Тонкости настройки моста на RouterOS, как правильно?

Question

[Иван Пантелеев]

У меня есть wifi мост на несколько км, работает он хорошо, однако мне хочется прояснить для себя некоторые непонятные моменты.

Конфигурация моста:
первая ТД, подключенная в провайдерский свитч работает в режиме mode=bridge, вторая ТД (выступающая роутером), имеет режим mode=station-bridge.

Теперь вопросы:
1. Обе ТД настроены на работу на одной частоте frequency=5650 frequency-mode=superchannel, для чего первой ТД, которая подключена в провайдерский свитч, вообще нужна настройка scan-list? Она же просто вещает на заданной ей частоте, сканировать ей вроде как ничего не нужно.

2. На второй ТД указано scan-list=5630-5670,default, правильно ли это или нужно указать ровно ту частоту, на которой ей вещает первая ТД, например так: scan-list=5650? Так же не очень понятно зачем тут нужен, и нужен ли default (так как едва ли нужно сканировать все базовые частоты из 5ghz-a/n)?

3. В логах я вижу следующее:

wlan1-gateway: must select network

<-- Далее ТД находит несколько сетей на частотах 5300, 5200, 5700, 5785 -->

wlan1-gateway: no network that satisfies connect-list,  by default choose with strongest signal
wlan1-gateway: failed to select network

На обоих ТД у меня стоит настройка default-authentication=yes. Если я её заменю на no и добавлю MAC второй ТД в access-list, решит ли это проблему? Мне не хочется чтобы ТД вообще пыталась каждые 6 сек подключаться к каким-то левым ТД, тем более выбирая ту из них у которой сигнал лучше.

Так же я не очень понимаю default-authentication=no нужно делать только на второй ТД (у которой mode=station-bridge), или на обоих?

Answer 1

[dexedex]

1. Частота указанная во Frequency должна попадать в диапазон скан-листа.

2. Лучше оставляйте везде scan-list=default (это означает что ваш микротик увидит любую, доступную на аппаратном уровне частоту, указанную во Frequency).

3. default-authentication=no + access-list это решение вашей проблемы (поможет предотвратить попытки коннектов к чужим точкам). Прописывать лучше на обоих.

Comments

[Иван Пантелеев]

1. Понятно.
2. Но что плохого в том, чтобы в scan-list прописать конкретную частоту, указанную во frequency? При таком подходе кстати ТД с меньшей степенью вероятности будет находить другие сети и пытаться к ним подключиться.
3. Я понимаю что будет, но для чего это нужно прописывать на первой ТД?

[LAA]

Иван Пантелеев: Я считаю, что на стороне bridge прописать будет полезно для получения возможности сканировать эти частоты. А на стороне station-bridge таки лучше иметь диапазон в scan-list. Ниже поясню.

Все это нужно для поблемных случаев. Предположим, упал радио-линк, и на дальнюю сторону вы зайти не можете удаленно (нужно ехать, ключи, досутпы...). На стороне bridge вы тогда можете сделать что-то типа "/interface wireless snooper snoop" или scan и попытаться проанализировать эфир. И, предположим, изменение частоты на какую-то другую поможет поднять линк. Для этого как раз и хорошо иметь на дальней стороне диапазон, а не фиксированную частоту для маневров :)

Удачи! :)

Answer 2

[Александр Романов]

1. На мастерточке используется access list, на клиентской - connect-list. При использовании коннект-листа необходимо сделать поле SSID в настройках интерфейса неактивным. Тогда точка будет искать совпадение с коннект-листом. При добавлении записи в коннект-лист необходимо иметь уже созданный security profile.
2. Скан-лист на мастерточке используется только для беспроводных утилит. А точка вещает на заданной частоте (если не auto). На клиентской точке он используется также для обнаружения мастерточки.
3. Как вариант защиты от подключения к левым точкам, настройте мост, например, в nstreme. У этого протокола преимущество в стабильной передаче большого потока RX или TX траффика. И вдобавок он проприеритарный. Жёстко укажите wireless protocol на обеих точках.

Comments

[Иван Пантелеев]

У меня используется протокол nv2, в моём случае он оказался самым стабильным. Протокол жестко задан на обеих ТД - это есть. А вот на счёт того зачем "необходимо сделать поле SSID в настройках интерфейса неактивным" я не очень понимаю. Если есть записть в connect-list и стоит default-authentication=no, то не очень ясно что положительного произойдёт если я уберу SSID? кажется что при таких настройках он вообще большой роли не играет.

[Иван Пантелеев]

> На клиентской точке он используется также для обнаружения мастерточки.
Получается что на клиетской точке всё же лучше указывать жестко частоту, а не некий диапазон в который она попадает??

[Александр Романов]

Иван Пантелеев: default-authentication=no актуально только на мастерточке. Но в таком случае обязательна запись в access-list, чтобы ваша точка-клиент смогла подключиться. На клиентской точке эта настройка не сыграет роли. Nv2 - хорошо. Кстати, у него собственная аутентификация, он не использует профили безопасности. Если на точке-клиенте жёстко выставите частоту - учтите, что если мастерточка переедет на другой канал - клиентская её больше не найдет (см коммент к предыдущему ответу). Если Вы указываете SSID в connect-list, то для того, чтобы точка подключилась, сделайте это поле неактивным в настройках интерфейса. А в коннект-лист добавьте записи следующего вида:

/interface wireless connect-list
add interface=wlan1 mac-address=11:22:33:DD:EE:FF security-profile=default ssid=YourAP \
    wireless-protocol=tdma
add connect=no interface=wlan1

[Александр Романов]

Первая с параметрами вашей точки, вторая запрещает коннект ко всему остальному. Важно: порядок имеет значение! Поэтому запись с вашей точкой разместите выше запрещающей