Настройка MikroTik Capsman WiFi на частоте 2 4 и 5ГГц

Инструкции по настройке MikroTik

Настройка MikroTik CapsMan WiFi, бесшовный WiFi роуминг

Настройка MikroTik CapsMan WiFi, бесшовный WiFi роуминг

Краткое описание: Руководство по настройке MikroTik CapsMan WiFi, бесшовного WiFi роуминга. Поддержка частоты 2,4 и 5ГГц. Процедура обновления точки доступа WiFi после изменения конфигурации CAPsMAN, а также правило CAPsMAN для бесшовного роуминга.

Нужна настройка MikroTik CAPsMAN?

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Настройка MikroTik Capsman WiFi на частоте 2,4 и 5ГГц

Оборудование MikroTik существенно отличается от своих конкурентов наличием в прошивке менеджера управления WiFi сетями Capsman. Он выступает в качестве центрального контроллера для все WiFi точек, является носителем конфигурации. А сам роутер в это время обрабатывает пакеты. Удобно, не правда ли?

В рассмотренной конфигурации будет присутствовать оба модуля WiFi на частотах 2,4 и 5ГГц. Но если же конфигурация имеет поддержку лишь одного модуля WiFi, нужно описать только его.

Включить контроллер CAPsMAN

Настройка MikroTik CapsMan WiFi, включить контроллер

Upgrade Policy = require same version версия RouterOS точки доступа должна быть точно такой же как и версия прошивки контроллера CAPsMAN.

Определение частотных каналов

Настройка находится в CAPsMAN->Channels

Настройка MikroTik CapsMan WiFi, настройка Channels 2,4ГГц

Настройка MikroTik CapsMan WiFi, настройка Channels 5ГГц

Datapath

Datapath как настройка будет общая для обоих модулей WiFi, т.к. оба модуля имеют принадлежность к Bridge через Ports.

Настройка находится в CAPsMAN->Datapaths

Настройка MikroTik CapsMan WiFi, настройка Datapath

Local Forwarding – трафик, который будет приходить от клиента будет обрабатываться контроллером Capsman(чек бокс не установлен) или самой точкой доступа(с активным чек боксом). Это можно применять для разгрузки центрального маршрутизатора, который помещает виртуальные интерфейсы, созданные CAPsMAN, в локальный бридж(Bridge). Local Forwarding не подходит для гостевой сети. В случае с гостевой сетью, параметр Local Forwarding минует бридж(Bridge) и тем самым обрабатывает пакет только на L2. Как следствие – процессор не задействуется и нельзя воспользоваться Firewall.

. Если параметр активирован, все остальные настройки в разделе datapath не будут восприниматься подключенной точкой доступа.

Client To Client Forwarding – разрешение обмена трафика между клиентами. Для примера: в гостевой сети необходимо запретить такой обмен, а вот в локальной сети – разрешить.

Безопасность, задание пароля

Настройка находится в CAPsMAN->Security Cfg.

Настройка MikroTik CapsMan WiFi, пароль WiFi

Общая конфигурация

В этом разделе нужно добавить две отдельные конфигурации, но суть их в одном – указать ссылки на произведенные ранее настроить в разделах Channels, Datapaths, Security Cfg. Будет рассмотрена конфигурация для частоты 2,4ГГц, а 5ГГц настраивается по абсолютной аналогии.

Настройка находится в CAPsMAN->Configurations

Настройка MikroTik CapsMan WiFi, конфигурация 2,4ГГц

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка MikroTik CapsMan WiFi, конфигурация частоты 2,4ГГц

Настройка MikroTik CapsMan WiFi, конфигурация datapath 2,4ГГц

Настройка MikroTik CapsMan WiFi, конфигурация security 2,4ГГц

Provisioning, распространение конфигурации на точки доступа

Настройка находится в CAPsMAN->Provisioning

Настройка MikroTik CapsMan WiFi, Provisioning 2,4ГГц

Настройка MikroTik CapsMan WiFi, Provisioning 5ГГц

Подключение точки доступа WiFi к Capsman

После того, как будет проделаны все настройки, нужно перейти к настройке самой точки доступа, как правило это или отдельное устройство или WiFi модуль на самом роутере.

Info: Версия прошивки RouterOS точки доступа должна быть точно такой же как и на контроллере WiFi CAPsMAN. Как обновить прошивку в MikroTik →

Настройка находится в Wireless->WiFi Interfaces

Настройка MikroTik CapsMan WiFi, настройка точки доступа

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

правило в Provisioning Action=create dynamic enabled создаст виртуальные интерфейсы по всем настроенным точкам доступа.

Настройка MikroTik CapsMan WiFi, динамическое добавление точек доступа

Удобной практикой станет перевод динамических точек в статические, с заданием имени для каждой из точек доступа WiFi. Можно это сделать через команду копирования:

Настройка MikroTik CapsMan WiFi, настройка статических точек доступа

Список подключенных клиентов будет иметь соответствующий вид

Настройка MikroTik CapsMan WiFi, список подключенных WiFi клиентов

По данному списку легко просмотреть к какой из точек подключен клиент, а также уровень сигнала, который может указать на возможные проблемы со скоростью.

Обновление конфигурации Capsman для подключенных точек доступа WiFi

После изменения одного из разделов Capsman, новую конфигурацию желательно загрузить на саму точку доступа. Данное действие совершается отдельной командой.

Настройка находится в CAPsMAN->Remote CAP->Provision

Настройка MikroTik CapsMan WiFi, обновление конфигурации на точках доступа

Правило Capsman для бесшовного роуминга

Термин бесшовный роуминг следует взять в “”, т.к. он не соответствует действительности. Оборудование MikroTik на данный момент не поддерживает технологию бесшовного роуминга, т.е. ни контроллер Capsman ни точка доступа WiFi не занимаются переключением клиента во время миграции от одной точки доступа к другой. Все эти процессы ложатся на самого WiFi клиента, а MikroTik обеспечивает лишь быстрое переключение, тем самым сокращая потерю сигнала. Быстрый роуминг достигается добавление правила, в котором указывается, что если у клиента слабый сигнал его нужно отключить. Это способствует повторному подключению клиента к более мощной WiFi точке.

ВАЖНО. Часто это правило может быть причиной лишнего обращения в службу поддержки, т.к. 1Мб со стороны клиента это лучше, чем неудачная попытка подключиться к точке доступа с уровнем сигнала ниже -85dbi.

Настройка MikroTik CapsMan WiFi, правило для бесшовного роуминга

Понравилась статья, отблагодари автора, посмотри рекламу. СпасибоПоддержи автора статьи, сделай клик по рекламе ↓↓↓

Есть вопросы или предложения по настройке CAPsMAN в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий

Источник

Настройка авторизации пользователей гостевой сети Wi-Fi через CAPsMAN на Mikrotik

В случае если у вас используется оборудование MikroTik и все точки доступа подключены через CAPsMAN, то для поднятия гостевой сети достаточно добавить новый сетевой интерфейс HS_bridge и создать отдельную политику для CAPsMAN. После применения этой политики все точки доступа начнут раздавать новый SSID с включенным механизмом авторизации Hotspot.

Общие понятие о CAPsMAN

Controlled Access Point system Manager (CAPsMAN) — это менеджер системы управляемых точек доступа.

Суть работы технологии заключается в покрытии больших площадей единой сетью Wi-Fi с помощью множества точек доступа и безболезненное переключение от точки к точке без потери сети.

Ключевым моментом является то, что для поднятия системы не требуется дополнительного оборудования — контроллером может выступать любая из точек в составе сети, с которой может происходить управление всеми остальными точками.

Условием использования данной технологии является, собственно, наличие беспроводного оборудования Mikrotik с RouterOS v6.11 и выше, CAPsMAN v2 доступен в версии RouterOS v6.22 и выше. На самом контроллере наличие беспроводного интерфейса не является обязательным.

Настройка CAPsMAN на Mikrotik

Настроить Hotspot для всех точек можно создать двумя способами:

  1. через Terminal;
  2. через Winbox или web-интерфейс.

Настройка через Terminal быстрее, но если вы не знакомы с командами RouterOS, то лучше использовать графическую оболочку через Winbox или web-интерфейс.

Пример настройки через Winbox

Создадим конфигурацию для всех точек CAP, перейдите в раздел CAPsMAN/Configuration добавьте новую конфигурацию.

В Datapath указываем интерфейс Hotspot, в нашем случае это HS_bridge

Настраиваем Security, если WiFi сеть будет открытая то пропустите этот раздел, если закрытого типа то укажите тип аутентификации и пароль.

Источник

MikroTik: настройка домашней и гостевой Wi-Fi сетей с использованием CAPsMAN без VLAN

Продолжаю опыты по построению своей домашней “идеальной” сети.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Сегодня настраиваем Wi-Fi на MikroTik с использованием CAPsMAN. Почему использую CAPsMAN, а не настраиваю просто точку доступа – хочется иметь готовый шаблон для развёртывания сразу нескольких AP, а не возиться с каждой по отдельности. Да и глупо не использовать такой инструмент от MikroTik, если он уже есть.

Предполагается что основной маршрутизатор уже настроен, если нет, то читаем “MikroTik: Базовая настройка и настройка подключения L2TP от Билайн + IPTV“.

На основном маршрутизаторе (он же и будет выполнять роль CAPsMAN) настроены bridge-WAN, bridge-LAN (192.168.253.1/24), гостевая сеть будет 192.168.0.0/24, firewall и NAT для локальной сети.

Включение и настройка CAPsMAN (основная сеть)

Включаем CAPsMAN

Добавляем и настраиваем каналы

У меня это так, у вас может быть по другому

Здесь вроде всё стандартно и понятно. Единственно стоит оговориться о канале channel_2.4GHz_auto. В нём перечислены сразу три частоты. Сделано это для реализации автоматического выбора канала на точке доступа. Я данной возможностью не пользуюсь и привёл как пример.

Добавляем и настраиваем datapaths

Здесь происходит настройка на какой бридж будут привязываться интерфейсы wlan (CAP). На что стоит обратить внимание, так это на пункт Local Forwarding. Если он включен то маршрутизацией будет заниматься CAP, если выключен то CAPsMAN.

То есть интерфейс wlan будет привязываться или к бриджу на CAP или к бриджу на CAPsMAN. В последнем случае на CAP вообще почти ничего настраивать не нужно, даже IP адрес не нужен если CAP находится в одном сегменте с CAPsMAN, достаточно L2. И это круто, но об этом чуть ниже ))

Добавляем Security Configurations

Здесь собственно и комментировать нечего – всё стандартно. Тип шифрования, пароль.

Создаём Configurations

Создаём две конфигурации (или больше, в зависимости от потребностей) на 2.4GHz и на 5GHz. Всё как в настройках стандартной точки доступа. Во вкладках Chanel, Datapath и Security выбираем наши предопределённые шаблоны. При необходимости их можно переписать настройками в самой конфигурации, они имеют больший приоритет.

Provisioning – привязка CAP’s к настроенным конфигурациям

Здесь собственно и настраиваются правила по которым тот или иной CAP привязывается к конкретной конфигурации.

Radio MAC – если сюда вбить MAC конкретной точки, то к выбранной конфигурации привяжется только она.

Hw. Support Modes – в моём примере, если точка поддерживает стандарты b, g и gn то она значит работает на частоте 2.4GHz и ей присваивается конфигурация cfg-2.4GHz, если точка поддерживает стандарты a, an, ac то работает значит на частоте 5GHz и ей присваивается соответствующий конфиг.

Читайте также:  Wifi one v 4pda

Так же можно отсортировать точки по Identity, Common Name и диапазону IP-адресов.

Actioncreate dynamic enables. Каждой CAP создаётся интерфейс в bridge, который мы назначили в Datapaths.

Name Format и Name Prefix – правила по которым создаются имена интерфейсов, в принципе на работу никак не влияют, только на удобочитаемость.

На этом собственно настройка CAPsMAN для домашней сети закончена и пора приступить к настройке CAP. Гостевую сеть добавим чуть попозже.

Настройка CAP

Здесь всё не просто, а очень просто ))

Включаем CAP

Всё, больше никаких настроек. То есть вообще никаких. Ни bridge, ни IP-адреса. Здесь мы выбираем wlan интерфейсы которые будут управляться CAPsMAN и выбираем Discovery Interfaces, то есть в моём случае это ether1 – интерфейс по которому связаны CAP и CAPsMAN на уровне L2.

Но… Всегда есть но.

Если CAP находится в другом сегменте сети то точке нужно присвоить IP-адрес, настроить маршрутизацию и всё остальное. В общем всё по взрослому ))

В таком случае в поле CAPsMAN Addresses нужно добавить адрес контроллера, или несколько если их в сети несколько, например основной и резервные.

Если на CAP настроен bridge, то управляемые wlan необходимо из него исключить, иначе образуется петля и интерфейсы работать не будут.

Если включен Local Forwarding то нужно выбрать Bridge на который будут автоматически маппится интерфейсы. Руками добавлять в бридж порты wlan ни в коем случае не нужно, они добавятся сами.

Собственно всё, работающий CAP выглядит следующим образом:

Полный конфиг точки выглядит следующим образом ))

Кстати, у MikroTik CAPsMAN есть ещё фишка – если зажать кнопку Reset, включить точку и подержать так в течении 10 секунд, то точка автоматом загрузится в режиме CAP.

Настраиваем гостевую сеть на MikroTik CAPsMAN

Пришла пора настроить нашу гостевую сеть

Добавляем гостевой bridge и IP-адрес

Обратите внимание на ARP reply-only, нужно для того что бы особо умные гости не смогли себе присвоить статический IP, работает в связке с настройками DHCP для гостевой сети.

Настройка гостевого DHCP-сервера

Выделяем пул адресов для гостевой сети

Добавляем гостевой DHCP Server

Запрещаем маршрутизацию между гостевой и домашней сетью

В принципе так как сети находятся на разных bridge, достучаться они и так друг до друга не могут, но мы ещё и принудительно им это запретим на всякий случай ))

Добавляем правила NAT для гостевой сети

Настройка MikroTik CAPsMAN для гостевой сети

Дальше пойдёт без картинок, т.к. картинки такие уже были, только надписи другие )

Добавляем Security Cfg. для гостевой сети

Datapath для гостевой сети, здесь в отличии от домашней сети запрещён форвардинг между клиентами

Добавляем конфигурацию для гостевой сети. В отличии от домашней не указаны chanels, т.к. интерфейс будет виртуальным на одном радио с основным, то указывать какой либо канал отличный от канала мастера бессмысленно

Для гостевой сети я решил выделить диапазон 2.4GHz, поэтому Provisioning покажу полностью, даже с картинкой )

Здесь присутствует Slave Configuration – это и есть наша гостевая точка доступа

Всё )) Точнее ещё не всё, но уже всё работает )) Вот как выглядит настроенный CAPsMAN

Ограничение скорости гостевой сети

Что бы гости своими торрентами не просадили весь канал и не оставили нас без любимых сериалов, немного подпортим им жизнь и поставим ограничение скорости. Здесь не будет никакой проприатизации трафика и тому подобных заумностей, просто сделаем им что бы сайты открывались и хватит ))

Настройка Simple Queues

Настройка MikroTik CAPsMAN с сертификатами

Добавим в нашу сеть немного параноидальности и разрешим работу CAP только с выпущенными нами сертификатами.

Зайдём в CAPsMAN Manager и установим Certificate, CA Certificate в auto и включим Require Peer Certificate

Ууупс, все наши CAP’s отвалились, на них ведь не установлены сертификаты.

Отключаем на CAPsMAN require-peer-certificate и на точке включаем certificate requiest. После того как все наши точки получат сертификат, на CAPsMAN снова включим Require Peer Certificate.

Это защитит нашу сеть от несанкционированных точек доступа.

The End

На этом всё, надеюсь данный мой опыт кому нибудь оказался полезен.

Если это так, то не поленитесь сделать репост или поставить лайк, если остались вопросы не стесняйтесь задавать из в комментариях – будем разбираться вместе.

Есть замечания или нашли ошибку тоже не поленитесь написать в комментариях, все мы люди и все чему нибудь учимся.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Отличная статья!
вопрос про гостевую сеть: в списке cap Interface только cap1 и cap2. виртуальный не появился. все делал по инструкции. как исправить ?

А покажите /caps-man export hide-sensitive, попробуем понять что там не так

сейчас все ОК. после перезагрузки заработало.
извините за беспокойство 🙂

Не за что, всегда рад обратной связи ))

Добрый день. bridge-GUEST какой интерфейс сопоставили (ports)?

Здравствуйте! Если я правильно понял вопрос, то никакой физический интерфейс на гостевой бридж привязывать не нужно. Если вопрос не про это, то уточните пожалуйста.

Спасибо за своевременный ответ и отдельное спасибо за подробную статью. Разбираясь с гостевой сетью согласно Вашей инструкции создал list=GuestNet, а вот с пра… Читать ещё

Спасибо за своевременный ответ и отдельное спасибо за подробную статью. Разбираясь с гостевой сетью согласно Вашей инструкции создал list=GuestNet, а вот с правилом для NAT оказалось сложнее не получается выполнить команду (может не правильно ввожу команду), зашел в NAT добавил правило, но в “Out Intarface List” нет list-WAN выбор между – all, dynamic, none. Что посоветуете?

Скорее потому что списки не настроены. Interfaces -> Interface list -> (кнопка) Lists -> + И добавляете 2 списка LAN и WAN. Потом присваиваете каждому соотве… Читать ещё

Скорее потому что списки не настроены.
Interfaces -> Interface list -> (кнопка) Lists -> + И добавляете 2 списка LAN и WAN.
Потом присваиваете каждому соответствующие интерфейсы в Interfaces -> Interface List -> +

Добрый день, все получилось, но есть еще такая необходимость. Точка CAP1 связывается с CAPsMAN по ether1, ether2-5 образуют свой bribge_cap1. По wifi все отлично работает получает адреса, как сделать что бы клиенты подключенные в bribge_cap1 по витой паре получали адреса и интернет от основного роутера?

Добавить ether1 в bridge_cap1?

А у меня почемуто правило по ограничению на аплоад применяется, а на даунлоад нет. Хотя при тесте трафик вижу на нужном бридже.
Не подскажете почему при скачивании траффик не попадает в очередь?

Перед настройкой ограничений скорости в MikroTik необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterO… Читать ещё

Перед настройкой ограничений скорости в MikroTik необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterOS 6.29 и позволяет увеличить производительность путем пересылки данных без их дополнительной обработки. Однако если она включена, то ограничения скорости не сработают. Поэтому fasttrack необходимо отключить.

1-Откройте меню IP – Firewall.
2-На вкладке Filter Rules выберите правило fasttrack connection.
3-Нажмите красный крестик Disable, чтобы деактивировать правило

Чтобы не отключать для всего трафика fasttrack, можно перед правилом “fasttrack connection” сделать accept на forwarding для гостевой сети. Тогда трафик гостев… Читать ещё

Чтобы не отключать для всего трафика fasttrack, можно перед правилом “fasttrack connection” сделать accept на forwarding для гостевой сети. Тогда трафик гостевой сети будет обрабатываться без fasttrack и будет нормально резаться скорость.

/ip firewall filter
add action=accept chain=forward comment=Guest_Policing connection-state=established,related in-interface=WAN out-interface=Guest-Bridge

Скажите, а для точек доступа требуется настройка безопасности (отключение services, удаление admin по умолчанию и т.д?) как в “большом” роутере? или за безопасность отвечает файрвол capsman?

Если предполагается возможность атаки “из внутри” сети, то да, все настройки “по взрослому”. Если точка поднята дома и никого чужого в сети не будет, то на ваш… Читать ещё

Если предполагается возможность атаки “из внутри” сети, то да, все настройки “по взрослому”. Если точка поднята дома и никого чужого в сети не будет, то на ваше усмотрение.
И если что, то файрволл никак не отвечает за работу services, он только может ограничить или разрешить к ним доступ.
Лично у меня дома на AP файрволл не настроен вообще, кроме запрета chain input из гостевой сети и смены пользователя admin, да и то это сделано скорее по инерции, чем по необходимости.
На работе всё управление в отдельном VLAN.

Здравствуйте, прочитал внимательно статью! Больше Вам спасибо, Юрий! Настроил у себя точно также, но столкнулся с проблемой. Если смотреть по вашим настройкам то SSID: GRIB-2 и GRIB-G видится в сетевом Wi-Fi окружении, но подключится можно только к одной гостевой сети и не важно использую ключ для GRIB-2 или нет. Как только я выключаю виртуальный Cap (GRIB-G) подключение к GRIB-2 происходит без проблем. Столкнулся с такой проблемой не давно, стал искать подобного рода статьи. Данную проблему имею еще и в другом мест, где настроена система на CAPs MON. На некоторых точках все работает прекрасно, на некоторых есть такая проблема, не могу понять зависимость. Как только есть виртуальный Сap подключение возможно только к одной сети. Прошивка 6.45.9.

Читайте также:  Ремонт Wi Fi модуля телефонов Sony

А если сделать экспорт там где работает и там где не работает и выявить разницу в конфигурации?

Спасибо, Юрий за ответ. Причину нашел случайно, она оказалась в том что виртуальные AP нужно создавать через Winbox -> Add -> CAP Interface потом указав Master … Читать ещё

Спасибо, Юрий за ответ. Причину нашел случайно, она оказалась в том что виртуальные AP нужно создавать через Winbox -> Add -> CAP Interface потом указав Master Interface, если сделать это через функцию Copy с основного CAP и потом выбрать Master Interface то получим такую проблему, причина в MAC адрес радио. Самое странное, что на ранее с таким не сталкивался. Данный симптом был обнаружен случайно, сравнивал конфигурации между теми CAP где работает и где не работает конфигурации одинаковые.

Добрый день. Есть один нюанс.
К примеру есть контроллер Capsman на 2 диапазона 2.4GHz и 5GHz, имеется в группировке точек RBGrooveGA-52HPacn. Она имеет один модуль WiFi, но он умеет работать как в 2.4 так и в 5ке.
Внимание вопрос: 🙂
Каким образом точка выбирает приоритет получения управляющей конфигурации? В какой частоте она будет работать в 2.4 или 5?
У меня она заводится только в 5ке при наличии двух конфигов на контроллере. Вручную я тоже не могу задать ей частотный режим работы, так как этим управляет конфигурация настроенная в Капсе…
Кто сталкивался и знает как заставить эти точки работать в том частотном диапазоне, который мне нужен!?
Всем спасибо!

У меня честно говоря нет таких точек, поэтому могу только предполагать…
Например для этой точки создать свой Provisioning (хотя бы по MAC) с Master Configuration.

Добрый день
Возникла необходимость в новом офисе настроить несколько точек доступа и гостевой доступ. Выбор пал на двухдиапазонные точки mikrotik cAP ac всего их 3 шт. В качестве контроллера использовал RB960PGS. Основной маршрутизатор Cisco ASA 5506.
ASA подключен к интернету и раздает DHCP
В отличие от вашей настройки, мне нужно чтобы IP адреса wifi были из той же подсети. Поэтому 4 LAN порта на RB960PGS объединены в бридж, у которого отключен DHCP сервер и ему присвоен статический адрес из LAN диапазона ASA. Один из портов этого бриджа подключен к ASA, к остальным трем подключены точки доступа.
Настроил Capsman и без проблем все три точки подключились.
Затык вышел в гостевой сети. Настраивал все как у вас, но при настройке nat использовал в качестве out interface свой бридж. Но это не сработало, гостевая сеть в интернет не выходит. Подскажите как правильно тут сделать

Источник



Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik

Во всех случаях, когда вам требуется качественное беспроводное покрытие достаточно большой площади, когда одной точкой доступа не обойтись, встает вопрос роуминга — а именно передачи клиента от одной точки доступа к другой. Желательно сделать этот процесс максимально простым и прозрачным для клиента, без разрыва связи и переподключения, а еще желательно не разориться при выполнении этой задачи. В этом нам поможет оборудование Mikrotik и программный контроллер беспроводной сети CAPsMAN.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор — официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

У некоторых читателей сразу может возникнуть вопрос — а почему нельзя просто купить и наставить недорогих точек доступа, настроив на каждой один и тот же SSID и пароль? Сделать так, конечно же можно, только вот такая сеть не будет управляемой и приемлемого качества связи в ней достигнуть будет трудно. Основная проблема в том, что параметрами соединения всегда управляет клиент и он может держаться за более далекую и слабую точку до самого конца, хотя рядом есть другая, с более лучшими условиями приема. Получается что вроде бы и покрытие есть и сигнал везде вроде бы хороший, а качество связи оставляет желать лучшего.

Управляемые беспроводные сети работают иначе. Контроллер оценивает взаимное расположение клиента и точек доступа и когда он переходит в область обслуживаемую другой точкой доступа, старая точка его просто отключает, после чего он переподключается к новой, более мощной точке. Это довольно упрощенное изложение, но вполне достаточное для понимания происходящих процессов.

Сразу внесем ясность, настоящим бесшовным роумингом это не является, более правильно это назвать быстрым переключением, часть пакетов, особенно если это был поток UDP, при этом неизбежно потеряется. Но будем честными — бесшовный роуминг предполагает оборудование совсем иного класса и стоимости. А большинство современных сетевых приложений, в том числе и голосовые мессенджеры (Skype, Viber и т.д.) вполне нормально переносят быстрое переподключение, пользователь скорее всего даже ничего не заметит.

Но термин бесшовный давно устоялся и используется для таких сетей, хотя мы бы назвали его псевдобесшовным, но вы должны иметь представление о том, как все обстоит на самом деле и не питать необоснованных иллюзий.

Схема построения псевдобесшовной сети — это беспроводная поверх проводной. В качестве точек доступа вы можете использовать любые точки доступа или иные беспроводные устройства Mikrotik, которые могут работать в таком режиме. Контроллером CAPsMAN может быть любое устройство Mikrotik, даже не имеющее беспроводного интерфейса. В нашем примере мы собрали тестовую схему их двух беспроводных роутеров hAP, выполняющих роль точек доступа и роутера hEX, выступающего в роли контроллера.

Настройку следует начинать с контроллера. Откроем Winbox и перейдем в раздел CAPsMAN, здесь нам следует создать ряд необходимых шаблонов, из которых потом, как из кирпичиков, мы будем формировать конфигурации для беспроводных устройств. Мы не будем подробно рассматривать беспроводные настройки, обходясь необходимым минимумом, более подробно об этом вы можете прочитать в нашей статье: Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа.

Начнем с рабочих каналов, переходим в CAPsMAN — Channels и создаем новую настройку. В самом простом варианте это будет одна рабочая частота, например, 2412 МГц или 1 канал. Обратите внимание, выпадающего списка частот тут нет, просто указываем значения руками. Затем задаем ширину канала в поле Control Channel Width, если вы указали широкий канал, то укажите и направление его расширения по частоте в поле Extension Channel, если мы говорим о первом канале, то здесь единственным значением будет Ce, либо можете указать ХХ для автоматического выбора.

В поле Band указываем необходимые стандарты работы сети, а в поле Tx. Power — мощность передатчика с учетом коэффициента усиления антенн, для hAP это значение равно 17 дБм.

Можно поступить и несколько иначе, не указывать рабочую частоту вообще, в этом случае точки будут выбирать ее автоматически, исходя из эфирной обстановки. В этом случае дополнительно ставим флаг Save Selected, что предписывает точке запоминать последнюю выбранную частоту и Reselect Interval — интервал времени с периодичностью которого точка будет анализировать эфир и выбирать рабочую частоту.

Еще один вариант — задать список частот доступных точке для выбора, скажем 1 — 6 -11 каналы:

Как лучше сделать? Единственно верного ответа на этот вопрос нет, все зависит от топологии вашей сети и эфирной обстановки. Частотное планирование беспроводных сетей — обширный вопрос, заслуживающий отдельной статьи. Если же коротко, то в том хаосе, что творится в многоквартирных домах и офисных центрах оптимальным решением будет автоматический выбор частоты по всему диапазону, либо из заданного списка. В сетях с небольшим количеством клиентов и достаточным разнесением точек друг от друга можно оставить их все на одной частоте, возникающие при этом коллизии (внутриканальные помехи) протокол достаточно хорошо разрешает. В иных случаях чередуем точки на непересекающихся каналах, к этому мы еще вернемся позже.

Если вы используете оборудование для обоих диапазонов — 2,4 ГГц и 5 ГГц, то создайте настройки каналов для обоих. Также никто вас не ограничивает в их количестве. Можете сразу создать все необходимые варианты, а потом быстро их применять к текущим конфигурациям.

Следующий шаг — настройка шаблонов пересылки данных, для этого перейдем в CAPsMAN — DataPaths. Создадим новую настройку и обязательно укажем: Bridge — интерфейс сетевого моста, куда будет подключен беспроводной интерфейс после его активации. Обратите внимание, что выбранное значение применяется ко всем устройствам. В нашем случае bridge1 должен быть интерфейсом локальной сети для всех настраиваемых устройств.

Local Forwarding означает, что передачей данных между беспроводными клиентами управляет точка доступа, в противном случае все данные будут пересылаться контроллеру CAPsMAN, а обратно в беспроводную сеть будут отправляться только пришедшие от него данные. Это серьезно увеличивает нагрузку на проводной сегмент сети и должно использоваться только в тех случаях, когда вы действительно собираетесь фильтровать передаваемые данные на контроллере.

Читайте также:  Как раздать Вай Фай с телефона Андроид пошаговая инструкция

Сlient To Client Forwarding включает передачу данных между беспроводными клиентами, в гостевых сетях, в целях повышения безопасности, имеет смысл отключать.

Затем переходим в CAPsMAN — Security Cfg. и создаем новую настройку безопасности, здесь все просто, запутаться решительно негде:

После того, как вы выполнили данные настройки самое время создать конфигурацию, это можно сделать в CAPsMAN — Configurations. На вкладке Wireless указываем режим работы — Modeap — точка доступа. Имя беспроводной сети — SSID, Country — страна — russia3 (для России). Это основные настройки, но также можно указать и дополнительные, скажем Hw. Protection Mode — защита от скрытого узла.

На остальных вкладках указываем уже созданные нами шаблоны, хотя, как альтернатива, можно указать нужные настройки прямо тут.

Созданную нами конфигурацию нужно распространить на точки доступа, за это отвечает настройка развертывания CAPsMAN — Provisioning. Самый простой вариант будет выглядеть так: Radio MAC — везде нули, т.е. любая точка доступа, Actioncreate dynamic enabled — динамическое создание беспроводного интерфейса на точке доступа, Master Configuration — применяемая при создании интерфейса конфигурация.

На этом базовая настройка контроллера завершена, осталось только его включить, для этого в CAPsMAN — CAP Interface нажмите кнопку Manager и в открывшемся окне установите флаг Enabled.

Теперь перейдем к настройке точек доступа. Прежде всего убедимся, что беспроводной интерфейс не входит ни в один мост, а мост, смотрящий в локальную сеть, имеет имя bridge1, которое мы указали в настройках Datapath контроллера.

В Wireless — WiFi Interfaces нажимаем кнопку CAP и в открывшемся окне устанавливаем флаг Enabled, а также указываем: Interfaces — беспроводные интерфейсы, которые управляются CAPsMAN, если их несколько — добавляем все, Discovery Interfaces — сетевой интерфейс, через который осуществляется связь с контроллером, в нашем случае это тот же мост bridge1, но в более сложных сетях точка может работать в одной сети, а управляться через другую, поэтому стоит разделять эти понятия. Bridge — сетевой мост, куда будет подключен беспроводной интерфейс после активации.

После активации данного режима точка обнаружит контроллер и получит от него настройки, созданный интерфейс автоматически присоединится к указанному мосту, подключив беспроводную часть сети к проводной. Аналогичную настройку нужно выполнить на всех остальных точках доступа.

Вернемся на контроллер, управляемые точки доступа можно увидеть в CAPsMAN — CAP Interface, а подключенных клиентов в CAPsMAN — Registration Table, при этом будет указана точка доступа, к которой подключен клиент.

Теперь можете отправить кого-нибудь с клиентским устройством походить между точками доступа и посмотрите, как контроллер производит переключение.

Хорошо, когда все точки одинаковые и к ним можно применить одинаковые настройки, но что делать, если это не так и разные точки должны получать разные конфигурации? Нет проблем, прежде всего создадим необходимые конфигурации, а затем выясним MAC-адреса беспроводных интерфейсов точек, это можно сделать на вкладке CAPsMAN — Radio. Обратите внимание, что нам нужен именно Radio MAC.

Теперь возвращаемся на вкладку CAPsMAN — Provisioning и создаем настройки развертывания для каждой точки, указав ее Radio MAC, при этом настройку с нулевым MAC-адресом следует выключить, в противном случае к устройству применится именно она, а не персональные настройки.

На что еще стоит обратить внимание? На скриншоте выше есть две опции: Name Format и Name Prefix, они отвечают за формат имени беспроводных интерфейсов в CAPsMAN, по умолчанию это capN, что не слишком информативно, а также по мере изменения настроек номера интерфейсов могут меняться, что добавляет путаницы. Поэтому имеет смысл изменить порядок именования, если мы выберем identity, то имена интерфейсов будут формироваться согласно указанному в System — Identity имени устройства.

Если точки доступа двухдиапазонные, то можно выбрать в качестве формата имени prefix identity и указать префикс подключения, скажем, частотный диапазон, после чего имя интерфейса будет содержать не только наименование устройства, но еще и префикс, что позволит сразу идентифицировать устройство и беспроводной интерфейс в интерфейсе управления контроллера.

В данном материале мы рассмотрели далеко не все возможности CAPsMAN, ограничившись базовыми настройками для быстрого старта, более глубокая настройка требует более широких знаний и будет являться предметом отдельных статей.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор — официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Источник

Настройка CAPsMAN в роутерах Mikrotik

CAPsMAN — это средство централизованного управления точками доступа WiFi в оборудовании Mikrotik (контроллер точек доступа). Точки доступа, подключенные к CAPsMAN, будут получать все настройки с него.

Преимущество централизованного управления точками доступа в том, что происходит организация бесшовного WiFi. Это означает, что переключение между точками доступа с одинаковым SSID происходит незаметно для конечного пользователя.

Для организации такой схемы работы точек доступа WiFi необходимо понять следующее:

Процесс подключения точки WiFi к CAPsMAN.

Здесь будет немного теории, описывающей процессы подключения CAP к CAPsMAN. Самые нетерпеливые могут пропустить и приступить к непосредственной настройке со следующего пункта.

Подключение точки CAP к CAPsMAN может осуществляться на канальном уровне Layer2 используя mac-адреса и на сетевом уровне Layer3 используя ip-адреса. Подключение на основе Layer3 может пригодиться когда точка доступа и CAPsMAN находятся в разных сегментах сети.

Чтобы подключиться к CAPsMAN точка доступа запускает процесс обнаружения и создает список обнаруженных CAPsMAN. Обнаружение происходит с использованием:

  • Списка ip-адресов
  • списка CAPsMAN полученного от DHCP сервера
  • широковещательных запросов на уровне Layer 2 и Layer 3;

После построения списка доступных CAPsMAN точка выбирает к кому из них подключиться на основе следующих правил:

  • список имен разрешенных в CAPsMAN Names;
  • контроллер точек доступа доступный по MAC предпочтительнее доступного по IP.

После того как точка доступа CAP выбрала к какому контроллеру подключаться происходит процесс аутентификации. Возможны следующие варианты:

  • На CAPsMAN и CAP нет сертификатов — подключение без аутентификации;
  • Сертификат только у CAPsMAN — аутентификация возможна в случае следующей настройки на менеджере require-peer-certificate=no;
  • CAPsMAN и CAP имеют доверенные сертификаты — взаимная аутентификация.

В случае использования сертификата CAP может дополнительно проверить значение CommonName в сертификате от CAPsMAN. Параметр caps-man-certificate-common-names содержит список разрешенных значений CommonName. Если список пуст, то CAP не будет проверять это поле CommonName.

В случае разрыва соединения между CAP и CAPsMAN потеря связи будет обнаружена через 10-20 секунд.

Настройка CAPsMAN

Чтобы настроить CAPsMAN Mikrotik нужно выбрать роутер, который будет использоваться в качестве контроллера, создать на нем конфигурацию для управляемых точек доступа WiFi, задать правила обнаружения точек и активировать CAPsMAN. Затем необходимо выполнить настройку управляемых точек доступа для получения конфигурации WiFi от контроллера.

Рассмотрим простейший способ настройки CAPsMAN, когда точки WiFi находятся в одной широковещательной сети (Layer 2) с контроллером и для подключения точек не используется сертификат.

Настройка CAPsMAN в роутерах Mikrotik осуществляется через соответствующую настройку в Winbox путем создания конфигурации, которая будет отправляться на подключаемые в сеть точки доступа WiFi.

На роутере, который будет выступать в качестве контроллера точек доступа WiFi, открываем меню настройки CAPsMAN.

В конфигурации, которая будет отправляться на подключенные точки доступа WiFi, необходимо настроить следующие обязательные параметры:

  • Channels
  • Datapaths
  • Security Cfg.

1. CAPs Configuration — создание конфигурации.

Открываем вкладку Configurations и создаем новую конфигурацию.

Wireless.

  • Выбираем Mode — доступен только AP.
  • Вводим название вашей WiFi сети SSID.

Channel.

Указываем обязательные параметры:

  • Frequency — частота вещания беспроводной сети. Здесь нет возможности выбора частот из списка, поэтому частоту нужно вписывать вручную. Для России 13 каналов с шагом в 5MHz: 2412, 2417, 2422, 2427, 2432 . 2472;
  • Control Channel Width — ширина вещания канала. Выбираем оптимальную для офиса 20MHz (оптимальное соотношение дальности сигнала и пропускной способности);
  • WiFi Band — группа стандартов WiFi. Предпочтительно использовать более современные и быстрые стандарты 2ghz-onlyn (802.11n), но если в сети есть довольно старые устройства работающие по стандартам 802.11b или 802.11g тогда лучше выбрать совместимый режим 2ghz-b/g/n.

Datapath.

Переходим на вкладку Datapath. Здесь необходимо указать Bridge через который будет передаваться сетевой трафик между CAPsMAN и CAP. В стандартной конфигурации это bridge в котором объединены локальные порты.

Если активировать параметр LocalForwarding, то трафиком точки доступа будет управлять не CAPsMAN, а сама точка.

Security Cfg.

  • Authentication Type — тип аутентификации, выбираем WPA2PSK;
  • Encryption — шифрование одноадресной рассылки aes ccm;
  • Passphrase — пароль для подключения к WiFi.

Настройка конфигурации завершена, но стоит упомянуть способ использования шаблонов для конфигураций CAPsMAN.

Использование шаблонов настроек Channels, Datapaths, Security Cfg.

Обратите внимание в меню CAPsMAN так же есть вкладки Channel, Datapath и Security Cfg.

В этих вкладках так же можно задать все те же настройки и сохранить их в шаблон, который потом можно просто подключить в конфигурацию выбрав нужный шаблон. Например, для Channel это будет выглядеть так:

2. Добавляем правила обнаружения Provisioning.

В разделе CAPs Provisioning задаются правила для поиска точек доступа.

Создадим простое правило, которое будет автоматически подключать к CAPsMAN любую обнаруженную в сети точку доступа WiFi.

Источник

Опубликовано в рубрике WiFi