ATTENZIONE: versione adatta a MIMOWAVE, CPEWAVE con versione 5.X
Obiettivo: connettere N punti remoti configurando le reti remote sulla stessa sottorete
Si tratta dell’applicazione più classica: collegare N sedi di una stessa azienda, più telecamera con il centro di raccolta etc…
Stabilire un bridge significa che le reti che vengono unite risiedono entrambe sullo stesso spazio di indirizzamento.
Il MASTER è l’apparato capace di accettare connessioni da più apparati SLAVE: possono venire impiegati come MASTER multipunto tutti gli apparati della famiglia BASEWAVE e MINIWAVE. Possono essere impiegati come SLAVE tutti gli apparati della famiglia CPEWAVE, MIMOWAVE, MINIWAVE.
ATTENZIONE!
Prima di procedere al caricamento degli script è consigliabile verificare che il firmware in uso sia aggiornato alla v.5.25 final release. Clicca qui per i pacchetti di aggiornamento.
E’ consigliabile, dopo il caricamento degli scripts, eseguire l’associazione in laboratorio degli apparati prima della loro installazione sul campo.
Ecco dunque i due script necessari per configurare il link, uno per il MASTER ed uno per gli SLAVE.
Script di configurazione ptmp Master-Slave
1. Scaricare il file zip ed estrarre i due file: config_ptmpbridgeslave.rsc e config_ptmpbridgemaster.rsc
2. Editare con un editor di testo i due file per personalizzare i parametri indicati ad inizio file,
e creare un file config_ptpbridgeslaveN.rsc per ciascun apparato slave.
3. Fare attenzione a non modificare prefisso “config_” ed estensione “.rsc” dei file.
4. Trascinare il file config_ptpbridgemaster.rsc tramite winbox nella file list dell’apparato master
Trascinare il file config_ptpbridgeslaveN.rsc tramite winbox nella file list degli apparati slave
5. Eseguire da terminale un “/system reset-configuration” su tutti gli apparati
Entrambi gli script hanno la stessa parte iniziale dove è richiesto di personalizzare alcune variabili:
#Configura le seguenti variabili:
#——————————–
:global NOMELINK “PTMP”
:global CHIAVEWPA “CambiaChiave”
:global INDIRIZZOIP “192.168.1.251/24”
#—–Opzioni——————–
:global NOMEAPPARATO “BRIDGEMASTER”
#Indicare l’IP del gateway se necessario
:global GATEWAY “NO”
#Protezione contro i de-authentication attacks, SI per abilitarla
:global ROS4PROTECTION “NO”
#Indicare se i client devono vedersi tra loro, tipicamente no
:global INTERCLIENTTRAFFIC “NO”
#!La funzione RADARDETECT è un requisito delle norme ETSI
:global RADARDETECT “NO”
NOMELINK: è l’SSID(Service Set Identifier) che identifica il link wireless. In quanto identificativo deve essere unico, differente da altre reti eventualmente presenti nello stesso sito. MASTER e SLAVE devono avere lo stesso SSID.
CHIAVEWPA: chiave condivisa in standard WPA2 il più robusto strato di sicurezza applicabile alle comunicazioni basate sul protocollo 802.11. La lunghezza della chiave deve essere compresa da 8 a 64 caratteri. MASTER e SLAVE devono avere la stessa chiave.
INDIRIZZOIP: l’indirizzo ip associato all’apparato con notazione classless /XX. MASTER e SLAVE devono avere indirizzo IP differente ma appartenente alla stessa subnet.
NOMEAPPARATO: Stinga di identificazione dell’apparato
GATEWAY: Indirizzo IP del gateway relativo alla subnet di appartenenza, necessario solo per raggiungibilità a livello 3.
ROS4PROTECTION: Abilita algoritmo proprietario di gestione protezione frame. Previene: Deauthentication attack, MAC address cloning. Disponibile solo su versioni RouterOS > 4.x.
INTERCLIENTTRAFFIC: se abilitato (“SI”) tutti gli apparati connessi in qualsiasi punto si trovino sono tra loro raggiungibili. Se disabilitato solo ciò che è connesso all’interfaccia ethernet dell’apparato MASTER può raggiungere tutti i punti remoti, nessuno degli SLAVE può comunicare con un altro SLAVE.
RADARDETECT: abilita la funzione di radar detect sul protocollo di selezione del canale DFS. Il controllo radar sul lato MASTER è richiesto dalla normativa ETSI in vigore e si raccomanda di abilitarlo (non è invece necessario sullo slave).
— — — — — — — — — — — — — — — — —
Per chi vuole scendere nel dettaglio di cosa configura esattamente lo script ecco alcune spiegazioni
Script apparato MASTER
#Attendi alcuni secondi affinchè il processo di boot sia completato
:delay 8
#Configura nome apparato
/system identity set name=$”NOMEAPPARATO”
#Rimuove l’indirizzo ip di default
/ip address rem [/ip address find interface=ether1]
#Associa un indirizzo ip all’apparato
Un indirizzo associato ad un’iterfaccia appartenente ad un bridge viene riportato automaticamente sul bridge stesso.
/ip address add address=$”INDIRIZZOIP” interface=ether1
#Configura la default route
/ip route add dst-address=0.0.0.0/0 gateway=$”GATEWAY”
#Aggiungi l’interfaccia bridge
/interface bridge add name=bridge1
#Aggiungi la scheda di rete al bridge
/interface bridge port add interface=ether1 bridge=bridge1
#Configura l’inter client traffic:
:global ICT “yes”
:if ( $”INTERCLIENTTRAFFIC” != “SI” ) do={ \
:global ICT “no”
/interface bridge filter
add action=drop chain=forward comment=”” disabled=no in-interface=!ether1 \
out-interface=!ether1
}
#Configura l’interfaccia radio
Viene utilizzato il protocollo WDS per ottenere un bridge totalmente trasparente e superare il limite del protocollo 802.11 che non permentte di inserire un’interfaccia “station” in un bridge. L’approccio WDS viene preferito alla modalità “station-pseudobridge” in quanto quest’ultima effettua il mac-nat degli apparati a valle dello SLAVE creando un bridge non completamente trasparente.
/interface wireless
set wlan1 mode=ap-bridge ssid=$”NOMELINK” wds-mode=dynamic \
wds-default-bridge=bridge1 country=italy frequency-mode=manual-txpower \
scan-list=5500,5520,5540,5560,5580,5600,5620,5640,5660,5680,5700 frequency=5500 \
disabled=no security-profile=”WPA” hw-retries=14 default-forwarding=$”ICT”\
dfs-mode=none radio-name=$”NOMEAPPARATO”
/interface wireless nstreme
set wlan1 framer-policy=exact-size framer-limit=4000 enable-nstreme=yes enable-polling=yes
#Prepara degli script di configurazione per utilizzarli nelle strutture condizionali if…then
/system script
add name=config-n1 policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan1 band=5ghz-a/n ht-extension-channel=above-control \
ht-rxchains=0,1 ht-txchains=0,1 rate-set=default ht-basic-mcs=mcs-0,mcs-8″
add name=config-wp1 policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan1 wireless-protocol=nstreme”
add name=config-n2 policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan2 band=5ghz-a/n ht-extension-channel=above-control \
ht-rxchains=0,1 ht-txchains=0,1 rate-set=default ht-basic-mcs=mcs-0,mcs-8″
add name=config-wp2 policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan2 wireless-protocol=nstreme”
add name=config-n3 policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan3 band=5ghz-a/n ht-extension-channel=above-control \
ht-rxchains=0,1 ht-txchains=0,1 rate-set=default ht-basic-mcs=mcs-0,mcs-8″
add name=config-wp3 policy=reboot,read,write,policy,winbox,password,sensitive \
source=” \
/interface wireless set wlan3 wireless-protocol=nstreme”
add name=config-mp policy=reboot,read,write,policy,winbox,password,sensitive \
source=” / interface wireless security-profiles \
set WPA management-protection-key=$”CHIAVEWPA” management-protection=required”
#Se configurato abilta la protezione dai deauthentication attack
:if ( $”ROS4PROTECTION” = “SI” ) do={ \
/system script run config-mp }
#Controlla se la radio è in standard n e nel caso la confiugura
:if ([/interface wireless info find supported-bands~”5ghz-1?1?n”]!=””) do={ \
/system script run config-n1 }
#Controlla se è installato il pacchetto wireless-nv2 o la versione 5.X e nel caso lo configura
:if (([/system package find name=wireless-nv2 disabled=no]!=””)||([/system package find name=wireless version~”5.”]!=””)) do={ \
/system script run config-wp1 }
#Se configurato abilita il controllo RADAR
Per rispondere alle normative Europee viene abiliato il DFS (Dynamic Frequency Selection) con Radar Detect. Per maggiori dettagli vedi l’articolo sulle normative ETSI.
:if ( $”RADARDETECT” = “SI” ) do={ \
/interface wireless set wlan1 dfs-mode=radar-detect }
Ripete quanto sopra fatto per l’interfaccia wlan2 se presente:
#se esiste seconda interfaccia
:if ([/interface wireless find name=wlan2]!=””) do={
…
Ripete quanto sopra fatto per l’interfaccia wlan3 se presente:
#se esiste seconda interfaccia
:if ([/interface wireless find name=wlan2]!=””) do={
…