурации приведут, скорее всего, к снижению результатов.

Беспроводные характеристики

2.4 GHz
	TX	RX
1Мбит/с	30	-96
11Мбит/с	28	-80
6Мбит/с	30	-96
54Мбит/с	27	-80
MCS0	30	-92
MCS7	25	-73

На сайте разработчика:

В числе самых технологичных и производительных WiFi-роутеров, что доступны на российском рынке, — девайсы, выпускаемые под брендом MikroTik. К самым популярным модификациям маршрутизаторам соответствующего типа можно отнести такие продукты, как RB2011UAS, RB951G, а также RB951Ui. В чем специфика каждого из них? Каким образом осуществляется настройка WiFi в данных девайсах?

Особенности настройки роутера RB2011

Изучим то, каким образом осуществляется работа с роутером MikroTik RB2011UAS-2HnD-IN. в данном девайсе предполагает предварительное решение ряда иных задач с учетом некоторых его особенностей.

Прежде всего, следует отметить, что в устройстве задействуется технологичный интерфейс Ether1 в качестве основного порта для подключения к ЛВС, позволяющий обеспечивать передачу данных со скоростью 100 Мбит/сек. В этих же целях можно использовать интерфейсы c Ether2 по Ether5. Функции остальных портов также имеют особенности. Так, Ether10 может быть использован в качестве ведущего при подключении роутера непосредственно к интернету. Интерфейс Ether9 специалисты рекомендуют задействовать как резервный.

С учетом отмеченных особенностей осуществляется настройка рассматриваемого девайса. Изучим ее ключевые этапы. Прежде всего стоит обратить внимание на возможность обновить прошивку устройства.

Настройка роутера: обновление прошивки

Итак, наша задача — обновить программное обеспечение девайса MikroTik RB2011UAS 2HnD-In. Настройка WiFi в данном устройстве и обеспечение корректной работы беспроводного модуля, как считают специалисты, предполагает наличие в нем современной прошивки.

Для того чтобы инсталлировать соответствующее ПО на роутер, его необходимо скачать с официального сайта фирмы-производителя. Затем подключаем девайс к компьютеру. Желательно подсоединить провод, ведущий к сетевой карте ПК, к интерфейсу Ether5.

После открываем браузер на компьютере и вводим IP-адрес в строку. Стоит обратить внимание, что IP-адрес роутера может быть не похож на типичный для многих других девайсов аналогичного назначения. Например, он может выглядеть как 192.168.1.10.

Для дальнейшей работы с маршрутизатором специалисты рекомендуют загрузить на компьютер программу Winbox. Нужно, закрыв браузер, запустить ее, после чего ввести в присутствующее в ней адресное поле тот же IP-адрес, что приведен выше. Далее — вводим логин admin. Поле для ввода пароля нужно оставить пустым. После этого программа спросит, следует ли сохранить конфигурацию. Необходимо выбрать опцию Remove. После закрываем программу и переподключаем ПК в интерфейс Ether1. Рассмотренная нами операция приведет к тому, что роутер перестанет идентифицироваться посредством IP-адреса, поэтому для доступа к его настройкам необходимо задействовать mac-адрес устройства.

В этих целях можно вновь воспользоваться Winbox. В ней нужно задействовать интерфейс показа mac-адреса девайса MikroTik. Настройка WiFi — процедура, которую желательно осуществить с обновленной прошивкой, поэтому переходим к завершающему этапу инсталляции соответствующего ПО. Необходимо навести мышь на mac-адрес устройства, затем нажать на Connect. Как только программа подключится к роутеру, необходимо найти ранее загруженную прошивку и перенести ее в область окна Winbox. Сразу же после этого ПО начнет инсталлироваться на устройство. Как только данный процесс будет завершен, необходимо выбрать пункт меню System, после нажать на Reboot. Девайс начнет перезагружаться, и это может занять довольно много времени — порядка 5 минут. Крайне нежелательно отключать до тех пор, пока устройство не загрузится, питание.

MikroTik также предполагает обновление загрузочного модуля девайса. Для этого нужно войти в область Routerboard и нажать Upgrade. После необходимо перезагрузить роутер.

ПО устройства обновлено, следующая задача — корректная настройка внутренней адресации девайса.

Настройка внутренней адресации

Решить рассматриваемую задачу нам вновь поможет программа Winbox. Необходимо зайти в нее, используя mac-адрес девайса. Теперь следует объединить интерфейсы с 1-го по 5-й в единый коммутатор, причем 1-й порт следует обозначить как ведущий. Он может быть назван LAN1-Master. Затем открываем настройки интерфейса 2 и указываем в пункте Master Port значение LAN1-Master. Аналогичные процедуры следует произвести на портах с 3-го по 5-й. В результате образуется единый коммутатор девайса.

По аналогичной схеме следует настроить порты для DMZ, которые в данном случае будут соответствовать интерфейсам с Ether6 по Ether8. Следующая задача — активация необходимого для функционирования на MikroTik WiFi Bridge. Настройка интерфейса Bridge нужна для того, чтобы коммутатор LAN мог взаимодействовать с модулем WiFi.

Следующая задача — определение LAN-адреса роутера. Он может быть тем же, что обозначен выше. Далее — следует выставить корректные опции в адресации DNS-сервере. Данные, что вводятся в соответствующих интерфейсах, возможно, понадобится запросить у провайдера.

От чего еще зависит функциональность инсталлированного на устройстве MikroTik WiFi? Настройка DHCP-сервера — важнейшее условие корректной работы соответствующего модуля. Как только она будет осуществлена, необходимо закрыть Winbox, после — вынуть сетевой кабель из компьютера и сразу же вставить его обратно. Затем нужно будет проверить функциональность LAN-соединения. Для этого необходимо попытаться подключиться к роутеру по известному нам IP-адресу.

Если все получится, переходим к следующему этапу работы с маршрутизатором MikroTik. Тонкая настройка WiFi — задача, которую нам предстоит теперь решать.

Настройка модуля WiFi

На данном этапе мы вновь будем задействовать программу Winbox. Запускаем ее и выбираем в ее интерфейсе опцию Wireless. После этого делаем двойной щелчок на пункте WLAN1. Затем нужно выбрать опцию Advanced и вкладку Wireless. После этого в открывшемся окне настроек необходимо ввести корректные значения. В данном случае рекомендуется запросить их у компетентного специалиста. Возможно, что их удастся получить у провайдера.

После того как необходимые настройки на предыдущей вкладке будут указаны, следует выбрать опцию HT. В соответствующем интерфейсе может потребоваться корректировка ряда параметров: опять же, рекомендуется спросить у специалиста, нужно ли это делать. Если выяснится, что изменений на соответствующей вкладке осуществлять не требуется (или же если данные параметры установлены так, как это рекомендовано), то можно переходить в следующий интерфейс — Security.

В нем следует выбрать опцию default, после настроить схему шифрования данных. Желательно выбрать опцию WPA PSK. Также в данном интерфейсе потребуется ввести пароль на WiFi. Можно ли считать в достаточной мере защищенным настраиваемый на MikroTik WiFi? Настройка роутера в аспекте безопасности в целом соответствует тем схемам, которые обычно применяются в современных беспроводных коммуникациях. Выбранный стандарт шифрования — в числе самых надежных. Важно также, конечно же, подобрать в достаточной мере сложный пароль для WiFi.

По желанию пользователя можно еще более усилить безопасность девайса. Рассмотрим, каким образом.

Дополнительная безопасность роутера

Выставить настройки, обеспечивающие дополнительную безопасность роутера, желательно до того, как будет осуществлен выход в интернет с помощью рассматриваемого девайса. В данном случае необходимо прежде всего отключить ряд сервисов, задействование которых необязательно для обеспечения функционирования маршрутизатора, а с точки зрения безопасности — нежелательно.

Речь идет о таких опциях, как FTP-соединения, Telnet, а также WWW. Также необходимо разрешить сетевые запросы к роутеру только из ЛВС. То есть по IP-адресу компьютера администратора сети либо же с любого ПК, который входит в соответствующую ЛВС. Для решения рассматриваемой задачи необходимо, опять же, задействовать те интерфейсы, что присутствуют в программе Winbox.

Настройки NAT и DMZ

Следующая важная задача — выставить корректные опции NAT и DMZ. Касательно первого сервиса — необходимо, используя Winbox, выбрать опцию Firewall, затем вкладку NAT. После нужно добавить в соответствующую область настройки особое правило, выбрав опцию WAN1 в пункте Out Interface, что расположен на вкладке General. Также полезно выбрать пункт Masquerade на соседней вкладке — Action.

Касательно настройки DMZ, необходимо выбрать пункт меню Addresses программы Winbox, после чего вписать в соответствующие поля необходимые адреса для ЛВС и для роутера.

Настройки WAN

Следующая важная задача — установить корректные настройки, необходимые для пользования интернетом. По сути, все, что необходимо в данном случае сделать — ввести корректный IP-адрес от провайдера в соответствующих интерфейсах на вкладке Addresses. Также нужно установить в настройках роутера шлюз, используемый по умолчанию.

После этого должны функционировать основные модули девайса, а также интегрированный в MikroTik WiFi. Настройка беспроводного доступа в общем случае не предполагает внесения корректировок в иные опции, но специалисты рекомендуют также проверить то, правильно ли работает SNTP-клиент — интерфейс, отвечающий за корректное отображение времени во внутренних реестрах роутера.

В данном случае необходимо выбрать в области настроек Clock часовой пояс, соответствующий городу, в котором проживает пользователь роутера, а также прописать адрес NTP-сервера, с которого маршрутизатор сможет запрашивать время.

Другие распространенные модификации роутера - RB951G, а также MikroTik RB951Ui-2HnD. Настройка WiFi и других опций на данном девайсе имеет особенности. Изучим их.

Особенности роутера RB951G

Итак, компания MikroTik выпускает высокотехнологичный роутер MikroTik RB951G-2HnD. Настройка WiFi и иных опций на соответствующем устройстве в целом осуществляется так же, как и в девайсе RB951Ui. Но некоторая разница между маршрутизаторами есть.

Роутер в модификации RB 951Ui более новый. Он оснащен мощным процессором с частотой 600 МГц, а также увеличенным модулем ОЗУ в 128 Мб. Получается, что данный роутер более производительный. Девайс отличается от многих аналогов возможностью передавать данные через порт Ethernet со скоростью 100 Мбит/сек. Как и предыдущие модели, более новый роутер позволяет передавать питание на другие девайсы через протокол PoE. По своим характеристикам он в целом соответствует возможностям маршрутизатора MikroTik RB951G-2HnD. Настройка WiFi рассматриваемого устройства осуществляется также с помощью Winbox.

Но прежде всего определенные действия рекомендуется произвести с аппаратной частью роутера. Так, некоторые специалисты обращают внимание на тот факт, что в комплекте поставки антенна маршрутизатора иногда уложена не лучшим образом: она изогнута так, что сильно снижается ее эффективность. Соответствующий аппаратный компонент рекомендуется осторожно распрямить.

После можно переходить к настройке присутствующего в рассматриваемой модели роутера MikroTik WiFi. Настройка соответствующего модуля будет осуществляться по следующему алгоритму.

Роутер RB951G: настройка сетевых интерфейсов

Как и в случае с обеспечением функционирования девайса в модификации RB2011UAS, необходимо аннулировать установленные на заводе опции роутера. Для этого необходимо вновь задействовать программу Winbox. Используя интерфейсы данного ПО, нужно выбрать пункт System, далее — Reset. После этого роутер перезагрузится, и можно начинать его настройку. При этом, как и в случае с предыдущим девайсом, необходимо обновить прошивку.

Так, можно задействовать алгоритм, в соответствии с которым, адреса в ЛВС будут получены девайсом автоматически. Для этого необходимо выбрать пункт меню IP, далее опцию DHCP, после чего установить настройки, по которым адреса DNS-сервера, а также NTP-сервера будут получаться автоматически.

Если подключение к интернету осуществляется посредством интерфейса PPPoE, то необходимо выбрать пункт меню PPP, после добавить настройку Client. В ней необходимо выбрать область настроек, отвечающих за обеспечение функционирования сетевого подключения к серверам провайдера, затем выбрать вкладку, в которой указывается логин и пароль для получения доступа к ресурсам поставщика интернета.

Некоторые администраторы предпочитают указывать IP-адреса вручную. Для этого необходимо выбрать пункт IP, после опцию Address, и в открывшихся интерфейсах зафиксировать необходимые настройки. Как правило, при этом также требуется выбор порта, к которому подключен кабель от поставщика интернета. Стоит обратить внимание на то, что маска подсети указывается с использованием слэша.

Если IP-адрес указывается вручную, то потребуется также настроить параметры маршрута, используемого по умолчанию. Для этого необходимо вновь выбрать пункт меню IP, после опцию Routes, затем добавить требуемый маршрут. Важнейший параметр обеспечения корректной работы рассматриваемой модификации роутера MikroTik — настройка WiFi-моста. Рассмотрим то, как решается данная задача.

Настройка моста в роутере RB951G

Для того чтобы настроить мост на маршрутизаторе в соответствующей модификации, необходимо выбрать в управления девайсом опцию Bridge. После перейти в область меню Ports, а затем добавить нужные сетевые порты в мост. Оптимальное их количество — от 2 до 5. Также нужно добавить порт на WiFi. При настройке моста необходимо прописать в нем IP-адрес.

Следующая задача — настройка DNS. Изучим то, как она осуществляется.

Настройка DNS

Для решения рассматриваемой задачи необходимо выбрать пункт меню IP, затем переходим на вкладку DNS. После вводим нужный адрес сервера. Следует обязательно установить в соответствующем интерфейсе опцию, разрешающую доступ к роутеру с компьютеров, подключенных к сети. Можно отметить, что для данных ПК адреса могут выдаваться маршрутизатором автоматически. Чтобы активировать соответствующих алгоритм, нужно выбрать пункт IP, после — опцию DHCP, затем — задействовать интерфейс настроек.

Поскольку порты в устройстве объединены в мост, необходимо выбрать пункт bridge1. После нужно указать параметры подсети. Как правило, соответствующие опции выставляются программой автоматически, но нужно проверить их корректность.

Таковы основные параметры, на которые следует обратить внимание при настройке маршрутизатора RB951Ui. Следующая задача в рамках обеспечения функциональности роутера MikroTik — настройка гостевого WiFi. Изучим особенности ее решения.

Настройка WiFi в роутере RB 951G

Настройку WiFi в рассматриваемой модификации роутера следует начать с открытия вкладки Security в разделе Wireless. После необходимо установить опции шифрования данных. Как и в случае с предыдущей модификацией маршрутизатора, желательно выбрать технологию WPA2 PSK в целях защиты доступа к сети. Также необходимо установить в достаточной мере сложный пароль.

Следующая задача — активировать, собственно, WiFi-модуль в девайсе. Для этого нужно выбрать вкладку Interfaces, а затем активировать в соответствующих интерфейсах такие опции, как:

• Mode в режиме ap bridge (только в случае активизации данной опции возможно функционирование роутера в качестве отдельной точки доступа);
• Band как B/G/N (соответствующий параметр отвечает за активизацию поддержки маршрутизатором тех или иных стандартов беспроводной связи);
• Channel как 20 или же 20/40 (данный параметр устанавливает ширину рабочей полосы маршрутизатора);
• Frequency в значении 2412 (данный параметр соответствует рабочей частоте роутера);
• SSID: в значении, выбранном пользователем (соответствующая опция определяет наименование беспроводной сети);
• Protocol: как 802.11 (активирующий поддержку роутером основного беспроводного стандарта связи, чаще всего поддерживаемого устройствами с WiFi-модулем).

Именно таким образом осуществляется настройка гостевой сети WiFi. MikroTik — роутер, который имеет интерфейсы с иными популярными настройками. На какие из них можно обратить внимание?

Так, в числе опций, способных оптимизировать работу роутера MikroTik — мощность WiFi. Настройка соответствующего интерфейса позволяет усилить или, если это необходимо, уменьшить сигнал и одновременно радиус действия беспроводной сети.

Таковы основные особенности настройки популярных роутеров бренда MikroTik — RB2011UAS, RB951G, а также RB951Ui. Безусловно, данная компания выпускает иные высокотехнологичные продукты. Например, MikroTik hAP Lite. Настройка WiFi в данном девайсе также будет иметь особенности, но в целом она будет осуществляться по алгоритмам, схожим с теми, что характеризуют работу с рассмотренными нами маршрутизаторами.

teleghost 21 мая 2016 в 16:34

Колхозинг* Mikrotik RB2011UiAS-2HnD-IN: внешние антенны и другие прибамбасы

• Сетевое оборудование ,
• DIY или Сделай сам

*Здесь колхозинг означает DIY или сделай сам. Этимологию слова и связь с земледельческой техникой см. ниже.

Аннотация
Подключение внешних антенн Wi-Fi к Mikrotik RB2011UiAS-2HnD-IN: как, зачем и нужно ли? Полезные бюджетные опции для минироутера. Проблемы с USB-модемами, скрытые дефекты активных удлинителей USB, методы выявления и устранения данных неприятностей.

Что делает в меру усталый айтишник на даче?
Настраивает он Интернет, не иначе...

Mikrotik RB2011UiAS-2HnD-IN - на редкость удачный телекомбайн для SOHO , который пользуется популярностью почти пять лет без изменений, эдакая бюджетная красно-чёрная акулка в мини-эволюции телекома. Я настолько влюбился в это устройство, что решил превратить его в легкий сетевой кроссовер, но материала, как это бывает, набралось на небольшую публикацию. DISCLAIMER: усиленные внешние антенны (на фото) далеко не всегда улучшают качество связи по причинам, изложенным далее.

*Колхозинг. Этимология слова.

Колхозинг - изначально автолюбительский слэнг. Глагол наколхозили я впервые услышал от своего автомеханика, живописавшего за рюмкой чая состояние Mercedes Benz Coupe 1969 года после любительского ремонта. Вот за что люблю русский язык, так это за оттенки эмоций и феноменальную информационную ёмкость матерных слов. Буквально одно выражение доступно описывает как конечное состояние агрегата, так и квалификацию инженеров, которые пытались его ремонтировать. Но добавим позитива простой заменой приставки: сколхозить антенну , это уже созидательно-креативно. А инговое окончание у слова колхоз не только нейтрализует запах навоза, но и превращает пьяного тракториста с кувалдой в инженера-любителя с напильником. Пользователь denis-21061 в 2007 году предложил такое определение (пунктуация сохранена):

Колхозинг - это болезнь автовлюбителя, которая выражается в безвкусном и бесполезном, с точки зрения практичности, внешнем и внутреннем оформлении своего автомобиля, в результате чего, автомобиль напоминает новогоднюю елку.

Но мой автомеханик считает, что «ёлочный» внешний тюнинг авто - это лишь частный случай, характерный для автолюбителей из южных губерний и Северного Кавказа. В более общем случае колхозингом он предлагает обозначать такой авторемонт, когда вместо оригинальной (новой, качественной) детали ставится деталь, например, от трактора или комбайна, обработанная напильником (как в том самом анекдоте), либо кустарно изготовленная (восстановленная) в мастерской.

Внешние антенны

RB2011UiAS-2HnD-IN укомплектован парой несъёмных антенн Wi-Fi с усилением 4dBi, которых вполне достаточно для большинства задач. Вообще, не стоит терроризировать эфир излишней мощностью, специалисты, наоборот, рекомендуют её в некоторых случаях уменьшать . Если «на пальцах»: бесконтрольно увеличивая мощность передатчика на точке доступа, вы ничем не улучшаете ответный сигнал терминала (смартфона, планшета), который и так еле-еле преодолевает пару бетонных стен. В пределе терминал точку «слышит» и думает, что она близко, а она его вообще не слышит. Да ещё и соседям мешает.

Хотя...

Хотя некоторых соседей (которые регулярно выпивают, шумно и вонюче курят вам в окна, перманентно орут матом на своих малолетних детей и воспитывают их тумаками) я бы, наверное, угощал СВЧ-физиотерапией из бортовой РЛС, снятой с боевого самолёта. Например, из старенького РЛПК Сапфир-29 . Но только пока дети учатся в школе, а добрые соседи на десять квартир вокруг - на работе: киловаттный передатчик, параболическая антенна, металлические волноводы в руку толщиной и всё такое. Мухи дохнут, кошки засыпают… Впрочем, бог судья таким родителям, дети подрастут и вернут им всё с процентами.

Настройка мощности на Mikrotik

Основная настройка в разделе Wireless, опции Frequency Mode , Country и Antenna Gain . Если по-честному, то выставляете regulatory-domain , свою страну и КУ антенны. Если хочется вжарить по полной, тогда Frequency Mode в manual-txpower , мощность можно подрегулировать дополнительно на вкладке Tx Power: Tx Power Mode в положение all rates fixed и задать мощность в Tx Power .

Чувствительность антенны зависит от её коэффициента усиления. Поэтому, установив мощную антенну и даже чуть ослабив передатчик на точке доступа (увеличив значение Antenna Gain), в теории можно лучше принять сигнал от (своих) устройств за стенами, обеспечив более высокую скорость передачи данных по обоим направлениям. Но в реальности сигнал, преодолевая препятствия, многократно отражаясь и интерферируя сам с собой, может слишком деградировать, никакая антенна не поможет. Так что усиленная всенаправленная антенна - это скорее дачно-садовый вариант: ушёл работать в поле, и вдруг захотелось, скажем, в танчики поиграть. Но благодаря двум «хлыстам» по 8dBi даже в поле ломовой сигнал Wi-Fi: достаёшь из карманов здоровенный игровой ноутбук и режешься…

Лично моя мотивация приколхозить внешнюю антенну: запереть минироутер в стальной шкафчик подальше от шаловливых ручек пользователей и посетителей объекта, высунув наружу только антенны. Лучше в радиопрозрачном боксе, сделанном из обычного короба. В «стоечных» вариантах типа RB2011UiAS-RM наличие Wi-Fi радиомодуля - это скорее абсурд. Даже если офис небольшой фирмы продвинут настолько, что в нём есть шкаф 19", да ещё и в отдельном помещении, точки доступа мостятся где-нибудь на шкафу или на стене, ну не сажать же их в клетку Фарадея… Иногда к точкам проложен кабель с розеткой 220В, естественно, без ИБП. И вот электричество кончилось, бесперебойники пищат, пора срочно сохранять данные на сервер… ага, только сети нет. Конечно, у читателя данного ресурса такой ситуации не может возникнуть в принципе, тем более на RB2011 есть PoE.

Итак, модифицируем наш минироутер выходами на съёмные антенны, используя 6-дюймовые пигтейлы MMCX на RP-SMA.

пигтейлы, MMCX, RP-SMA: что это за хрень вообще?

Термин пигтейл появился в ВОЛС и обозначает недлинный отрезок волокна с разъёмом только на одном конце (оптический полу-патчкорд), свободный конец которого предназначен для приварки, например, к магистральному кабелю. Именно из-за этого свободного хвоста «колечком» изделие прозвали пигтейлом.

Оптические пигтейлы удобны технологически: одни (суровые) ребята протягивают тугой бронированный кабель через канализационный коллектор на объект, где их радостно встречают другие (весёлые) ребята с варочным оборудованием и комплектом пигтейлов нужного типа. Кабель свежуют, отделяя броню и скелет, очищают нежные жилы в оболочке от вязкого гидрофобного наполнителя. Затем жилы сваривают с пигтейлами, фиксируя разъёмы на оптическом кроссе . Эта встреча на Эльбе иногда завершается торжественным подписанием акта о выполненных работах, братанием и совместным распитием чего-нибудь горячительного.

Пигтейл коаксиальный (радиочастотный) - по сути, адаптер, обжатый с двух концов разъёмами радиокабель, не защищённый «уличной» оболочкой. Обычно тонкий, иногда розовато-жёлтый из-за медной оплётки, которую хорошо видно через прозрачное FEP-покрытие (см. например, кабель RG316). Радиочастотный пигтейл тоже свёрнут колечком, что ещё более добавляет сходства с хрюшкиным хвостом. Используется как адаптер-переходник внутри корпуса, в длину редко достигает метра. Разъёмы дополнительно прикрываются термоусадкой, чтобы не подпускать кислород к меди.

MMCX (micro-miniature coaxial) - миниатюрный СВЧ-разъём, в Mikrotik RB2011UiAS-2HnD-IN используется на плате. Чтобы не свернуть ему шею, я использовал маленькие «электронные» плоскогубцы. Крутить MMCX бесполезно, резьбы там нет.

SMA (SubMiniature version A) - это среднего размера СВЧ-разъём с дюймовой резьбой 1/4"-36 (ближайший метрический размер - М6).

RP-SMA (Reverse Polarity SMA) - это просто вывернутый наоборот SMA, никакой обратной полярности там нет; RP-SMA почему-то более популярен в отрасли. RP-SMA «мама» имеет внешнюю резьбу.

Серьёзные антенно-фидерные системы операторов связи используют толстый «уличный» радиочастотный кабель (например, 5D-FB или 8D-FB), его вместе с разъёмами принято именовать кабельной сборкой . Крохотные разъёмчики MMCX такому кабелю можно натянуть разве что на центральную жилу, поэтому в профессиональном оборудовании чаще можно встретить брутальные разъёмы типа N. Впрочем, на 5D-FB налезает и SMA.

Очень важно, что все упомянутые элементы, включая и толстенный 8D-FB, и тонкий RG316, и разъёмы имеют идентичное волновое сопротивление 50 Ом, которое не зависит от длины кабеля. Если читатель не изучал ни радиосвязь, ни даже раздел о длинных линиях теории электроцепей, ничего страшного. Представьте себе длинный цилиндрический конденсатор, одна из обкладок которого - это сам цилиндр, а другая - провод строго по оси цилиндра. Теперь мысленно заполните пространство внутри диэлектриком, причём равномерно, без пузырей и комков. Тогда диэлектрическая проницаемость, а также диаметры внешнего цилиндра и центральной жилы будут постоянны вдоль всей длины, а их сочетание, по сути, и характерируется волновым сопротивлением получившегося коаксиального кабеля. Но можно взять тугой цилиндр побольше с жилой потолще и заполнить его вспененным диэлектриком: варьируя несколько параметров, получаем те же 50 Ом волнового сопротивления, но для улицы.

Важно, что любой градиент (изменение, скачок) волнового сопротивления на линии приводит к рассогласованию и потерям мощности: бросьте камень в воду рядом с берегом, волны начнут отражаться от берега, сталкиваться со встречными, возникает интерференция, помехи и потеря мощности. Это касается и разъёмов тоже: несмотря на позолоту, даже качественный разъём теряет порядка 0.5дБ мощности, «сломанный» или «перегнутый» коаксимальный кабель требует замены, особенно на сверхвыскоих частотах. Поэтому если читатель никогда раньше не работал с частотами порядка 2ГГц, кабели и пигтейлы для Wi-Fi не надо обжимать самому, это вам не телевизор на даче. Не подойдут и коаксиальные детали для устаревшего оборудования на 450МГц, и уж тем более 75-омные. Если сомневаетесь, закажите в адекватном магазине, можно поискать и на aliexpress по ключевым словам «RP-SMA MMCX RG316 15cm adapter connector», стоит порядка $1 за штуку, качество нормальное, только не перепутайте разъёмы.

Поскольку волновое сопротивление не зависит от длины, то лично я вообще не воспринимаю его в качестве погонной характеристики радиочастотного кабеля. Погонная характеристика для меня - это удельный коэффициент затухания мощности, измеряемый в децибеллах на метр. Например, затухание в тонком кабеле пигтейла RG316 на частоте 2.4ГГц составляет около 1.3дБ/м, т.е. 6-дюймов не в счёт, потери только на разъёмах. Но при длине порядка нескольких метров пигтейл будет работать как очень дорогой и неэффективный нагреватель воздуха, зато у 8D-FB на той же частоте затухание 0.25дБ/м, т.е. в пять раз меньше.

Аутопсию минироутера я пропущу, её без меня делали уже не раз , и не два . Перед публикацией здесь я решил проверить, кто ещё делал нечто подобное. Оказалось, в 2014 году пользователь SvZol тоже колхозил внешние антенны. Правда, SvZol преследовал несколько иные цели, использовал «родные» пигтейлы ACMMCXRPSMA по $8 за штуку, но тем не менее.

Итак, для начала заказываем на aliexpress пару 6-дюймовых пигтейлов MMCX RP-SMA по $1 за штуку, а пока они едут, идём в ближайший хозяйственный магазин и покупаем четыре кузовных шайбы (с широкими полями) под метизы М6. Можно, конечно, напечатать красивые пластиковые держатели на 3D-принтере, но моя сделка на четыре шайбы со слов кассирши оказалась самой маленькой за всю историю наблюдения. Две шайбы чуть-чуть подпиливаем, как показано на фото. Чтобы не было контакта с корпусом, шайбы желательно покрыть автоэмалью (£1 за флакончик) или лаком для ногтей (shareware), можно даже подобрать красный или чёрный, в тон корпуса изделия.

Штатные антенны вынимаем, аккуратно отстегнув СВЧ-разъёмы MMCX от платы. От антенн должны остаться на корпусе пластиковые держатели, прихваченные к металлу чем-то вроде резинового клея. Он довольно легко отделяется маленькой плоскошлицевой отвёрточкой, в итоге остаются два почти круглых отверстия D~8мм.

ВНИМАНИЕ: устройство без антенн не включать!

Половинки разобранного роутера удобно разложить на столе в виде буквы «Т» или «Г», дабы не порвать связующий их шлейф LCD-экранчика, но при этом иметь жёсткий упор для работы. Вставляем заранее припасённые короткие пигтейлы разъёмами MMCX на плату, а разъёмы RP-SMA зажимаем на корпусе, проложив кузовные шайбы. Для законтривания RP-SMA понадобятся два рожковых ключа на 8, либо ключ и насадка на «трещётку». Хотя мой автомеханик, наверное, смог бы и без ключей закрутить (у парня пальцы киборга с биодинамометром, так что даже резьбу не срывает). При этом очень важно, чтобы подпиленные шайбы оказались внутри корпуса, а не снаружи, и смотрели подпиленными боками в сторону платы. Эти самые бока должны встретиться с нижней частью корпуса минироутера и не мешать закрыть крышку. Хотя крышка гибкая, у SvZol получилось и так.

Есть и нюанс: толщина двух кузовных шайб М6 в сочетании со стенкой корпуса у меня составила примерно 5мм, в то время как вся резьба на RP-SMA 11мм, причём надо оставить 5мм с запасом для накручивания ответного разъёма. Поэтому гроверными шайбами (если пришли с пигтейлами) придётся пожертвовать, но не выбрасывайте их, а рассчитайтесь золочёной СВЧ-бижутерией за использованный ранее лак для ногтей (ВНИМАНИЕ: мелкие детали, не давать маленьким детям). Впрочем, семейные взаиморасчёты читателя - не моё дело;-)

Что нужно из расходников и инструментов

Вот, что получается:

ВНИМАНИЕ: устройство без антенн не включать! (на всякий случай)

Для проверки я таки привинтил к своему колхозу пару «хлыстов» TP-LINK, но напомню, что изначальный план - убрать минироутер в стальной ящик, а антенны закрепить снаружи, подтянув к ним метровые пигтейлы. Возможно, я как-нибудь напишу про свой ящик конвергентных информационных услуг : всё SOHOзяйство вместе с минироутером, сервером, ИБП и видеонаблюдением зашло в шкафчик ВxШxГ 501x600x350мм, ещё место осталось. Сэкономил денег, что довольно актуально.

Штатные антенны Mikrotik не выбрасывайте, вдруг придётся роутер по гарантии менять;-) Хотя с такой-то ценой проще держать полный комплект ЗИП и докупать новые единицы по мере необходимости. За два года эксплуатации у меня только один раз залип гигабитный порт (после перегрузки всё стало нормально).

Гигабит, ещё гигабит

Что делать, если большинство проектных файлов хранятся на сервере и достигают (и превышают) десятки мегабайт? Для начала надо подключать все рабочие станции к гигабитным портам, которых, кстати… а сколько у нас гигабитных портов?

Если посмотреть на блок-схему минироутера, то на севере можно увидеть стандартный агрегат AR9344 (мозги + коммутатор 100Мбит + модуль Wi-Fi), усиленный на юге гигабитным коммутатором AR8327, который обслуживает пять медных портов и один трансивер SFP.

Блок-схема RB2011UiAS-2HnD-IN

Не открою Америку, если скажу, что гигабитная коммутация без нагрузки на ЦП возможна здесь только тогда, когда пакеты идут внутри AR8327, т.е. без всяких мостов, фаэрволов и маршрутизации. Я попробовал нагрузить роутер, через головной мозг на моей конфигурации больше «сотки» не протягивается, процессор 90%. Мост без маршрутизации протягивает уже 200-300Мбит/с, процессор примерно 60%. Но ведь хочется гигабитов нахаляву! Именно для этого было введено «портовое рабство»: все гигабитные порты в состоянии slave (включая SFP) форвардят пакеты внутри AR8327, не переводя стрелки на центральный процессор. Вот тогда получается субгигабитная скорость, и sustained процессор около 10%. Это и есть норма.

Пользователь SvZol привлёк моё внимание ещё и тем, что ухитрился приколхозить на RB2011 ещё и вентилятор охлаждения, похоже, с целью разгона процессора. Правда, не знаю, зачем: в телекоме процессор на пределе возможностей обычно означает пропущенные пакеты, это не десктоп, его не надо нагружать и разгонять. Вместо этого надо либо менять конфигурацию, либо выбирать другое устройство. Впрочем, никому не навязываю эту точку зрения.

Гигабитных портов всего пять, но если «оптика» не нужна, слот SFP пропадает зря. Шестой гигабитный порт легко получить, установив туда медный трансивер. Я был весьма удивлён, насколько абсурдными могут быть цены на такую простую вещь, как медные SFP-трансиверы. Сам Mikrotik предлагает S-RJ01 за $29, поисковик выдал мне массу предложений местных магазинов от $40 и далее. На aliexpress можно найти медный трансивер SFP за $14.99, используя ключевые слова «SFP-T RJ45» или даже «GLC-T RJ45». Я попробовал, после «продувки» гигабитным трафиком через патч-корд 15м ошибок на интерфейсе не увидел. Может, надо было продувать через бухту 100м? Если кто в теме, прокомментируйте, пожалуйста.

Трансивер сам о себе

По внешним признакам это похоже на попытку клонировать медный трансивер Cisco GLC-T, который стоит чуть дороже нашего минироутера. А может, это и есть GLC-T, только напрямую с завода, без посредников?

Параметр	Значение
Link length copper	100 m
Vendor Name	CISCO-METHODE
Vendor Part Number	SP7041_Rev_F
Vendor Revision	F
Vendor Serial	MTCxxxxxxxM
Wavelength	16653.93 nm

Мини-распределитель питания для ИБП

Внешний блок питания минироутера - это элемент, который обычно портит всю инженерную эстетику. Представим себе ухоженный шкаф 19", внизу какой-нибудь роскошный ИБП, аккуратно заправлены в органайзеры кабели IEC 320 C13/C14 , тут и там всякие стяжки-хомутики, любо-дорого смотреть. И посреди всего этого великолепия - почти пустой распределитель питания (PDU) на всю ширину 19", из которого торчит единственный внешний блок питания кабельного модема, минироутера или ещё чего-нибудь в таком духе. Причём розетки смотрят из шкафа горизонтально, а блок под действием гравитации только и норовит вывалиться увесистым трансформатором прямо на ногу тому, кто неосторожно откроет дверцу. Заодно и весь офис без связи оставить. Конечно, у читателя данного ресурса такой ситуации не может быть в принципе (я уже это говорил?).

В сегменте SOHO кабельно-розеточная индустрия уже давно поставляет т.н. «сетевой фильтр для UPS» в виде пяти евророзеток на шнуре с вилкой C14 для вставки в ИБП. В положении «на полу» гравитация уже нипочём, но я нашёл ещё более компактный вариант, который внимательный читатель, наверное, приметил на фото в самом начале публикации. Загоняется прямо в ИБП, не люфтит, блок питания держится жёстко.

На aliexpress это изделие можно найти за $2 по словам «IEC 320 C14 C13 Adapter PDU UPS». Обратите внимание, как ровно вписался блок питания Mikrotik под сигнальным USB-кабелем в Smart UPS 750, перекрыв всего два разъёма питания и оставив 3+1 (евровилка просто для демонстрации).

Не очень активные удлинители USB

В большинство крупных городов пришёл (или ещё идёт) стандарт беспроводной связи LTE, который активно используется и бизнесом, и потребителями. Но чтобы получить хороший сигнал и качественную связь, скоростной модем нужно (а) хорошенько запитать электричеством и (б) установить в точке оптимального радиоприёма. Последняя, по всем законам жанра, оказывается слишком далеко от минироутера. Что делать? Можно купить внешнюю антенну, протянуть к ней толстый уличный радиокабель, заодно пробурить стену, получить разрешение собственника объекта на доступ к фасаду и т.д. Можно вместо этого подвесить минироутер в окне и перетянуть к нему всю локальную сеть. Можно вообще ничего не делать и довольствоваться 3G вместо LTE.

Очевидная альтернатива «для бедных» - вместо роутера в окне подвесить модем на USB-удлинителе, что многие и пытаются делать. Но именно здесь обычно и проявляются все пакости: у Mikrotik и так хилое питание USB-порта, которого едва хватает для работы 3G-модема, не говоря уже про энергоёмкий абонентский терминал LTE . Вот скажите, пожалуйста, разве бывают радиомодемы, которые имеют в два-три раза большую пропускную способсность, но при этом потребляют меньше энергии (по сравнению с 3G)?

Обычный USB-модем периодически зависает, это его modus operandi , но тоненькие жилки кабеля 28AWG/1P 26AWG/2C доводят его до перманентного энергетического голодания (см. также про AWG). Несчастное устройство, если даже определяется через три метра удлинителя, то работает нестабильно, зависает. Побороть это отчасти можно, навесив пассивный USB-хаб на дальний конец удлинителя и воткнув в него модем. Некоторые ещё используют Y-кабель для подкачки энергии в порт USB из внешнего источника, но, если не вколхозить в Y-кабель ещё и реле питания, подкачка заблокирует функцию программного перезапуска зависшего модема командой /system routerboard usb power-reset . А ведь именно ради таких «фишек» мы и выбираем изделия Mikrotik, не правда ли?

Чисто модемные подвохи

Серия Mikrotik RB2011 на момент написания публикации из доступных LTE-терминалов адекватно поддерживает только Huawei E3372 и только в режиме HiLink, но см. документацию . Найденный в загашнике E3272 оказался с «неправильным» VID/PID, поэтому не заработал. Старенький E3276 вообще не поддерживается.

Но суть проблемы в том, что когда Mikrotik работает с LTE-модемом в режиме PPP, то, как отмечают пользователи , на скоростях порядка 30Мбит/с инкапсуляция HDLC (т.е. компоновка фреймов канального уровня) съедает около 30% процессорного ресурса. Это много, и для разгрузки хоста скоростные модемы эмулируют буферный сегмент Ethernet, в который «смотрят» внутренний интерфейс модема и внешний интерфейс хоста (т.е. нашего минироутера). Это и есть режим HiLink, побочный эффект которого, увы, двойная трансляция сетевого адреса (Double NAT).

Разница между т.н. Stick и HiLink на примере Huawei E3372 лучше всего поясняется на сайте 4pda, см. ЧАВО. Вычислительная основа Huawei E3372 - два ядра ARM, на которых параллельно работают две операционки: VxWorks (реального времени) и Android (IP-сервисы, веб-интерфейсы и пр.), эдакие Инь и Ян. Вот, например, то, что говорит андролинуксовая часть при запуске:
<5>[ 0.000000] Linux version 3.4.5 (b84016561@balongv7r2) (gcc version 4.6.x-google 20120106 (prerelease) (GCC)) #1 PREEMPT Fri Nov 27 19:19:51 CST 2015
<4>[ 0.000000] CPU: ARMv7 Processor revision 1 (ARMv7), cr=18c53c7d

Чтобы нивелировать проблему Double NAT, пользователи рекомендуют декларировать адрес 192.168.8.100 как DMZ в настройках HiLink-модема, тогда все входящие соединения снаружи будут просто пробрасываться на минироутер. Безусловно, это неудобно, но даже с учётом андролинукса пробросить WAN-адрес напрямую в минироутер совсем непросто, см, например, комментарий пользователя forth32 . Но функция DMZ наличествует не во всех прошивках модема:)

О прошивках USB-модемов и относительно халявной связи

Во-первых, снимаю шляпу перед аудиторией портала 4pda.ru : ребята разбирают мобильные терминалы почти на атомы, такого количества информации об их внутренностях вряд ли можно найти где-либо ещё. Видел восторженно-уважительные комментарии на иностранных форумах в стиле «да, есть один сайт , информации много, но всё на русском, трудно разобраться». Да, братцы, как я вас понимаю. Когда для того же E3372 выложен целый лес прошивок и веб-интерфейсов, а для управления всем этим хозяйством ещё и дюжина утилит, тут и с русским языком непросто.

В итоге для экспериментов я остановился на прошивке E3372h-153_Update_22.315.01.00.00_M_AT_05 с веб-интерфейсом Update_WEBUI_17.100.13.01.03_HILINK_Mod1.0 , хотя сейчас уже наверняка вышли ещё несколько версий. ВНИМАНИЕ: прошивка имеет открытый telnet и ADB! Изменить пароль root, закрыть межсетевым экраном!

UPD:
Полностью оценить этот швейцарский нож для мобильной связи мне удалось спустя полгода после написания публикации. Известно, что операторы связи особой щедростью не отличаются, а уж в плане беспроводного широкополосного Интернета - тем более. Но нет-нет, да и мелькнёт по-настоящему безлимитный тариф без этих традиционных «только с 03:00 до 06:00 утра». Но есть условия - использовать только в одном смартфоне и не делиться Интернетом с друзьями и сотрудниками. HILINK - это в любом случае роутер, т.е. не то, что небольшую сеть, даже один компьютер не подключить. Но оказалось, что мобильное Интернет-неравенство относительно легко восстановить до безлимитного равенства, поменяв IMEI терминала и манипулируя TTL-полями сетевых пакетов. И соль в том, что «правильно» прошитый E3372 всё это умеет делать, как говорится, «out-of-the-box»! Ну, ещё пара программ-скриптов понадобится, их легко взять с того же 4pda.ru.

Поскольку я стараюсь поддерживать строгую санитарию на рабочем ноутбуке, все эти свистопляски (драйверы, пред-прошивки, прошивки, обновления) пришлось исполнять на замапленном USB-устройстве под аккомпанемент виртуального гипервизора, что добавило спецэффектов. Например, если прошивка вылетает с ошибкой X, на ВМ следует немедленно переустановить драйвер Y, а когда появляется сообщение Z, надо виртуально отстегнуть устройство от машины и пристегнуть обратно, чтобы переключилась USB-композиция. А иногда и то, и другое.

Увлекательнейший квест, но он того стоил: я получил функцию DMZ, root-доступ к android и смог читать логи. Оболочка busybox - это наше всё. Заодно можно прикрутить туда же socat , собранный под архитектуру ARM, и выпустить интерфейс AT-команд через TCP, чтобы в случае чего можно было буратинить* устройство прямо с минироутера. Ещё раз напомню: не забывайте ставить пароли и прикрывать межсетевым экраном.

*Буратинить - здесь: выполнять не до конца обдуманные, рискованные инженерные операции.

К счастью, индустрия USB-кабелей, наконец, откликнулась на требования потребителей и выпустила на рынок т.н. активные удлинители USB . Если обычный удлинитель имеет маркировку кабеля 28AWG/1P 26AWG /2C , то активные удлинители - 28AWG/1P 24AWG /2C или 28AWG/1P 22AWG /2C , т.е. сечение питающих жил 0.33мм 2 вместо 0.13мм 2 . Но главное - это повторитель USB на дальнем конце aka «однопортовый хаб». Такие удлинители обычно имеют длину 5м и допускают (по утверждению производителя) каскадное объединение до 5 штук в одну линию, получая тракт общей длиной до 25м. Благодаря повторителям сигнал ретранслируется и не рассыпается в хлам. Оконечное устройство питается лучше, подкачка энергии уже не требуется, любимая функция сброса порта работает, вроде бы всё шоколадно, но…

Очередной подвох ждал меня в самом неожиданном месте. Таков уж закон жанра: если есть способ сэкономить даже в ущерб качеству, но достаточно незаметно, то так и будет. Повторитель - это микроконтроллер с прошивкой, а там, где есть программирование, есть баги, это тоже закон жанра.

Подвох с активным удлинителем USB

Подключив модем Huawei E3372 через пятиметровый активный удлинитель USB GEMBIRD UAE016 , я сперва очень обрадовался, потому что до этого модем не определялся вообще. Но стоило мне приступить к стандартным истязаниям радиоэфира утилитой speedtest.net , Mikrotik начал спонтанно, но достаточно часто «хлопать» интерфейсом LTE. Отчёт об увлекательном прохождении квеста по материалам проекта 4pda.ru я поместил в отдельный спойлер выше, но на выходе появилась бесценная возможность заходить внутрь модема и работать в привычном Linux-окружении. Модем чётко рапортует о команде SUSPEND со стороны хоста:

момент interface flap прямо из бортжурнала устройства

<7> dwc3 dwc3: dwc3_gadget_suspend
<3> U_PNP:(U_TRACE)composite_suspend():suspend
<3> U_ECM:(U_TRACE)ecm_suspend():ecm_suspend
<3> U_NET:(U_TRACE)eth_suspend():eth_suspend
<3> U_ALL:(U_INFO)usb_notify_syswatch():U_EVENT: usb_notify_syswatch<1,7>
<7> dwc3 dwc3: Endpoint Command Complete
<4> dwc3 dwc3: gadget not enabled for remote wakeup
<6> android_work: sent uevent USB_STATE=SUSPENDED
...
<6> device eth_x left promiscuous mode
<6> wan0: port 1(eth_x) entered disabled state
...
<4> device_event_send: queue is NOT empty
<1> device_event_send: msg send over
<6> device eth_v entered promiscuous mode
<6>
<6> wan0: port 1(eth_v) entered forwarding state

Что за чертовщина? Но поскольку я уже

Сфер применения может быть много. От работы в виде обычного “тупого” коммутатора (если объединить все порты в бридж), до управляемого с ограничением скорости портов, ограничения доступа по мак адресам, фильтрацией трафика. До работы в режиме роутера с предоставлением доступа в сеть Интернет, объединения локальных сетей, работе в роли сервера доступа или центрального маршрутизатора не большой сети.

При чем подключен таким образом, что не открывая корпус устройства отсоединить его не получится. На плате устройства разъем питания расположен в центре и из-за этого такие сложности с подключением блока питания.

С нижней стороны корпуса приклеены резиновые ножки, так что Mikrotik RB2011L- IN будет надежно стоять на любой поверхности.

Теперь приступим к его настройке для работы в режиме гигабитного коммутатора на 5 портов с поддержкой vlan и маршрутизацией трафика для 5-ти групп пользователей через оставшиеся 5 портов.

При доступе на устройство в первый раз появляется окно с предложением установить начальную конфигурацию. Нам она совершенно ни к чему, поэтому следует нажать на кнопку Remove Configuration .

Если обратить внимание на заголовок окна, можно увидеть текущую версию программного обеспечения, установленного в системе. В данном случае она имеет версию 5.14, но уже доступна более новая - 5.16. Произведем обновление прошивки путем перетаскивания мышкой файла с прошивкой в окно винбокса. После ожидания загрузки в меню SYSTEM--+ REBOOT выполним перезагрузку, во время которой программное обеспечение будет обновлено. Во время процесса обновления не следует отключать питание устройства для избежания повреждения.

После перезагрузки устройство показывает в заголовке окна уже свежую версию ПО. В разделе SYSTEM--+ ROUTERBOARD можно посмотреть текущую версию загрузчика устройства. В данном случае текущая и обновленная версии одинаковые. Поэтому нажимать на кнопку Upgrade не нужно.

Если зайти в раздел INTERFACES можно увидеть список всех сетевых портов устройства. В данном случае их 10, что позволит подключить большое количество различных сетевых потребителей.

Для настройки части портов для работы в режиме коммутатора нужно создать бридж и объединить в него нужные порты. Для создания бриджа заходим в раздел BRIDGE и нажатием на + создаем новое правило, в котором ничего не меняем, разве что имя бриджа в пункте Name .

Для защиты от петель на создаваемом коммутаторе следует включить протокол RSTP в пункте Protocol Mode , что позволит автоматически отключать порты, соединенные друг с другом напрямую или через сторонние коммутаторы. Нажимаем кнопку Ok.

Теперь в созданный бридж добавляем порты Ether1, Ether2, Ether3, Ether4 и Ether5 , то есть все 5 гигабитных портов устройства.

Управление будет осуществляться через управляющий влан с номером 10, для этого в разделе INTERFACES на вкладке VLAN нажатием на + создаем новый влан, в котором указываем его имя в пункте Name , задает VLAN ID , в нашем случае 10, и выбираем интерфейс в пункте Interface , на котором этот влан будет работать. Сетевые порты объединены в бридж, поэтому и влан нужно создавать на нем.

В разделе IP--+ ADDRESS добавляем новый адрес на созданный влан, для этого нажимаем на + и в открывшемся окне вводим Address - 10.0.0.10/24 и указываем интерфейс в пункте Interface - vlan10_ managed .

Для возможности доступа на устройство из других подсетей настроим маршрутизацию в разделе IP--+ ROUTES . Создадим новое правило, где укажем Dst. Address - 10.0.0.0/16 (что означает доступ на всю подсеть 10.х.х.х) и маршрутизатор Gateway для этих адресов - 10.0.0.1 .

Снова зайдем в раздел INTERFACES на вкладку VLAN и создадим новый влан для доступа в Интернет. Для этого указываем его имя в пункте Name - vlan109_ internet и указываем VLAN ID - 109 . Интерфейс в пункте Interface указываем Bridge1 .

В разделе IP--+ ADDRESS добавим адрес на этот влан. В пункте Address укажем 172.16.10.69/24 и Interface - vlan109_internet .

Для возможности доступа в Интернет нужно создать дефолтный маршрут на все адреса Интернета. В разделе IP--+ ROUTES снова нажимаем на + и создаем новое правило. Где не трогая пункт Dst. Address (там должно стоять 0.0.0.0/0), указываем Gateway - 172.16.10.1 - основной шлюз Интернета.

В разделе IP--+ ROUTES должны появиться такие правила.

Что бы получить доступ в Интернет, кроме адреса маршрутизатора нужно указать адреса DNS серверов, что и нужно сделать в разделе IP--+ DNS . Указать в пункте Servers адрес 172.16.10.1 и поставить галочку Allow Remote Requests , что бы компьютеры сети смогли использовать устройство в роли DNS сервера.

Теперь переходим к настройке адресов клиентских подсетей. Для этого в разделе IP--+ ADDRESS добавляем новые IP адреса для интерфейсов Ether6, Ether7, Ether8, Ether9 и Ether10 - 192.168.0.1/24, 192.168.1.1/24, 192.168.2.1/24, 192.168.3.1/24 и 192.168.4.1/24 . По этим адресам клиенты сети смогут обращаться к устройству.

Произведем настройку DHCP сервера в разделе IP--+ DHCP Server . Для создания нового сервера нужно нажать кнопку DHCP Setup и указать следующие данные в открывающихся окнах:

DHCP Server Interface - ether6 - имя интерфейса, на котором раздавать адреса.

DHCP Address Space - 192.168.0.0/24 - подсеть для выдачи адресов.

Gateway for DHCP Network - 192.168.0.1 - шлюз в Интернет, который получат клиенты.

Addresses to Give Out - 192.168.0.2-192.168.0.254 - диапазон адресов для выдачи, если в сети какие-то устройства будут иметь постоянные адреса, установленные вручную, следует изменить этот диапазон, например на 192.168.0.200-192.168.0.254 , тогда выдача будет происходить только в интервале 200-254, и адреса менее 199 можно прописывать вручную, конфликтов сетевых адресов происходить не будет.

DNS Servers - 192.168.0.1 - DNS сервер для выдачи клиентам.

Lease Time - 3 d 00:00:00 - время, на которые выдаются адреса.

Повторим добавление DHCP серверов для оставшихся 4-х подсетей, снова нажимаем кнопку DHCP Setup и выбираем интерфейсы Ether7, Ether8, Ether9 и Ether10 и производим для них аналогичные настройки, изменяя только одну цифру адреса подсети. В итоге получим список из 5-ти серверов.

Что бы клиенты сетей смогли попасть в Интернет, нужно настроить NAT . Делается это в разделе IP--+ FIREWALL на вкладке NAT . Нажатием на + создаем новое правило, где в пункте Src. Address указываем подсеть 192.168.0.0/16 (что означает использовать правило для всех адресов вида 192.168.х.х).

На вкладке Action выбираем действие - masquerade . Нажимаем кнопку Ok.

В списке вкладки NAT должна появиться одна запись следующего вида.

Для ограничения скорости по каждым портам в разделе Queues на вкладке Simple Queues создадим новое правило, в котором укажем лимит скорости 10М в пункте Max Limit столбиков Target Upload и Target Download .

На вкладке Advanced выбираем интерфейс, на котором делать ограничение, в нашем случае это Interface - ether6 . Чуть ниже в пункте Limit At аналогично предыдущему указываем ограничение скорости 10 M , что означает 10 мегабит в секунду. Нажимаем кнопку Ok.

Повторяем действие еще 4 раза с выбором интерфейсов Ether7, Ether8, Ether9 и Ether10 для указания ограничения по всем сетевым портам. В итоге должна получиться следующая табличка в Simple Queues .

Для того, что бы не запутаться, и не забыть, кто и куда подключен можно вводить комментарии при нажатии кнопки Comment . Писать комментарии можно даже русскими буквами.

После указания комментарий для каждого правила табличка с ними становиться более информативной, видно кто получает и какие ограничения скорости.

Кроме задания комментарий можно изменять имя самого интерфейса в пункте Name , и вместо служебного имени Ether1 можно написать Ether1_ magistral .

После задания имен сетевых портов вид таблицы интерфейсов принимает следующий вид - можно быстро определить какой интерфейс/порт куда подключен и идет.

Для предотвращения не санкционированного доступа к устройству нужно задать пароль администратора в разделе SYSTEM--+ USERS , при нажатии 2 раза мышкой по имени администратора admin в открывшемся окне нажимаем кнопку Password и 2 раза вводим пароль. После нажатия кнопки Ok. Следует отключиться от винбокса и подключиться снова с указанием нового пароля.

На этом настройка Mikrotik RB2011- IN завершена. Можно подключать сетевые кабели и предоставлять абонентам доступ в сеть Интернет.