Настройка капсман микротик 5g

Обновлено: 25.01.2025

Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik

Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга - а именно передачи клиента от одной точки доступа к другой. Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор - официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

У некоторых читателей сразу может возникнуть вопрос - а почему нельзя просто купить и наставить недорогих точек доступа, настроив на каждой один и тот же SSID и пароль? Сделать так, конечно же можно, только вот такая сеть не будет управляемой и приемлемого качества связи в ней достигнуть будет трудно. Основная проблема в том, что параметрами соединения всегда управляет клиент и он может держаться за более далекую и слабую точку до самого конца, хотя рядом есть другая, с более лучшими условиями приема. Получается что вроде бы и покрытие есть и сигнал везде вроде бы хороший, а качество связи оставляет желать лучшего.

Управляемые беспроводные сети работают иначе. Контроллер оценивает взаимное расположение клиента и точек доступа и когда он переходит в область обслуживаемую другой точкой доступа, старая точка его просто отключает, после чего он переподключается к новой, более мощной точке. Это довольно упрощенное изложение, но вполне достаточное для понимания происходящих процессов.

Сразу внесем ясность, настоящим бесшовным роумингом это не является, более правильно это назвать быстрым переключением, часть пакетов, особенно если это был поток UDP, при этом неизбежно потеряется. Но будем честными - бесшовный роуминг предполагает оборудование совсем иного класса и стоимости. А большинство современных сетевых приложений, в том числе и голосовые мессенджеры (Skype, Viber и т.д.) вполне нормально переносят быстрое переподключение, пользователь скорее всего даже ничего не заметит.

Но термин бесшовный давно устоялся и используется для таких сетей, хотя мы бы назвали его псевдобесшовным, но вы должны иметь представление о том, как все обстоит на самом деле и не питать необоснованных иллюзий.

Схема построения псевдобесшовной сети - это беспроводная поверх проводной. В качестве точек доступа вы можете использовать любые точки доступа или иные беспроводные устройства Mikrotik, которые могут работать в таком режиме. Контроллером CAPsMAN может быть любое устройство Mikrotik, даже не имеющее беспроводного интерфейса. В нашем примере мы собрали тестовую схему их двух беспроводных роутеров hAP, выполняющих роль точек доступа и роутера hEX, выступающего в роли контроллера.

Настройку следует начинать с контроллера. Откроем Winbox и перейдем в раздел CAPsMAN, здесь нам следует создать ряд необходимых шаблонов, из которых потом, как из кирпичиков, мы будем формировать конфигурации для беспроводных устройств. Мы не будем подробно рассматривать беспроводные настройки, обходясь необходимым минимумом, более подробно об этом вы можете прочитать в нашей статье: Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа.

Начнем с рабочих каналов, переходим в CAPsMAN - Channels и создаем новую настройку. В самом простом варианте это будет одна рабочая частота, например, 2412 МГц или 1 канал. Обратите внимание, выпадающего списка частот тут нет, просто указываем значения руками. Затем задаем ширину канала в поле Control Channel Width, если вы указали широкий канал, то укажите и направление его расширения по частоте в поле Extension Channel, если мы говорим о первом канале, то здесь единственным значением будет Ce, либо можете указать ХХ для автоматического выбора.

В поле Band указываем необходимые стандарты работы сети, а в поле Tx. Power - мощность передатчика с учетом коэффициента усиления антенн, для hAP это значение равно 17 дБм.

Можно поступить и несколько иначе, не указывать рабочую частоту вообще, в этом случае точки будут выбирать ее автоматически, исходя из эфирной обстановки. В этом случае дополнительно ставим флаг Save Selected, что предписывает точке запоминать последнюю выбранную частоту и Reselect Interval - интервал времени с периодичностью которого точка будет анализировать эфир и выбирать рабочую частоту.

Еще один вариант - задать список частот доступных точке для выбора, скажем 1 - 6 -11 каналы:

Как лучше сделать? Единственно верного ответа на этот вопрос нет, все зависит от топологии вашей сети и эфирной обстановки. Частотное планирование беспроводных сетей - обширный вопрос, заслуживающий отдельной статьи. Если же коротко, то в том хаосе, что творится в многоквартирных домах и офисных центрах оптимальным решением будет автоматический выбор частоты по всему диапазону, либо из заданного списка. В сетях с небольшим количеством клиентов и достаточным разнесением точек друг от друга можно оставить их все на одной частоте, возникающие при этом коллизии (внутриканальные помехи) протокол достаточно хорошо разрешает. В иных случаях чередуем точки на непересекающихся каналах, к этому мы еще вернемся позже.

Если вы используете оборудование для обоих диапазонов - 2,4 ГГц и 5 ГГц, то создайте настройки каналов для обоих. Также никто вас не ограничивает в их количестве. Можете сразу создать все необходимые варианты, а потом быстро их применять к текущим конфигурациям.

Следующий шаг - настройка шаблонов пересылки данных, для этого перейдем в CAPsMAN - DataPaths. Создадим новую настройку и обязательно укажем: Bridge - интерфейс сетевого моста, куда будет подключен беспроводной интерфейс после его активации. Обратите внимание, что выбранное значение применяется ко всем устройствам. В нашем случае bridge1 должен быть интерфейсом локальной сети для всех настраиваемых устройств.

Local Forwarding означает, что передачей данных между беспроводными клиентами управляет точка доступа, в противном случае все данные будут пересылаться контроллеру CAPsMAN, а обратно в беспроводную сеть будут отправляться только пришедшие от него данные. Это серьезно увеличивает нагрузку на проводной сегмент сети и должно использоваться только в тех случаях, когда вы действительно собираетесь фильтровать передаваемые данные на контроллере.

Сlient To Client Forwarding включает передачу данных между беспроводными клиентами, в гостевых сетях, в целях повышения безопасности, имеет смысл отключать.

Затем переходим в CAPsMAN - Security Cfg. и создаем новую настройку безопасности, здесь все просто, запутаться решительно негде:

После того, как вы выполнили данные настройки самое время создать конфигурацию, это можно сделать в CAPsMAN - Configurations. На вкладке Wireless указываем режим работы - Mode - ap - точка доступа. Имя беспроводной сети - SSID, Country - страна - russia3 (для России). Это основные настройки, но также можно указать и дополнительные, скажем Hw. Protection Mode - защита от скрытого узла.

На остальных вкладках указываем уже созданные нами шаблоны, хотя, как альтернатива, можно указать нужные настройки прямо тут.

Созданную нами конфигурацию нужно распространить на точки доступа, за это отвечает настройка развертывания CAPsMAN - Provisioning. Самый простой вариант будет выглядеть так: Radio MAC - везде нули, т.е. любая точка доступа, Action - create dynamic enabled - динамическое создание беспроводного интерфейса на точке доступа, Master Configuration - применяемая при создании интерфейса конфигурация.

На этом базовая настройка контроллера завершена, осталось только его включить, для этого в CAPsMAN - CAP Interface нажмите кнопку Manager и в открывшемся окне установите флаг Enabled.

Теперь перейдем к настройке точек доступа. Прежде всего убедимся, что беспроводной интерфейс не входит ни в один мост, а мост, смотрящий в локальную сеть, имеет имя bridge1, которое мы указали в настройках Datapath контроллера.

В Wireless - WiFi Interfaces нажимаем кнопку CAP и в открывшемся окне устанавливаем флаг Enabled, а также указываем: Interfaces - беспроводные интерфейсы, которые управляются CAPsMAN, если их несколько - добавляем все, Discovery Interfaces - сетевой интерфейс, через который осуществляется связь с контроллером, в нашем случае это тот же мост bridge1, но в более сложных сетях точка может работать в одной сети, а управляться через другую, поэтому стоит разделять эти понятия. Bridge - сетевой мост, куда будет подключен беспроводной интерфейс после активации.

После активации данного режима точка обнаружит контроллер и получит от него настройки, созданный интерфейс автоматически присоединится к указанному мосту, подключив беспроводную часть сети к проводной. Аналогичную настройку нужно выполнить на всех остальных точках доступа.

Вернемся на контроллер, управляемые точки доступа можно увидеть в CAPsMAN - CAP Interface, а подключенных клиентов в CAPsMAN - Registration Table, при этом будет указана точка доступа, к которой подключен клиент.

Хорошо, когда все точки одинаковые и к ним можно применить одинаковые настройки, но что делать, если это не так и разные точки должны получать разные конфигурации? Нет проблем, прежде всего создадим необходимые конфигурации, а затем выясним MAC-адреса беспроводных интерфейсов точек, это можно сделать на вкладке CAPsMAN - Radio. Обратите внимание, что нам нужен именно Radio MAC.

Теперь возвращаемся на вкладку CAPsMAN - Provisioning и создаем настройки развертывания для каждой точки, указав ее Radio MAC, при этом настройку с нулевым MAC-адресом следует выключить, в противном случае к устройству применится именно она, а не персональные настройки.

На что еще стоит обратить внимание? На скриншоте выше есть две опции: Name Format и Name Prefix, они отвечают за формат имени беспроводных интерфейсов в CAPsMAN, по умолчанию это capN, что не слишком информативно, а также по мере изменения настроек номера интерфейсов могут меняться, что добавляет путаницы. Поэтому имеет смысл изменить порядок именования, если мы выберем identity, то имена интерфейсов будут формироваться согласно указанному в System - Identity имени устройства.

Если точки доступа двухдиапазонные, то можно выбрать в качестве формата имени prefix identity и указать префикс подключения, скажем, частотный диапазон, после чего имя интерфейса будет содержать не только наименование устройства, но еще и префикс, что позволит сразу идентифицировать устройство и беспроводной интерфейс в интерфейсе управления контроллера.

CAPsMAN - это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.

Преимущество централизованного управления точками доступа в том, что происходит организация бесшовного WiFi. Это означает, что переключение между точками доступа с одинаковым SSID происходит незаметно для конечного пользователя.

Для организации такой схемы работы точек доступа WiFi необходимо понять следующее:

Освоить MikroTik Вы можете с помощью онлайн-куса « Настройка оборудования MikroTik ». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Процесс подключения точки WiFi к CAPsMAN.

Здесь будет немного теории, описывающей процессы подключения CAP к CAPsMAN. Самые нетерпеливые могут пропустить и приступить к непосредственной настройке со следующего пункта.

Подключение точки CAP к CAPsMAN может осуществляться на канальном уровне Layer2 используя mac-адреса и на сетевом уровне Layer3 используя ip-адреса. Подключение на основе Layer3 может пригодиться когда точка доступа и CAPsMAN находятся в разных сегментах сети.

Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:

Списка ip-адресов
списка CAPsMAN полученного от DHCP сервера
широковещательных запросов на уровне Layer 2 и Layer 3;

После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:

список имен разрешенных в CAPsMAN Names;
контроллер точек доступа доступный по MAC предпочтительнее доступного по IP.

После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:

На CAPsMAN и CAP нет сертификатов - подключение без аутентификации;
Сертификат только у CAPsMAN - аутентификация возможна в случае следующей настройки на менеджере require-peer-certificate=no;
CAPsMAN и CAP имеют доверенные сертификаты - взаимная аутентификация.

В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст, то CAP не будет проверять это поле CommonName.

В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.

Настройка CAPsMAN

Чтобы настроить CAPsMAN Mikrotik нужно выбрать роутер, который будет использоваться в качестве контроллера, создать на нем конфигурацию для управляемых точек доступа WiFi, задать правила обнаружения точек и активировать CAPsMAN. Затем необходимо выполнить настройку управляемых точек доступа для получения конфигурации WiFi от контроллера.

Рассмотрим простейший способ настройки CAPsMAN, когда точки WiFi находятся в одной широковещательной сети (Layer 2) с контроллером и для подключения точек не используется сертификат.

Настройка CAPsMAN в роутерах Mikrotik осуществляется через соответствующую настройку в Winbox путем создания конфигурации, которая будет отправляться на подключаемые в сеть точки доступа WiFi.

На роутере, который будет выступать в качестве контроллера точек доступа WiFi, открываем меню настройки CAPsMAN.

В конфигурации, которая будет отправляться на подключенные точки доступа WiFi, необходимо настроить следующие обязательные параметры:

Channels
Datapaths
Security Cfg.

1. CAPs Configuration - создание конфигурации.

Открываем вкладку Configurations и создаем новую конфигурацию.

Wireless.

Выбираем Mode - доступен только AP.
Вводим название вашей WiFi сети SSID.

Channel.

Указываем обязательные параметры:

Frequency - частота вещания беспроводной сети. Здесь нет возможности выбора частот из списка, поэтому частоту нужно вписывать вручную. Для России 13 каналов с шагом в 5MHz: 2412, 2417, 2422, 2427, 2432 . 2472;
Control Channel Width - ширина вещания канала. Выбираем оптимальную для офиса 20MHz (оптимальное соотношение дальности сигнала и пропускной способности);
WiFi Band - группа стандартов WiFi. Предпочтительно использовать более современные и быстрые стандарты 2ghz-onlyn (802.11n), но если в сети есть довольно старые устройства работающие по стандартам 802.11b или 802.11g тогда лучше выбрать совместимый режим 2ghz-b/g/n.

Datapath.

Переходим на вкладку Datapath. Здесь необходимо указать Bridge через который будет передаваться сетевой трафик между CAPsMAN и CAP. В стандартной конфигурации это bridge в котором объединены локальные порты.

Если активировать параметр LocalForwarding, то трафиком точки доступа будет управлять не CAPsMAN, а сама точка.

Security Cfg.

Authentication Type - тип аутентификации, выбираем WPA2PSK;
Encryption - шифрование одноадресной рассылки aes ccm;
Passphrase - пароль для подключения к WiFi.

Настройка конфигурации завершена, но стоит упомянуть способ использования шаблонов для конфигураций CAPsMAN.

Использование шаблонов настроек Channels, Datapaths, Security Cfg.

Обратите внимание в меню CAPsMAN так же есть вкладки Channel, Datapath и Security Cfg.

В этих вкладках так же можно задать все те же настройки и сохранить их в шаблон, который потом можно просто подключить в конфигурацию выбрав нужный шаблон. Например, для Channel это будет выглядеть так:

2. Добавляем правила обнаружения Provisioning.

В разделе CAPs Provisioning задаются правила для поиска точек доступа.

Создадим простое правило, которое будет автоматически подключать к CAPsMAN любую обнаруженную в сети точку доступа WiFi.

Radio MAC: 00:00:00:00:00:00;
Action: create dynamic enabled;
Master configuration: cfg1 - имя ранее созданной конфигурации;

3. Включаем CAPsMAN

Чтобы включить CAPsMAN нажимаем на кнопку Manager и отмечаем пункт Enabled.

Для безопасности необходимо настроить интерфейсы, на которых CAPsMAN будет слушать точки доступа WiFi. Для этого нажимаем на кнопку Interfaces.

В стандартной конфигурации создано правило для всех интерфейсов all - его необходимо запретить. Выбираем это правило и отмечаем Forbid.

Добавляем новое правило, которое указывает CAPsMAN слушать только локальные интерфейсы в bridge.

Настройка контролируемой точки доступа WiFi (CAP).

Подключаемся через Winbox к точке доступа WiFi, открываем таблицу беспроводных интерфейсов Wireless и нажимаем кнопку CAP на панели инструментов.

Для успешной работы точки доступа WiFi совместно с CAPsMAN необходимо указать следующие настройки:

отмечаем пункт Enabled;
Interface - беспроводной интерфейс, который будет контролироваться CAPsMAN, например wlan1;
Discovery interface - интерфейс на котором CAP, будет искать контроллер CAPsMAN (интерфейс ether1);
Bridge - мост, через который будет идти трафик (bridge).

На этом настройка подключения точки доступа WiFi к CAPsMAN завершена.

Проверим смогла ли подключиться CAP к контроллеру.

Открываем CAPsMAN и смотрим таблицу CAP Interface. Здесь должны появиться все подключенные WiFi точки. На моем скриншоте видно 5 подключенных CAP c двумя интерфейсами на каждую - для основного WiFi интерфейса (Master) и виртуального WiFi (Slave).

Во вкладке Registration Table можно посмотреть подключенных к точкам WiFi клиентов.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

К этой статье было введение с описанием, того что такое вообще бесшовный роуминг. А сейчас я опишу базовый функционал который необходим для запуска Wi-Fi сети с помощь менеджера точек доступа.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Использоваться для настройки будет самая свежая версия MikroTik Router OS 6.44.6 Long Term. Точки доступа MikroTik hAP AC Lite лочёные под регион Russia 3.

Подготовка клиентских точек доступа

В новых версиях Router OS всё просто. Они просто сбасываются на настройки по умолчанию в CAPsMAN mode.

Полезным будет установить название каждой точки доступа. Это позволит индефицировать их в CAPsMAN:

Настройка системы управления точками доступа

Для начала нужно включить CAPsMAN:

Думаю не лишним будет написать, что версия Router OS на точках доступа и контроллере должна быть одинаковой. Хотя из практики - работает c мелкими глюками и так! Пакет Wireless должен быть установлен на контроллере и само собой на AP.

Настроим каналы для 5гГц сети. Для региона russian 3 возможно только 3 полностью не пересекающихся канала с шириной 40 мГц. Правда возможны некоторые смещения +/- 20мГц. Если хотите, вы можете не задавать каналы в которых будут работать точки доступа доверив выбор CAPsMAN. Мы же покажем как это делается:

А вот ширину канала для диапазона 5гГц выбрать отличной от 2.4гГц имеет смысл. Ведь диапазон этот гораздо шире.

Не очень очевидно она задаётся. Надо настраивать параметр Extension Cannel:

XX, eC, Ce - 40 мГц

XXXX, eeeC, eeCe, eCee, Ceee - 80 мГц

disable - 20 мГц

Control Chanel Width лучше не трогать и оставить 20мГц так как изменение его на значения отличные от 20 приводит к тому что клиенты или не видят точки доступа или точки доступа не принимают каналы.

Для 2.4гГц при плотном расположении точек доступа имеет смысл выбирать 1, 5, 9, 13 каналы:

Extension Cannel: disable так как диапазон достаточно узок.

Мощность точек доступа так же можно тут выбрать, но на их работе в среднем это в лучшую сторону почти не отражается.

Настройка того как будут идти данные - Datapaths

Две настройки казалось бы приводящие к закольцовке сети:

Client To Client Forwarding - можно ли на L2 уровне передавать данные между клиентами точек доступа. Запрет передачи данных между клиентами в больших сетях пока является одним из самых рабочих инструментов для устранения не стабильности работы Wi-Fi.

Настройка параметров шифрования

На 2019 год в MIkroTik для сетей с общим ключём самым сильным будет использование WPA2+aes. Хотя в других роутерах уже появился WPA3.

Исключительно для примера Passphrase стоит 12345678. Вам же рекомендую использовать для ключа к сети буквы в малом и большом регистре, цифры и спецсимволы.

Для очень старых устройств приходится дополнительно использовать WPA и tkip. Если у вас в сети нужна максимальная совместимость от WPA и tkip вы не сможете отказаться.

Конфигурации для 2.4 и 5 гГц

Выберем название сети и страну:

Выберем как пускать трафик с точек доступа:

Выберем ранее созданный профиль шифрования:

Выберем ранее созданные каналы для 2.4 гГц

Аналогично создадим конфигурацию cfg2 для 5гГц выбрав каналом cannel5.

Развёртывание сети 2.4гГц и 5гГц (Provisioning)

Довольно просто всё: для A/AN/AC развёртывается cfg2 для B/G/GN cfg1

Отдельного внимания заслуживает Slave Configuration который позволяет развёртывать Virtual AP на точках доступа. Для этого вам лишь необходимо создать отдельную конфигурацию с другими настройками, например для гостевой сети.

Полезным будет изменить формат имени точек доступа в CAPsMAN:

Для генерации имени использовать префиксы 5gHz и 2.4gHz и имена точек доступа установленые в Identity (205 komnata):

В результате должно получиться так:

P.S. Конфигурации для 5гГц развёртываются с задержкой в 30 секунд из-за проверки точкой доступа занятости частоты радаром.

Гвоздём нашей программы будет настройка CAPsMAN v2 на роутере MikroTik – то есть контроллера управления точками доступа. Он позволяет конфигурировать устройства из единого места, назначать каналы и их ширину, SSID, профили безопасности, централизованную блокировку устройств, аутентификация устройств на основе сертификатов, и много другое. Обновлённая версия продукта входит в стандартный пакет RouterOS с версии 6.37. Первой версии не совместима со второй. Для его работы нужен уровень лицензии 4 и выше.

Стоит отметить важный нюанс, если все ваши точки доступа, настроены на получение конфигураций от контроллера, и он по каким-либо причинам не доступен, то все AP прекратят своё вещание до тех пора, пока CAPsMAN не станет доступным.

Схема сети

RouterOS 6.47.4;
192.168.0.0/24 – LAN;
Mikrotik RB951G-2HnD – CAPsMAN, настроен интернет, DNS, DHCP;
Mikrotik RB951Ui-2HnD и RB951Ui-2nD (hAP) – точки доступа;
Устройства подключены по кабелю.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Настройка CAPsMAN

Подключимся на роутер RB951G и выведем действующую конфигурацию:

В General-Bridge входят ehter2-4, ether1 – смотрит в интернет (выход в интернет у нас отсутствует, т.к. для демонстрации решения он нам не понадобится), назначен IP адрес, DNS и NAT.

Все настройки будут производиться в меню CAPsMAN.

Channels

Создадим первый канал на частоте 2412, ширина в 20Mhz, стандарт G и N.

По аналогии создадим шестой и одиннадцатый каналы.

Datapath

Создадим правило, которое будет добавлять в локальный General-Bridge интерфейсы подключённых AP.

Local Forwarding – если не установлена галочка, значит клиентская AP будет форвардить трафик через контроллер. Если у вас много точек доступа, от 5-10 и на них много клиентов, то для разгрузки лучше включать данную галочку.
Client to Client Forwarding – данный параметр разрешает обмениваться трафиком между клиентами AP.

Создадим второй Datapath для гостевой сети. В нем отключим обмен данными между клиентами.

Security

Сконфигурируем профиль безопасности для защищённой сети, указав:

Имя профиля:
Тип аутентификации;
Шифрование;
Пароль.

Настроим второй профиль, для открытой сети, без указания типов шифрования, пароля и т.д.

Configurations

На данном этапе мы создаём конфигурации. Т.к. у нас будет закрытые и открытые сети, то нам понадобятся 2 конфига. Для первого в wireless укажем:

Имя конфигурации;
Режим работы;
SSID;
Место нахождения;
Hw. Protection Mode;
Страна;
Максимальное количество клиентов.

Откроем Datapath и выберем первый.

Профиль безопасности так же нужен первый.

Создадим второй конфиг с незначительными изменениями.

Datapath и Security Profile выберем вторые.

Provisioning

Action могут быть различные:

None – ничего не делать;
Create enabled – в этом случае создаются статические интерфейсы;
Create disabled – создать и выключить;
Create dynamic enabled – используется для тестирования, после чего рекомендуется прибить гвоздями Create enabled.

Включение CAPsMAN

Столько мучений, ради одной заветной галочки.

Настройка AP

Подключимся к микротику RB951Ui-2HnD и взглянем на его настройки. Ничего особенного. Имеем бридж и адрес на нем.

Для получения конфига, перейдём в Wireless – CAP:

Включаем CAP;
Interface – тот, на котором будет применены настройки;
CAPsMAN Address – указываем адрес контроллера, для обеспечения резервации можно указать несколько, если таковы у вас имеются;
Bridge – тот мост, в который добавятся созданные интерфейсы с полученный конфигураций с контролера.

Обратите внимание, что wlan1 отключён.

В качестве примера, мы добавляем и WiFi-1 и WiFi-2-Guest в общий бридж. В реальной жизни так делать, конечно, не надо. Следует разделить все по VLAN: основной сети, гостевой и management vlan.

Как вы видите, появился соответствующий комментарий, теперь данной AP управляет контроллер.

После того как прилетят настройки, мы их увидим в описании каждого интерфейса. Но внимательный читатель заметит, что конфиг немного не тот, что указывали выше, в частности канал, согласно параметрам нам должен был прилететь 2412, а по факту 2452. Исправим это на контроллере. На вкладке CAP Interface мы видим все успешно подключённые клиентские AP. Флаг D означает – динамический.

Превратим их в статические и зададим корректные каналы. Двойным кликом открываем cap1, жмём copy.

В скопированном интерфейсе указываем корректный канал, datapath, cfg и security.

После применения, оба интерфейса пропадут и останется в нашем случае cap3. Переименуем его в понятное имя.

После сохранения снова копируем. Задаём корректное имя для WiFi-2-Guest и выбираем Master Interface

Указываем соответствующий конфиг, канал, datapath и профиль безопасности.

Список CAP интерфейсов должен быть следующий.

На клиенте теперь нужно выключить и включить CAP в Wireless. Вот теперь все в порядке.

Создадим provisioning для RB951Ui-2nD (hAP) изменив IP Address Ranges, или указав Radio MAC, в качестве эксперимента попробуем этот вариант (в реальной жизни, старайтесь соблюдать единообразие конфигов). Этот тот самый MAC, который светится в настройках конкретной карточки.

Теперь включим CAP на RB951Ui-2nD (hAP).

Снова проблемы с каналами. Проделаем такой же трюк с копированием интерфейсов, необходимо изменить частоту согласно channel6. Не забываем про профили безопасности, datapath и cfg.

После выключения/включения CAP, должны получить правильный конфиг.

У нас остался третий девайс, это сам контроллер. Да-да, он может быть так же сам для себя им.

Итого у нас есть 3 девайса, на разных каналах, на каждом по 2 AP с разным SSID. Проверим это!

Бесшовный роуминг

Хитрость состоит в том, что нужно грамотно расставить точки доступа. Под грамотно, я понимаю, чтобы уровень сигнала клиентского устройства был в пределах -70-75 и тогда, CAPsMAN увидит, на основе своего анализа, что у вас блин хреновый сигнал, и переключит на ближайшую точку (если она установлена правильно, если сигнал ее лучше и если она вообще есть). Переключение в ДАННОМ случае, будет начинаться со второго этапа аутентификации, а не с первого, т.е. полного, как ели бы вы сделали это выкидыванием клиентов. Это и есть дополнительная, подчёркиваю, дополнительная фича, а не крутая реализация роуминга.

Access List нужен для других целей – блокировка / разрешение доступа к точкам. В контексте CAPsMAN это работает централизованно.

Вы только посмотрите, можно запрещать или разрешать определённым MAC адресам цепляться на конкретных или всех AP.

Начал одним, а закончил другим))), надеюсь теперь все стало понятно.

Настройка сертификатов

К сожалению, первая версия имела изъяны, и без труда можно было прикинуться AP. Ситуация изменилась с появлением сертификатов и улучшенных механизмов работы. Не будем заострять внимание на генерации сертификатов, это, пожалуй, отдельная тема, тем более их можно создавать, не отходя от кассы. Но имейте в виду, что они сгенерятся на максимально возможны срок.

Открываем Manager, в Certificate и CA Certificate ставим значение auto.

После применения, роутер сгенерировал CA и сертификат для роутера. Укажем их вместо auto в выпадающем списке.

Подключаемся к Mikrotik RB951Ui-2HnD, открываем CAPsMAN в Wireless, в строке Certificate выбираем auto.

После чего, клиент отправит на контроллер запрос сертификата и получит его. Следом меняем auto на выданный сертификат из выпадающего списка. Так же рекомендую указать CAPsMAN Certificate Common Name. Ставя галочку Lock To CAPsMAN, мы жёстко привязываемся. Но если вы отзовёте сертификат контроллера, то точки перестанут работать.

Если все хорошо, то конфиг прилетит без проблем. Проделываем то же самое для остальных AP. После чего на контроллере ставим галочку Require Peer Certificate.

Теперь принудительно требуем у точек наличие сертификата.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдёте для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Читайте также: