Mikrotik настройка capsman: Настройка CAPsMAN в роутерах Mikrotik

Настройка CAPsMAN v2 на MikroTik hAP AC^2

Доброго времени суток читатели моего блога. Очень популярна среди сисадминов стала тема настройки бесшовного роуминга на MikroTik. В частности предлагается для этого использовать CAPsMAN v2. Ну что же по итогу многократных тестирований можно с уверенностью сказать, что CAPsMAN действительно уменьшает время переключения клиента с одной точки доступа на другую в 2.5 раза. Кроме того этот программный пакет к MikroTik уже достиг зрелости и имеет смысл его разворачивать. Как просили ребята на дне сисадмина пишу статью по настройке этого чуда.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

К этой статье было введение с описанием, того что такое вообще бесшовный роуминг. А сейчас я опишу базовый функционал который необходим для запуска Wi-Fi сети с помощь менеджера точек доступа.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

Использоваться для настройки будет самая свежая версия MikroTik Router OS 6.44.6 Long Term. Точки доступа MikroTik hAP AC Lite лочёные под регион Russia 3.

Подготовка клиентских точек доступа 

В новых версиях Router OS всё просто. Они просто сбасываются на настройки по умолчанию в CAPsMAN mode.

Полезным будет установить название каждой точки доступа. Это позволит индефицировать их в CAPsMAN:

Настройка системы управления точками доступа

Для начала нужно включить CAPsMAN:

Думаю не лишним будет написать, что версия Router OS на точках доступа и контроллере должна быть одинаковой. Хотя из практики — работает c мелкими глюками и так! Пакет Wireless должен быть установлен на контроллере и само собой на AP. 

Настроим каналы для 5гГц сети. Для региона russian 3 возможно только 3 полностью не пересекающихся канала с шириной 40 мГц. Правда возможны некоторые смещения +/- 20мГц. Если хотите, вы можете не задавать каналы в которых будут работать точки доступа доверив выбор CAPsMAN. Мы же покажем как это делается:

А вот ширину канала для диапазона 5гГц выбрать отличной от 2.4гГц имеет смысл. Ведь диапазон этот гораздо шире.

Не очень очевидно она задаётся. Надо настраивать параметр Extension Cannel:

XX, eC, Ce —  40 мГц

XXXX, eeeC, eeCe, eCee, Ceee — 80 мГц 

disable — 20 мГц

 Control Chanel Width лучше не трогать и оставить 20мГц так как изменение его на значения отличные от 20 приводит к тому что клиенты или не видят точки доступа или точки доступа не принимают каналы.

Для 2.4гГц при плотном расположении точек доступа имеет смысл выбирать 1, 5, 9, 13 каналы:

Extension Cannel: disable так как диапазон достаточно узок.

Мощность точек доступа так же можно тут выбрать, но на их работе в среднем это в лучшую сторону почти не отражается.

 Настройка того как будут идти данные — Datapaths

Две настройки казалось бы приводящие к закольцовке сети:

Отправить данные с точки доступа на бридж CAPsMAN (bridge-kardash) или отправить в локальный бридж точки доступа (Local Forwarding). Точка доступа будет отправлена в локальный бридж.

Client To Client Forwarding — можно ли на L2 уровне передавать данные между клиентами точек доступа. Запрет передачи данных между клиентами в больших сетях пока является одним из самых рабочих инструментов для устранения не стабильности работы Wi-Fi.

 Настройка параметров шифрования

На 2019 год в MIkroTik для сетей с общим ключём самым сильным будет использование WPA2+aes. Хотя в других роутерах уже появился WPA3.

Исключительно для примера Passphrase стоит 12345678. Вам же рекомендую использовать для ключа к сети буквы в малом и большом регистре, цифры и спецсимволы.

Для очень старых устройств приходится дополнительно использовать WPA и tkip. Если у вас в сети нужна максимальная совместимость от WPA и tkip вы не сможете отказаться.

 Конфигурации для 2.4 и 5 гГц

Выберем название сети и страну:

Выберем как пускать трафик с точек доступа:

Выберем ранее созданный профиль шифрования:

Выберем ранее созданные каналы для 2.4 гГц

Аналогично создадим конфигурацию cfg2 для 5гГц выбрав каналом cannel5. 

 Развёртывание сети 2.4гГц и 5гГц (Provisioning)

Довольно просто всё: для A/AN/AC развёртывается cfg2 для B/G/GN cfg1

Отдельного внимания заслуживает Slave Configuration который позволяет развёртывать Virtual AP на точках доступа. Для этого вам лишь необходимо создать отдельную конфигурацию с другими настройками, например для гостевой сети. 

 Полезным будет изменить формат имени точек доступа в CAPsMAN:

Для генерации имени использовать префиксы 5gHz и 2.4gHz и имена точек доступа установленые в Identity (205 komnata):

В результате должно получиться так:

P.S. Конфигурации для 5гГц развёртываются с задержкой в 30 секунд из-за проверки точкой доступа занятости частоты радаром. 

Можно также почитать инструкцию по настройке mac фильтрации адресов в CAPsMAN.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка Capsman Mikrotik

Для начала пару слов о том, что такое Capsman и зачем вообще он нужен для Mikrotik.

Capsman — это аббревиатура, которая означает Controlled Access Point system Manager (CAPsMAN). Другими словами это полноценный контроллер для точек доступа. Контроллер нужен для того, что бы была возможность организовать бесшовный роуминг WiFi сети с возможность переключения клиента к ближайшей точке доступа.

Итак, у меня стоит задача: организовать бесшовный роуминг на территории гостиницы. В здании 6 этажей, первый этаж — ресепшен и столовая, остальные жилые. На каждом жилом этаже будет стоять Mikrotik RB941 по две штуки (не я так решил, просто до меня были проложены провода и установлены розетки, пользуюсь тем, что есть). На первом этаже RB951 на ресепшене, cAP ac в столовой и Groove на улице. Сеть для гостей использует СМС авторизацию. Для реализации возможности подключения сотрудников гостиницы без использования СМС авторизации, а так же для использования терминалов оплаты, будем использовать VLAN, но о них поговорим в другой статье.

В качестве контроллера будем использовать Mikrotik RB2011. При первом подключении сбрасываем настройки и делаем настройки, которые нам необходимы для работы. В рамках данной статьи не буду углубляться в эту тему, скажу лишь, что я настроил СМС-авторизацию, DHCP-сервер, несколько правил для Firewall, а так же Queues Tree для двух подсетей — офисной и гостевой.

Сама настройка CapsMAN не сложна по своей сути, главное понимать что за чем следует. Если у Вас все готово, тогда приступаем к настройке контроллера.

В последних версиях прошивки пакет capsman уже включен в дистрибутив, поэтому скачивать и устанавливать отдельно его не требуется. Открываем в левом меню вкладку WiFi и включаем CapsMAN:

Переходим на вкладку Channels и настраиваем каналы:

Ничего сложного:

• Name имя канала
• Frequency частота в MHz, она же номер канала 1-12
• Width полоса в MHz
• Band режим работы
• Extension Channel настройки extension channel
• Tx. Power мощность сигнала в Dbm

Далее переходим на вкладку Datapaths и делаем следующие настройки:

• Bridge в какой бридж будет добавлен интерфейс в качестве порта
• Bridge Cost значение bridge port cost, используется только если активен параметр bridge
• Bridge Horizon значение bridge horizon, используется только если активен параметр bridge
• Local Forwarding управляет параметром forwarding mode
• Client To Client Forwarding управляет параметром client-to-client forwarding между клиентами управляемой точки доступа, если активен параметр local-forwarding этим параметром управляет сама точка доступа, в противном случае контроллер
• Vlan Mode управляет назначением VLAN tag для интерфейса
• Vlan Id какой VLAN ID будет назначен интерфейсу, если vlan-mode установлен в use tag

Перед тем, как перейти к следующему пункту, хочу обрати ваше внимание на раздел local-forwarding. Если мы активируем этот пункт (а мы активировали), то управление всем трафиком берут на себя сами точки. А вот если отключить, тогда всем трафиком будет рулить контроллер. Хорошо это или плохо я не знаю, но что бы не перегружать контроллер, я всегда включаю этот пункт и передаю управление точкам.

Есть еще вкладка Security Cfg, тут настраивается пароль для подключения к сети, но так как я использую СМС авторизацию, то этот пункт мне не нужен и я его опущу.

Теперь открываем вкладку Configurations. Это одна из основных вкладок, благодаря которой будет работать наш контроллер. Настройки тут не хитрые, так как мы уже все сделали. Просто заполняем пункты:

Переходим на вкладку Provisioning. Тут тоже всего пара пунктов, которые следует заполнить.

На этом заканчивается настройка контроллера. Что бы все завелось осталось только подключить точки доступа. Давайте это сделаем.

Для настройки точки доступа я рекомендую сбросить текущую конфигурацию и настроить следующим образом. Для начала создаем bridge, куда помещаем все порты. Вешаем на этот мост DHCP клиент. Затем заходим на кладку Wireless и включаем управление точкой Capsman.

Тут всего надо заполнить 4-5 полей по вкусу. Ставим галочку Enable, в следующем поле выбираем интерфейс Wlan (он там один), Discovery Interface можно оставить пустым, то я выбрал тот, куда подключен шнурок от контроллера. CapsMan address указываем IP адрес контроллера ( хоть это и не обязательно, точка сможет найти контроллер по MAC-адресу, я все же решился перестраховаться). В поле bridge выбираем тот bridge, к которому будет подключаться интерфейс, когда включена опция local forwarding.Сохраняем настройки и проверяем. Если точка доступа корректно подключится к контроллеру, то появится две красные строки. Одна сообщает о том, что точка управляется контроллером, а вторая строка будет содержать краткую информацию о настройках. А на контроллере в списке Interfaces появится только что созданный радио интерфейс подключенной точки доступа.

Все, основные настройки закончены. Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной wifi сетью. Все подключенные клиенты будут отображаться на вкладке Registration Table с указанием точки, к которой они подключены.

На этом все. Контроллере настроен, можно линейно масштабировать.

Поделиться в социальных сетях:

Как настроить CAPsMAN на Mikrotik’е

Прочитано:
3 087

В свое время когда я разворачивал или больше сказать только шел к этому, чтобы организовать бесшовный доступ к беспроводной сети Wifi — мне пришлось к моей радости познакомиться с таким единым центром управления, как CAPsMAN от Mikrotik. Данная технология позволяет управлять всей Wifi инфраструктурой с одной консоли, создавать описания сетей, назначать уровень доступа и т. д., но самое главной это простота настройки — чем проще чем лучше. Зачем городить огород задействованных технологий и настроек если можно все упростить. Так вот я для себя в первую очередь задокумментирую все шаги которые я прошел в тестовых условиях, а уже потому перенес все на боевое развертывание.

Итак: есть:

• mikrotik hEX PoE lite (RB750Pr2) (порт №1 Internet подключен к локальной сети или интернету) к нему посредством PoE подключены из:,
• mikrotik SXT 2 (SXTG-2HnD) 5 порта в порт 1 на данном устройстве
• mikrotik RB951Ui-2HnD 4 порт в порт один единственный на данном устройстве

Для главном устройстве будет сделано следующее:

на 5 порт поднят свой DHCP сервис (192.168.99.1/24)

на 4 порт также будет поднят свой DHCP сервис (192.168.100.1/24)

Захожу через winbox На 10.7.8.95 устройства mikrotik hEX PoE Lite где произвожу дефолтные настройки, обновляю устройство до самого последнего релиза на момент написания данной заметки.

[admin@MikroTik] > system routerboard print

routerboard: yes

model: RouterBOARD 750UP r2

serial-number: 5BBD053CA76F

firmware-type: qca9530L

current-firmware: 3.27

upgrade-firmware: 3.27

[admin@MikroTik] > system package print

Flags: X - disabled

# NAME VERSION SCHEDULED

0 routeros-mipsbe 6.33.1

1 system 6.33.1

2 X wireless-cm2 6.33.1

3 X ipv6 6.33.1

4 X wireless-fp 6.33.1

5 hotspot 6.33.1

6 dhcp 6.33.1

7 mpls 6.33.1

8 routing 6.33.1

9 ppp 6.33.1

10 security 6.33.1

11 advanced-tools 6.33.1

Поднимаю на 5 порту DHCP сервис и на втором 4 порту DHCP сервис.

За основу беру ранее опубликованную заметку.

После согласно каждому порту подключаю устройства.

Теперь я плавно перехожу к настройке функционала по управлению всеми точками доступа с одного главного устройства. Т.е. получить функционал организации прозрачного wifi роуминга с использование множества точек на площади ихнего размещения.

Для решения поставленной задачи мне потребуется:

Шаг №1: активировать функцию контроллера wifi для работы с CAPsMAN.

На главном устройстве через утилиту управления winbox — system — packages, выделяю пакет wireless-cm2 и нажимаю Enable, а для пакета wireless-fp нажимаю disable, либо все тоже самое но через терминал:

winbox — New Terminal

[admin@MikroTik] > system package enable wireless-cm2

[admin@MikroTik] > system package disable wireless-fp

далее через MAC Telnet с основного устройства подключаюсь на другие два и проделываю точно такие же шаги по включению/выключению пакета wifi этими действиям я активирую

На заметку: Пакет wireless-cm2 помечается как активный, но активируется только после перезагрузки устройства. Winbox — system — reboot или [admin@MikroTik] > system reboot

После перезагрузки подключившись к главному устройству появится меню управления по объединению в единую конфигурацию всеми wifi устройствами (только производителя Mikrotik)

В данном меню и происходит настройка управляемыми точка доступа кои являются два других устройства.

Захожу в данное меню CAPsMAN на главном устройстве, активирую его:

winbox — CAPsMAN — вкладка Interfaces — Manager и ставим галочку Enable

Все также находясь в меню CAPsMAN перехожу на вкладку Channel и создаю новый канал (Add)

Name: channel

Frequency: 2422 MHz

Width: 20 MHz

Band: 2ghz-b/g/n

Extension Channel: Ce

Tx. Power: 17

после перехожу на вкладку: Datapaths — Add

Name: datapath2

Bridge: bridge1

На заметку:

• Если установлена птичка «Local Forwarding» — CAP—клиент локально перенаправляет данные с беспроводного интерфейса в bridge на самом же клиенте.
• Если установлена птичка «Client to Client Firwarding«, то клиенты могут «видеть друг друга». Если не установлена — клиенты друг друга не видят, но видят устройства с подсети в которую они входят.

после перехожу на вкладку Security Cfg. — Add

Name: security1

Authentication Type: WPA2 PSK

Encryption: aes ccm

Group Encryption: aes ccm

Passphrase: 712mbddr@

Все выше это были дефолтные настройки. Следом я объединяю их всех в одну единую конфигурацию посредством перехода на вкладку Configuration — Add во вкладке Wireless

Name: cfg1

Mode: ap

SSID: test

Country: russia

Max Station Count: 15

HT Tx Chains: ставлю везде галочки чтобы задействать обе антенны

HT Rx Chains: ставлю везде галочки чтобы задействать обе антенны

А во вкладке Channel

• Channel: подставляю из списка channel

А во вкладке Datapath

• Datapath: подставляю из списка datapath2

А во вкладке Security

• Security: подставляю из списка security1

Теперь нужно сделать правило распространения данной конфигурации на другие подконтрольные точки доступа (у меня их две), все также находясь в меню CAPsMAN теперь уже перехожу на вкладку Provisioning — Add

Radio MAC: 00:00:00:00:00:00 (по дефолту)

Action: create dynamic enabled

Master Configuration: выбираю конфигурацию которую настроил выше в частности cfg1

Данными шагами я настроил управляющее устройство, теперь нужно остальные два других устройства подключить к главному. Чтобы со своего рабочего места сети 10.7.8.0/24 можно было подключиться через winbox к тем двум другим устройства находящимися за главным нужно настройки routing, захожу через winbox на 10.7.8.1 — IP — Routes — Add — вкладка General

Dst. Address: 192.168.99.0/24

Gateway: 10.7.8.95 — указываю IP адрес главного устройства которое по настроенному DHCP на портах к уже подключенным к нему wifi точкам выдает IP адреса.

Уже после этих манипуляций я могу со своего рабочего места сети 10.7.8.0/24 через клиент winbox подключиться к точкам доступа или же настраивать их через консоль командной стройки главного устройства (10.7.8.95) — IP — Neighbors — и через правый клик на соединениях интерфейсов 4 & 5

посредством MAC telnet подключиться к ним с дефолтными значения login & pass настроить подключение к серверной части CAPsMAN, в рамках этой заметки я поступлю, как настройка через winbox.

На 192.168.100.254 — Wireless — во вкладке Interfaces, захожу в CAP, включаю и подключаю:

Enabled: отмечаю галочкой

Interface: wlan1

CAPsMAN Addresses: 10.7.8.95

Bridge: none

все также находясь на вкладке Interface обнаруживаю красную надпись свидетельствующую что данное устройство успешно подключилось к управляющему центру CAPsMAN и приняло конфигурационный файл настроек для организации сети с именем test.

По аналогии настраиваю и другое устройство.

Посмотреть какие точки доступа подключены к сервису CAPsMAN можно открыв на нем:

winbox — 10.7.8.95 — CAPsMAN — вкладка Remote CAP

Но вспомнил одно но, я забыл также поднять DHCP сервис для Wifi на каждом из устройств Mikrotik которые подключил к сервису CAPsMAN, если бы wifi устройства не были бы подключены через CAPsMAN то нужно было бы на каждом из них поднять службу DHCP Server, но у меня ведь настроена единая конфигурация, а потому сервис DHCP Server для сети test я поднимаю на главном устройстве (т. е. 10.7.8.95)

Чтобы :

winbox — 10.7.8.95 — CAPsMAN — вкладка Radio

• E4:8D:8C:BC:3D:B3 (MAC адрес на обороте устройства соответствует SXT 2 (SXTG-2HnD))
• E4:8D:8C:C4:B3:ED (MAC адрес на обороте устройства соответствует RB951Ui-2HnD)

Настраиваю DHCP Server для интерфейсов CAP1 & CAP2, как оказалось в процессе чтения и изучения, что так ничего не получится, а чтобы получилось шаги следующие:

Создаем Bridge (можно сказать что создаем интерфейс)

winbox — 10.7.8.95 — Bridge — Add — именую его к примеру, как bridge2

после вешаю на него созданную сеть

winbox — 10.7.8.95 — IP — Addresses — Add

• Address: 192.168.101.1/24
• Network: 192.168.101.0

Interface: указываю созданный интерфейс bridge2

настраиваю NAT

winbox — 10.7.8.95 — IP — Firewall — вкладка NAT — Add

• General: chain: srcnat
• Out. Interface: ether1 (интерфейс с которым соединено устройство с общей сетью 10.7.8.0/24)
• Action: Action: masquerade

настраиваю dhcp сервер теперь уже для интерфейса bridge2 который будет привязан wifi с индентификатором test

winbox — 10.7.8.95 — IP — DHCP Server — через мастер DHCP Setup и вешаем сеть 192.168.101.1/24 на bridge2

Чтобы в wifi сети был доступ в интернет:

winbox — 10.7.8.95 — IP — Routes — Add

• Dst. Address: 0.0.0.0/0
• Gateway: 10.7.8.1

winbox — 10.7.8.95 — IP — DNS

нужно чтобы стояла галочка: Allow Remote Requests

В итоге после всех настроек мобильник успешно подключился с точке доступа с идентификатором test и получил адрес из диапазона 192.168.101.1/24. Заметка и изучение повысили меня в своих собственных глазах да и практический опыт лучше всякого объяснения.

Мобильник Sony Xperia ZL получил IP адрес: 192.168.101.254, доступ в интернет есть.

На этом я прощаюсь с читателями моего блога, с уважением автор — ekzorchik.

Настройка бесшовного роуминга — CAPsMAN

Пошаговая настройка бесшовного роуминга — CAPsMAN для v6.40

Настройка главного роутера:

в меню Bridge создадим новый бридж bridgeCAP

name=bridgeCAP

в меню выбираем CAPsMAN — Channel и задаём параметры:

name=hs-channel1
frequency=2457
control-channel-width=20
band=2ghz-b/g/n
tx-power=20

Далее настраиваем datapath:

bridge=hs-bridge
name=hs-datapath2
client-to-client-forwarding=yes

Далее configuration.

Вкладка wireless:

name=hs-cfg1
mode=ap
ssid=WiFi-CAPs
rx-chains=0,1,2
tx-chains=0,1,2

Вкладка channel:

channel=hs-channel1

Вкладка datapath:

datapath=hs-datapath2

Далее CAP Interface — Manager:

Поставить галочку enabled
enabled=yes

Вкладка provisioning:

action=create-dynamic-enabled
master-configuration=hs-cfg1

Затем в главном меню выбираем Wirless-CAP:

enabled=yes
interfaces=wlan1
discovery-interface=bridgeCAP
bridge=none

Дополнительные микротики:

Создаём бридж:

name=hs-bridge

Добавляем в него LAN порты микротика:

Идём в IP-DNS:

servers=8.8.8.8,208.67.222.222
allow-remote-requests=yes

IP — DHCP Client.

Вкладка DHCP:

interface=hs-bridge

Вкладка Advanced:

dhcp-options=hostname,clientid

Меню Wirless-CAP:

enabled=yes
interfaces=wlan1
discovery-interfaces=hs-bridge

Всё это можно настроить гораздо быстрее, применив готовые скрипты.

Быстрая настройка готовым скриптом

Достаточно вставить скрипт в терминал нужного микротика.

Главный роутер:

/interface bridge add name=bridgeCAP
/caps-man channel add band=2ghz-b/g/n frequency=2457 name=hs-channel1 tx-power=20 control-channel-width=20
/caps-man datapath add bridge=hs-bridge name=hs-datapath2 client-to-client-forwarding=yes
/caps-man configuration add channel=hs-channel1 datapath=hs-datapath2 mode=ap name=hs-cfg1 rx-chains=0,1,2 tx-chains=0,1,2 ssid=WiFi-CAPs
/caps-man manager set enabled=yes
/caps-man provisioning add action=create-dynamic-enabled master-configuration=hs-cfg1
/interface wireless cap set enabled=yes interfaces=wlan1 discovery-interface=bridgeCAP bridge=none

Второй, третий и т.д. роутер:

/ip dns set allow-remote-requests=yes servers=8.8.8.8,208.67.222.222
/interface bridge add name=hs-bridge
/ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=hs-bridge
/interface wireless cap set discovery-interfaces=hs-bridge enabled=yes interfaces=wlan1
/interface bridge port add bridge=hs-bridge interface=ether3
/interface bridge port add bridge=hs-bridge interface=ether4
/interface bridge port add bridge=hs-bridge interface=ether5
/interface bridge port add bridge=hs-bridge interface=ether2
/interface bridge port add bridge=hs-bridge interface=ether1

MikroTik: CAPsMAN [Мозаика системного администрирования]

В примере в качестве сервера CAPsMAN используется RB951Ui-2HnD, в качестве точки доступа будет выступать RB941-2nD-TC (hAP lite) и RBmAPL-2nD (mAP lite).

Необходимо обновить RouterOS на сервере, в примере использовалась версия 6.37.1. У нас должен быть установлен и активирован пакет wireless.
Чтобы активировать функцию контроллера беспроводной сети, необходимо в разделе CAPsMAN, в меню Manager и установить галочку ✔ Enabled.

Порядок настройки:

Создание радиоканала.

Для создания нового канала на вкладке Channels, необходимо нажать на + и указываем параметры:

• Name — имя канала;

• Frequency — частота в МГц, она же номер канала 1-12;

• Width — ширина (полоса) в МГц;

• Band — режим работы;

• Extension Channel

• Tx. Power — мощность сигнала в Дб/м;

Добавляем новую конфигурацию нажав на кнопку +

Параметры:

Bridge

Мост в который будет добавлен интерфейс в качестве порта.

В примере у нас две сети:

1. bridge_hotspot — открытая;

2. bridge_work — рабочая.

Bridge Costs

Значение bridge port cost, используется только если активен параметр bridge.

Bridge Horizon

Значение bridge horizon, используется только если активен параметр bridge.

Local Forwarding

Управляет параметром forwarding mode (устанавливаем галочку)

Local-forwarding — если он активирован, то всем трафиком клиентов точки доступа управляет сама точка. И большинство настроек datapath не используются, так как контроллер не управляет трафиком. Если этот параметр не установлен, то весь трафик с клиентов поступает на контроллер сети и там управляется в зависимости от настроек. Если вам необходим трафик между клиентами, то укажите параметр Client To Client Forwarding.

Client To Client Forwarding

Управляет параметром client-to-client forwarding между клиентами управляемой точки доступа, если активен параметр local-forwarding этим параметром управляет сама точка доступа, в противном случае контроллер (устанавливаем галочку)

VLAN Mode

Управляет назначением VLAN tag для интерфейса

VLAN ID

Номер VLAN будет назначен интерфейсу, если VLAN Mode установлен в use tag

Настройка безопасности выполняется на вкладке Security Cfg., добавляем новые параметры нажав на +. В нашем примере необходимо создать два разных профиля (для каждой сети — свой). Для открытой сети не указываем ничего кроме поля name, для рабочей сети выполним настройки.

Описание настроек Securiry:

• name — имя конфигурации

• Authentication type — выбор типа авторизации (WPA2 PSK)

• Encryption — выбор алгоритма unicast encryption (aes ccm, tkip)

• Group Encryption — выбор алгоритма group encryption (aes ccm)

• Passphrase WPA or WPA2 pre-shared key (КЛЮЧ_ДЛЯ_СЕТИ)

• Eap Methods — выбор типа авторизации

• Eap Radius Accounting — использование авторизации Radius

• TLS Mode — управление использования сертификата

• TLS Certificate — выбор сертификата, если его использование активировано в предыдущем параметре

Для создания конфигурации нажимаем на кнопку + на вкладке Configurations, в нашем примере будет две конфигурации (для рабочей сети и открытой).

Первым делом создадим для открытой сети.
На вкладке wireless указываем:

• name

• mode (ap)

• SSID (Office)

На вкладке Channel указываем заранее созданный канал (например channel 1).

На вкладке Datapaths необходимо указать Datapaths, созданный для открытой сети. Установить VLAN Mode use tag, и указать номер VLAN (который создавали заранее при настройке сети).

На вкладе Security выбираем профиль безопасности, созданный для открытой сети.

Аналогично выполняется настройка конфигурации для рабочей сети, используя заранее созданные параметры для неё.

Создание правила распространения.

На вкладке Provisioning нажимаем на кнопку + и указываем:

На этом настройка CAPsMAN на контроллере завершена.

mikrotik/capsman/capsman.txt · Последние изменения: 2019-05-11 00:59 — GreyWolf

Как настроить CAPsMAN и беспроводные маршрутизаторы MikroTik на несколько беспроводных сетей в разные VLAN

Итак, нам требуется настроить CAPsMAN с двумя разными SSiD в двух разных VLAN — Office и Guest.

Мы использовали следующее оборудование:

1. Маршрутизатор MikroTik RB750GL — в качестве шлюза в Интернет и DHCP-сервера

2. Коммутатор MikroTik CRS125-8G-2S+IN — в качестве коммутатора (к нему было подключено несколько беспроводных маршрутизаторов) и в качестве сервера CAPsMAN (менеджер управления беспроводными точками)

Настройка шлюза в сеть Интернет, DHCP-сервера и VLAN на MikroTik RB750GL

В рамках данной статьи мы не будем настраивать доступ в Интернет, считая, что на интерфейсе ether1-gateway у нас провайдер ethernet

• Для начала настроим интерфейс, в который у нас будет приходить линк от коммутатора CRS210-8G-2S+IN

• Выводим интерфейс из свитч-группы:

• Добавляем адреса на созданные интерфейсы vlan101 и vlan47 и создаем, для них же, пулы адресов:

/interface ethernet
set [ find name=ether5-slave-local ] master-port=none
/interface vlan
add interface=ether5-slave-local name=vlan47 vlan-id=47
add interface=ether5-slave-local name=vlan101 vlan-id=101
/ip pool
add name=pool_vlan101 ranges=192.168.101.10-192.168.101.200
add name=pool_vlan47 ranges=192.168.47.10-192.168.47.200
/ip dhcp-server
add add-arp=yes address-pool=pool_vlan101 authoritative=yes disabled=no \
  interface=vlan101 name=server_vlan101
add add-arp=yes address-pool=pool_vlan47 authoritative=yes disabled=no \
  interface=vlan47 name=server_vlan47
/ip address
add address=192.168.101.1/24 interface=vlan101 network=192.168.101.0
add address=192.168.47.1/24 interface=vlan47 network=192.168.47.0
/ip dhcp-server network
add address=192.168.47.0/24 dns-server=192.168.47.1 gateway=192.168.47.1
add address=192.168.101.0/24 dns-server=192.168.101.1 gateway=192.168.101.1

Настройка CAPsMAN и VLAN на коммутаторе CRS210-8G-2S+IN

Настройка VLAN

Сначала изменим IP-адрес, по которому мы будем подключаться к коммутатору:

Создадим VLAN 101 и VLAN 47, и укажем порты, которые будут участвовать в этих VLAN :

Укажем на каких портах мы будем использовать tag VLAN :

/ip address
set [ find name=ether1-master-local ] address=192.168.88.2/24 network=192.168.88.0
/interface ethernet switch egress-vlan-tag
add tagged-ports="ether1-master-local,ether2-slave-local,ether3-slave-local,ethe\
  r5-slave-local,ether6-slave-local,ether7-slave-local,ether8-slave-local" \
  vlan-id=47
add tagged-ports="ether1-master-local,ether2-slave-local,ether3-slave-local,ethe\
  r5-slave-local,ether6-slave-local,ether7-slave-local,ether8-slave-local" \
  vlan-id=101
/interface ethernet switch vlan
add ports="switch2-cpu,ether1-master-local,ether2-slave-local,ether3-slave-local\
  ,ether4-slave-local,ether5-slave-local,ether6-slave-local,ether7-slave-local\
  ,ether8-slave-local" vlan-id=101
add ports="switch2-cpu,ether1-master-local,ether2-slave-local,ether3-slave-local\
  ,ether4-slave-local,ether5-slave-local,ether6-slave-local,ether7-slave-local\
  ,ether8-slave-local" vlan-id=47

Настройка CAPsMAN

Настройка маршрутизатора CAP-2n под управление менеджером CAPsMAN

Изменим IP-адрес маршрутизатора и удалим из bridge-local интерфейс wlan1

Теперь настроим маршрутизатор под управление менеджером CAPsMAN — укажем интерфейс, явный IP-адрес менеджера CAPsMAN и бридж, в который у нас будут добавляться наши беспроводные интерфейсы

Итак — интерфейсы создались и добавлены в bridge-local

/ip address
set [ find name=bridge-local ] address=192.168.88.3/24 network=192.168.88.0
/interface bridge port
remove [ find interface=wlan1 ]
/interface wireless cap
set bridge=bridge-local caps-man-addresses=192.168.88.2 discovery-interfaces=\
  bridge-local enabled=yes interfaces=wlan1

Проверяем работоспособность наших настроек

Настройка шлюза в сеть Интернет, DHCP-сервера и VLAN и CAPsMAN на коммутаторе MikroTik CRS125-8G-2S+IN

Настройка шлюза в сеть Интернет, DHCP-сервера и VLAN и CAPsMAN на маршрутизаторе MikroTik RB750GL

Опять изменим нашу схему — уберем коммутатор MikroTik CRS125-8G-2S+IN и вернем маршрутизатор MikroTik RB750GL

Теперь в качестве шлюза в Интернет, DHCP-сервера и менеджера CAPsMAN у нас будет выступать маршрутизатор MikroTik RB750GL

Настраиваем менеджер CAPsMAN на маршрутизаторе MikroTik RB750GL

  /caps-man datapath
add local-forwarding=yes name=datapath_vlan101 vlan-id=101 vlan-mode=use-tag
add local-forwarding=yes name=datapath_vlan47 vlan-id=47 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=security_vlan101 \
  passphrase=1234567890
add authentication-types=wpa2-psk encryption=aes-ccm name=security_vlan47 \
  passphrase=1234567890
/caps-man configuration
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
  channel.width=20 datapath=datapath_vlan101 mode=ap name=cfg_vlan101 \
  security=security_vlan101 ssid=Office
add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.frequency=2412 \
  channel.width=20 datapath=datapath_vlan47 mode=ap name=cfg_vlan47 \
  security=security_vlan47 ssid=Guest
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg_vlan101 \
  slave-configurations=cfg_vlan47
/caps-man manager
set enabled=yes

Подключаем маршрутизатор CAP-2n в 5 порт маршрутизатора RB750GL, на котором мы уже ранее создавали VLAN 47 и VLAN 101
И наша схема уже работоспособна. Но как быть, если маршрутизаторов CAP-2n несколько?

Вариант 1

Выводим все порты из switch-группы, на каждом интерфейсе создаем по два VLAN с ID 47 и ID 101, создаем два интерфейса brdge_vlan47 и bridge_vlan101, добавляем в эти бриджы соответствующие VLAN-интерфейсы, IP-адреса и DHCP-сервера перенастраиваем на bridge_vlan47 и bridge_vlan101

Контроллер Wi-Fi точек доступа на Mikrotik / Хабр

Введение

В последней версии операционной системы Mikrotik RouterOS под номером 6.11 была добавлена экспериментальная функция, позволяющая использовать роутер на этой платформе в качестве контроллера Wi-Fi точек доступа. К сожалению, так как данный функционал только что появился и находится в статусе бэта, информация о нём ограничевается довольно скучной статьёй на в Wiki-справочнике Mikrotik’а. Пошаговой инструкции по настройке мне найти не удалось, поэтому, решено было попытаться всё настроить методом научного тыка. В данном посте я рассматриваю простую настройку контроллера (не углубляясь в дебри настроек, коих очень много) обеспечивающую следующую конфигурацию (по сути, аналогичную той, что была бы настроена на простом SOHO-роутере уровня D-Link DIR-620 с родной прошивкой, и используемую в домашних условиях):

• Два Wi-Fi роутера Mikrotik RouterBoard
  • Routerboard RB951G-2HnD — основной, является контроллером Wi-Fi, точкой доступа, маршрутизатором, DHCP- и DNS-сервером. Далее буду именовать его контроллером
  • Routerboard RB951Ui-2HnD — дополнительный, является только точкой доступа Wi-Fi и свитчём на 3 порта (POE in и out порты не включены в свитч и зарезервированы на будущее). Далее буду именовать его точкой доступа или точкой

• WPA/WPA2-PSK аутентификация с AES-шифрованием
• Строго определённый канал, с шириной 20МГц
• Единственный SSID, не скрытый
• Клиенты не изолированны друг от друга и проводной сети (действительно, зачем это дома?)

Заинтересовавшимся, предлагаю продолжить чтение под катом. Внимание, трафик!

Дисклеймер

Итак, мы осознали страх и риск, связанный с использованием технологий, находящихся на этапе тестирования, понимаем, что за повторение действий, описанных в данной статье, отвечать будете только вы. Тут же стоит отметить, что данный функционал пока не совместим с:

• Nstreme AP support
• Nv2 AP support

То есть, работает только 802.11.

Подготовка

По информации с Wiki работа данной системы не требует наличия Wi-Fi на роутере, в таком случае устройство может выполнять функции контроллера.

Первым делом, необходимо обновить систему на наших роутерах до версии 6.11. Можно скачать файл прошивки с официального сайта Mikrotik, после чего перетащить его в окно Winbox’а, после чего перезагрузить роутер; или же зайти в раздел System -> Packages, нажать кнопку Check For Updates и в появившемся окне ещё раз нажать на Check For Updates, а затем Download & Upgrade.
Далее в разделе загрузок на официальном сайте Mikrotik, нужно скачать файл пакета Wireless CAPsMAN (он находится там же где и прошивка для вашей платформы), после чего установить его так же, как обновление RouterOS, т.е. перетаскиваем на окно Winbox’а и перезагружаемся.
После перезагрузки заходим в раздел Packages, чтобы убедиться, что пакет корректно установился и активирован.

Обратите внимание, появился пакет wireless-fp, а пакет wireless стал неактивным. Кроме того, появился новый пункт CAPsMAN в главном меню и кнопка CAP в разделе Wireless.

Настройка контроллера

Действия, описанные в данном разделе, требуется выполнить только на контроллере.
Заходим в раздел CAPsMAN в главном меню.

Первая вкладка Interfaces будет содержать псевдо-интерфейсы, появляющиеся при подключении точек доступа к контроллеру на каждое подключение по одному псевдо-интерфейсу. Если зайти в любой псевдо-интерфейс, то можно увидеть настройки, которые применены к нему.

В принципе, можно вручную создать интерфейс для точки доступа, например в случае необходимости выделить какую-либо точку какими-то особыми настройками.

Чтобы включить режим контроллера, нажмём кнопку «Manager», устанавливаем галочку Enabled и нажимаем OK.

Переходим ко вкладке Configurations. Здесь создаются конфигурации, которые в дальнейшем будут разворачиваться на наших точках доступа.

Создадим новую конфигурацию

Зададим имя конфигурации, SSID, режим доступен только один, но на всякий случай, я решил не оставлять это значение пустым, хотя с пустым тоже всё работает. Тут же укажем, что использовать следует все доступные антены на приём и передачу (на моих роутерах их по две, но третья галочка хоть и установлена, ни на что влиять не будет).

Далее определим настройки канала

Заметьте, любые настройки можно сделать, как непосредственно в конфигурации, так и создать объект «Channel» на соответствующей вкладке CAPsMAN’а, после чего выбрать его из списка. Это может быть удобно при наличии сложных конфигураций с комбинацией различных параметров для нескольких точек доступа. Укажем частоту (к сожалению, выпадающий список отсутствует, поэтому придётся указать значение вручную), ширина канала у меня почему-то принимает только значение 20МГц (в описании поля в консоли написано, что это может быть десятичное число от 0 до 4294967.295, поэтому поставить 20/40 нельзя, а если указывать значения, больше 20, появляется ошибка, что точка доступа неподдерживает данную частоту). Если ширину канала не указать, то 20МГц будет принято по умолчанию. Далее выбираем формат вещания 2ghz-b/g/n. Следующее поле по смыслу как раз должно давать возможность расширить канал до 20/40, но почему-то независимо от выбранного значения этого не происходит. На всякий случай, выбираю Ce (в предыдущих версиях above).

Следующий раздел позволяет указать сетевые параметры

Как и в случае с каналом, можно оформить этот раздел конфигурации через отдельный объект.

Галочка local-forwarding позволяет передать управление трафиком точкам доступа. В этом случае попадание клиентов в определённую подсеть (путём добавлениея wlan интерфейса в определённый bridge), маршрутизация и т.д. будет осуществляться привычным образом, т.е. через интерфейс беспроводной сети. Снятие этой галочки передаёт управление контроллеру, соответственно все прочие настройки на этой вкладке действительны только при снятой галочке.

Раздел «безопасность»

Содержит, в принципе, привычные настройки, которые не нуждаются в коментировании. Единственное, что хочется отметить — это отсутствие WEP аутентификации. Тут так же можно выполнить настройки в отдельном объекте «Security», после чего указать его в соответствующем поле.

Развёртывание

После того как мы закончили редактировать конфигурацию, сохраним её. Она понадобится нам на следующем этапе.

На вкладке Provisioning мы создаём новое развёртывание. Укажем тип конфигурации.

Создадим в этом разделе объект «Provisioning».

Поле «Radio Mac» позволяет определить конкретную точку доступа, к которой будет применено данное развёртывание, по умолчанию — ко всем. Действие нужно указать «create dynamic enabled», другие варианты нужны для статических интерфейсов. Укажем только что созданную конфигурацию в качестве основной.

Настройка точек доступа

Здесь всё гораздо проще. Настройки выполняются на роутерах, оснащённых Wi-Fi модулями. Заходим в раздел Wireless.

Нажимаем кнопку CAP.

Ставим галочку Enabled, указываем беспроводной интерфейс, в случае, если точка доступа и контроллер это одно устройство, добавляем в поле CAPsMAN addresses свой же IP.

Если точка доступа, и контроллер — это разные устройство, то CAPsMAN addresses можно не указывать, вместо этого указать Discovery Interfaces.

Поле Bridge можно заполнить — указать мост, в котором находится локальная сеть, в таком случае при установке соединения с контроллером, интерфейс будет автоматически добавляться в мост, а можно не указывать, тогда его придётся назначить в пункте меню Bridge.

После нажатия кнопки OK. У интерфейса появится краснный коментарий, обозначающий, что он управляется контроллером.

После установки соединения с контроллером и получения от него настроек появится вторая строчка коментария с указанием параметров сети.

А во вкладке Interfaces пункта меню CAPsMAN появятся псевдо-интерфейсы соответствующие этим соединениям.

После редактирования настроек контроллера, можно принудительно обновить развёртывание на точки доступа в разделах Remote CAP и Radio (в зависимости от того, какие настройки меняли), выделением нужной точки и нажатием на кнопку Provision.

Подключенных клиентов по интерфейсам можно увидеть в разделе Registration Table:

Заключение

Поскольку функционал CAPsMAN и CAP только что появился в открытом доступе и всё ещё находится в статусе бэта-тестирования, я предполагаю, что интерфейс, настройки и возможности в скором времени вполне могут измениться. Но принципиальные изменения вряд ли произойдут, так что надеюсь, что пост не потеряет актуальности.

При написании данного поста использовалась статья из официальной Wiki Mikrotik.

UPD: перечитал wiki, обнаружил ошибку в посте, касательно вкладки datapath, внёс исправления в статью.

Настройка Сapsman Mikrotik пошагово с картинками

Беспроводное соединение на большой площади поможет установить Capsman от Mikrotik, его настройка позволяет объединить доступ к точкам Wi-Fi бесшовным роумингом. Это позволяет пользователю при переходе из точки одного покрытия в другую не терять соединение, повторное подключение не потребуется. Capsman позволяет выполнить просто, управлять большим количеством точек доступа с единого устройства, благодаря чему делает доступнее единое бесшовное покрытие.

Что такое Сapsman V2

Важным фактом является то, что Capsman V2 несовместим с предыдущей версией, а потому потребует обновления, при отсутствии нового пакета. Главными его достоинствами стали:

• точки доступа теперь обновляются автоматически;
• обмен информацией происходит по улучшенному протоколу;
• настройки теперь содержат поля «Формат имени», «Префикс имени» в Правилах предоставления;
• переключение теперь обеспечено улучшенным логированием;
• появилось обнаружение MTU пути L2.

При существующей настройке Capsman Mikrotik предшествующей версии, обновить до версии v2 не сложно, достаточно:

1. Указать Capsman v2 в качестве контроллера исходной сети.
2. Поочередно производится обновление точек доступа, в них требуется установить пакет wireless-cm2. Они подключаются к указанному временному контроллеру.
3. Завершив основные обновления всех точек, надо обновить основной контроллер, после полного обновления всей сети отключается временный Capsman v2.

В том случае, если полное отключение сети не катастрофично, то гораздо проще обновить все точки одновременно с центральным контроллером, после полного обновления все заработает в улучшенном режиме.

Настройка контроллера Wi-Fi сети

Прежде чем приступать к настройке Mikrotik Capsman, обновляется сначала вся система, устанавливается пакет wireless-cm2, затем активируется. Для этого войти во вкладку «Диспетчер» раздела «Capsman» и активировать функцию функцию.

Суть работы системы заключается в создании отдельного виртуального кабинета для каждой точки доступа Wi-Fi. Благодаря такому решению можно управлять настройками, трафиком, работой каждой точкой отдельно, независимо от остальных.

Допускается создание групп, объединенных общими настройками, что удобно для быстрого управления. Отдельный для каждой точки позволяет вносить изменения в каждую из них, не доступная остальные. Дополнительные настройки, созданные для точки отдельно от других, будут перезаписывать глобальные данные в группе.

Для создания нового радиоканала следует на вкладке «Каналы» указать «+» и указать параметры.

В настройках требуется указать:

• на название;
• номер, это же значение в MHz;
• полосу в МГц;
• график;
• мощность канала.

Затем переходим в раздел Datapaths, снова при помощи «+» добавляем новые данные конфигурации.

В них нужно заполнить следующие разделы:

• бридж, в который добавляется интерфейс в виде порта, а также Bridge Cost, Bridge Horizon;
• установить режим пересылки;
• указать, что будет точка доступа, она сама (local-forwarding) или контроллер;
• установить значение тега VLAN и назначить его ID.

Внимание! Если активировать local-forwarding, управление трафиком полностью переходит на точку доступа, часть настроек недоступна. Чтобы иметь доступ ко всем настройкам и отслеживать трафик лучше указывать управление переадресацией от клиента к клиенту.

Чтобы настроить безопасность входа во вкладку «Security Cfg», после «+» появится окно настроек.

В нем потребуется указать:

• на название;
• выбрать тип авторизации;
• установить алгоритм Шифрование, Групповое шифрование;
• установить пароль WPA или WPA2;
• метод авторизации;
• при установлении сертификата выбрать его.

Дальше требуется из всех указанных параметров общую конфигурацию, которые могут быть много различных настроек. Сделать это можно в меню Конфигурации, снова работает «+» выскакивает меню.

В настройках следует заполнить все блоки. Раздел «Беспроводная сеть» потребует настройку, режим и SSID создаваемой бесшовной сети Wi-Fi. Остальное наполняется созданным описанным выше. После правил которые устанавливаются в Provisioning (по MAC адресу).После этого подключаются точки Wi-Fi.

Подключение точек доступа

Существуют разные протоколы при помощи которых подключаются точки доступа к Capsman. Использовать уровень 2 можно, если находится точка в одном сегменте. Тогда они модуль найти контроллер по MAC адресу. Протокол Layer 3 используется, если приходится настраивать доступ согласно IP-адресам.

Точка Wi-Fi подключается при помощи winbox, во вкладке «Беспроводная связь», по меню CAP выходит окно с настройками.

В первую очередь нужно включить доступ (Включено) при помощи галочки. Далее заполняются необходимые графы, среди которых будет: интерфейс, сертификат, Capsman адрес и Bridge. Затем настройки сохраняются, при корректном подключении появятся данные о потреблении каналом трафика. Тоже самое следует производить на самом контроллере, его интерфейс также подключается к Capsman v2.

При пользовании подключением клиентов к общей сети, при потреблении они используются во встроенной «Таблице регистрации».Тут же будет указана точка, которая обеспечивает.

Чтобы быстро проанализировать ситуацию потребуются информативные названия точек доступа. При необходимости наложить ограничение (трафика, времени) на одну из них, найти нужную будет легко.

Проверка работы бесшовного Wi-Fi роуминга

Для проверки всех точек доступа в настроенной сети понадобится телефон на платформе Android с установленной программой «Wi-Fi Analyzer». Установленное приложение позволит протестировать мощность сигнала и быстроту его переключения.Видеть переход можно при явном резком увеличении качества сигнала, это говорит о появлении новой точки.

После проведенной проверки при необходимости провести коррекцию мощности доступа точек Wi-Fi. Оптимальное количество подключенных абонентов до 15 чел. При большей нагрузке могут возникнуть некоторые сбои.

2 сети в Сapsman на примере гостевой Wi-Fi

Возникают различные ситуации при использовании Wi-Fi, наиболее распространенная, когда при наличии бесшовной сети требуется открытый второй Capsman v2 Mikrotik для бизнес-открытого доступа.Для начала потребуется добавить настройки в сети и создать возможность доступа без пароля.

Далее, добавляем конфигурацию, с измененными настройками безопасности. В разделе «Подготовка» понадобится добавить в имеющуюся конфигурацию новый параметр.

Далее настройки автоматически передаться и распространиться на все точки доступа. В том случае, если этого не происходит, требуется войти в каждую из них и переподключить.

Видео по теме:

Быстрого вам интернета!

.

Технология CAPsMAN от Mikrotik: быстрый роуминг Wi-Fi своими руками.

Эта статья содержит общие принципы работы, а также способы настройки оборудования для построения сети Wi-Fi с бесшовными роумингом на основе технологии CAPsMAN от Mikrotik .

Системный менеджер управляемых точек доступа (CAPsMAN) — менеджер системы управляемых точек доступа. Суть работы технологии заключается в покрытии больших площадей единой сетью Wi-Fi с помощью множества точек доступа и безболезненное переключение от точки к точке без потерь сети.Ключевым моментом является то, что для поднятия системы не требуется дополнительного оборудования — контроллером может выступать любую из точек в составе сети, с которой может происходить управление всеми остальными точками. Условие использования данной технологии является собственно, наличие беспроводного оборудования Mikrotik с RouterOS v6.11 и выше, CAPsMAN v2 доступен в версии RouterOS v6.22 и выше. На самом контроллере наличие беспроводного интерфейса не является обязательным.

Возможность создать беспроводные сети с бесшовным роумингом ранее. Она реализовалась с помощью построения MESH-сетей. Главными отличиями CAPsMAN являются простота настройки, удобство администрирования, централизованное управление.

Настройка

Настройку устройств на базе RouterOS можно осуществить посредством способов:

1. Настройка через Web-интерфейс или Webfig . По умолчанию IP-адресом устройство является 192.168.88.1 . Также возможно, что при включении устройства идет без адреса, тогда нужно сбросить устройство до заводских настроек с помощью клавиш Reset , которая находится на корпусе возле LAN-разъема. Сброс настроек Mikrotik осуществляется зажатием клавиш Reset на выключенном устройстве, затем включение устройства и удержание клавиш до тех пор, пока не «моргнут» светодиодные индикаторы.

   Webfig. Главная страница

2. Второй способ -это настройка Mikrotik через консоль в терминальном режиме.Для запуска заходим в Webfig или Winbox и выбираем пункт меню New Terminal . Также можно получить доступ к консоли через ssh при помощи, скажем, широко известная Putty. Настройка через терминал — это весьма сложный способ настройки с «недружественным» интерфейсом строки. Этот способ выбирает, когда точно уверены, что делаем, или когда больше ничего не остается.

   Окно консольного режима

3. И третий и, пожалуй, самый удобный способ настройки — это настройка Mikrotik через утилиту Winbox .На использование этой утилиты буду настройку роутеров. Эту утилиту Вы можете скачать на официальном сайте Mikrotik или через Web-интерфейс устройства.
   Итак, скачав Winbox и сбросив точку на настройки по-умолчанию приступаем к настройке.
   Первым делом контролируем настройки сетевого подключения. Необходимо находиться в одной подсети с точкой доступа, чтобы настроить её через Winbox. Так как по-умолчанию у точки адрес 192.168.88.1 , то компьютеру присваиваем адрес в диапазоне от 192.168.88.2 до 192.168.88.254, например 192.168.88.2. Подробно о том, как надо настроить сетевые параметры ПК можно почитать в статье «Настройка роутера»

Теперь запускаем скачанную программу Winbox.

Окно запуска Winbox

Адрес можно ввести вручную, но лучше выбрать из списка, набора на кнопку «…»

Выбор устройства

Затем вводим пароль и нажимаем Connect. Можно также поставить галочки «Сохранить пароль» или «Безопасное подключение», но это не обязательно.Можно также сохранить текущую группу адрес, логин, пароль, чтобы в дальнейшем не вводить.

QuickSet

Подключив, нужно начальную настройку точки, сменив ip-адрес, задав пароль и идентификатор точки. Настройку адреса можно провести через меню IP — Адреса , но проще все начальные настройки провести в меню Quick Set .
В моем случае я выбираю WISP AP (точка доступа поставщика услуг беспроводного интерфейса) в режиме работы Bridge , задает настройки сети, пароль и идентификатор, и все в одном окне.Внимание! После смены ip-адреса точка снова станет недоступна, нужно будет сменить адрес ПК обратно для работы с точкой.

После настройки базовых параметров время обновить прошивку. Заходим на сайт Mikrotik, и в разделе « загрузок, » скачиваем самую новую версию прошивки.

Раздел загрузки на сайте Mikrotik

Для установки переходим в раздел меню System -> Packages , после чего откроется окно Package List . Для установки обновлений просто перетаскиваем загруженный с сайта Mikrotik пакет прямо в окно Winbox | Package List.Откроется окно прогресса загрузки архива. По окончанию загрузки необходимо перезагрузить устройство. Сделать это можно либо отключением питания, либо через меню Система -> Перезагрузить .

Список пакетов

После перезагрузки опять заходим в раздел меню System -> Packages , после чего был включен CAPsMANv2 . Для этого в списке Список пакетов на строку черного цвета wireless-2 — пакет должен быть активирован (текст, а не серого цвета), пакет wireless-fp — напротив деактивирован.Если это не так, то выделяем нужный пакет и сверху кнопками Включить / отключить выполняем необходимые действия. После активации / деактивации пакетов нужна перезагрузка оборудования.

Активация / Деактивация пакетов

После выполненных действий переходим в раздел меню CAPsMAN . В открывшемся окне на вкладке Iinterfaces находим кнопку Manager . По нажатию кнопки откроется окно CAPs Manager , в котором ставим галочку напротив Включено , тем самым активирую CAPsMAN.

Менеджер CAPs

При технологии использования CAPSMAN все устройства (в том числе и контроллер), входящие в систему, используют настройки беспроводной сети, хранящиеся на контроллере системы. Может быть одна конфигурация настроек для всех устройств, либо различные конфигурации для определенных устройств.

И нашим следующим шагом будет настройка нашего подключения. Здесь у нас есть возможность пойти двумя путями: либо настроить все параметры и внести в одни файл конфигурации, либо создать, настроить подключение и прочее в раздельно в соответствующих вкладках окна CAPsMAN, в настройках конфигурации собрать все эти параметры в одно.Чем удобен второй подход, это создает сколько угодно различных вариантов конфигурирования беспроводного соединения, и менять настройки в считанные секунды. Для меня удобен второй вариант, его и буду описывать.

Начнем настройку со вкладки Каналы . Открываем вкладку, нажимаем + , открываем окна настройки канала связи:
Имя — название
Частота — частота в МГц
Ширина — полоса канала (при выставлении большей частоты нужно учитывать, что старые адаптеры сетей Wi-Fi могут не работать)
Band — режим работы
Extension Channel — нестандартные настройки ширины и частоты канала (возможность установки нестандартной частоты с шагом в кГц для устройств, это поддерживающих).По умолчанию не используется.
Tx. Power — мощность передатчика в Dbm

Настройка канала

После ввода значений нажимаем ОК и у нас появляется строка с нашими настройками.

Далее переходим на вкладку Datapaths . Опять нажимаем плюсик и начинаем настройку:
Имя — на обозначение
Bridge — выбираем, к какому мосту подключиться наш CAPsMAN в качестве порта.
Стоимость моста и Bridge Horizon — по умолчанию не использовать
Local Forwarding — параметр управления трафиком.Если активирован то всем трафиком клиентов управляет точка. Если деактивирован, то весь трафик передаётся на контроллер и управляется им.
Перенаправление от клиента к клиенту — активирует трафик между клиентскими точками

Настройка Datapaths

Нажимаем ОК и переходим на вкладку Security Cfg. Здесь мы настраиваем параметры нашего подключения.Снова нажимаем + и преступаем к настройке:
Имя — наименование настройки
Тип аутентификации — тип аутентификации. Можно использовать одновременно несколько типов аутентификации.
Encryption — тип шифрования. Предпочтительно использовать тип шифрования AES, тип шифрования TKIP использовать в случае не совместимости оборудования с AES (имеются проблемы в работе, либо невозможностью подключения).
Group Encryption — устанавливает тип шифрования для групп, работающих по протоколу Ди́ффи-Хе́ллмана (DH aka Oakley).
Кодовая фраза — кодовая фраза
Методы EAP — выбор типа авторизации EAP. Настраивается при использовании данной технологии.
EAP Radius Accounting — настройка при использовании Radius
TLS Mode — использование сертификатов
TLS Certificate — выбор сертификата при активации в предыдущем вводе

Последним шагом будет сборка конфигурации в единое целое. Для этого переходим на вкладку Configurations , нажимаем плюсик и вводим:
Имя — наименование конфигурации
Mode — режим работы ap (точка доступа)
SSID — название нашей будущей сети Wi-Fi
Hide SSID — будет ли наша сеть скрытой
Группа балансировки нагрузки — по умолчанию оставляем пустым
Страна — обычно оставляю по умолчанию, но если в процессе работы начинаются проблемы, тогда эту настройку нужно править.Данная проблема описана здесь.
Также ставим все галки в HT.
В остальных вкладках выбираем ранее созданные настройки и нажимаем ОК.

Настройка конфигурации подключения

Основные настройки CAPsMAN закончены, теперь нужно настроить правила распространения этих настроек на точки в сети. Для этого переходим во вкладку Резервирование .
Распространение настроек может происходить либо с помощью сертификатов, либо по MAC-адресу точки, причем для разных точек мы можем распространять разные конфигурации.
RadioMAC — вводим МАС-адрес ТД или все параметры, распространяемые на все точки доступа
Action — выбираем действие после подключения для радио интерфейса
Master Configuration — выбор основной конфигурации настроек для распространения
Slave Configuration — выбор второстепенной конфигурации для распространения
Формат имени — формат наименования создаваемых интерфейсов CAP
Имя Perfix — перфикс для созданных интерфейсов

Настройка Provisioning

На этом настройка контроллера закончена, переходим к настройке точек доступа.Если наш контроллер сам является точкой доступа, то начнем настройку с него.
Для этого переходим в раздел Wireless , во вкладке интерфейсы нажимаем кнопку настройки CAP , и в открывшемся окне производим следующие:
Ставим галочку Включено
Выбираем интерфейс wlan1 в поле Интерфейсы
В поле CAPsMAN Адреса ставим адрес контроллера сети (в данном случае свой)
В поле Bridge выбираем наш бридж.
Нажимаем ОК.

Настройка подключения к контроллеру CAPsaMAN

После этого в разделе «Беспроводные интерфейсы» должны появиться строки:
— управляется CAPsMAN
— канал: XXXXXXXXXX, SSID: XXXXXXXXXXX

Таким же образом поступаем и с остальными точками доступа, придерживаясь следующего плана доступа, указанного выше:
1. Заходим на точку доступа через программу Winbox
2. Производим базовую настройку IP адреса и других параметров
3.Производим обновление прошивки (желательна одна прошивка на всех устройствах в сети)
4. Контролируем, включен ли CAPsMAN v.2 в разделе Пакеты (wireless-cm2)
5. Заходим в раздел Wireless-> Interfaces и нажимаем кнопку CAP, где настраиваем подключение к контроллеру.

После подключения всех точек у вас должна быть такая (в зависимости от количества точек) картина:

Процесс настройки завершен. Данная сеть легко масштабируется, также легко перенастраивается под различные конфигурации.При невысокой стоимости оборудования предложение от Mikrotik бесспорно является одним из лучших предложений на рынке.

Все удачи в настройке и спасибо за внимание!

Вконтакте

Facebook

Одноклассники

Мой мир

.

Настройка Capsman Mikrotik

Для начала пару слов о том, что такое Capsman и зачем вообще он нужен для Mikrotik.

Capsman — это аббревиатура, которая означает System Manager Controlled Access Point (CAPsMAN). Другими словами это полноценный контроллер для точек доступа. Контроллер нужен для того, что бы была возможность организовать роуминг сети Wi-Fi с возможностью переключения клиента к ближайшей точке доступа.

Итак, у меня стоит задача: организовать роуминг на территории гостиницы. В здании 6 этажей, первый этаж — ресепшен и столовая, остальные жилые. На каждом жилом этаже будет стоять Mikrotik RB941 по две штуки (не я так решил, просто до меня были проложены провода и установлены розетки, пользуюсь тем, что есть). На первом этаже RB951 на ресепшене, cAP ac в столовой и Groove на улице. Сеть для гостей использует СМС авторизацию. Для реализации возможности подключения сотрудников без использования СМС авторизации, а также для использования терминалов оплаты, будем использовать VLAN, но о них поговорим в другой статье.

В качестве контроллера будем использовать Mikrotik RB2011. При первом подключении сбрасываем и делаем настройки, которые необходимы для работы. В рамках данной статьи не буду углубляться в эту тему, скажу лишь, что я настроил СМС-авторизацию, DHCP-сервер, несколько правил для брандмауэра, а так же дерево очередей для двух подсетей — офисной и гостевой.

Сама настройка CapsMAN не сложна по своей сути, главное понимать что за чем следует. Если у Вас все готово, тогда приступим к настройке контроллера.

В последней версиих прошивки пакет capsman уже включен в дистрибутив, поэтому скачивать и устанавливать отдельно его не требуется. Открываем в левом меню вкладку и включаем WiFi CapsMAN :

Переходим на вкладку Каналы и настраиваем каналы:

Ничего сложного:

• Имя имя канала
• Частота частота в МГц, она же номер канала 1-12
• Ширина полоса в MHz
• Группа режим работы
• Extension Channel настройки расширения канала
• Tx.Power мощность сигнала в Dbm

Далее переходим на вкладку Datapaths и делаем следующие настройки:

• Bridge в какой бридж будет добавлен интерфейс в качестве порта
• Bridge Cost значение параметра bridge port cost, используется только если активен параметр bridge
• Bridge Horizon значение bridge Horizon, используется только если активен параметр bridge
• Local Forwarding управляет параметром режима пересылки
• Перенаправление от клиента к клиенту определяет параметры перенаправления от клиента к клиенту между клиентами управляемой точки доступа, если активен параметр local-forwarding, этим параметром управляет сама точка доступа, в случае если контроллер
• Vlan Mode управляет назначением тега VLAN для интерфейса
• Vlan Id какой VLAN ID будет назначен в интерфейсе, если vlan-mode установлен в теге

Перед тем, как перейти к следующему пункту, обрати внимание на раздел с местной переадресацией.Если мы активировали этот пункт (а мы активировали), то управление всем трафиком берут на сами точки. А вот если отключить, тогда всем трафиком будет рулить контроллер. Хорошо это или плохо я не знаю, но что бы не перегружать контроллер, я всегда включаю этот пункт и передаю точкам.

Есть еще вкладка Security Cfg, здесь настраивается пароль для подключения к сети, но так как я использую СМС авторизацию, то этот пункт мне не нужен и я его опущу.

Теперь открываем вкладку «Конфигурации».Это одна из основных вкладок, благодаря которой будет работать наш контроллер. Настройки тут не хитрые, так как мы уже все сделали. Просто заполняем области:

Переходим на вкладку Provisioning. Тут тоже всего пара пунктов, следует заполнить.

На этом заканчивается настройка контроллера. Что бы все завелось осталось только подключить точки доступа. Давайте это сделаем.

Для настройки точки доступа я рекомендую сбросить текущую конфигурацию и настроить следующим образом.Для начала создаем мост, куда помещаем все порты. Вешаем на этот мост DHCP-клиент. Затем заходим на кладку Wireless и включаем управление точкой Capsman.

Тут всего надо заполнить 4-5 полей по вкусу. Ставим галочку Включить, в следующем поле выбираем интерфейс Wlan (он там один), интерфейс Discovery можно оставить пустым, то ярал тот, куда подключен шнурок от контроллера. CapsMan адрес указываем IP-адрес контроллера (хоть это и не обязательно, точка сможет найти контроллер по MAC-адресу, я все же решился перестраховаться).В поле bridge выбираем тот мост, когда к которому будет подключаться интерфейс, когда включена опция локальной переадресации. Если точка доступа корректно подключится к контроллеру, то появятся две красные строки. Одна сообщает о том, что точка управляется контроллером, а вторая строка будет содержать краткую информацию о настройках. А на контроллере в списке интерфейсов появится только что созданный радио интерфейс подключенной точки доступа.

Все, основные настройки закончены.Теперь эту конфигурацию можно разворачивать дальше на новые точки доступа и покрывать большую площадь единой бесшовной Wi-Fi сетью. Все подключенные подключенные настройки на табличку регистрации с указанием точки, к которой они подключены.

На этом все. Контроллере настроен, можно линейно масштабировать.

Поделиться в социальных сетях:

.

Построение сети HotSpot на Mikrotik. Настройка CAPsMAN.

Чуть ранее мы опубликовали инструкцию по созданию и настройке HotSpot на маршрутизаторах Mikrotik под управлением операционной системы RouterOS. В рамках предыдущей публикации был рассмотрен вариант простого конфигурирования точек доступа. Пришло время рассмотреть инструмент CAPsMAN, позволяет осуществлять централизированное управление большим количеством точек доступа.

Обратите внимание! В основе этой публикации: описанная в предыдущей публикации.

Пакет CAPsMAN предустановлен на большинство маршрутизаторов Mikrotik. Проверить его наличие можно в разделе Система — Пакеты, пакет wireless-fp. При активации wireless-fp, стандартный пакет wireless будет отключен.

После активации пакета и перезагрузки маршрутизатора, в меню появится раздел CAPsMAN. Открываем его и нажимаем кнопку «Manager», в появившемся окне необходимо установить опцию «Enabled» для включения сервера.

Дальнейшую конфигурацию можно использовать в разной системе и разные методы, как указано в параметрах в основном меню, так и дополнительные профили.Для мы будем использовать более сложное конфигурирование с дополнительными профилями.

Первым делом, настроим список беспроводных каналов. Для этого открываем вкладку Channels (каналы) и добавляем дополнительные стандартные каналы для частоты 2.4 ГГц. Этого можно и не делать, но если у вас большое количество точек доступа и некоторые из них вы предлагаете использовать на разные каналы, удобнее всего оперировать номерами каналов, а не их параметры.

Ниже приведен список стандартных каналов.

Как вы, наверное, заметили, каналы идут с шагом в 5 МГц, хотя на практике доступа работает с шириной канала 20/40 МГц.При этом полностью либо частично используются соседние каналы. Из-за изменения модуляции, неперекрывающиеся типы в диапазоне 2.4 ГГц являются только 1, 6 и 11.

Каналы с 1 по 11 используются по всему миру для устройств Wi-Fi 802.11 b / g / n. Канал 12 и 13 разрешены к применению в Европе и странах Азии, в США. Эти каналы разрешено использовать только для маломощных устройств и антенн по причине возможного перекрытия со специальным 14-м каналом. Ряд устройств может вообще не поддерживать эти каналы.Сам 14-й канал разрешен к применению только в Японии.

Для примера мы добавили все 13 каналов. При этом вы можете использовать следующие дополнительные настройки.

• Имя — желаемое название канала;
• Frequency — рабочая частота канала;
• Ширина — ширина канала, указываем 20 МГц. Параметр можно и не указывать, при этом 20 МГц будет приниматься в качестве значения по-умолчанию.
• Band — выбор канала 2.4/5 ГГц с указанием стандартов. Для лучшей совместимости следует указывать 2ghz-b / g / n, при такой настройке, к беспроводной сети подключиться как старые, так и новые устройства. Если вы используете стандартные устройства, включите параметр только 2 ГГц, что позволит работать в стандарте 802.11n. При этом учтите, старое устройство без поддержки этого стиля подключиться не стиль.
• Extension Channel — задает расширение канала до 40 МГц.Значение Ce (вверху) задает расширение по частоте вверх от главного канала, eC (внизу) — наоборот, вниз от главного канала.
• Tx. Power — задает выходную мощность передатчика в дБм. Параметр позволяет ограничить максимальную мощность передающего устройства, что достаточно актуально для данного коммерческого использования в Украине. Указав 20 дБм, вы установите ограничение в 100 мВт, 22 дБм соответствует 150 мВт.

Раздел Datapaths (потоки данных) предназначенных для опытных администраторов, он позволяет установить режим обработки данных, а также задавать VLAN.

Существуют 2 основных варианта конфигурирования:

1. Local Forwarding Mode выполняет обработку данных непосредственно на точке доступа (CAP). Этот наиболее распространенный вариант, который подойдет для распространения сетей и позволяет распределить нагрузки, связанные с маршрутизацией между точками доступа.
2. Manager Forwarding Mode реализует обработку данных на контроллерах, при этом точка доступа отправляет все данные с беспроводного интерфейса непосредственно на контроллер и уже там производит обработку.На точке доступа беспроводной интерфейс отключается и появляется на маршрутизаторе с CAPsMAN, сам контроллер получает полный доступ к управлению данными. При таком варианте раскрывается повышенная нагрузка на сам контроллер.

Если вы используете Virtual AP , каждая точка доступа может одновременно использовать сразу 2 режима — для каждой беспроводной сети свой.

Для своей сети мы указываем режим Local Forwarding и разрешаем клиентов обмениваться данными — Client to Client Forwarding .Для работы в режиме Manager Forwarding опцию Local Forwarding необходимо снять и заведомо выбрать мост (параметр Bridge), в который необходимо подключать CAP.

Переходим к настройкам безопасности, для чего открываем вкладку Security Cfg. Здесь необходимо создать профиль с настройками безопасности беспроводной сети, либо несколько профилей, если использование нескольких сетей.

Параметры вполне стандартные и в особом разъяснении не нуждаются.Первый профиль использует аутентификацию WPA2 и шифрование AES, второй профиль — полностью открытая сеть (Открыть).

Раздел Список доступа позволяет создать дополнительные правила для клиентов Например, можно принимать или отбрасывать клиентов по MAC и / или уровню сигнала.

Пришло время создать новую беспроводную сеть со своей конфигурацией, это делается в разделе Configurations .

Новая сеть ей получила название lanmarket-hotspot, присваиваем SSID «Бесплатный Wi-Fi» для информирования пользователей, что это бесплатная сеть.Режим доступен только ap (Access Point), в настройках региона указываем Украина. Для HT Chains везде ставим галочки, это позволит задействовать все доступные каналы MIMO на конечных точках доступа.

На вкладке Канал можно настроить вручную, либо выбрать один из профилей, созданных на этапе создания каналов.

Для Datapath делаем аналогично, выбрав заранее созданный профиль lanmarket-LF.

В последнем разделе Security выбираем наш профиль lanmarket-open.

На завершающем этапе необходимо создать развертывание, для этого переключаемся на раздел Provisioning .

Поле MAC не трогаем, настройка по-умолчанию будет применена для всех доступных точек доступа. Действие (действие) следует указать создать динамическое включение . Далее можно указать или 2 конфигурации, т.к. мы создали 2 сети, указываем обе. Первая сеть — офисная, защищена паролем, вторая — гостевая с доступом через HotSpot.

Настройка точек доступа в режиме CAP

Настройка параметров на точках доступа производится достаточно просто. Заходим в раздел Wireless и нажимаем кнопку CAP (управляемая точка доступа). В появившемся окне установить опцию Включено. При необходимости, можно указать адрес конкретного контроллера — параметр CAPsMAN Adress .

Эту операцию необходимо провести на всех точках доступа, которые вы желаете подключить к менеджерам доступа.

Заранее в QuickSet точки доступа можно выбрать режим работы CAP , который автоматически сменится на Ethernet.

Просмотр сети и подключений в CAPsMAN

На главном устройстве в разделе CAPsMAN — Интерфейсы автоматически добавлены динамические виртуальные интерфейсы, которые соответствуют точкам доступа.

Вкладка Remote CAP отображает список подключенных управляемых точек доступа. Помимо MAC-адреса, здесь можно также увидеть модель точки доступа и версию установленного программного обеспечения RouterOS.

Колонка Radios указывает на количество радиоинтерсов, для абсолютного международного сообщества точек доступа это значение равно 1.

Вкладка Radio менее информативна, она отображает сопоставление точек доступа и интерфейсов CAPsMAN.

Последняя вкладка — Registration Table , как следует из названия, этот раздел содержит сводную информацию о текущих подключениях на всех точках доступах.

Здесь можно посмотреть детальную информацию по каждому из клиентов: скорость, трафик, уровень сигнала и т.д.

В завершение

По завершению настройки можно проверить работу сети, используя любое устройство с беспроводным модулем.

Обе сети гарантировно и доступны для подключения.Две точки доступа имеют одинаковый SSID и канал, для клиентов онлайн как одна сеть. И только специализированное программное обеспечение выделяет разные точки доступа.

При использовании такой конфигурации, обеспечивает минимальное перекрытие двух точек, иначе они начнут мешать друг другу. Правильная настройка минимального сигнала в Access List позволяет добиться быстрого уровня переключения между AP в автоматическом режиме. Поиграйте с параметром Диапазон сигнала, например, можно выставить значение -80… 120 или -90… 120.Для создания бесшовного роуминга нужно прибегать к использованию Сетка и это уже тема для отдельной публикации.

.