How to config WiFi Wave2 mikrotik

เนื่อหานี้จะเป็นแบบสั้นๆสำหรับแนวทางการคอนฟิก mikrotik wifi wave2
สำหรับ mikrotik ตัวที่เป็น wifi 6 ax
ยกตัวอย่างรุ่น hAP ax² hAP ax³ hAP ax lite  L009UiGS-2HaxD-IN

สำหรับตัวที่จะเอามาเทส จะเป็น hAP ax² 
หลังจากได้เครื่อง
ปัญหาแรกที่ถามมาปล่อยๆ คือ password คืออะไร
ความแต่ต่างระหว่าง O (โอ) กับ 0 (ศูนย์) โดยตัวที่มี / คั่นจะเป็นศูนย์ ไม่มีขีดจะเป็นโอ
8 กับ B หรือ 5 กับ S ลักษณะก็ใกล้ๆกัน

จนบางทีต้องพิมพ์ใน notepad ไว้ ดูความน่าจะเป็น สุดท้ายไม่ได้ จับ netinstall ซะเลย



ทำไมต้องเจน password ให้มันยากๆ
เพราะว่ากรณีที่กำหนด password ไว้ง่ายๆหรือไม่กำหนดเลย มันโดน sys แฮกได้
ถึงตอนนี้สิทธิ์ในการจัดการ mikrotik จะเป็นได้แค่ read only
ถ้า netinstall ได้ก็ดี แต่ถ้าไม่ได้ก็อาจจะเป็นแค่ที่ทับกระดาษ 

ใน defaut config จะมี firewall พื้นฐานป้องกันการเข้าถึงจากภายนอกตามนี้ครับ

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

แต่ข้อเสียคือ มันจะไม่สามารถเข้าถึงจากภายนอกได้ หลายๆท่านเลยปิดหรือไม่เอามันไว้เลย
ผมแนะนำให้ทำ brute forcers ไว้ ในกรณีที่มันจะสุ่ม login mikrotik ทาง port 22 หรือ 8291 ซ้ำๆ โดยใส่ password ผิด
มันจะบล็อค ip นั้น

/ip firewall filter
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="drop winbox brute forcers" dst-port=8291 protocol=tcp src-address-list=winbox_blacklist
add action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=1d chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage3
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage2
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp src-address-list=winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=8291 protocol=tcp

เอาละมาเข้าเรื่อง WiFi Wave 2 เลย
หลังจากได้ mikrotik มา แนะนำให้อัพเดท ROS และ wifi package ก่อนครับ
โดยเร้าเตอร์ wifi wave2 ax จำเป็นต้องมี package wifi-qcom
กรณีที่อัพเดทผ่าน Check For Updates มันจะได้มาพร้อมกัน
แต่ถ้า netinstall ต้องเอา package ลงด้วย หรือจะลากลงทีหลังก็ได้
ไม่งั้นจะไม่มี interface wifi ขึ้นมาครับ

/interface wifi

set [ find default-name=wifi1 ] channel.band=5ghz-ax .skip-dfs-channels=10min-cac .width=20/40/80mhz configuration.mode=ap .ssid=MikroTik-AAAAAA disabled=no security.authentication-types=wpa2-psk,wpa3-psk

set [ find default-name=wifi2 ] channel.band=2ghz-ax .skip-dfs-channels=10min-cac .width=20/40mhz configuration.mode=ap .ssid=MikroTik-BBBBBB disabled=no security.authentication-types=wpa2-psk,wpa3-psk

ตัวที่ไฮไลท์แดงคือชื่อ SSID ของ wifi จะเปลี่ยนทีหลังก็ได้ครับ
ส่วน security หรือ password ต้องกำหนดเอง เพราะใน terminal มันตัดในส่วนของ security ออกให้ครับ
โดย wifi1 จะหมายถึง wifi 5GHz ax
wifi2 คือ wifi 2.4GHz ax ซึ่งอันนี้จะแตกต่างจาก wifi ตัวที่เป็น ac

ทิปมีวิธีคอนฟิก หรือทำให้ได้ความเร็วหรือประสิทธิภาพสูงสุดไหม
คำตอบ ในความเป็นจริงทำได้ยากครับ


จากตารางจะเห็นว่า หากใช้ Channel 20 MHz จะมีช่องให้ใช้ได้ 4+4+11+4=23 ช่อง
40 MHz 2+2+5+2=11 ช่อง
ถ้าหาก 80 MHz ละก็เหลือแค่ 5 ช่อง

https://help.mikrotik.com/docs/pages/viewpage.action?pageId=46759946

อยากได้ throughput เยอะแบบไม่สนใจรอบข้าง
สมมุติว่าใช้ 80 MHz ก่อนหน้าใช้ได้ดีอยู่
บ้านข้างๆดันมาใช้ช่องเดียวกันหรือข้างเคียงก็จบ
หรือให้ยุคก่อน ช่วง hotspot บูมๆ ตั้ง AP 40 MHz หันเข้าหา AP อีกตัว
client เชื่อมต่อไม่ได้ หรือได้แต่ speedtest ต่ำกันเลยทีเดียว



ถ้าคำแนะนำ
กรณี wifi 5 GHz ac หรือ ax ตั้ง channel 40 หรือ 80 กรณีอยู่ในพื้นที่ปิดของตัวเองแบบไม่มีสัญญาณรบกวน
speed ได้ซัก 100-200 Mbps ก็พอแล้วครับ
หากต้องการมากกว่านั้น สายแลนจบกว่า

ปัจจัยที่มีผลต่อสัญญาณไวไฟ
1.ระยะห่างจาก AP ใกล้ย่อมสัญญาณดีกว่า
2.สิ่งกีดขวาง พวกผนัง กำแพง กระจก ลดทอนสัญญาณได้เกินครึ่ง
3.สัญญาณรบกวนจาก AP ตัวอื่น แม้ว่าค่า TX/RX จะได้เยอะ แต่ speed test ได้น้อย

wifi เป็นการรับส่งข้อมูลแบบ half duplex คือ ผลัดกันรับ ผลัดกันส่ง
ไม่เหมือนแลนที่เป็น Full duplex ครับ