Для работы нам понадобится оригинальный образ Windows 10 содержащий файл install.wim, образы со сжатым и зашифрованным файлом install.esd нам не подойдут. Также скачайте и установите на рабочем ПК Windows Assessment and Deployment Kit (ADK), из всего набора инструментов нам потребуются только Средства развертывания.

Кроме образа нам также потребуется шаблон предварительно настроенного меню Пуск. Это можно сделать на любой рабочей станции, но проследите, чтобы в набор плиток не попали отсутствующие в образе приложения. На наш взгляд лучше всего произвести тестовую установку с целевого образа на виртуальную машину, настроить там меню Пуск и выполнить экспорт настроек. Ниже показан один из примеров такой настройки, набор приложений в нем выбран произвольно, поэтому настраивайте меню именно так, как нужно вам.

После того, как вы все настроили сделайте экспорт настроек командой PowerShell:

Export-StartLayout -Path D:\LayoutModification.xml

Где D:\LayoutModification.xml - расположение целевого файла.

Также, в настройках меню Пуск по умолчанию включена опция Иногда показывать предложения в меню "Пуск", которая время от времени выводит в самом верху ссылки на приложения Магазина и устанавливает их при клике на значок. Чтобы избежать такого поведения необходимо внести некоторые изменения в реестр. Поэтому подготовим файл импорта: создадим обычный текстовый документ со следующим содержимым и сохраним его как import.reg.

Windows Registry Editor Version 5.00

[HKEY_USERS\TMP\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager]
"SubscribedContent-338388Enabled"=dword:00000000

При желании вы можете добавить в этот файл и другие "твики", однако это выходит за рамки данной статьи. Обратите внимание, что мы импортируем изменения в несуществующую ветку HKEY_USERS\TMP, куда мы подключим ветвь HKEY_USERS\.DEFAULT из образа. Если же вам нужно внести изменения в другие ветви реестра образа, то добавьте в файл импорта необходимые псевдонимы. Напомним, что вы можете подключить файл реестра в любое место системного реестра собственной машины, назначив ему уникальное имя.

Теперь создадим набор рабочих папок, их следует располагать ближе к корню файловой системы и использовать короткие пути. В нашем случае это будут папки:

• D:\iso - здесь будут располагаться файлы образа
• D:\mnt - сюда будет развернут образ при монтировании
• D:\tmp - для размещения дополнительных файлов, таких как шаблон меню и файл импорта реестра

После чего скопируем в D:\iso содержимое образа установочного диска. Как правило, образ содержит сразу несколько редакций Windows 10 и нам необходимо выяснить их набор и номер требуемой редакции, для этого выполним в PowerShell с правами администратора (здесь и далее используется среда PowerShell, если не указано иного) следующую команду:

Get-Windowslmage -ImagePath "D:\iso\sources\install.wim"

Где вам потребуется указать путь к файлу install.wim распакованного образа. В выводе вы получите перечисление всех редакций в образе:

В нашем случае нас интересует редакция Pro под номером 4. Выполним ее монтирование:

Mount-WindowsImage -ImagePath "D:\iso\sources\install.wim" -Index 4 -Path "D:\mnt\"

В параметрах команды мы указываем путь к файлу install.wim образа, индекс необходимой редакции и директорию монтирования, в которой появится содержимое по составу, напоминающее системный диск Windows.

Теперь, когда образ смонтирован, перейдем к встроенному ПО. Сначала получим список предустановленного ПО образа и выясним имена пакетов, для этого выполним:

Get-AppxProvisionedPackage -Path "D:\mnt\" | Format-Table DisplayName, PackageName

Большинство приложений имеют понятные имена, за исклчением Cortana, которая скрывается за наименованием Microsoft.549981C3F5F10. Чтобы удалить приложение из образа воспользуемся командой:

Remove-AppxProvisionedPackage -Path "D:\mnt" -PackageName Microsoft.549981C3F5F10_1.1911.21713.0_neutral_~_8wekyb3d8bbwe

В данном случае мы удаляем Cortana. Мы не будем давать каких-либо рекомендаций по составу предустановленного ПО, каждый решает этот вопрос самостоятельно, с учетом собственных потребностей и предпочтений. В нашем примере мы также удалили приложения Office, OneNote, Sticky Notes и Feedback Hub.

Для изменения шаблона меню Пуск нам нужно просто скопировать файл LayoutModification.xml в нужное место образа:

copy D:\tmp\LayoutModification.xml D:\mnt\Users\Default\AppData\Local\Microsoft\Windows\Shell\LayoutModification.xml

И напоследок выполним импорт файла реестра. Прежде всего подключим к реестру рабочей машины ветвь HKEY_USERS\.DEFAULT образа:

reg load HKEY_USERS\TMP D:\mnt\Users\Default\NTUSER.DAT

В нашем случае мы подключили данную ветвь в HKEY_USERS\TMP, который указан в нашем файле импорта. После чего импортируем в реестр содержимое файла:

reg import D:\tmp\import.reg

По завершению операции ветвь реестра следует отключить:

reg unload HKEY_USERS\TMP

Все необходимые изменения выполнены, поэтому размонтируем образ с сохранением внесенных изменений:

Dismount-WindowsImage -Path "D:\mnt\" -Save

После выполнения данной команды содержимое директории D:\mnt будет очищено, а все изменения будут применены к файлам распакованного образа в D:\iso. Все что нам остается - это собрать новый ISO-файл, для этого воспользуемся Средой средств развертывания и работы с образами, запустите одноименную консоль с правами администратора и выполните в ней следующую команду:

oscdimg -h -m -o -u2 -udfver102 -bootdata:2#p0,e,b"D:\iso\boot\etfsboot.com"#pEF,e,b"D:\iso\efi\microsoft\boot\efisys.bin" -lMyISO "D:\iso" "D:\Win10.iso"

На первый взгляд - достаточно страшное "заклинание", но не будем пугаться раньше времени. В параметрах bootdata мы передаем пути к файлам etfsboot.com и efisys.bin в папке образа, которые отвечают за EFI-загрузчик. Ключ -l задает имя образа, которое указывается без пробелов, затем перечисляем папку с образом и место расположения итогового ISO-файла.

Если вы используете для установки флеш-накопитель, то просто можете скопировать на него содержимое папки D:\iso с заменой файлов.

Теперь можно выполнить пробную установку и убедиться, что все настроено именно так, как мы задумывали:

Как видим, собрать собственный образ Windows 10 несложно, у нас все это заняло не более получаса, где основное время заняло монтирование/размонтирование образа и создание ISO-файла.

Описанная нами во вступлении ситуация не нова, чаще всего она встречается в небольших сетях, где вопросом сетевого планирования никто никогда не занимался. Как это обычно бывает: купили роутер, быстро его настроили и начали использовать, не озадачившись сменить стандартные 192.168.0.0/24 или 192.168.1.0/24 на что-либо иное. До определенной поры такая адресация не вызывает проблем и очень часто переходит "по наследству" в достаточно крупные сети.

Но все меняется, если требуется обеспечить удаленный доступ сотрудников, у которых дома стоит такое же стандартное оборудование, с теми же 192.168.0.0/24 или 192.168.1.0/24. Если говорить о том, как правильно, то правильно будет сменить адресацию офисной сети, но это не всегда возможно и может быть сопряжено со значительными сложностями. Особенно в текущей ситуации, когда по эпидемиологическим причинам удаленный доступ может потребоваться буквально здесь и сейчас, без времени на преобразования.

Как быть? Нам снова на помощь придет оборудование Mikrotik и широкие возможности RouterOS. При этом наша задача - сохранить удобство работы пользователя. Будем считать что у вас уже настроен VPN-сервер с использованием ProxyARP, как это описано в нашей статье: Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik. Все хорошо работало, но ровно до тех пор, пока не выяснилось, что часть сотрудников имеют дома подсеть, совпадающую с подсетью офиса.

Чтобы решить данную проблему мы будем использовать netmap - одну из разновидностей сетевой трансляции адресов (NAT), которая позволяет преобразовывать адреса одной подсети в другую один к одному. Таким образом мы можем отдавать клиенту некую "виртуальную" подсеть, адреса которой затем будут преобразоваться в реальные адреса офисной сети средствами RouterOS.

Прежде всего нам потребуются некоторые дополнительные действия. Как правило для клиентов удаленного доступа используется динамическое создание интерфейсов, это вполне оправдано, но в нашем случае для каждого из них потребуется выполнить привязку интерфейса. Для этого перейдем в PPP - Interface и создадим новую привязку интерфейса выбрав в выпадающем списке один из пунктов Server Binding, в зависимости от типа подключения, в нашем случае это L2TP Server Binding.

В открывшемся окне заполняем поля Name и User. Первое можно оставить и без изменения, оно ни на что не влияет, кроме удобства восприятия, но согласитесь, что запись l2tp-ivanov более информативна, нежели l2tp-in1. В поле User укажите логин того пользователя, к которому будет производиться привязка. Повторите это действие для всех пользователей VPN-сервера.

После чего создадим новый список интерфейсов и поместим в него все привязки. Откройте Interfaces - Interface List - Lists и создайте новый список, назовем его VPN.

После чего добавим все привязанные интерфейсы в этот список.

Теперь можно заняться изменением адресации. В нашем примере сеть офиса - 192.168.111.0/24, будем считать, что она пересекается с клиентскими сетями и поэтому для VPN-подключений мы будем отдавать виртуальную сеть 192.168.222.0/24. Перейдем в IP - IP Pool и изменим в пуле адресов, выдаваемом клиентам сеть с 111-й, на 222-ю. Вы можете как изменить существующий пул, так и создать новый.

Если же адреса клиентов заданы непосредственно в настройках их учетных записей, то переходим в PPP - Secrets и исправляем адреса для каждой учетной записи клиента (при этом может быть задан только один - Remote Address, в этом случае Local Address будет взять из профиля).

Потом откроем PPP - Profiles и открыв профиль, указанный для клиентов VPN-сервера, исправим в нем собственно адрес сервера - Local Address, также следует убедиться, что указанный пул адресов в Remote Address соответствует нужной подсети (в нашем случае 222-й).

Если теперь мы выполним переподключение удаленного клиента, то он получит адрес из 222-й подсети, но доступа в сеть офиса у него не будет, так как мы еще не выполнили отображение этой сети, на локальную сеть офиса. Для этого перейдем в IP - Firewall - NAT и создадим новое правило. На закладке General укажем: Chain - dstnat, Dst. Address - 192.168.222.0/24, In Interface List - VPN, эти условия говорят, что данное правило будет применяться в цепочке dstnat (PREROUTING) к пакетам, пришедшим из привязанных интерфейсов списка VPN с адресом назначения в сети 192.168.222.0/24.

На закладке Action указываем действие Action - netmap и в поле To Addresses - диапазон адресов локальной сети - 192.168.111.0/24, таким образом теперь в каждом пришедшем из VPN-пакете адрес назначения будет прозрачно заменен на соответствующий ему адрес локальной сети. Т.е. 192.168.222.101 -> 192.168.111.101, 192.168.222.202 -> 192.168.111.202 и т.д.

Теперь можем попробовать на клиенте подключиться к адресу в нашей виртуальной сети, как видим все работает, клиент попал на требуемый узел сети офиса, только уже по новому адресу.

Таким образом мы достаточно несложно решили серьезную проблему - организацию прозрачного удаленного доступа в сеть офиса с пересекающимся диапазоном адресов.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор - официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

У некоторых читателей сразу может возникнуть вопрос - а почему нельзя просто купить и наставить недорогих точек доступа, настроив на каждой один и тот же SSID и пароль? Сделать так, конечно же можно, только вот такая сеть не будет управляемой и приемлемого качества связи в ней достигнуть будет трудно. Основная проблема в том, что параметрами соединения всегда управляет клиент и он может держаться за более далекую и слабую точку до самого конца, хотя рядом есть другая, с более лучшими условиями приема. Получается что вроде бы и покрытие есть и сигнал везде вроде бы хороший, а качество связи оставляет желать лучшего.

Управляемые беспроводные сети работают иначе. Контроллер оценивает взаимное расположение клиента и точек доступа и когда он переходит в область обслуживаемую другой точкой доступа, старая точка его просто отключает, после чего он переподключается к новой, более мощной точке. Это довольно упрощенное изложение, но вполне достаточное для понимания происходящих процессов.

Сразу внесем ясность, настоящим бесшовным роумингом это не является, более правильно это назвать быстрым переключением, часть пакетов, особенно если это был поток UDP, при этом неизбежно потеряется. Но будем честными - бесшовный роуминг предполагает оборудование совсем иного класса и стоимости. А большинство современных сетевых приложений, в том числе и голосовые мессенджеры (Skype, Viber и т.д.) вполне нормально переносят быстрое переподключение, пользователь скорее всего даже ничего не заметит.

Но термин бесшовный давно устоялся и используется для таких сетей, хотя мы бы назвали его псевдобесшовным, но вы должны иметь представление о том, как все обстоит на самом деле и не питать необоснованных иллюзий.

Схема построения псевдобесшовной сети - это беспроводная поверх проводной. В качестве точек доступа вы можете использовать любые точки доступа или иные беспроводные устройства Mikrotik, которые могут работать в таком режиме. Контроллером CAPsMAN может быть любое устройство Mikrotik, даже не имеющее беспроводного интерфейса. В нашем примере мы собрали тестовую схему их двух беспроводных роутеров hAP, выполняющих роль точек доступа и роутера hEX, выступающего в роли контроллера.

Настройку следует начинать с контроллера. Откроем Winbox и перейдем в раздел CAPsMAN, здесь нам следует создать ряд необходимых шаблонов, из которых потом, как из кирпичиков, мы будем формировать конфигурации для беспроводных устройств. Мы не будем подробно рассматривать беспроводные настройки, обходясь необходимым минимумом, более подробно об этом вы можете прочитать в нашей статье: Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа.

Начнем с рабочих каналов, переходим в CAPsMAN - Channels и создаем новую настройку. В самом простом варианте это будет одна рабочая частота, например, 2412 МГц или 1 канал. Обратите внимание, выпадающего списка частот тут нет, просто указываем значения руками. Затем задаем ширину канала в поле Control Channel Width, если вы указали широкий канал, то укажите и направление его расширения по частоте в поле Extension Channel, если мы говорим о первом канале, то здесь единственным значением будет Ce, либо можете указать ХХ для автоматического выбора.

В поле Band указываем необходимые стандарты работы сети, а в поле Tx. Power - мощность передатчика с учетом коэффициента усиления антенн, для hAP это значение равно 17 дБм.

Можно поступить и несколько иначе, не указывать рабочую частоту вообще, в этом случае точки будут выбирать ее автоматически, исходя из эфирной обстановки. В этом случае дополнительно ставим флаг Save Selected, что предписывает точке запоминать последнюю выбранную частоту и Reselect Interval - интервал времени с периодичностью которого точка будет анализировать эфир и выбирать рабочую частоту.

Еще один вариант - задать список частот доступных точке для выбора, скажем 1 - 6 -11 каналы:

Как лучше сделать? Единственно верного ответа на этот вопрос нет, все зависит от топологии вашей сети и эфирной обстановки. Частотное планирование беспроводных сетей - обширный вопрос, заслуживающий отдельной статьи. Если же коротко, то в том хаосе, что творится в многоквартирных домах и офисных центрах оптимальным решением будет автоматический выбор частоты по всему диапазону, либо из заданного списка. В сетях с небольшим количеством клиентов и достаточным разнесением точек друг от друга можно оставить их все на одной частоте, возникающие при этом коллизии (внутриканальные помехи) протокол достаточно хорошо разрешает. В иных случаях чередуем точки на непересекающихся каналах, к этому мы еще вернемся позже.

Если вы используете оборудование для обоих диапазонов - 2,4 ГГц и 5 ГГц, то создайте настройки каналов для обоих. Также никто вас не ограничивает в их количестве. Можете сразу создать все необходимые варианты, а потом быстро их применять к текущим конфигурациям.

Следующий шаг - настройка шаблонов пересылки данных, для этого перейдем в CAPsMAN - DataPaths. Создадим новую настройку и обязательно укажем: Bridge - интерфейс сетевого моста, куда будет подключен беспроводной интерфейс после его активации. Обратите внимание, что выбранное значение применяется ко всем устройствам. В нашем случае bridge1 должен быть интерфейсом локальной сети для всех настраиваемых устройств.

Local Forwarding означает, что передачей данных между беспроводными клиентами управляет точка доступа, в противном случае все данные будут пересылаться контроллеру CAPsMAN, а обратно в беспроводную сеть будут отправляться только пришедшие от него данные. Это серьезно увеличивает нагрузку на проводной сегмент сети и должно использоваться только в тех случаях, когда вы действительно собираетесь фильтровать передаваемые данные на контроллере.

Сlient To Client Forwarding включает передачу данных между беспроводными клиентами, в гостевых сетях, в целях повышения безопасности, имеет смысл отключать.

Затем переходим в CAPsMAN - Security Cfg. и создаем новую настройку безопасности, здесь все просто, запутаться решительно негде:

После того, как вы выполнили данные настройки самое время создать конфигурацию, это можно сделать в CAPsMAN - Configurations. На вкладке Wireless указываем режим работы - Mode - ap - точка доступа. Имя беспроводной сети - SSID, Country - страна - russia3 (для России). Это основные настройки, но также можно указать и дополнительные, скажем Hw. Protection Mode - защита от скрытого узла.

На остальных вкладках указываем уже созданные нами шаблоны, хотя, как альтернатива, можно указать нужные настройки прямо тут.

Созданную нами конфигурацию нужно распространить на точки доступа, за это отвечает настройка развертывания CAPsMAN - Provisioning. Самый простой вариант будет выглядеть так: Radio MAC - везде нули, т.е. любая точка доступа, Action - create dynamic enabled - динамическое создание беспроводного интерфейса на точке доступа, Master Configuration - применяемая при создании интерфейса конфигурация.

На этом базовая настройка контроллера завершена, осталось только его включить, для этого в CAPsMAN - CAP Interface нажмите кнопку Manager и в открывшемся окне установите флаг Enabled.

Теперь перейдем к настройке точек доступа. Прежде всего убедимся, что беспроводной интерфейс не входит ни в один мост, а мост, смотрящий в локальную сеть, имеет имя bridge1, которое мы указали в настройках Datapath контроллера.

В Wireless - WiFi Interfaces нажимаем кнопку CAP и в открывшемся окне устанавливаем флаг Enabled, а также указываем: Interfaces - беспроводные интерфейсы, которые управляются CAPsMAN, если их несколько - добавляем все, Discovery Interfaces - сетевой интерфейс, через который осуществляется связь с контроллером, в нашем случае это тот же мост bridge1, но в более сложных сетях точка может работать в одной сети, а управляться через другую, поэтому стоит разделять эти понятия. Bridge - сетевой мост, куда будет подключен беспроводной интерфейс после активации.

После активации данного режима точка обнаружит контроллер и получит от него настройки, созданный интерфейс автоматически присоединится к указанному мосту, подключив беспроводную часть сети к проводной. Аналогичную настройку нужно выполнить на всех остальных точках доступа.

Вернемся на контроллер, управляемые точки доступа можно увидеть в CAPsMAN - CAP Interface, а подключенных клиентов в CAPsMAN - Registration Table, при этом будет указана точка доступа, к которой подключен клиент.

Теперь можете отправить кого-нибудь с клиентским устройством походить между точками доступа и посмотрите, как контроллер производит переключение.

Хорошо, когда все точки одинаковые и к ним можно применить одинаковые настройки, но что делать, если это не так и разные точки должны получать разные конфигурации? Нет проблем, прежде всего создадим необходимые конфигурации, а затем выясним MAC-адреса беспроводных интерфейсов точек, это можно сделать на вкладке CAPsMAN - Radio. Обратите внимание, что нам нужен именно Radio MAC.

Теперь возвращаемся на вкладку CAPsMAN - Provisioning и создаем настройки развертывания для каждой точки, указав ее Radio MAC, при этом настройку с нулевым MAC-адресом следует выключить, в противном случае к устройству применится именно она, а не персональные настройки.

На что еще стоит обратить внимание? На скриншоте выше есть две опции: Name Format и Name Prefix, они отвечают за формат имени беспроводных интерфейсов в CAPsMAN, по умолчанию это capN, что не слишком информативно, а также по мере изменения настроек номера интерфейсов могут меняться, что добавляет путаницы. Поэтому имеет смысл изменить порядок именования, если мы выберем identity, то имена интерфейсов будут формироваться согласно указанному в System - Identity имени устройства.

Если точки доступа двухдиапазонные, то можно выбрать в качестве формата имени prefix identity и указать префикс подключения, скажем, частотный диапазон, после чего имя интерфейса будет содержать не только наименование устройства, но еще и префикс, что позволит сразу идентифицировать устройство и беспроводной интерфейс в интерфейсе управления контроллера.

В данном материале мы рассмотрели далеко не все возможности CAPsMAN, ограничившись базовыми настройками для быстрого старта, более глубокая настройка требует более широких знаний и будет являться предметом отдельных статей.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор - официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.