RISOLTO Mikrotik HAP AX2 wifi 5GHz lentissimo!

[r3dl4nce]

Ecco qua la config

Hai un bridge brLAN con la ether1 alla quale colleghi la rete normale, mentre un bridge brLAN2 con le porte 2-5 e le due interfacce wifi della subnet creata dal mikrotik, dalla LAN e dalla LAN-2 si può accedere in winbox al Mikrotik (vedi nel firewall, ho tutto commentato), nelle configurazioni wifi trovi la configurazione di security con la password passphrase="PASSWORD-WIFI" metti a tuo piacimenti, ho diviso le due reti 2.4 e 5 lasciando però la stessa password, per le due wifi trovi i ssid nelle configurazioni delle due interfacce wifi .ssid="SSID-WIFI" per la 2.4 e .ssid="SSID-WIFI-5" per la 5 GHz

Sull'interfaccia 1 è attivo DHCP client
La subnet nel mikrotik è 192.168.88.0/24 con dhcp server da 192.168.88.100 a 199, dalla subnet LAN-2 del mikrotik non si può accedere a ip privati nella LAN quindi le due reti sono suddivise e inaccessibili
Il mikrotik fa da dns e ntp server
Il fasttrack è attivo



Mi sembra tutto

/interface bridge
add comment="BRIDGE LAN" name=brLAN port-cost-mode=short
add comment="BRIDGE LAN-2" name=brLAN2 port-cost-mode=short

/interface ethernet
set [ find default-name=ether1 ] comment="ETH 1 - LAN"
set [ find default-name=ether2 ] comment="ETH 2 - LAN-2"
set [ find default-name=ether3 ] comment="ETH 3 - LAN-2"
set [ find default-name=ether4 ] comment="ETH 4 - LAN-2"
set [ find default-name=ether5 ] comment="ETH 5 - LAN-2"


/interface list
add name=LAN
add name=LAN-2


/interface wifi security
add authentication-types=wpa-psk,wpa2-psk comment="PASSWORD RETE WIFI" \
    disabled=no encryption=tkip,ccmp,gcmp name=secReteWifi passphrase="PASSWORD-WIFI"

/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=10min-cac  .width=20/40/80mhz \
    comment="WIFI 5 GHZ" configuration.country=Italy .mode=ap .ssid="SSID-WIFI-5" disabled=no security=secReteWifi

set [ find default-name=wifi2 ] channel.band=2ghz-ax .width=20mhz comment="WIFI 2.4 GHZ" configuration.country=Italy \
    .mode=ap .ssid="SSID-WIFI" disabled=no security=secReteWifi
/ip pool
add comment="POOL DHCP LAN-2" name=poolDhcpLan2 ranges=192.168.88.100-192.168.88.199
/ip dhcp-server
add address-pool=poolDhcpLan2 authoritative=after-2sec-delay comment="DHCP RETE LAN-2" interface=brLAN2 lease-time=4h name=dhcpLan2

/system logging action
set 0 memory-lines=10000
/interface bridge port
add bridge=brLAN interface=ether1
add bridge=brLAN2 interface=ether2
add bridge=brLAN2 interface=ether3
add bridge=brLAN2 interface=ether4
add bridge=brLAN2 interface=ether5
add bridge=brLAN2 interface=wifi1
add bridge=brLAN2 interface=wifi2
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=brLAN list=LAN
add interface=brLAN2 list=LAN-2
/ip address
add address=192.168.88.1/24 comment="IP LAN-2" interface=brLAN2 network=192.168.88.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=2h
/ip dhcp-client
add comment="DHCP CLIENT SU RETE LAN" default-route-distance=10 interface=brLAN
/ip dhcp-server network
add address=192.168.88.0/24 comment="DHCP RETE LAN-2" dns-server=192.168.88.1 gateway=192.168.88.1 ntp-server=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9

/ip firewall address-list
add address=192.168.88.0/24 list=NetLan2
add address=192.168.0.0/16 list=NetPrivateLan
add address=10.0.0.0/8 list=NetPrivateLan
add address=172.16.0.0/12 list=NetPrivateLan
add address=100.64.0.0/10 list=NetPrivateLan
/ip firewall filter
add action=fasttrack-connection chain=forward comment="FWD - fasttrack - established,related" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="FWD - ACCETTA - established,related" connection-state=established,related
add action=accept chain=input comment="IN - ACCETTA established, related" connection-state=established,related
add action=accept chain=input comment="IN - ACCETTA ICMP" protocol=icmp
add action=accept chain=input comment="IN - ACCETTA LAN -> DNS" dst-port=53 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN -> NTP" dst-port=123 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN -> WINBOX 8291 " dst-port=8291 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="IN - ACCETTA LAN -> SSH 22 " dst-port=22 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="IN - ACCETTA LAN-2 -> DNS" dst-port=53 in-interface-list=LAN-2 protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN-2 -> NTP" dst-port=123 in-interface-list=LAN-2 protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN-2 -> WINBOX 8291 " dst-port=8291 in-interface-list=LAN-2 protocol=tcp
add action=drop chain=input comment="IN - DROP RESTO DELLE CONNESSIONI" log-prefix="[IN-DROP]"
add action=drop chain=forward comment="FWD - DROP invalid" connection-state=invalid
add action=accept chain=forward comment="FWD - ACCETTA - LAN-OSPITI -> INTERNET TRAMITE ROUTER SU LAN (ESCLUSI INDIRIZZI LAN LOCALI)" \
  dst-address-list=!NetPrivateLan in-interface-list=LAN-2 out-interface-list=LAN src-address-list=NetLan2
add action=drop chain=forward comment="FWD - DROP altre connessioni" connection-nat-state=!dstnat log=yes log-prefix="[FWD-DROP]"

/ip firewall nat
add action=masquerade chain=srcnat comment="SRCNAT - MASQ - NAVIGAZIONE DA LAN-2 SU GATEWAY LAN " out-interface-list=LAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=FIREWALL-MIKROTIK
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes manycast=yes
/system ntp client servers
add address=it.pool.ntp.org
add address=ntp1.inrim.it
/tool bandwidth-server
set enabled=no
/tool graphing interface
add
/tool graphing resource
add

Dovresti impostare le frequenze sulla 2.4 e sulla 5 vedendo con il freq. usage quali sono le più libere , da WiFi -> Freq Usage provi sia l'interfaccia 5 che la 2.4

 

[AndyV]

Dovresti impostare le frequenze sulla 2.4 e sulla 5 vedendo con il freq. usage quali sono le più libere , da WiFi -> Freq Usage provi sia l'interfaccia 5 che la 2.4

Ciao, grazie mille, leggendomi la tua spiegazione ed il codice penso che tu abbia fatto centro per quello che tentavo di fare.

Questa sera (script + dritte) provo a vedere se funziona tutto (grazie del suggerimento dell'analizzatore delle frequenze attive).

Consigli di impostare una frequenza secondaria oltre la primaria?

Inoltre per l'impostazione ".skip-dfs-channels=10min-cac", suggerisci quindi di lasciarla attiva?

Per eseguire lo script io utilizzo la funzione "import nomeFile.rsc", ma ho notato che spesso da errori se tento di eseguire parti di script che creano interfacce/altro che già esiste con medesimo nome.
Come posso fare ad importare lo script direttamente senza dover fare ogni volta "reset configuration" e poi scartare la default configuration che ricrea lui?

Grazie mille ancora, appena smonto dall'ufficio faccio tutte le prove! 🤩🤩🤩

 

[r3dl4nce]

Chiaramente lavori da Winbox, vero?

apri il terminale, scrivi
/system/reset-configuration keep-users=yes no-defaults=yes

così ti parte da una configurazione pulita, mantenendo solo le impostazioni di utenti di accesso

puoi anche farlo dal menu laterlae di winbox SYSTEM -> RESET CONFIGURATION




il router si riavvia, ti ricolleghi sempre in winbox, apri il terminale, e fai un banale copia/incolla della configurazione, anche senza stare a fare un file e caricare uno script

 

[AndyV]

Chiaramente lavori da Winbox, vero?

Sisi, uso winbox!

Ho provato diverse volte ad eseguire lo script che mi hai mandato, ma vengo incontro a due problemi:



Questo, facilmente risolvibile eliminando tkip dalla sezione security.

Inoltre ora tutti i miei dispositivi che supportano wifi6 non vedono più la rete 5ghz... ho provato ad eseguire script nuovamente, a cambiare le impostazioni di sicurezza toglieno tkip e wpa e sostituendo con wpa3 (per impossibilità di coesistere di wpa e wpa3), ma nulla... non capisco a cosa possa essere imputabile questo comportamento.

Solo un vecchio iPad5gen (2017 credo) riesce a vedere la rete 5ghz...

Hai delle idee in merito?

 

[r3dl4nce]

La 2.4 funziona?
Prova a mettere 20/40 come channel width, ti posto la configurazione modificata del wifi, ho messo anche la frequenza 5520 in caso la cambi in base a come vedi le frequenze libere, cambiato l'encryption nella security e aggiunto il bridge

/interface wifi security
add authentication-types=wpa-psk,wpa2-psk comment="WIFI PASSWORD" disabled=no \
  encryption=ccmp,gcmp,ccmp-256,gcmp-256 name=secReteWifi passphrase="WIFI-PASSWORD"


/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5520 comment="WIFI 5 GHZ" configuration.country=Italy \
  .mode=ap .ssid="WIFI-SSID-5" datapath.bridge=brLAN2 disabled=no security=secReteWifi \
  .skip-dfs-channels=10min-cac .width=20/40mhz

set [ find default-name=wifi2 ] channel.band=2ghz-ax .width=20mhz comment="WIFI 2.4 GHZ" configuration.country=Italy \
    .mode=ap .ssid="SSID-WIFI" disabled=no security=secReteWifi datapath.bridge=brLAN2

Ancora il wifiwave2 ax è abbastanza nuovo anche per me, molti impianti li faccio ancora con apparati ac e quindi uso ancora la vecchia configurazione

 

[AndyV]

La 2.4 funziona?

Ciao, si, la 2.4 funziona eccome!

Ho provato in maniera molto barbara a copiare-incollare il nuovo blocco del wifi nella configurazione precedente, ma ora, dopo anche numerose prove, il wifi1 non ne vuole neppure sapere di configurarlo, lo lascia non configurato (sbiadito)...

Ti posto lo script che sto eseguendo, magari mi sfugge qualcosa...

/interface bridge
add comment="BRIDGE LAN" name=brLAN port-cost-mode=short
add comment="BRIDGE LAN-2" name=brLAN2 port-cost-mode=short

/interface ethernet
set [ find default-name=ether1 ] comment="ETH 1 - LAN"
set [ find default-name=ether2 ] comment="ETH 2 - LAN-2"
set [ find default-name=ether3 ] comment="ETH 3 - LAN-2"
set [ find default-name=ether4 ] comment="ETH 4 - LAN-2"
set [ find default-name=ether5 ] comment="ETH 5 - LAN-2"


/interface list
add name=LAN
add name=LAN-2


/interface wifi security
add authentication-types=wpa-psk,wpa2-psk comment="WIFI PASSWORD" disabled=no \
    encryption=ccmp,gcmp,ccmp-256,gcmp-256 name=secReteWifi passphrase="WIFI-PASSWORD"


/interface wifi
set [ find default-name=wifi1 ] channel.band=5ghz-ax .frequency=5520 comment="WIFI 5 GHZ" configuration.country=Italy \
    .mode=ap .ssid="WIFI-SSID-5" datapath.bridge=brLAN2 disabled=no security=secReteWifi \
    .skip-dfs-channels=10min-cac .width=20/40mhz

set [ find default-name=wifi2 ] channel.band=2ghz-ax .width=20mhz comment="WIFI 2.4 GHZ" configuration.country=Italy \
    .mode=ap .ssid="SSID-WIFI" disabled=no security=secReteWifi datapath.bridge=brLAN2

/ip pool
add comment="POOL DHCP LAN-2" name=poolDhcpLan2 ranges=192.168.88.100-192.168.88.199
/ip dhcp-server
add address-pool=poolDhcpLan2 authoritative=after-2sec-delay comment="DHCP RETE LAN-2" interface=brLAN2 lease-time=4h name=dhcpLan2

/system logging action
set 0 memory-lines=10000
/interface bridge port
add bridge=brLAN interface=ether1
add bridge=brLAN2 interface=ether2
add bridge=brLAN2 interface=ether3
add bridge=brLAN2 interface=ether4
add bridge=brLAN2 interface=ether5
add bridge=brLAN2 interface=wifi1
add bridge=brLAN2 interface=wifi2
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=brLAN list=LAN
add interface=brLAN2 list=LAN-2
/ip address
add address=192.168.88.1/24 comment="IP LAN-2" interface=brLAN2 network=192.168.88.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=2h
/ip dhcp-client
add comment="DHCP CLIENT SU RETE LAN" default-route-distance=10 interface=brLAN
/ip dhcp-server network
add address=192.168.88.0/24 comment="DHCP RETE LAN-2" dns-server=192.168.88.1 gateway=192.168.88.1 ntp-server=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9

/ip firewall address-list
add address=192.168.88.0/24 list=NetLan2
add address=192.168.0.0/16 list=NetPrivateLan
add address=10.0.0.0/8 list=NetPrivateLan
add address=172.16.0.0/12 list=NetPrivateLan
add address=100.64.0.0/10 list=NetPrivateLan
/ip firewall filter
add action=fasttrack-connection chain=forward comment="FWD - fasttrack - established,related" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="FWD - ACCETTA - established,related" connection-state=established,related
add action=accept chain=input comment="IN - ACCETTA established, related" connection-state=established,related
add action=accept chain=input comment="IN - ACCETTA ICMP" protocol=icmp
add action=accept chain=input comment="IN - ACCETTA LAN -> DNS" dst-port=53 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN -> NTP" dst-port=123 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN -> WINBOX 8291 " dst-port=8291 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="IN - ACCETTA LAN -> SSH 22 " dst-port=22 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="IN - ACCETTA LAN-2 -> DNS" dst-port=53 in-interface-list=LAN-2 protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN-2 -> NTP" dst-port=123 in-interface-list=LAN-2 protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN-2 -> WINBOX 8291 " dst-port=8291 in-interface-list=LAN-2 protocol=tcp
add action=drop chain=input comment="IN - DROP RESTO DELLE CONNESSIONI" log-prefix="[IN-DROP]"
add action=drop chain=forward comment="FWD - DROP invalid" connection-state=invalid
add action=accept chain=forward comment="FWD - ACCETTA - LAN-OSPITI -> INTERNET TRAMITE ROUTER SU LAN (ESCLUSI INDIRIZZI LAN LOCALI)" \
  dst-address-list=!NetPrivateLan in-interface-list=LAN-2 out-interface-list=LAN src-address-list=NetLan2
add action=drop chain=forward comment="FWD - DROP altre connessioni" connection-nat-state=!dstnat log=yes log-prefix="[FWD-DROP]"

/ip firewall nat
add action=masquerade chain=srcnat comment="SRCNAT - MASQ - NAVIGAZIONE DA LAN-2 SU GATEWAY LAN " out-interface-list=LAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=FIREWALL-MIKROTIK
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes manycast=yes
/system ntp client servers
add address=it.pool.ntp.org
add address=ntp1.inrim.it
/tool bandwidth-server
set enabled=no
/tool graphing interface
add
/tool graphing resource
add

 

[r3dl4nce]

Se è in grigio l'hai disabilitato, facci doppio click e premi su enable

 

[AndyV]

Se è in grigio l'hai disabilitato, facci doppio click e premi su enable

Ciao, rettifico quanto scritto precedentemente.
Il primo script che mi avevi mandato funzionava correttamente, dopo innumerevoli tentativi ho anzi provato a caricare lo script da qui



Facendo in questo modo è subito andato alla prima e tutti i dispositivi sono riusciti a vedere correttamente entrambe le reti!

Per ora ho impostato frequenza singola 5560 e secondaria sulla 5745 (freq per la 2.4 la sistemo stasera).

In generale, oltre scegliere una frequenza con un basso LOAD, a cos'altro devo porre attenzione nella scelta della frequenza?
Rispetto allo stamp delle frequenze intorno a te, ho visto che io ho mooolto meno affollamento, e mi chiedevo quindi se ci fossero delle linee generali da seguire per la ricerca di una frequenza ottimale.

Grazie mille per tutto finora! 🤩☺️

 

[r3dl4nce]

Non mettere frequenza secondaria.

Per il resto, la tabella qua è molto comoda

List of WLAN channels - Wikipedia

en.wikipedia.org

(vai alla voce 5 GHz)


se hai libere le frequenze che NON hanno la voce DFS su Europe, puoi scegliere una di quelle
Se scegli una frequenza DFS e nel log vedi spesso "radar detected" cambiala

 

[AndyV]

Non mettere frequenza secondaria.

Ciao, dopo diversi giorni di test devo dire che tutto funziona alla perfezione, le velocità sono quelle corrette e tutti i dispositivi riescono correttamente a vedere le reti 2.4 e 5GHz ed a sfruttarle a pieno!!!

Ti ringrazio infinitamente!