Mikrotik - pre zaciatocnikov

[SKiLEX]

Diky turbo. To s rusenim aj potrebu vyssej intenzity signalu to som vedel, avsak ten princip svetlo vs laser ma doteraz nejak uspesne obchadzal

[Jerry]

Ja som sa pohrával s myšlienkou obmedzi´t slabo signálové pripojenia lebo sa mi mobil chytá na wifi keď zaparkujem pre blokom, sme na 4. poschodí a.k.a. signálu dosť za mňa.

len som bol lenivý liezť do CLI a cez GUI mi to na prvú nešlo tak som to kašľal....

Mikrotik velmi jednoduche:

/interface wifi access-list
add action=accept disabled=no signal-range=-79..120
add action=reject disabled=no signal-range=-120..-80

Tu mas nastavenie pre Wifi klientov, -79 a lepsi signal akceptuje. Vsetko co je -80 a horsie vykopne z AP a ani ho nedovoli pripojit, pokial nema signal aspon -79 ...
Hodnoty si mozes menit podla tvojich poziadaviek, aby si bol spokojny s vysledkom

[Hexaris]

[mp3turbo]

tiez krasna tabulka, rozsirene z toho co som linkoval ja z Ubiquity naspodku predchadzajucej strany. Skoda ze tam nenapisali priepustnosti ktore sa daju dosiahnut na prislusnom kanali a modulacii - tie su napisane na poslednej strane mnou linkovaneho datasheetu UBNT.


800ns a 400ns su tzv. guard intervaly, ovplyvnovane Long alebo Short preamble nastavenim. Short dokaze preniest minimum dat navyse oproti Longu kedze to casovanie je kratsie (rozdiel je naozaj minimalny, pretoze toto nie je casovanie vsetkeho len casovanie guard intervalu takze usetrit sa neda prilis moc. V ziadnom pripade to nie je polovica rozdiel ako naznacuju "staticke cisla").

Coding je pocet efektivnych datovych bitov z celkoveho poctu bitov (3/4 znamena ze zo styroch bitov ktore radio fyzicky prenesie su tri bity realne data a posledny stvrty je kontrolna suma, ECC error correction code, akykolvek dalsi nadbytocny odpad z dovodu fyzickeho protokolu radia alebo cokolvek ine).

Modulacia... Mnozstvo dat ktore dokazeme zakodovat do paketu ktory sa prenesie v nejakej konkretnej frekvencii (jejda, nazvime to "spektralna efektivita", kolko dat prenesiem na hertz frekvencie). Presne to iste sa deje v SSDckach : SLC, MLC, TLC, QLC, akurat tam samozrejme ide o to kolko dat zakodujem do jednej "bunky". Ukazka tu : https://www.7signal.com/info/mcs


RSSI je absolutna sila signalu. Klient musi mat takyto silny signal aby vobec dokazal pracovat na prislusnej modulacii. -40dBm je silnejsi signal nez -60dBm pretoze -60 je matematicky mensie cislo. Uz som to spominal : kazde tri decibely znamenaju dvojnasobne silnejsi alebo slabsi signal a to preto, lebo decibel je logaritmicka jednotka. 30dBm = 1 watt ; 33dBm = 2 watty.

Min.SNR (minimal signal-to-noise ratio) je vyzadovany minimalny rozdiel medzi signalom a šumom. Nielen absolutna sila signalu (RSSI) ale aj rozdiel tohoto signalu od cohokolvek v pozadi (prirodzeny sum prostredia, ine signaly od konkurentov atd) musi byt nejaky na to, aby sme uspesne dokazali vytiahnut informacie... dekodovat data. Takze ked mam moj signal -50dBm a chcem fungovat na nejakej sirke kanalu a kodovani ktore vyzaduju vymyslim si 25dBm Min.SNR, akykolvek najsilnejsi signal od konkurentov moze byt maximalne -76dBm (pretoze -50dBm mam ja, a este dalsich 25dBm musim mat "rezervu" alebo "odstup" od vsetkych ostatnych signalov na tej istej frekvencii).

A toto je dovod, preco sa v panelaku budete so susedmi "rušiť" a preco zdaleka nebudu radia fungovat v maximalnej priepustnosti ked si vsetci nastavite frekvencie, ktore sa prekryvaju (ja mam 40MHz kanal na 5200Mhz = zaberam 5180 az 5220 MHz ; Jozo vedla ma 80MHz kanal na 5240 cize ide od 5200 do 5280MHz ; Duro dole ma 160MHz kanal na 5300 cize vysiela 5220 az 5380 MHz. Darmo ma Duro "5300" a ja "5200", ajtak sa prekryvaju a Duro bude rad, ked na jeho 160tke bude mat rychlost vacsiu nez by mal na 80tke - pretoze ta 160tka bude kotkodákať, breptať a krívať).

[Jednoduska]

Ja som sa pohrával s myšlienkou obmedzi´t slabo signálové pripojenia lebo sa mi mobil chytá na wifi keď zaparkujem pre blokom, sme na 4. poschodí a.k.a. signálu dosť za mňa.

len som bol lenivý liezť do CLI a cez GUI mi to na prvú nešlo tak som to kašľal....

Mikrotik velmi jednoduche:

/interface wifi access-list
add action=accept disabled=no signal-range=-79..120
add action=reject disabled=no signal-range=-120..-80

Tu mas nastavenie pre Wifi klientov, -79 a lepsi signal akceptuje. Vsetko co je -80 a horsie vykopne z AP a ani ho nedovoli pripojit, pokial nema signal aspon -79 ...
Hodnoty si mozes menit podla tvojich poziadaviek, aby si bol spokojny s vysledkom

Ďakujem, vo voľnej chvíľke možno aplikujem

[Chris]

Ahojte, nemate skusenosti alebo ste necitali o Mikrotik L009UiGS-2HaxD-IN https://mikrotik.com/product/l009uigs_2haxd_in

[Tomas207]

Treba si pri nom dat pozor na to ze POE out je funkcny iba pri pouziti DC zdroja. Tj. povodne som ho kupoval na pouzitie poe passtrought (na vstup poe in zo sw a vystup napajanie kamery) avsak to je nefunkcne. Treba si dat pozor ma to len 2,4ghz wifi sice ax.

[plao]

Ahojte, mám zariadenie cap ax -wifi siet, overovanie heslom všetko funguje ok. Potreboval by som však vytvoriť wifi siet, kde by fungovalo overovanie pomocou certifikátov a tu sa dosť trápim. Budem vdačný za každú radu.

# Generating a Certificate Authority
/certificate
add name=mojaCA common-name=mojaCA key-size=secp384r1 digest-algorithm=sha384 days-valid=1825 key-usage=key-cert-sign,crl-sign
sign mojaCA ca-crl-host=!?Tu nie som isty čo sem dať?!

# Generating a client certificate
add name=client-cert common-name=client-cert key-usage=tls-client days-valid=800 key-size=secp384r1 digest-algorithm=sha384
sign client-cert ca=mojaCA
set mojaCa trusted=yes
# Exporting the public key of the CA as well as the generated client private key and certificate for distribution to client devices
export-certificate mojaCA file-name=mojaCA
# A passphrase is needed for the export to include the private key
export-certificate client-cert type=pkcs12 export-passphrase="siframoctajomna"

set [ find default-name=wifi2 ] channel.band=2ghz-ax .skip-dfs-channels=10min-cac .width=20/40mhz configuration.mode=ap .ssid=MikroTik disabled=no security.authentication-types=wpa2-eap .eap-certificate-mode=verify-certificate-with-crl \
.eap-methods=tls .eap-tls-certificate=mojaCA .ft=yes .ft-over-ds=yes

[mp3turbo]

nikdy som to nepouzil ale CA-CRL-HOST by mal byt server od certifikacnej autority, odkial sa stahuje CRL (certificate revocation list cize zoznam predcasne stiahnutych certifikatov, ergo takych ktore maju skoncit pred vyprsanim datumu svojej platnosti). Kedze mas svoju vlastnu CA, toto neexistuje.

Asi by som tam kludne napisal akykolvek tvoj interny server na sieti, kludne aj neexistujucu adresu. Klienti nebudu schopni stahovat CRL zoznamy, a napriek tomu by to mohlo fungovat.

https://forum.mikrotik.com/viewtopic.php?t=176987

poznamka : veselo si nastav skip-dfs-channels na none (alebo no), nemusis cakat 10 minut na nejaky blby "radar check". Authentikaciu by som zvolil wpa3 ak mas tu moznost.

[plao]

k sieti sa nedá pripojiť

Idem podľa tohoto návodu: https://github.com/multiduplikator/mikrotik_EAP
Kedze mám router OS 7.11.3 Skúšam config popísaný v kroku 2b: ROS7

[mp3turbo]

7.11.3 je zastarale, nechce sa mi pozerat zmeny ale bolo odvtedy uz zopar verzii == updatni na necely týždeň staru 7.13.5.

Asi by som zacal z druheho konca : co sa snazis dosiahnut, preco, aka je architektura pouzitia atd. Preco sa boríš s tymito EAP vecami atd.

[plao]

Tú novú verziu skúsim... ide mi o bezpečnosť-aby sa do wifi siete pripojil len pc/užívateľ čo má certifikát

[mp3turbo]

no to je jasne, ale skus nieco viac popisat. Mas na starosti privatnu firmu ktora robi vojenske / vladne veci a VYZADUJE takyto zurivy stupen bezpecnosti ? Nestacilo by ti jednoduche uzamknutie MAC adries (aby sa cudzie zariadenia nevedeli len tak prihlasit), zlozite heslo na WPA3 sifrovani, zasifrovat aj management frames a este navrch k tomu vytvorit na kazdom zariadeni co sa pripoji nejaku VPNku ? Nakonfigurovat VPNku na telefone, windowse, IOSe aj notebooku je otazka par sekund : bude to sifrovane, s nikym nesifrovanym sa bavit nebudes atd.

S hentymi EAP/Radiusmi nie je velka sranda ked to musis spravit bez domeny, so self-signed certifikatmi atd. Potom uz mozeme rovno rozoberat, ktore sifrovanie sa povazuje za dostatocne bezpecne (ccmp, gcmp, tkip, s akou bitovou hlbkou) a dostaneme sa k tomu ze aky performance vlastne potrebujes, v akych fyzickych podmienkach sa nachadzas (moze ta niekto len tak odpocuvat ?), preco davas platnost certifikatov 1800 dni a podobne.

[SKiLEX]

Potrebujem na dome potahat internety. Otazka znie ake? Ratajme s tym ze 2,5gbit je dnes uz bezna rychlost a 10gbit klope na dvere.

https://www.cbelektro.sk/kabel-stp-cat- ... rix-p60637
Alebo
https://www.cbelektro.sk/kabel-utp-cat- ... os-p267214 ?

Pripadne nieco uplne ine? Uzemnovat ich tienenie?

[mp3turbo]

Cat6 podla normy dokaze tahat 10Gbit na 55 metrov "podla instalacie", skoro vzdy sa tym mysli ake mas rusenie a indukcie vyvolane prilahlymi silovymi rozvodmi plus kolko/akych ohybov je na trase.

Cat6A by mala dokazat sto metrov, zase podla standardu.

Ked mas dukaty, zober Cat7 kabel z toho isteho obchodu ktora je sice o polovicu drahsia, ale podstatne lepsia. Su certifikovane na 500MHz signaly v dlzke 300 metrov, takze 10Gbit by na tom mal chodit priblizne na 400 az 500 metroch. Ak nie vsade, tak aspon tie najdlhsie trasy resp. core infrastrukturu (prepojenia medzi poschodiami a podobne) by som doporucoval Cat7 s ohladom na buducnost. Ides vysypat milion do budovy a pozemku, tak mozno nie je idealny napad usetrit poslednu tisicku za ethernet kabelaz ktoru [snad] nikdy nebudes musiet vymenit pretoze Cat7 by mala vydrzat aj 40, 56 a 100Gbit na kratke vzdialenosti. Usetrit vies na tom, ze poctivo vymyslis tu siet a nebudes tahat 10 kablov ktore dokazu 100Gbit medzi poschodiami, ked ti v zivote nikdy nebude treba a nevyuzijes jednu jedinu stovku [= staci tam natiahnut jeden, nedajboze dva kvoli redundancii].

Lahke varovanie : hentie "kazda žila zemnena" kable su tvrde, hrube a neohybne a pracuje sa s nimi tak ako s... tvrdymi hrubymi neohybnymi kablami.
Nie je to ziadny antikozmicky vyskum, ale proste nie je tam ta jednoduchost a ohybnost tenkeho Cat5 kabliku.