ATTENZIONE: versione adatta a CPEWAVE, MINIWAVE, MIMOWAVE con versione 5.X
Obiettivo: connettere due punti remoti configurando le reti remote sulla stessa sottorete
Si tratta dell’applicazione più classica: collegare due sedi di una stessa azienda, una telecamera con il centro di raccolta etc…
Stabilire un bridge significa che le due reti che vengono unite risiedono entrambe sullo stesso spazio di indirizzamento, è come se si tirasse fisicamente un filo: tutti i pacchetti che la CPEWAVE riceve sulla ethernet li fa uscire dalla wlan e viceversa.
Nonostante il link sia trasparente e quindi con un comportamento assolutamente simmetrico nella trasmissione dei dati, il protocollo WIFI prevede un’architettura MASTER -> SLAVE. Il MASTER è l’apparato che decide quale frequenza utilizzare, lo SLAVE cerca e si aggancia al MASTER. In fase di installazione è consigliabile mettere il MASTER nel sito maggiormente raggiungibile, in caso di problemi sarà più agevole fare i test diagnostici in quanto molte configurazioni sono decise solo dal MASTER ed è lo SLAVE ad adattarsi.
ATTENZIONE!
Prima di procedere al caricamento degli script è consigliabile verficare che il firmware in uso sia aggiornato alla v.5.25 final release. Clicca qui per i pacchetti di aggiornamento.
E’ consigliabile, dopo il caricamento degli scripts, eseguire l’assocazione in laboratorio degli apparati prima della loro installazione sul campo.
Ecco dunque i due script necessari per configurare il link, uno per il MASTER ed uno per lo SLAVE.
Script di configurazione Master-Slave
1. Scaricare il file zip ed estrarre i due file: config_ptpbridgeslave.rsc e config_ptpbridgemaster.rsc
2. Editare con un editor di testo i due file per personalizzare i parametri indicati ad inizio file.
3. Fare attenzione a non modificare prefisso “config_” ed estensione “.rsc” dei due file.
4. Trascinare il file config_ptpbridgemaster.rsc tramite winbox nella file list del primo apparato
Trascinare il file config_ptpbridgeslave.rsc tramite winbox nella file list del secondo apparato
5. Eseguire da terminale un “/system reset-configuration” su entrambi gli apparati
Entrambi gli script hanno la stessa parte iniziale dove è richiesto di personalizzare alcune variabili:
#Configura le seguenti variabili:
#——————————–
:global NOMELINK “PTP-LINK”
:global CHIAVEWPA “s3cr3tWPA2!k&yshared”
:global INDIRIZZOIP “192.168.1.251/24”
#—–Opzioni——————–
:global NOMEAPPARATO “BRIDGEMASTER”
:global GATEWAY “192.168.1.1”
#Protezione contro i de-authentication attacks
:global ROS4PROTECTION “NO”
:global RADARDETECT “NO”
NOMELINK: è l’SSID(Service Set Identifier) che identifica il link wireless. In quanto identificativo deve essere unico, differente da altre reti eventualmente presenti nello stesso sito. MASTER e SLAVE devono avere lo stesso SSID.
CHIAVEWPA: chiave condivisa in standard WPA2 il più robusto strato di sicurezza applicabile alle comunicazioni basate sul protocollo 802.11. La lunghezza della chiave deve essere compresa da 8 a 64 caratteri. MASTER e SLAVE devono avere la stessa chiave.
INDIRIZZOIP: l’indirizzo ip associato all’apparato con notazione classless /XX. MASTER e SLAVE devono avere indirizzo IP differente ma appartenente alla stessa subnet.
NOMEAPPARATO: Stinga di identificazione dell’apparato
GATEWAY: Indirizzo IP del gateway relativo alla subnet di appartenenza, necessario solo per raggiungibilità a livello 3.
RADARDETECT: abilita la funzione di radar detect sul protocollo di selezione del canale DFS. Il controllo radar sul lato MASTER è richiesto dalla normativa ETSI in vigore e si raccomanda di abilitarlo (non è invece necessario sullo slave).
ROS4PROTECTION: Abilita algoritmo proprietario di gestione protezione frame. Previene: Deauthentication attack, MAC address cloning. Disponibile solo su versioni RouterOS > 4.x.
— — — — — — — — — — — — — — — — —
Per chi vuole scendere nel dettaglio di cosa configura esattamente lo script ecco alcune spiegazioni
Script apparato MASTER
#Attendi alcuni secondi affinchè il processo di boot sia completato
:delay 8
#Configura nome apparato
/system identity set name=$”NOMEAPPARATO”
#Rimuove l’indirizzo ip di default
/ip address rem [/ip address find interface=ether1]
#Associa un indirizzo ip all’apparato
Un indirizzo associato ad un’iterfaccia appartenente ad un bridge viene riportato automaticamente sul bridge stesso.
/ip address add address=$”INDIRIZZOIP” interface=ether1
#Configura la default route
/ip route add dst-address=0.0.0.0/0 gateway=$”GATEWAY”
#Aggiungi l’interfaccia bridge
/interface bridge add name=bridge1
#Aggiungi la scheda di rete al bridge
/interface bridge port add interface=ether1 bridge=bridge1
#Configura l’interfaccia radio
Viene utilizzato il protocollo WDS per ottenere un bridge totalmente trasparente e superare il limite del protocollo 802.11 che non permentte di inserire un’interfaccia “station” in un bridge. L’approccio WDS viene preferito alla modalità “station-pseudobridge” in quanto quest’ultima effettua il mac-nat degli apparati a valle dello SLAVE creando un bridge non completamente trasparente.
/interface wireless security-profiles
add name=”WPA” mode=dynamic-keys authentication-types=wpa2-psk \
unicast-ciphers=aes-ccm group-ciphers=aes-ccm \
wpa2-pre-shared-key=$”CHIAVEWPA”
/interface wireless
set wlan1 mode=bridge ssid=$”NOMELINK” wds-mode=dynamic \
wds-default-bridge=bridge1 country=italy frequency-mode=manual-txpower \
band=5ghz scan-list=5500,5520,5540,5560,5580,5600,5620,5640,5660,5680,5700\
disabled=no security-profile=”WPA” hw-retries=14\
dfs-mode=no-radar-detect radio-name=$”NOMEAPPARATO” max-station-count=1
/interface wireless nstreme
set wlan1 framer-policy=exact-size framer-limit=4000 enable-nstreme=yes enable-polling=yes
#Prepara degli script di configurazione per utilizzarli nelle strutture condizionali if…then
/system script
add name=config-n policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan1 band=5ghz-a/n ht-extension-channel=above-control \
ht-rxchains=0,1 ht-txchains=0,1 rate-set=default ht-basic-mcs=mcs-0,mcs-8″
add name=config-wp policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan1 wireless-protocol=nstreme”
add name=config-mp policy=reboot,read,write,policy,winbox,password,sensitive \
source=” / interface wireless security-profiles \
set WPA management-protection-key=$”CHIAVEWPA” management-protection=required”
#Se configurato abilta la protezione dai deauthentication attack
:if ( $”ROS4PROTECTION” = “SI” ) do={ \
/system script run config-mp }
#Controlla se la radio è in standard n e nel caso la confiugura
:if ([/interface wireless info find supported-bands~”5ghz-1?1?n”]!=””) do={ \
/system script run config-n }
#Controlla se è installato il pacchetto wireless-nv2 o la versione 5.X e nel caso lo configura
:if (([/system package find name=wireless-nv2 disabled=no]!=””)||([/system package find name=wireless version~”5.”]!=””)) do={ \
/system script run config-wp }
#Se configurato abilita il controllo RADAR
Per rispondere alle normative Europee viene abiliato il DFS (Dynamic Frequency Selection) con Radar Detect. Per maggiori dettagli vedi l’articolo sulle normative ETSI.
:if ( $”RADARDETECT” = “SI” ) do={ \
/interface wireless set wlan1 dfs-mode=radar-detect }