MikroTik router 10 - upgrade routeru

Cíl

Přeneseme nastavení z víc jak 12 let starého routeru (který stále bez problémů funguje včetně aktualizací firmware) na nejnovější model hAP ax2.
Konfiguraci chceme přenést tak, abychom tím strávili co nejméně času a ve finále byli schopni vyměnit krabičku za krabičku bez toho, aby se to nějak dotklo zařízení v síti.
Nahrazuju starý Mikrotik RB951G-2HnD (pouze 2,4 GHz) za aktuální verzi Mikrotik hAP ax2 (dvoupásmový s podporou WiFi 6).

Velikost routeru odpovídá malému hAP lite. Ty malé krabičky, které dorazily mě opravdu překvapily, až jsem se lekl, že mi přišlo něco jiného. Podstavec je možné použít na výšku nebo naležato, současně slouží podstavec i pro montáž třeba na zeď. Vzhledově se router opravdu povedl, s původním nevzhledným hAP nemá nic společného a líbí se mnohem víc než třeba ac3 s ploutvemi (externími anténami).
Má vše, co od routeru potřebuju - 1Gb porty, dostatečné úložiště, abych nemusel řešit problémy s aktualizacemi jako u původního malého hAP lite

Protože mám v domě routerů víc, zprovozním na konci i CapsMan, který v nové verzi routeru už není klikací. Další routery jen připojím, resetuju do CapsMan režimu a nemusím se o ně starat. Já jsem si tedy ještě následně upravil u podřízených routerů jméno a heslo admina a na hlavním routeru (v IP / DNS Server / Leases) jsem podřízeným routerům přiřadil statickou adresu a zaktualizoval firmware (ROS) na aktuální stable verzi.

Příprava

Pro porovnávání a kontroly jsem chtěl být připojen současně k původnímu i novému routeru a to i přes to, že budou mít stejné DHCP rozsahy apod.
K běžící síti jsem se připojil přes WiFi.
K novému routeru jsem se připojil kabelem přes MAC adresu routeru (v seznamu neighbors). Přes MAC adresu proto, že s IP routeru budeme hýbat.
Připojení u nových Mikrotiků už není bez hesla, ale každý router má náhodně vygenerovaná hesla pro LAN a WiFi. Najdeme je na štítku routeru, kde jsou písmenka opravdu hodně prťavá nebo na štítku na příručce uvnitř krabičky, kde je písmo o trošku větší.

Přenesení kompletní konfigurace - slepá cesta

Binární backup ze starého routeru jsem na novém routeru obnovit ani nezkoušel.
Zkusil jsem v terminálu vyexportovat textovou verzi konfigurace, tu nahrát na nový router a následně v terminálu naimportovat.

# plný export včetně hesel, klíčů apod.
/export show-sensitive file=nazev-souboru
# případně zkrácený export včetně hesel
/export compact show-sensitive file=nazev-souboru
# soubor přenesu ve WinBoxu na nový Mikrotik do Files
/import nazev-souboru.rsc

Protože se routery od sebe hodně liší (víc jak 12 let je znát), jsou jinak pojmenované porty, rozhraní a některé položky jsou v menu strukturované jinak... Po chvíli hraní, přejmenovávání a dalších pokusech jsem to vzdal a router zpět resetoval do továrního nastavení.

Ruční přenos

Rozhodl jsem se naklikat základ v QuickSetup a zbytek přenést

Quick setup

Naklikal jsem základní věci týkající se providera (IP, GW, Maska, DNS), pro WiFi síť pak zemi, SID a hesla. Pak už jen IP adresu routeru a DHCP rozsah.
SID WiFi sítí i jejich hesla jsem nastavil stejná jako na původní síti.
V této chvíli již máme funkční router.

Terminál

Otevřel jsem si vygenerovaný skript z původního routeru (soubor RSC je normální textový soubor) a začal jsem vybrané části kopírovat a spouštět v terminálu nového routeru.
Budu postupovat podle pořadí, jak je to v konfiguračním souboru.
Vždy kopírujeme včetně prvního řádku, určujícího, čeho se to týká (např. /firewall).
Nastavení jedné sekce končí začátkem další (řádek začínající /)
Řádky začínající znakem # jsou komentáře. Když je tam necháte, nic se nestane.

Jako první je tam Wireguard, takže si vezmu celou část a níže si dohledám peers, ať to pouštím najednou. Sekce:

/interface wireguard
/interface wireguard peers

Obě části vezmu, vložím do terminálu a potvrdím. Tím jsem zajistil, že budu mít přenesenu konfiguraci VPN a nebudu muset řešit existující klienty

/ IP Address - obsahuje definované rozsahy sítí. Mimo vlastní síť je tam rozsah pro WireGuard, rozsahy pro sítě pro hosty atd.
Přeneseme vše mimo řádků (ty už tam máme):
rozsah vnitřní sítě - port bridge
rozsah pro port eth1 (poskytovatel)
Pokud WireGuard, nepoužíváte a nemáte ani zvláštní rozsah adres pro hosty, tak můžete vynechat.

/ip dhcp-client. Já jsem sekci přenášel, protože u klientů mám komentáře a pro většinu klientů mám na routeru přidělenou statickou adresu.
Prostě jen zkopírujete od řádku (včetně) /ip dhcp-client až do další sekce, vložíte na novém routeru do terminálu a potvrdíte.
Pokud vás nezajímá, jakou kdo dostane adresu, nemusíte řešit.

/ip firewall address-list - seznam jmen (adres) pro pravidla firewallu.
Seznam definovaných jmen (používám je pro pravidla pro přesměrování portů) - z venku na konkrétní porty nebo pravidla pro přesměrování portu smí pouze vyjmenované IP adresy, ostatní mají smůlu. V pravidle se seznam používá jako SRC address list.

/ip firewall filter - zde je třeba vyzobat pouze vámi zadaná pravidla, třeba povolení portu pro WireGuard, pravidlo pro správu routeru zvenku přes WinBox (mám povolen přístup na router z práce) apod.
Po importu je třeba pravidla posunout nahoru, třeba za výchozí ICMP, které pak rovnou zakážeme - nebudeme kdejakému hejhulovi na internetu odpovídat na ping. Případně si do pravidla ICMP přidáme do SRC address list seznam povolených adres a na ping odpovíme jen těm, kdo jsou v seznamu.

/ip firewall nat - pravidla pro přesměrování portů (port forwarding). Tady jsem si udělal pořádek a přenesl pouze pravidla, která ještě mají smysl.
Opět zkopírovat, vložit do terminálu a potvrdit

IPv6
protože IPv6 nepoužívám, nechci se starat o firewall a další pravidla, tak v rozhraní kliknout na IPv6 / Settings a celou IPv6 zakázat.

/system ntp client - automatická synchronizace času. Pokud jste nepoužívali, můžete použít servery tik.cesnet.cz a tak.cesnet.cz:

/system ntp client
set enabled=yes
/system ntp client servers
add address=195.113.144.201
add address=195.113.144.238

/system scheduler - zde se řeší plánování spouštění např. skriptů

/system script - přeneste, pokud používáte skripty. V některém z předchozích článků o Mikrotiku jsme si ukazovali, jak automaticky vypínat a zapínat WiFi

/tool e-mail - nastavení SMTP serveru pro zasílání e-mailových notifikací. Používám pro NetWach (dále)

/tool netwatch - zde je nastavení hlídání síťových zařízení. Monitoruju měnič fotovoltaiky a NAS. Nechávám si zasílat mail, když je zařízení nedostupné + když je opět dostupné

Tím jsme během pár minut přenesli kompletní nastavení ze starého routeru na nový. V této chvíli bychom mohli odpojit starý router a připojit nový a vše by mělo pracovat bez toho, že by někdo něco poznal.

CapsMan

Proč CapsMan? Jednak umožňuje automatickou konfiguraci dalších připojených routerů, druhak umožňuje přecházení klientů mezi routery.
CapsMan v2 už nemá klikací rozhraní, je třeba to řešit přes příkazy terminálu.

Dal jsem dohromady z různých zdrojů skript pro nastavení CAPSmana, včetně nastavení DHCP option pro automatickou podporu detekce CAPSMan řídícího routeru.
Skript jsem ověřil na čerstvě vybalených routerech, které jsem jen připojil a restartoval v režimu CapsMan (stisknout reset, připojit napájení a držet, až ledka přestane blikat a rozsvítí se).
Části psané tučnou kurzívou si musíte upravit pro vlastní podmínky

# Kontrola, zda mame spravne balicky pro Mikrotik hAP ax2
/system/package/print
# Musíte vidět balíček wifi-qcom.
# Balíček wireless tam nesmí být (nebo musí být zakázaný).

# 1. Vytvoření Loopback rozhraní
/interface/bridge add name=loopback protocol-mode=none
/ip/address add address=127.0.0.1/32 interface=loopback

# 2. Nastavení profilů (Security & Datapath)
/interface/wifi/security
add name=sec-doma authentication-types=wpa2-psk,wpa3-psk passphrase="VaseTajneHeslo"

/interface/wifi/datapath
add name=datapath-bridge bridge=bridge

# 3. Konfigurace 2.4G a 5G sítě (včetně FT Roamingu)

# 5GHz - povolíme FT
/interface/wifi/configuration
add name=cfg-5g ssid="jmeno-5G-site" country="Czech" security=sec-doma datapath=datapath-bridge .ft=yes

# 2,4GHz - bez FT
/interface/wifi/configuration
add name=cfg-2g ssid="jmeno-2G-site" country="Czech" security=sec-doma datapath=datapath-bridge

# 4. Provisioning (rozrazovaci pravidla)

# vymaz puvodnich pravidel
/interface/wifi/provisioning remove [find]
# 5G
/interface/wifi/provisioning
add action=create-dynamic-enabled master-configuration=cfg-5g supported-bands=5ghz-ax,5ghz-ac,5ghz-a,5ghz-n
# 2G
/interface/wifi/provisioning
add action=create-dynamic-enabled master-configuration=cfg-2g supported-bands=2ghz-ax,2ghz-g,2ghz-n

# 5. Aktivace CAPsMANa a připojení přes Loopback

# zapnuti capsmana
/interface/wifi/capsman
set enabled=yes package-path="" upgrade-policy=none require-peer-certificate=no
# zaputi klienta capsmana
/interface/wifi/cap
set enabled=yes discovery-interfaces=loopback caps-man-addresses=127.0.0.1

# 6. nastaveni DHCP autodiscovery pro CapsMan

uvádí se IP adresa hlavního routeru v HEX formátu, zde 192.168.1.1
# 0xC0A80101 = IP 192.168.1.1 v HEX formátu (c0 = 192, A8 = 168, 01 = 1)
/ip/dhcp-server/option
add code=138 name=capsman-ip value=0xC0A80101
/ip/dhcp-server/network
set [find address~"192.168.1"] dhcp-option=capsman-ip

# jako alternativa je na dalsich routerech spusteni radku (s adresou hlavniho routeru):
/interface/wifi/cap set enabled=yes discovery-interfaces=bridge caps-man-addresses=192.168.1.1

# 7. Finální restart a kontrola

# vynuceny restart CapsMan (pak pockat asi 10-15s)
/interface/wifi/cap set enabled=no
/interface/wifi/cap set enabled=yes

# kontrola
/interface/wifi/print

# melo by byt videt
# wifi1 (Fyzické 5G) -> Příznak M
# wifi2 (Fyzické 2G) -> Příznak M

Závěr

Když se na to teď podíváme zpětně, spouštění příkazů v terminálu routeru není žádná raketová věda a Copy/Paste zvládne každý.
Ve finále je to ve spojení s QuickSetup mnohem rychlejší než to klikat celé znovu nebo se pokoušet o konverzi a řešit rozdíl mezi routery.

Až si ověříte, že vše funguje, doporučuji konfiguraci zazálohovat a uložit mimo router. Jako binární i jako konfigurační textový soubor.

Článek navazuje na seriál Mikrotik jako domácí router
Další kapitoly:
8 - hlídání zařízení v síti
9 - Wireguard VPN
10 - upgrade routeru
11 - tipy