Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Mikrotik u kaficima, hotelima i mjestima velike koncetracije korisnika

[es] :: Wireless :: Mikrotik :: Mikrotik u kaficima, hotelima i mjestima velike koncetracije korisnika
(TOP topic, by djricky)

[ Pregleda: 3629 | Odgovora: 2 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.customer.blic.net.

Sajt: https://nf-tel.com


+22 Profil

icon Mikrotik u kaficima, hotelima i mjestima velike koncetracije korisnika16.01.2019. u 15:13 - pre 63 meseci
Pozdrav forumasi, u moru novih standarda telefona, tableta, smart TV-ova i kojekakvih uređaja koji imaju mogucnost kačenja na wifi nastala je totalna zbrka :/ e sad je pitanje sto zbrka??? U sve to mislim da se mozete i sami uvjeriti ako boravite na mjestima gdje „kao“ ima interneta ali ga skoro niko ne moze koristiti i sl...to su obicno objekti kao sto su kafici, restorani ili ti objekti za smjestaj kao sto su hoteli, moteli i sl. Da bi se napravila neka minimalna konfiguracija i logika koja ce zadovoljiti minimalnu stabilnost potrebno je vise stvari izplanirati i konfigurisati kako treba...tj nije bas jednostavna prica kako to uraditi i naravno stajati iza toga. Cilj ovoga posta je da malo rasvjetli sliku sta je sve potrebno za neko stabilno koristenje interneta na pomenutim mjestima sa optimalnim ulaganjima a sa druge strane da malo rasvjetli I sliku onima koji zele stabilan internet u svojim objektima da nije bas prica tako jednostavna da bi se problematika rijesila. Citava ova prica se svakako ne moze zamisliti bez Mikrotik-a I zato je I na ovom podforumu, ali posto je malo kompleksnija prica dotakao sam se i jos par brendova koji se cesto koriste. Necu se baviti konfiguracijom, ali kad skontamo sta hocemo da uradimo konfiguracije se nekako na kraju nabode.

Par primjera/problema u rijesavanju ovakvih stvari

*Zove vas gazda objekta da mu rijesite problem i kaze ma samo da im taj internet radi pojacaj mi to nesta, on u glavi ima da mu sigurno treba urađaj koji je duplo skuplji od onoga sto ima i da mu to neko donese i skopca u struju to je u glavi oko 70-80 eura max, i onda kad mu se sagleda neka osnovna varijanta sta mu treba obicno dodje oko min 500 -1000 eura (zavisno od objekta i broja ljudi...napamet lupac cijene naravno ali zavisi ko sta hoce...) onda te pita dali si normalan! A npr cijena jednog solidnog novog racunara je te vrijednosti...a kad treba da se za tu sumu rijesi wifi u objektu onda je to preskupo.
*Isto varijanta predlozite nekome sta mu treba i date ideju, a dodje mu „trgovac“ it opreme koji mu uvali neki TP link ili Planet koji izgleda „opasno“ sa 2-3 antene i kaze ovo je druze ono sto tebi treba, naplati mu to nekih 100 eura i vise, zaradi na njemu to nesto rabata sto ima i super...naravo ovaj nakon 6 mjeseci vidi da je ko nesto dobio ali opet ima probleme naravno...
*Postoje objekti i vlasnici kojima su tako dolazili „strucnjaci“ razni i uzimali pare ali ljudima to nikad ne radi jer im se gosti zale i zale...i sve ce se vise zaliti jer se internet sve vise koristi i veci protoci „teku“ tim zicama i vazduhom i onda ljudi izvarani nekoliko puta vise ne vjeruju nikome.

E sad ovim izvaranim obicno dodju firme koje nude i TOP opremu i TOP brendove na kojima imaju najbolje rabate i zaradu i onda to dodje klepanje po usima i oni garantuju da ce to raditi...naravno kad uzmete Ruckus ili neki Cisco kome je jedan AP 500 eura naravno da ce raditi :) ali to sve ima TOP cijenu...uglavnom TOP brendovi imaju TOP cijene i TOP zarade na svemu tome pa necu njih ni uzimati u obzir jer u praksi je malo onih koji to mogu sebi da priuste...ili I u TOP varijantama se obavezno ide sa nekim glavnim routerom koji je Mikrotik 
Uglavnom posto ljudi danas tragaju za opstankom i egzistencijom puno ljudi su npr vidjeli da je kamere lako postaviti pa ih danas svako postavlja, isto tako se svako bavi i sa racunarima....naravno ne omalovazam nikoga ali svi smo mi prosli neki put od neznanja do ucenja, rada, iskustva i nadam se da ce ovaj post i pomoci ljudima koji tek uce o mrezama i imaju nedoumice kako bi trebali stvari da postave u logici da bi na kraju dobili nesto sto ce im rijesiti problem u manjim a i u vecim objektima.

Dabi vise ljudi moglo stabilno koristiti internet (u veliko broju slucajeva wifi) inernet potrebno je da se zadovolje 3 stvari:

1.Da imamo dovoljan protok interneta od ISP-ja
2.Da imamo kvalitetnu pokrivenost wifi signala na mjestima koristenja inerneta
3.Da imamo kvalitetnu optimizaciju raspolozivog protoka


Dok god jedna od ovih stvari „stuca“ krajnji rezultat ce biti problem sa koristenjem interneta na krajnjoj tacki tj telefonu, tabletu PC-ju i sl.

1.Da imamo dovoljan protok interneta od ISP-ja
Naidjem cesto da ljudi nece da placaju neki skuplji paket a hoce da im svi gosti u hotelu imaju internet  naravno da ne moze tako nikako!!! Zavisno od podrucja gdje se nalazite svakako treba obratiti paznju koji pristup internetu imate...a varijante su sledece:
*Wireless pristup je svakako najgora varijanta jer u vecini slucajeva je los, naravno imate slucaj da vam ozbiljniji provajder moze isporuciti i vecu brzinu nekim P2P linkom sa recimo svoje opticke infrastrukture i to je svakako dobra varijanta ako vam moze garantovati za to.
*Sledeca varijanta je neki bakar ili kablovski operater ili neka ADSL linija, opet je zica i trebalo bi da bude stabilnija varijanta od wireless pristupa (osim ako nije wireless P2P link samo za vas kao sto gore napisah)
*Opticki pristup ako imate mogucnost je nesto sto vam definitivno treba i u vecini slucajeva sa njim ste svakako i rijesili problem i stabilnost interneta, bitno je samo koje cete brzine imati.
Ovde sam napomena jedna vazna:Ako imate GPON od nekog velikog telekom provajdera(kao sto je u RS recimo Mtel) i oni vam daju neki kucni paket 100/20 ili nes sl, nemojte da racunate da cete na tom paketu da nakacite 100 korisnika jer to su „kucni“ paketi sa malim cijenama i velikom brzinama radi marketinga, i oni ce vas blokirati po broju konekcija koje ostvarujete, tj ti paketi su sposobni da rade sa nekih 20 korisnika istovremeno (nisam tacno testirao) a sve preko toga ce na njihovom firewall-u biti blokirano...(tj kad popunite odredjeni broj konekcija) faktici imate veliku brzinu ali je moze koristiti samo određen broj ljudi od jednom...naravno nece vam to reci (valjda je poslovna tajna ili uopste ne znaju) poenta je da vi necete moci koristiti taj link kako ste zamislili i naravno ponudice vam neki DPI pristu koji je mnog mnogo skuplji...drugi provajderi koji vam nude opticki pristup internetu vas nece blokirati na ovaj nacin...samo oni „veliki“ pa eto da imate na umu kod izbora operatera 
Sto se tice protoka tu opet zavisi sve od broja korisnika naravno, ali u poslednje vrijeme mnogo vise problema pravi mali upload nego download...tipa primjer jedan objekat hotel (oko 100 korisnika u trenutku ima) ima prisup 30/1 Mbps i imali su stalne probleme dok nisu uzeli paket koji ima vise upload tj 30/3 Mbps....a to nije recimo bilo takvo stanje prije 1-2 godine unazada...sve se vise koristi ta druga strana interneta jer vecina uređaja nesto sinhronizuje (Apple ubi sa tim) i socijalne mreze naravno koje su nikad popularnije i svi nesto kace naravno ako su dosli na odmor, ljetovanje i slicno da se pohvale...dobri telefoni prave dobre slike koji imaju sve vise MB-ajta...

2.Da imamo kvalitetnu pokrivenost wifi signala na mjestima koristenja inerneta
Ako smo obezbjedili dovoljno „dobrog“ interneta, isti mora nekako da se distribuira do korisnika u tom objektu....posto radim u ISP-u i cesto ljudima karikiram i poredim internet sa vodovodom :) prvo radi zone odgovornosti jer kada veci objekat uzme veci link oni ocekuju da ce ISP rijesiti i internet u objektu (neki ISP ovi tu i uzmu na sebe ali to samo reda radi da skinu teskog korisnika sa dnevnog reda ali se svakako nece ozbiljno baviti tom problematikom)...u vecini slucajeva ISP ne interesuje sta se desava u vasoj mrezi, njihova odgovornost ili demarkaciona zona je do modema, optickog konvertera ili sl...a dalje „vodu“ sami razvodite po kuci...pa onda po tom karikiranju pitam korisnika hotela (nezadovoljnog koji ima uslugu interneta a slabu internu infrastrukturu) kad mu pukne cijev od vode u WC-u jel zove majstora za vodu ili vodovod?! :D...uglavnom kolika je dovodna cijev vode u objekat toliko ce i „vode“ tj interneta biti :) a dalje zavisi od njegovih cijevi!... dosta karikiranja...!
Ovde moram napraviti podjelu na 2 varijante koje su itekako razlicite:
*Mjesta na kojima se ocekuje puno korisnika...kao sto su restorani, kafici i sl.
*Mjesta na kojima se ocekuje malo korisnika kao sto su npr sobe u hotelima, apartmani, kuce i slicno

Samo da razjasnim pojam SOHO opreme tj Small office/home office...pod tim podrazumjevam sve AP-ove i wireless „routere“ koji su pravljeni za kucnu upotrebu razni Tplink, Dlink, Netis i slicni uređaji...kao i sto rekoh to su mali jeftini kucni uređaji i od njih ne treba bas puno ocekivati...u vecini slucajeva ih nikad i ne preporucujem ali se ponekad i mogu upotrebiti ako je budzet za izvedbu mreze mali.

Sto se tice izbora brenda proizvodjaca za ove namjere tu je naravno Mikrotik i ne mogu nikako da ne pomene Ubiqutiy...znam da je post na forumu Mikrotik-a i on je svakako neizbejzna stvar u citavoj prici...Ruckus, Cisco i ostale skuplje i profesionalnije varijante necu ni pominjati jer su preskupi i izlaze iz vecine dometa korisnika.

Wireless controller:
Ozbiljniji proizvodjaci svakako imaju implementaciju i kontrolera koji obicno bude neki hardwer, zavisno od brenda i koji nesto kontrolise AP (AccessPoint-e) npr Mikrotik ima CAPsMAN kontroler koji se nalazi na jednom od jacih rutera na mrezi, AP-ovi se podese da koriste kontroler i onda kreiramo jednu konfiguraciju za mrezu i svi CAP-ovi (AP-ovi koji su podlozni kontroleru) dalje pokupe tu konfiguraciju i kontrolisemo ih sa jednog mjesta...kontroler osluskuje kada ce nekog korisnika skinuti sa AP-a i zakacit na drugi AP u mrezi. Ubiquity isto ima svoj jos napredniji kontroler, tj ne mozete bez njega ni podesiti AP radio on sa njim ili ne...svakako je potreban bar da se podesi AP...moze biti instaliran na PC-ju ili nam malom dijelu hardwera koji se zove cloud-key ili se kaciti na njihov Ubiquity security gateway.Uglavnom poenta je da jedan uređan upravlja sa svim AP-ovima koji naravno moraju da budu isti brend.

Wireless roaming:
Roming bi trebao da bude varijanta da kada se vi krecete sa telefonom u mrezi AP-ova da vas on automacki prebacuje sa jednog na drugi, kao sto to radi GSM mreza na mobilnoj, e sad kada vam prodavac opreme bude pricao pricu rece vam npr da Mikrotik ima roming sto se bas i nebi moglo reci kao tacno, jer u stvari sta Mikrotik CAPsMAN radi...vi morate na njemu difinisati AccessListu koja ce reci koji je to minimalan signal koji korisnik mora imati dok ga AP-CAP ne otkaci i kada ga on otkaci onda ce telefon sam ponovo konektovati na onaj sa najboljim signalom i bice prebacen...u biti kontroler ga je samo otkacio sa AP-a i to je to, ostalo se telefon sam zakacio na sledeci. Ubiquity ima malo napredniji ali nema ni on pravi roming tj ona ima vrijednost na AP-u Minimum RSSI (koji mi naravno odredimo) i na osnovu njega AP sugerise klijentu da bi trebao da se prebaci na drugi AP sto ne znaci da ce ga prebaciti automacki....nisam detaljno ulazio kako algoritam dalje radi ali ga sigurno automacki ne prebacuje...tj potrebno je vrijeme konverzacije i price izmedju njih dok ga sledeci AP ne preuzme...koliko vidim Ruckus i Cisco imaju preve rominge gdje se to automacki trenutno obavlja...ali imaju i cijenu naravno

Mjesta na kojima se ocekuje puno korisnika...kao sto su restorani, kafici i sl.
Za ovakvu namjenu svakako necemo koristiti SOHO AP(router) jer nisu pravljeni za te namjene...mozda cete naici i na one neke sa 3-4 antene ali preporuka je da ih zaobidjete i ne trosite pare. Zavisno koji prostor pokrivate tj dali moze pokriti jedan AP ili je u pitanju veci prostor birate dali cete koristiti Controler sa vise AP-ova ili samo jedan AP...uglavnom nisam nikad za varijantu da sa veci prostor pokrivam sa jednim AP-om jer on npr potrosi vise snage i resursa sto „prica“ sa 2-3 korisnika na -88db signalom nego sa 15-20 na dobrom signalu -55db. Zavisno od mjesta ko je treba pokriti kao minimalnu varijantu koristim Mikrotik RBcAP2nD ili jos bolje RBcAPGi-5acD2nD koji ima i podrsku na 5 Ghz.


Svi su naravno okruglog oblika i predvidjeni su da budu montirani na plafon...moze se sigurno racunati na 50+ korisnika po AP-u. Jos jedna bitna stvar u svemu je pozicija samog AP-a...jer mozemo imati dobar AP i skup ali da uveliko degradiramo ako mu izaberemo losu poziciju...
Na slici ispod se primjer lose pozicije AP-a


Imao sam primjere u praksi da vidim da su „strucnjaci“ imali dovedene instalacije u razvodne ormare (UTP kabal i struju) i onda tu postave AP i sve to fino zatvore u metalni ormar  Ili ako imamo objekat pravugaonog oblika naravno da je najbolje postaviti AP u centralni dio i staviti ga na plafon da gleda prema dole jer tako ce ga vidjeti svi korisnici i imati najbolji signal i najbolje rasporedjen...ako ga stavimo na cosak npr onda ce bolji signal biti kod komsije nego na drugom kraju objekta sto nam svakako nije cilj.
Ako je u pitanju mjesto gdje vrvi od ljudi onda obavezno preporucujem Ubiquity kao sto su osnovni model UniFi AC Lite na koga sigurno mozete racunti na 100 korisnika po AP-u (proizvodjac kaze 200+ ali treba prepoloviti u praksi uvijek  ) ili jos bolje UniFi AC PRO koji je skuplji 20-30% ali duplo bolji



I Mikrotik i Ubiqutiy imaju i outdoor modele slicnih karakteristika kao ovi, ali da ih ne nabrajam sad sve.
Ako je veci prostor postaviti vise uređaja, pravilno ih rasporediti i i zracunati na osnovu prostora koji ce biti signal na kojem bi AP trebao da sjece korisnika i prebacuje na drugi AP.

Mjesta na kojima se ocekuje malo korisnika kao sto su npr sobe u hotelima, apartmani, kuce i slicno

Vrlo cesta situacija u praksi je da ljudi npr zavrse apartmane, sobe ili sl i onda vas pozovu da im zavrsite wifi...naravno kazu sve imamo sve je predvidjeno...kad dodjete da pregledate nema nista uglavnom...ili npr kod starijih objekata je uvijek problematika jer instalacije ne postoji...
Evo koje su lose konbinacije koje srecem na terenu:
*Konfigurisati AP-ove kao repeater-e bez kablaze je vjerovatno varijanta koju cete samo jednom probati u zivotu  isto je i sa koristenjem raznih opcija repeater-a koji se mogu naci u prodaji od raznih proizvodjaca...topla preporuka je ne koristite ovo!
*Druga losa varijanta je da se postavi npr jedan ili 2 AP-a u hodnik i onda su hodnici najbolje pokriveni signalom gdje se najmanje koristi a sobe djelimicno  Ako idete sa logimo kad kupite neke super skupe AP-ove dobicete nesta, ali ne opet nesto idealno...a potrosicete pare na uređaje.
*Ako pokusate da npr koristite Power Line adaptere da preko struje provuce LAN doce vas skupo a malo ce raditi malo ne...jer nikad ne znate kakva je struja urađena i mora biti na istoj fazi...znaci nikako ne.
Ako stvarno mislite da rijesite nekome ili sebi problem jednostavno morate imati u svakom npr apartmanu, stanu ili toj nekoj cijelini po jedan AP (AccessPoint) eventualno ako su u pitanju neke manje sobe da sa npr jednom sobom pokrivate po 2 sobe susjedne (i to ako nisu debeli zidovi) i to sve mora imati fizicku vezu sa mrezom odakle pocinje NET...znaci „ne moze to bez kabla“!!! Ono sto najvise mrzim je kanalica ali kod nekih objekata je neizbjezna...kod nekih se moze npr dovesti i sa vana zavisno od toga kakva je fasada i sl...dobra opcija koja vas moze spasiti je ako objekat ima razvedenu telefosnku instalaciju koja ima 4 zice koje obicno zavrsavaju u nekoj kutiji na hodniku...mozete njih iskoristiti za mrezu koristeci UTP module, pa onda u hodniku postaviti kod te kutijene npr neki switc i to sve svesti tim istim telefonskim zicama do nekog centralog mjesta gdje je vjerovatno i modem...zrtvovati telefoniju koju obicni niko i ne koristi za internet i izbjeci kopanje, kanalice i sl...
Naravno najbolja je varijanta ako je UTP kablaza vec urađena(kao sto vecina novih objekata i uradi) ali opet urade pogresno :/ vecina njih dovede UTP kabal na utinice gdje planira TV i onda vam ostaje da AP postavite iza TV-a i naravno tu mu skresete dio signala...najbolja varijanta je da se kablaza ostavi negdje na plafonu u sredini te neke cjelinije koju planiramo pokriti sa jednim AP-om...odatle mu nista ne smeta i najbolje ce signal rasprostirati.Mikrotik za ovu varijantu ima super mali AP cAP lite koji ima sa sobom okruglu montazu za plafon a ima i pravuganu za zid.AP se napaja sa pasivnim PoE sve sa jedne tacke gdje dolaze svi kablovi i to je super idealna varijanta.



Cijena ovih cAP lite-uređaja je odprilike duplo veca nego cijena jednog obicnog SOHO ap-a tako da mislim da su idealni za ovakvu namjenu.Naravno svi CAP ovi zavrse na kontroleru i odatle se kontrolisu. Bolja varijanta je ici sa Ubiqutiy ali opet mislim da je 4 puta skuplji uređaj po AP-u i da 10 puta vise korisnika moze drzati nego sto ce ikad biti potrebno u ovakvim okruzenjima kao sto su sobe, tako da mi nije nimalo ekonomican i mislim da je rasipanje sredstava. (mnogo vise je koristan kod velike koncetracije korisnik, sta vise neizbjezan).. Kada obezbjedimo kablazu u svaku cijelinu tipa apartman, sobu i sl...ako neko vec ima odredjen broj starih AP-ova svakako mozemo i njih iskoristiti i dokupiti jos nekoliko dodatnih...ovo je svakako jeftinija varijanta koja se moze iskonbinovati i da se odradi nesto nazovi stabilno...samo sto tad kada se korisnici budu setali izmedju AP-ova nece ih nista odkidati jer SOHO ruteri nemaju te funkcionalnosti.
Da imamo kvalitetnu optimizaciju raspolozivog protoka + pravilan setup
Kada smo smo osigurali kvalitetan link, dobro pokrili sav prostor sa kvalitetnim signalom ostaje naravno setup svega toga...evo par problematika:
SSID Daju svakom AP-u razliti SSID, pa tako da imate hotelsprat1, hotelsprat2, hotelsprat2-1 i tako u nedogled...pa kad neko dodje i pokusa da se nakaci ladno ga glava zaboli da to prelista sve, a ne da se odluci gdje se nalazi i gdje treba uopste da se konektuje.Poenta je da treba da stavimo isti SSID na svaki AP. Treba da stavimo isti standard na kartici tj da rade npr svi B/G i da se na osnovu pozicija AP-ova postavi manunelno kanal za svaki AP. Posto 2.4 ima samo 3 frekfencije koje se ne poklapaju medjusobno treba da rasporedimo AP ove da rade po kanalima 1, 6 i 11 i da logicki poredamo koji AP ima koji kanal. Isto ovo naravno radimo i ako radimo sa kontrolerom. Sifra ako se koristi treba da se postavi ista na svaki AP i da se postavi identicka enkripcija za svaki AP.

A ovako bi trebalo da ih rasporedimo u prostoru

DHCP/NAT Vecinom ljudi ne razumiju sta NAT uopste radi posto rade razne cudne konbinacije. Nat je mehanizam koji omogucava da vise korisnika sa privatnom IP adresom izadje na internet...na internetu se naravno raspoznaju samo javne IP adrese...i kada vi npr posaljete neki zahtjev nekom servisu na internetu i on sad treba da vam odgovori, on vidi samo vasu javnu IP i ne zna kome to sad treba da prosledi unutar vase mreze...ali to zna vas router koji radi NAT, jer kada korisnik koji je u NAT-u posalje neki paket koji izlazi na internet ruter mu zakaci neki random PORT i kada se taj isti paket sa interneta vrati sa tim istim portom on zna kojem hostu-u unutar mreze to treba da vrati na osnovu NAT tebele....uglavnom ruter koji radi NAT je opterecen sa tim poslom uveliko...a ono sto sam vidio u praksi je da ljudi na AP dovedu konekciju od rutera i ustekaju se u WAN port, pa tu rade jos jedan NAT sto je svakako ludilo 2 puta raditi translaciju paketa...pa paket dok izadje od klijenta kroz te NAT-ove se dobro naputuje  i plus im svaki taj ruter jos bude DHCP...ako radite sa glupim SOHO AP-ruterima obavezno ih postavite u Client Mode...iskljucite obavezno DHCP i dovedite UP Link u neki do LAN portova...nikako u WAN port (WAN zalijepite trakom da ko ne usteka u njega i reset dugme isto) NAT i DHCP treba da radi glavni router tj neki MIKROTIK koji je namjenjen za to i koji ima vece resurse nego ti SOHO AP-ovi.DHCP-u naravno dajte dovoljno adresa da mu ne nestane i smanjite vrijeme obnove da ne drzi adrese rezervisane duze vrijeme...preporuka je gdje vam treba uređaj da dobija statičku adresu da to fiksirate na samom DHCP-u tj da njemu kazete da ta MAC adresa dobija uvijek istu adresu jer je lakse radi administracije i pracenja hosto-va u mrezi.
SIFRA za WIFI Uvijek idem na varijantu gdje je god moguce bez sifre, jer u kaficima mi npr nije jasno zasto se sifra postavlja kad je svi znaju? Tj udje neko popije kafu ili mu neko kaze i to je to...nista ne rijesava samo maltretiraju ljudi konobare koja je sifra koja je sifra...u hotelima je slicno. Ako radite recimo sa Mikrotik AP-ovima definiste svakako koji je minimalan signal na AP-u tako da se niko ko nije u objektu ne moze zakaciti...sto recimo kod SOHO AP-ova i ne mozete...pa ako imate drugi objekat blizu onda mora sifra. Nekad su bili popularni razni hot spotovi ali oni toliko nerviraju korisnike da je to bolje da ne koristite...danas je vecinom internet free I ne znam dali ga jos gdje naplacuju. Ubiquity recimo ima simpatica HOT SPOT da koristite samo jednu Log-In stranicu da stavite sliku objekta pozelite dobrodoslicu i ostavite dugme „klikni da koristis internet“ i to je to. Ima mi logike recimo kod vecih objekata, ustanova i sl da postoji dio free mreze i one poslovne koja ima enkripciju i povezan je dalje na neki AAA server i sl. U praksi jos postoje situacije kada imate npr red kafica jedan pored drugog i gazde bi htjeli da im net ne koriste oni koji nisu kod njih u kafani...ko je malo napredniji moze iskoristiti da generise skriptom razlicite sifre na wifi-ju da ih mijenja periodicno i radi exsport u neki fajl na lokalnom MT-u...dalje da softwer za izradu racuna se preko FTP-a kaci na taj Router, kupi sifru iz exsport fajl-a i ispisuje je na racune i tako svako ko nesto naruci dobije racun sa sifrom u footer-u racuna.
OPTIMIZACIJA PROTOKA
Ovde uvijek krecem od jedne situacije, zamislite da dođe klinjo sa racunarom I pusti torent da skida  naravno povuce koliko moze da povuce preko AP-a na kojem je zakacen…a jos gore ako je zakacen na neki dobar AP koji mu moze isporuciti vecu brzinu I onda vam odvuce sav protok koji imate…ili ako imate u objektu npr neke fensi goste sa Apple uređajima koji sve zivo sinhronizuju pa vam pojedu sav upload I onda vam pocne stopati sve….youtube I streaming raznih videa ce vam u mrezama bez nekih ogranicenja i optimizacije sigurno pojesti vecinu protoka koliko ga god imali. Naravno I da imate neogranicen protok prema internetu, opet npr nije dobro da dozvolite jednom klijentu ili vise klijenata da vam iskoristi max protok koji on moze u tom trenutku prema internetu da ostvari I da vam optereti I zakuca npr neki SOHO router preko koga izlazi dalje na net.
Onda kada smo dosli do saznanja da bi trebali protok ograniciti na neki nacin vecina koristi Simple Queues kao varijantu, pa sad ili stavi ogranicenja na citavu mrezu ili stavlja pojedinacno na klijenta…e sad npr ako vi imate brzinu downloada 15 Mbps kojom logikom staviti ogranicenja? Cesto vidim u praksi da stave npr 2-3 Mbps po korisniku ali onda kad imate 15 korisnika oni ce moci povuci 15*2=30 Mbps u trenutku sto je vise nego sto mi imamo svakako…ako ljudima stavimo manje od ovoga 2-3 onda im je svakako premalo, zer ne?  Koje malo napredniji svakako ce pokusati da eksperimentise sa Burst parametrima pa da pokusa dati korisniku inicialno malo vecu brzinu pa posle da ga smanji I sl…u nekim manjim varijantama I to ce nesto rijesiti ali ako npr imate malo vise korisnika onda nastaje haus u svemu tome….ili npr zasto ne dati 1 korisniku ako je sam na mrezi full brzinu ako niko drugi u tom trenutku ne koristi link? Uglavnom Simple Queues je mikrotik namjenio iskljucivo za provajdere koji daju osnovno “Simple” ogranicenje tj sirovo ogranicenje brzine na osnovu IP adrese, interfejsa I sl…tj namjena mu je da se PPPoE korisnici ogranice I tu zavrsava posao naravno…jos sto je bitno je da u situaciji ako protok iz mreze postane veci nego sto ga uopste ima Simple Queues osnovni algoritam ce prestati da radi I pocece pravila izvrsavati po redosledu kako su poredana…uglavnom kad nam najvise bude trebalo da se nesta ogranici algoritam nece raditi pravilno I naravno imamo problem.
Rijesenje koje ce nam mikrotik reci da koristimo je svakako Queue Tree I to sa algoritmom PCQ…PSQ algoritam ce da raspodjeli brzinu na “fer” nacin, tj ako imamo npr za određen segment neku dodjeljenu brzinu od 10 Mbps I u isto vrijeme 5 korisnika pokusava da ostvari saobracaj npr od 5 Mbps…sto bi ukupno bilo 25 Mbps…naravno vise nego sto je dozvoljeno…dobice svi jednako tj po 2 Mbps njih 5 to je 10 Mbps…ne moze postenije :D
Objasnicu princip na slici I kacicu slova na slici cisto da bude razumljivije da se prati
*Citav protok cemo cemo podijeliti u stablo (tree) u kojoj postoji neka hierarhija I top-u tog stabla imamo All_Bandwitdth (A) I on ima prioritet 1 tj najveci prioritet (B)
*Level ispod u hijerarhiji imamo Upload I Download I imamo po 2 grupe izdvojene sto mogu biti neke favorizovane grupe koje izdvajate iznad svih ostalih (C) , tipa serveri, sefovi I slicno…kod ovih izdvojenih je prioritet 2 I 3 u odnosu na ovaj download I upload koji imaju 4 prioritet…uglavnom ako nastane guzva sa protokom ako neko iz ovih grupa zatrazi protok dobice ga prije ostalih na osnovu prioriteta.
*Dio protoka na koji smo najvise usredoceni je svakako dio Upload I Download…tj tu ocekujemo more korisnika koje ce biti I koje cemo optimizovati I pokusati napraviti da svi dobiju po nesto 
*Dabi odredjenom saobracaju dali razlicit prioritet prvo moramo da ga oznacimo ili ti markiramo pakete (D), pakete u Mikrotiku markiramo kroz Firewall/Mangle na razne nacine, tj na osnovu port-a, protokola, Layer7 Protokola, Source adrese Itd…I tim Packet Mark-ovi kroz Queue dajemo razlicite prioritete…tj prvo kreiramo npr Download sve ostalo gdje ce zarvsiti sav saobracaj koji nismo markirali drugacije I damo mu zadnji prioritet 8 (E)
*Posle toga napravimo logiku sta nam je bitno I po kom redosledu treba da ima prioritet, pa npr ICMP pakete markiramo I damo im prioritet 1 (F)….DNS-u VoIP isto damo prioritet 1
*Onda dalje ovim dobro poznatim servisima kao sto su SSH, FTP, MAIL damo prioritet 2 (G)
*I onda dalje sve sto uspijemo od paketa da oznacimo damo mu poseban Queue sa prioritetom koji nam je bitan za tu mrezu I logican I naravno damo mu raspolozivi protok koji moze da ostvari tj Max Limit (H)

Ja uvijek idem da dam maksimalno brzine, (uz to da mi latencija prema NET-u bude stabilna kao I kad je link prazan) a da ne narusim stabilnost bitnih servisa I da u situaciji velike guzve uvijek rade nesmetano servisi kao sto su http, https…socijalne mreze, viber I ostali koji se najvise koriste, a da video I ostali protok ide u zadnji prioritet I da se ostvari samo onda kad ima dovoljno protoka koji se ne koristi. Naravno dozvoljene protoke definisemo na osnovu protoka sa kojim raspolazemo na strani downloada I uploada. Ovde se posebno za svaki objekat mora testirati koliko je to MAX protok koji moze ici prema internetu a da latencija npr prema google-e bude stabilna…I od provajdera naravno zavisi pa to svakako treba testirati za svaku lokaciju I naci optimalne parametre ogranicenja…tj po principu dati sto vise a bez da iko osjeti bilo kakav problem…u praksi bi to znacilo da ne date sav protok korisnicima I onda vi ne mozete prici ruteru remote da ga administrirate I sl.
Jos neke stvari na kojima mozete poraditi da sve bude kompletno:
ZASTITASvakako se mora na ovaj segment ozbiljno gledati, tj morate imati tacno odredjen dio mreze koji je javan za pristup tip wifi korisnici I sl…tj kome moze svak prici I dio mreze gdje su korisnici koji su privilegovani tipa kase za program, lokalna mreza, modem do provajdera I sl…I obavezno moraju postojati AccesListe u firewall-u koje ce stiti te ranjive destinacije. Ako imate otvoren DMZ na modemu do rutera (radi administracije) ili ste konektovani direktno sa javnom IP ili PPPoE na ruter desice vam se kao sto se desavalo proslih mjeseci da ce vam hakovati router I onda problem  Najbolje je da ako vec router mora biti izlozen otvorenom pristupu na NET da imate dobru zastitu…tj da dozvolite samo odredjenim adresama da mogu pristupati (sa kojih cete vi dolaziti) ili jos bolje rijesenje ako administrirate vise router-a da pravite VPN-ove na jednu lokaciju na kojoj ste vi, pa da sa nje pristupate kroz tunel I tako imate uvijek zasticen router…naravno nemojte koristiti PPTP tunel nego nesto sigurnije kao npr OPEN VPN sa enkripcijom certifikatom I sl…
MONITORINGDobar monitoring vam moze biti od velike koristi za pronalazenje eventualnih problema koji mogu da vas snadju, npr jedan od njih je da imate vise SOHO AP-ova I kada internet stane negdje obicno pametni gosti pocnu da ih restartuju…vecina njih kad se restartuje I vrati na fabricka podesavanja ima vec podignut DHCP koji ce vam napraviti dalje problem jer ce klijenti poceti konektovati na njega, a ne na vas Mikrotik…ili malo tamo malo vamo  rijesenje je da postavite alert na DHCP-u za fake DHCP koji ako se pojavi ce vam poslati mail I upozoriti vas…Ostale hostove u mrezi mozete pratiti pomocu NETWATC-a I da vas router obavjestava kada budu down…vas ili bilo koga drugog….mozete I nadgledati kada se poveca latencija do googl-a visa od one koju odredite pa da vam router posalje mail…svaki ovaj mail dalje preko servisa email-to-sms mozete okrenuti I da vam dolazi SMS obavjest.
Uglavnom ako imate ideju sta radite imate Mikrotik kao jedan jako moćan alat da uradite puno stvari…sta vise sta sam god do sad zamislio da moze sam I uradio…sad jedan kolega koji je vidio djelimicno post koji pisem kaze mi da sam budala  Pa sad ne znam :/ Uvijek sam rad da podijelim neko iskustvo jer kroz to ce mozda jos neko ostaviti svoje iskustvo u ovoj problematici:)
Ako imate sta dodati ili preporuciti na temu pisite :D







[Ovu poruku je menjao dragansar dana 16.01.2019. u 16:24 GMT+1]

[Ovu poruku je menjao dragansar dana 16.01.2019. u 16:24 GMT+1]
Šaka
 
Odgovor na temu

Marcony
Network security inzenjer
Beograd

Član broj: 10486
Poruke: 1853
*.dynamic.isp.telekom.rs.



+18 Profil

icon Re: Mikrotik u kaficima, hotelima i mjestima velike koncetracije korisnika17.01.2019. u 08:03 - pre 63 meseci
Citat:
*Konfigurisati AP-ove kao repeater-e bez kablaze je vjerovatno varijanta koju cete samo jednom probati u zivotu  isto je i sa koristenjem raznih opcija repeater-a koji se mogu naci u prodaji od raznih proizvodjaca...topla preporuka je ne koristite ovo!

*Druga losa varijanta je da se postavi npr jedan ili 2 AP-a u hodnik i onda su hodnici najbolje pokriveni signalom gdje se najmanje koristi a sobe djelimicno...

*Daju svakom AP-u razliti SSID, pa tako da imate hotelsprat1, hotelsprat2, hotelsprat2-1 i tako u nedogled...



Evo i primera iz licnog iskustva... vlasniku hotela data preporuka za Ubiquiti AP-ove, ali je ista blago ignorisana, jer je neko strucan resio problem sa dodatnim repeater-om.
Da ne pricam o SSID-evima na svakom spratu...

Na slici - gornji levi ugao - TP Link.
Sredina zida, pri dnu: repeater Tenda.


YU2MP
Prikačeni fajlovi
 
Odgovor na temu

dragansar
Sarajevo

Član broj: 84903
Poruke: 612
*.customer.blic.net.

Sajt: https://nf-tel.com


+22 Profil

icon Re: Mikrotik u kaficima, hotelima i mjestima velike koncetracije korisnika17.01.2019. u 09:04 - pre 63 meseci
Uzmes repeater i poneses kuci :D
Šaka
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Mikrotik u kaficima, hotelima i mjestima velike koncetracije korisnika
(TOP topic, by djricky)

[ Pregleda: 3629 | Odgovora: 2 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.