Text článku budu případně rozšiřovat podle samotných dotazů. Pokud chceme rozšířit Wi-Fi signál, ale k místě druhého AP nevede žádný Ethernet kabel, použijeme tuto konfiguraci. Druhé AP (dále jako AP2) tedy bude jen připojeno do 230V zásuvky a to je vše. Bude „přijímat“ vaši Wi-Fi, a „posílat“ ji v plné síle dál do prostoru. Půjde také připojit vaše drátová zařízení do jeho Ethernet portů.

Získáte mnohem lepší signál a reálnou propustnost.
Stabilita takového spojení je výborná, není se čeho bát.

Nevýhodou tohoto řešení je nižší propustnost sítě, než kdyby byl Ethernet kabel přiveden do až do druhého AP. Přivedení Ethernet kabelu na všechna místa je vlastně jediné správné řešení, ale najde se hodně situací, kdy to nejde tak jednoduše. Od komplikovaného vedení, u kterého bude trvat ještě dlouho, než přijdete na to, jak jej zřídit, po potřebu typu „internet tam potřebuji teď hned“, případně jste v podnájmu a žádné zásahy do nemovitosti se nehrozí.

Druhou nevýhodou je neideální přepínání koncových zařízení (notebook, mobil) mezi AP při pohybu v prostoru, v případě, že obě AP mají jen jedno rádio (typicky 2.4Ghz). Kvůli tomu, že obě AP budou komunikovat v pásmu 2.4Ghz na stejném kanálu, tak nějak moc dobře na klientech nefunguje výběr AP s lepším signálem. Mnohem lépe funguje, když jsou obě AP připojena Ethernetem, každé AP vysílá na jiném kanálu. Klient si pak snáze vybere, který signál je silnější a přepne se relativně včas. Problém se částečně kompenzuje, pokud máte Mikrotiky s dvěma rádii, typicky jedno operující na 2.4Ghz a druhé na 5Ghz. Koncové zařízení se v takovém případě bude s největší pravděpodobní připojovat přes 5Ghz k nejbližšímu AP, a přenosová kapacita 2.4GHz kanálu zůstává pro samotné spojení mezi oběma Mikrotiky. Návod přináším pro oba případy.

Obecně jde o to, že na obou Mikroticích se wifi1 nastaví zcela identicky. Hlavně SSID, frekvence, šířka pásma, a na interfacu se povolí WDS dynamic mesh. Mikrotici se pak najdou instantně zcela sami bez dalšího nastavování. Je to poznat tak, že v Wireless okně pod wifi1 se sám instantně vytvoří wds1 dynamický interface. V tabu Registrations je potom vidět druhé zařízení. Na AP2 je nutné donastavit pár věcí jako gateway směřující na AP1 (v IP->Routes), DNS směrující na AP1 (IP->DNS) tak, aby fungoval internet jak má. V konfiguaci níže je uveden DNS server 8.8.8.8, ale ten server tam vůbec být nemusí. Z prostého přečtení konfigurace není úplně zřejmé, že AP1 dostane adresu DNS serveru přes DHCP z WANu, a AP2 dostane adresu DNS serveru přes DHCP z AP1. To 8.8.8.8 je tedy jen nadbytečná záloha, která normálně není nutná pro plnou funkčnost. Z konzole obou APček je vhodné zkoušet ping na 8.8.8.8 (zda se dostane na internet), ping na seznam.cz (zda funguje DNS), popř. ping na IP druhého AP (zda se vidí navzájem).

Konfigurace níže je určena k tomu, abyste Mikrotik zreserovali přes WinBox do výchozího nastavení, a postupně příkaz po příkazu v konzoli popřidávali příkazy níže. Ne ale úplně nezmyšlenkovitě, čtěte, co daný příkaz dělá, zda nebude potřeba některý parametr před potvrzením upravit, nebo celý příkaz úplně vynechat, protože danou položku již přidanou máte. U firewallu je nutné i zkontrolovat pořadí a případně opravit. Dopočučuji si tedy průběžně spouštět /export, popř. si najít danou položku v GUI a doupravit její vlastnosti podle vlastností uvedených v příkazu. Víceřádkové příkazy obsahují zpětná lomítka, lepší je před ručním vložením do konzole odstranit, a do konzole vkládat příkazy v jednořádkové formě. Ty lomítka dělají při Ctrl+V někdy neplechu.

V článku nejsou screenshoty, to by tento článek kvůli omezenému času nevznikl vůbec. Čas jsem strávil raději studiem, než screenshotováním. Klidně je můžete někdo vytvořit a poslat mi je.

Wireless bridge na jednorádiovém Mikrotiku

AP1

# AP1
# model = 951G-2HnD

/interface bridge
add admin-mac=34:7E:C8:98:49:F1 auto-mac=no comment=defconf fast-forward=no name=bridge1 arp=proxy-arp
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country="czech republic" disabled=no distance=indoors frequency=2437 mode=ap-bridge radio-name=MOJE-AP1 ssid=MOJEWIFI wds-default-bridge=bridge wds-mode=dynamic-mesh wireless-protocol=802.11 wps-mode=disabled
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=MYSTRONGPASSWORD wpa2-pre-shared-key=MYSTRONGPASSWORD
/ip pool
add name=dhcp ranges=192.168.22.100-192.168.22.199
add name=vpnpool ranges=192.168.22.200-192.168.22.250
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add name=my-l2tp-profile local-address=192.168.22.254 remote-address=vpnpool dns-server=192.168.22.1 change-tcp-mss=yes interface-list=LAN bridge=bridge
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes default-profile=my-l2tp-profile use-ipsec=yes ipsec-secret=SILNEIPSECVPNHESLO authentication=mschap1,mschap2
/interface list member
add comment=defconf interface=ether1 list=WAN
add comment=defconf interface=bridge list=LAN
/ip address
add address=192.168.22.2/24 interface=bridge network=192.168.22.0
/ip cloud
set ddns-enabled=yes
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input disabled=yes in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.22.0/24
/ppp secret
add name=vpnuser password=SILNEIPSECHESLO profile=my-l2tp-profile service=l2tp
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=MOJE-AP1
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

AP2

# AP2
# model = 951G-2HnD
/interface bridge
add admin-mac=D1:7D:2D:15:9A:43 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country="czech republic" disabled=no distance=indoors frequency=2437 mode=ap-bridge radio-name=MOJE-AP2 ssid=MOJEWIFI wds-default-bridge=bridge wds-mode=dynamic-mesh wireless-protocol=802.11 wps-mode=disabled
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=MYSTRONGPASSWORD wpa2-pre-shared-key=MYSTRONGPASSWORD
/ip pool
add name=dhcp ranges=192.168.22.100-192.168.22.199
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.22.2/24 comment=defconf interface=ether2 network=192.168.22.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=MOJE-AP1
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Wireless bridge na dvourádiovém Mikrotiku

AP1

# model = RouterBOARD 962UiGS-5HacT2HnT
/interface bridge
add admin-mac=CC:2D:E0:8C:7C:BD auto-mac=no comment=defconf name=bridge arp=proxy-arp
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country="czech republic" disabled=no distance=indoors mode=ap-bridge radio-name=AP1 ssid=MOJEWIFI wds-default-bridge=bridge wds-mode=dynamic-mesh wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country="czech republic" disabled=no distance=indoors frequency=5765 mode=ap-bridge ssid=MOJEWIFI wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=MYSTRONGPASSWORD wpa2-pre-shared-key=MYSTRONGPASSWORD
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile supplicant-identity=MikroTik wpa-pre-shared-key=HESLOPROHOSTY wpa2-pre-shared-key=HESLOPROHOSTY
/interface wireless
add disabled=no mac-address=AE:DD:12:7C:7C:C2 master-interface=wlan2 name=wlan3 security-profile=profile ssid=MYWIFI
add disabled=no mac-address=AE:DD:12:7C:7C:C3 master-interface=wlan1 name=wlan4 security-profile=profile ssid=MYWIFI
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.22.100-192.168.22.199
add name=vpnpool ranges=192.168.22.200-192.168.22.250
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
add name=my-l2tp-profile local-address=192.168.22.254 remote-address=vpnpool dns-server=192.168.22.1 change-tcp-mss=yes interface-list=LAN bridge=bridge
/interface bridge filter
add action=drop chain=forward in-interface=wlan3
add action=drop chain=forward out-interface=wlan3
add action=drop chain=forward in-interface=wlan4
add action=drop chain=forward out-interface=wlan4
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=wlan3
add bridge=bridge interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes default-profile=my-l2tp-profile use-ipsec=yes ipsec-secret=SILNEIPSECVPNHESLO authentication=mschap1,mschap2
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.22.1/24 comment=defconf interface=bridge network=192.168.22.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.22.101 mac-address=00:25:22:F7:16:F1 server=defconf
add address=192.168.22.111 client-id=1:0:1d:ec:a:c4:4c mac-address=00:1D:EC:0A:C4:4C server=defconf
add address=192.168.22.100 client-id=1:44:8a:5b:9c:2f:d1 mac-address=44:8A:5B:9C:2F:D1 server=defconf
/ip dhcp-server network
add address=192.168.22.0/24 comment=defconf gateway=192.168.22.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.22.1 name=router.lan
add address=192.168.22.101 name=server
add address=192.168.22.100 name=pracovna
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.22.0/24
/ppp secret
add name=vpnuser password=SILNEVPNHESLO profile=my-l2tp-profile service=l2tp
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=MOJE-AP1
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

AP2


# model = RouterBOARD 962UiGS-5HacT2HnT
/interface bridge
add admin-mac=CC:2D:E0:A5:80:CD auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country="czech republic" disabled=no distance=indoors mode=ap-bridge radio-name=AP2 ssid=MOJEWIFI wds-default-bridge=bridge wds-mode=dynamic-mesh wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country="czech republic" disabled=no distance=indoors frequency=5765 mode=ap-bridge ssid=MOJEWIFI wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=MYSTRONGPASSWORD wpa2-pre-shared-key=MYSTRONGPASSWORD
add authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys name=profile supplicant-identity=MikroTik wpa-pre-shared-key=HESLOPROHOSTY wpa2-pre-shared-key=HESLOPROHOSTY
/interface wireless
add disabled=no mac-address=CE:2D:E0:A5:80:D2 master-interface=wlan2 name=wlan3 security-profile=profile ssid=MYWIFI
add disabled=no mac-address=CE:2D:E0:A5:80:D3 master-interface=wlan1 name=wlan4 security-profile=profile ssid=MYWIFI
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/interface bridge filter
add action=drop chain=forward in-interface=wlan3
add action=drop chain=forward out-interface=wlan3
add action=drop chain=forward in-interface=wlan4
add action=drop chain=forward out-interface=wlan4
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan3
add bridge=bridge interface=wlan4
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=wlan1 list=discover
add interface=wlan2 list=discover
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=sfp1 list=discover
add interface=bridge list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
/ip address
add address=192.168.22.2/24 comment=defconf interface=ether2-master network=192.168.22.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.22.2 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.22.1
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=MOJE-AP2
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox

V konfiguraci se nachází i nastavení VPN, to jsem rozebíral podrobněji v článku o VPN.