Настройка Wi-Fi в MikroTik: Access List, Virtual AP и «закрытый клуб» по MAC-адресу

Настройка Wi-Fi в MikroTik: Access List, Virtual AP и «закрытый клуб» по MAC-адресу

Приветствую, коллеги! Если проводная сеть — это «асфальтированная трасса», то Wi-Fi — это «бездорожье», где на каждом шагу поджидают ямы: «глушащие» соседи, «отваливающиеся» клиенты и «халявщики», которые хотят бесплатно сидеть в вашей сети. Домашние роутеры с этими проблемами справляются из рук вон плохо.

Согласно Модулю 8 нашего курса, MikroTik предлагает инструменты корпоративного уровня: AP Bridge, Virtual AP, Access List и мощнейший «рентген» — Registration Table. Сегодня мы настроим «правильный» Wi-Fi с нуля, используя как CLI, так и новый WinBox 4.

📖 Словарь терминов и сленга (База для выживания)

• AP Bridge (Access Point Bridge) — режим «точки доступа». MikroTик в этом режиме работает как мост между «воздухом» и проводной сетью.
• Virtual AP (Виртуальная точка) — возможность создать несколько «виртуальных» Wi-Fi сетей с разными SSID и паролями на одной физической антенне. Идеально для гостевого Wi-Fi.
• Registration Table (Таблица регистрации) — «рентген» админа. Показывает всех клиентов, которые сейчас подключены, с их MAC-адресом, уровнем сигнала (RSSI) и «качеством» канала (CCQ).
• Access List (Список доступа) — «фейс-контроль» для Wi-Fi. Позволяет пускать клиентов не только по паролю, но и по MAC-адресу, уровню сигнала и даже времени суток.
• CCQ (Client Connection Quality) — «индекс счастья» клиента. Показывает, какой процент пакетов реально доходит до клиента. Если CCQ ниже 70% — клиент «мучается».
• «Глушат соседи» — сленг. Ситуация, когда в многоквартирном доме десятки точек доступа работают на одних и тех же каналах, создавая «кашу» в эфире.
• «Халявщик» — сосед, который подобрал пароль к вашему Wi-Fi и теперь качает торренты за ваш счёт.
• «Невидимка» — режим, когда SSID не «вещает» в эфир. Клиент должен ввести имя сети вручную. Защита от любопытных, но не от хакеров.

Теория: Старый wireless vs Новый wifi (wifiwave2)

В RouterOS v7 произошла революция. MikroTik разделил Wi-Fi на два пакета:

1. Пакет wireless (классика) — работает со старыми стандартами 802.11a/n/ac (Wi-Fi 5 и ниже). Меню называется Wireless. Это «рабочая лошадка», на которой построено 90% существующих сетей.
2. Пакет wifi / wifiwave2 (новинка) — поддерживает Wi-Fi 6 (ax), Wi-Fi 6E и Wi-Fi 7. Меню называется WiFi. Это будущее, но оборудование под него пока дороже.

Золотое правило: Если у вас старое оборудование (hAP ac², cAP ac, mAP) — используйте пакет wireless. Если новое (hAP ax³, cAP ax, wAP ax) — ставьте wifiwave2. Команды в CLI и пути в WinBox 4 будут отличаться!

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика в CLI и WinBox 4

Наша задача: настроить основную точку доступа для сотрудников, «гостевую» сеть через Virtual AP и сделать «закрытый клуб» для директора через Access List.

Шаг 0. Выбор частоты и страны (Законодательство)

Согласно программе курса, мощность передатчика должна соответствовать законодательству страны. В России для 2.4 ГГц максимум 100 мВт (20 dBm), для 5 ГГц — до 200 мВт в помещении.

В CLI (для пакета wireless):

# Устанавливаем страну и режим регулирования
/interface wireless
set wlan1 country=russia8 \
    frequency-mode=regulatory-domain \
    tx-power-mode=default

# Выбираем "чистый" канал (для 2.4 ГГц это 1, 6 или 11)
set wlan1 channel=6 width=20mhz band=2ghz-g/n

В WinBox 4: Wireless -> Interfaces -> wlan1. Вкладка Wireless: Country = russia8, Frequency Mode = regulatory-domain. Вкладка Wi-Fi: Band = 2GHz-G/N, Channel Width = 20MHz (в зашумлённом доме ставим 20 МГц, а не 40, чтобы не «лезть» на каналы соседей).

Шаг 1. Поднимаем основную точку (AP Bridge)

Настраиваем главную сеть для сотрудников с WPA2-PSK.

В CLI:

# Основные настройки точки доступа
/interface wireless
set wlan1 mode=ap-bridge \
    ssid=Office-Staff \
    security-profile=secure-staff \
    disabled=no

# Создаём профиль безопасности WPA2
/interface wireless security-profiles
add name=secure-staff \
    mode=dynamic-keys \
    authentication-types=wpa2-psk \
    unicast-ciphers=aes-ccm \
    group-ciphers=aes-ccm \
    wpa2-pre-shared-key=SuperSecretPass123

Шаг 2. Создаём «гостевую» сеть через Virtual AP

Гостям не нужен доступ к нашей локалке. Создаём виртуальную точку, которая будет «висеть» на той же антенне, но вести в отдельный Bridge с изоляцией клиентов.

В CLI:

# Создаём виртуальный интерфейс (гостевой Wi-Fi)
/interface wireless
set wlan1 master-interface=none
add name=wlan1-guest \
    master-interface=wlan1 \
    mode=ap-bridge \
    ssid=Office-Guest \
    security-profile=secure-guest \
    disabled=no

# Профиль безопасности для гостей (можно проще)
/interface wireless security-profiles
add name=secure-guest \
    mode=dynamic-keys \
    authentication-types=wpa2-psk \
    unicast-ciphers=aes-ccm \
    group-ciphers=aes-ccm \
    wpa2-pre-shared-key=GuestPass456

В WinBox 4: Wireless -> Interfaces -> Add (+) -> Virtual AP. Master Interface = wlan1, SSID = Office-Guest, Security Profile = secure-guest. Всё, вторая сеть «висит» в эфире рядом с первой, но работает на той же антенне!

Шаг 3. Access List — делаем «закрытый клуб»

А теперь магия. Мы хотим, чтобы Wi-Fi директора (Office-Director) был виден всем, но подключиться к нему могли только «свои» устройства, даже если кто-то узнал пароль. Используем Access List.

В CLI:

# Отключаем "автоматическое" подключение всех подряд
/interface wireless
set wlan1 default-authenticate=no \
    default-forward=no

# Разрешаем подключение ТОЛЬКО устройствам из списка
/interface wireless access-list
add mac-address=AA:BB:CC:DD:EE:FF \
    interface=wlan1 \
    authentication=yes \
    forwarding=yes \
    comment="Director's iPhone"
add mac-address=11:22:33:44:55:66 \
    interface=wlan1 \
    authentication=yes \
    forwarding=yes \
    comment="Director's Laptop"

# Всё, что не в списке — "молча" блокируем
add interface=wlan1 \
    authentication=no \
    forwarding=no \
    comment="Drop_All_Others"

В WinBox 4: Wireless -> Access List -> Add (+). Указываем MAC-адрес, ставим галочки Authentication и Forwarding. В главном окне интерфейса wlan1 снимаем галочки Default Authenticate и Default Forward. Теперь даже если сосед узнает пароль директора, его устройство не пройдёт «фейс-контроль» по MAC.

Шаг 4. Мониторинг: Registration Table и Scanner

Как понять, что Wi-Fi работает хорошо? Смотрим в «рентген».

В CLI:

# Смотрим всех подключённых клиентов
/interface wireless registration-table print detail

# Сканируем эфир и видим всех "соседей"
/interface wireless scan duration=10s

В WinBox 4: Wireless -> Registration Table. Здесь вы увидите MAC-адрес, RSSI (уровень сигнала), TX/RX rates и главное — CCQ. Если CCQ у клиента ниже 50% — он «мучается», нужно менять канал или переносить точку.

⚠️ Типичные «грабли» (За что клиенты платят деньги)

1. Channel Width 40/80 МГц в многоквартирном доме. Админ ставит «максимум» в настройках, а в итоге эфир «забит» полностью, и скорость ниже, чем на 20 МГц. Решение: в 2.4 ГГц всегда ставим 20 МГц. В 5 ГГц — 40 или 80 МГц, но только если эфир чистый (проверяем Scanner'ом).
2. WPA (первого поколения) или TKIP. Эти алгоритмы взламываются за 10 секунд. Решение: только WPA2-PSK с AES-CCM. WPA3 — идеально, но не все клиенты его поддерживают.
3. Забыли про Default Authenticate. Админ настроил Access List, но забыл снять галочку Default Authenticate. В итоге «фейс-контроль» не работает, и пускают всех подряд. Решение: всегда проверяйте, что Default Authenticate = no, если используете Access List.
4. Мощность передатчика «на максимум». Кажется, что чем мощнее, тем лучше. Но клиент (телефон) отвечает «тишиной», и роутер его «не слышит». Связь асимметричная. Решение: ставим мощность 17-18 dBm для 2.4 ГГц и 20-22 dBm для 5 ГГц в помещении.

Резюме для сетевых инженеров

Wi-Fi в MikroTik — это не просто «поставить галочку WPA2». Это управление эфиром, контроль доступа и мониторинг «качества счастья» клиентов (CCQ). Использование Virtual AP позволяет запускать несколько изолированных сетей без покупки дополнительных точек, а Access List превращает Wi-Fi в «закрытый клуб», куда не попадёт никто посторонний.

Используйте Registration Table для поиска «проблемных» клиентов, Scanner для выбора чистого канала и никогда не ставьте Channel Width 40 МГц в «забитом» доме. Настроив Wi-Fi один раз по уму, вы забудете о жалобах на «медленный интернет по воздуху» на годы вперед.

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 8: Беспроводные сети). В следующей, финальной статье серии мы перейдем к Модулю 9: Прочее. Мы разберем «швейцарский нож» админа — мониторинг через Torch, The Dude и SNMP, научимся писать скрипты автоматизации и отправлять себе алерты на почту при падении канала. Подписывайтесь!