MikroTik jako SOHO router - 8 - upgradujeme

Cíl

Přenéseme nastavení z víc jak 12 let starého routeru (který stále bez problémů funguje včetně aktualizací firmware) na nejnovější hAP ax2.
Konfiguraci chceme přenést tak, abychom tím strávili co nejméně času a ve finále byli schopní vyměnit krabičku za krabičku bez toho, aby se to nějak dotklo zařízení v síti.
Nahrazuju starý Mikrotik RB915-2hnD (pouze 2,4 GHz) za aktuální verzi Mikrotik hAP ax2 (dvoupásmový s podporou WiFi 6).

Protože mám v domě routerů víc, zprovozním na konci i CapsMan, který v nové verzi routeru už není klikací. Další routery jen připojím, resetuju do CapsMan režimu a nemusím se o ně starat. Já jsem si tedy ještě následně upravil jméno a heslo admina a na hlavním routeru (v IP / DNS Server / Leases) jim přiřadil statickou adresu a zaktualizoval firmware (ROS).

Příprava

Pro porovnávání a kontroly jsem chtěl být k oběma routerům připojen současně a to i přes to, že budou mít stejné DHCP rozsahy apod.
K běžící síti jsem se připojil přes WiFi.
K novému routeru jsem se připojil kabelem přes MAC adresu routeru (v seznamu neighbors). Přes MAC adresu proto, že s IP routeru budeme hýbat.
Připojení u nových Mikrotiků už není bez hesla, ale každý router má náhodně vygenerovaná hesla pro LAN a WiFi. najdeme je na štítku routeru, kde jsou písmenka tak opravdu hodně prťavá nebo na štítku na příručce uvnitř krabičky, kde je to jen o trošku větší.

Přenesení kompletní konfigurace - slepá cesta

Binární backup ze starého routeru jsem na novém routeru obnovit ani nezkoušel.
Zkusil jsem v terminálu vyexportovat textovou verzi konfigurace, tu nahrát na nový router a následně v terminálu naimportovat.

# plný export včetně hesel, klíčů apod.
/export show-sensitive file=nazev-souboru
# případně zkrácený export včetně hesel
/export compact show-sensitive file=nazev-souboru
# soubor přenesu ve WinBoxu na nový Mikrotik do Files
/import nazev-souboru.rsc

Protože se routery od sebe hodně liší (víc jak 12 let je znát), jsou jinak pojmenované porty, rozhraní a některé položky jsou v menu strukturované jinak... Po chvíli hraní, přejmenovávání a dalších pokusech jsem to vzdal a router resetoval do továrního nastavení.

Ruční přenos

Rozhodl jsem se naklikat základ v QuickSetup a zbytek přenést

Quick setup

Naklikal jsem základní věci týkající se providera, SID a hesla WiFi sítí a lokální sítě (IP adresa routeru a DHCP rozsah). SID WiFi sítí i jejich hesla jsem nastavil stejná jako na původní síti.

Terminál

Otevřel jsem si vygenerovaný skript z původního routeru (soubor RSC je normální textový soubor) a začal jsem vybrané části kopírovat a spouštět v terminálu nového routeru.
Budu postupovat podle pořadí, jak je to v konfiguračním souboru.
Vždy kopírujeme včetně prvního řádku, určujícího, čeho se to týká (např. /firewall).
Nastavení jedné sekce končí začátkem další (řádek začínající /)
Řádky začínající znakem # jsou komentáře. Když je tam necháte, nic se nestane.

Jako první je tam Wireguard, takže si vezmu celou část a níže si dohledám peers, ať to pouštím najednou. Sekce:

/interface wireguard
/interface wireguard peers

Obě části vezmu, vložím do terminálu a potvrdím. Tím jsem zajistil, že budu mít přenesenu konfiguraci VPN a nebudu muset řešit existující klienty

/ IP Address - obsahuje definované rozsahy sítí. Mimo vlastní síť je tam rozsah pro WireGuard, Rozsahy pro sítě pro hosty atd.
Přeneseme vše mimo řádků (ty už tam máme):
rozsah vnitřní sítě - port bridge
rozsah pro port eth1 (poskytovatel)
Pokud WireGuard, nepoužíváte a nemáte ani zvláštní rozsah adres pro hosty, tak můžete vynechat.

/ip dhcp-client. Já jsem ji přenášel, protože u klientů mám komentáře a pro většinu klientů mám na routeru přidělenou statickou adresu.
Prostě jen zkopírujete od řádku (včetně) /ip dhcp-client až do další sekce, vložíte na novém routeru do terminálu a potvrdíte.
Pokud vás nezajímá, jakou kdo dostane adresu, nemusíte řešit.

/ip firewall address-list - seznam jmen (adres) pro pravidla firewallu.
Seznam definovaných jmen (používám je pro pravidla pro přesměrování portů) - z venku na konkrétní přesměrování portu smí pouze vyjmenované IP adresy, ostatní mají smůlu. V pravidle se seznam používá jako SRC address list.

/ip firewall filter - zde je třeba vyzobat pouze vámi zadaná pravidla, třeba povolení portu pro WireGuard, pravidlo pro správu routeru zvenku přes WinBox (mám povolen přístup na router z práce) apod.
Po importu je třeba pravidla posunout nahoru, třeba za výchozí ICMP, které pak rovnou zakážeme - nebudeme kdejakému hejhulovi na internetu odpovídat na ping. Případně si do pravidla ICMP přidáme do SRC address list seznam povolených adres a na ping odpovíme jen těm, kdo jsou v seznamu.

/ip firewall nat - pravidla pro přesměrování portů. Tady jsem si udělal pořádek a přenesl pouze pravidla, která ještě mají smysl.
Opět zkopírovat, vložit do terminálu a potvrdit

IPv6
protože IPv6 nepoužívám, nechci se starat o firewall a další pravidla, tak v rozhraní kliknout na IPv6 / Settings a celou IPv6 zakázat.

/system ntp client - automatická synchronizace času. Pokud jste nepoužívali, můžete použít servery tik.cesnet.cz a tak.cesnet.cz:

/system ntp client
set enabled=yes
/system ntp client servers
add address=195.113.144.201
add address=195.113.144.238

/system scheduler - zde se řeší plánování spouštění např. skriptů

/system script - přeneste, pokud používáte skripty. V některém z předchozích článků o Mikrotiku jsme si ukazovali, jak automaticky vypínat a zapínat WiFi

/tool e-mail - nastavení SMTP serveru pro zasílání e-mailových notifikací. Používám pro NetWach (dále)

/tool netwatch - zde je nastavení hlídání síťových zařízení. Monitoruju měnič fotovoltaiky a NAS. Nechávám si zasílat mail, když je zařízení nedostupné + když je opět dostupné

Tím jsme během pár minut přenesli kompletní nastavení ze starého routeru na nový. V této chvíli bychom mohli odpojit starý router a připojit nový a vše by mělo pracovat bez toho, že by někdo něco poznal.

CapsMan

CapsMan v2 už nemá klikací rozhraní, tak je třeba to řešit přes příkazy terminálu.

Dal jsem dohromady skript pro nastavení CAPSmana z různých zdrojů, včetně nastavení DNS option pro automatickou podporu restartu v režimu CAPSMan.
Skript jsem ověřil na čerstvě vybalených routerech, které jsem jen připojil a restartoval v režimu CapsMan (stisknout reset, připojit napájení a držet, až ledka přestane blikat a rozsvítí se).
Pokud komentář obsahuje !!! upravit, znamená to, že následující příkazy si musíte upravit pro vlastní podmínky

# Kontrola, zda mame spravne balicky pro Mikrotik hAP ax2
/system/package/print
# Musíte vidět balíček wifi-qcom.
# Balíček wireless tam nesmí být (nebo musí být zakázaný).

# 1. Vytvoření Loopback rozhraní
/interface/bridge add name=loopback protocol-mode=none
/ip/address add address=127.0.0.1/32 interface=loopback

# 2. Nastavení profilů (Security & Datapath)  !!! upravit
/interface/wifi/security
add name=sec-doma authentication-types=wpa2-psk,wpa3-psk passphrase="VaseTajneHeslo"

/interface/wifi/datapath
add name=datapath-bridge bridge=bridge

# 3. Konfigurace 2.4G a 5G sítě (včetně FT Roamingu)

# 5GHz - povolíme FT  !!! upravit
/interface/wifi/configuration
add name=cfg-5g ssid="jmeno-5G-site" country="Czech" security=sec-doma datapath=datapath-bridge .ft=yes

# 2,4GHz - bez FT  !!! upravit
/interface/wifi/configuration
add name=cfg-2g ssid="jmeno-2G-site" country="Czech" security=sec-doma datapath=datapath-bridge

# 4. Provisioning (rozrazovaci pravidla)

# vymaz puvodnich pravidel
/interface/wifi/provisioning remove [find]
# 5G
/interface/wifi/provisioning
add action=create-dynamic-enabled master-configuration=cfg-5g supported-bands=5ghz-ax,5ghz-ac,5ghz-a,5ghz-n
# 2G
/interface/wifi/provisioning
add action=create-dynamic-enabled master-configuration=cfg-2g supported-bands=2ghz-ax,2ghz-g,2ghz-n

# 5. Aktivace CAPsMANa a připojení přes Loopback

# zapnuti capsmana
/interface/wifi/capsman
set enabled=yes package-path="" upgrade-policy=none require-peer-certificate=no
# zaputi klienta capsmana
/interface/wifi/cap
set enabled=yes discovery-interfaces=loopback caps-man-addresses=127.0.0.1

# 6. nastaveni DNS autodiscovery pro CapsMan - uvádí se IP adresa hlavního routeru v HEX formátu, zde 192.168.1.1  !!! upravit
# 0xC0A80101 = IP 192.168.1.1 v HEX formátu (c0 = 192, A8 = 168, 01 = 1)
/ip/dhcp-server/option
add code=138 name=capsman-ip value=0xC0A80101
/ip/dhcp-server/network
set [find address~"192.168.1"] dhcp-option=capsman-ip

# jako alternativa je na dalsich routerech spusteni radku (s adresou hlavniho routeru):   !!! upravit
/interface/wifi/cap set enabled=yes discovery-interfaces=bridge caps-man-addresses=192.168.1.1

# 7. Finální restart a kontrola

# vynuceny restart CapsMan (pak pockat asi 10-15s)
/interface/wifi/cap set enabled=no
/interface/wifi/cap set enabled=yes

# kontrola
/interface/wifi/print

# melo by byt videt
# wifi1 (Fyzické 5G) -> Příznak M
# wifi2 (Fyzické 2G) -> Příznak M

Závěr

Když se na to teď podíváme zpětně, spouštění příkazů v terminálu routeru není žádná raketová věda a Copy/Paste zvládne každý.
Ve finále je to ve spojení s QuickSetup mnohem rychlejší než to klikat celé znovu nebo se pokoušet o konverzi a řešit rozdíl mezi routery.

Až si ověříte, že vše funguje, doporučuji konfiguraci zazálohovat a uložit mimo router. Jako binární i jako konfigurační textový soubor.

Navazuje na seriál Mikrotik jako SOHO router