Инструкция по настройке CAPsMAN в MikroTik, примеры настройки бесшовного и быстрого WiFi роуминга на базе RouterOS v7 и RouterOS v6. В качестве точек доступа будут использоваться как AC так и AX WiFi устройства. Настройка CAPsMAN будет производиться через Winbox с добавлением скриншотов, текстового описания настройки, а также скрипта, который можно применить через Terminal.

В статье будут рассмотрены пакеты: wirelleswifi-qcom и wifi-qcom-ac. Эти пакеты представляют собой отдельные поколения WiFi оборудования MikroTik. Пакет wifi-qcom и wifi-qcom-ac это представитель нового поколения MikroTik AX, а wirelles это прошлое поколение WiFi оборудования типа MikroTik AC\N.

Для настройки пакетов  wifi-qcom и wifi-qcom-ac могут используются прошивки RouterOS 7.13, 7.14, 7.15, 7.16, 7.17, 7.18, 7.19 которые вышли в период 2023-2025 годах. Более ранее версии прошивок до RouterOS 7.12.1 уже не актуальны, т.к. пакет WiFiWave2 преобразовали в новый пакет wifi-qcom.

В примере настройки CAPsMAN для пакета wirelles используется версия прошивки RouterOS v7, но стоит отметить, что на прошивке RouterOS v6 настройка CAPsMAN ни чем не будет отличаться. 

Нужно настроить CAPsMAN в MikroTik?

Настройка CAPsMAN для роутеров и точек доступа MikroTik: настройка контроллера WiFi, подключение точек доступа AX и AC стандарта, настройка гостевой сети с ограничением по скорости интернета.

    В качестве контроллера CAPsMAN используется роутер MikroTik, к которому будут подключены точки доступа WiFi. Точкой доступа WiFi может выступать любое устройство MikroTik, на котором есть WiFi модуль 2.4 или 5Ггц.

    CAPsMAN vs бесшовный и быстрый WiFi роуминг

    Для описания различий между WiFi оборудованием попробуем разобраться с терминологией, которая часто встречается в описании.

    Бесшовный WiFi роуминг

    Бесшовный WiFi роуминг — метод переключения между точками доступа WiFi, при котором не происходит потери сигнала. Оборудование MikroTik под управлением программного контроллера CAPsMAN самостоятельно переключает WiFi клиента между точками доступа, выбирая самую оптимальную точку. Бесшовный роуминг является наиболее продуктивный подходом в построении современных WiFi сетях, когда нужно организовать единую WiFi сеть для 2-ух и более WiFi устройств. Для покрытия единой WiFi сетью больших помещений, к примеру 2\3-ёх этажных домах, кафе и ресторанах, квартирах большой площадью и прочих помещениях оборудование MikroTik является лучшим выбором.

    Протоколы бесшовного WiFi 802.11r, 802.11k, 802.11v поддерживаются пакетами wifi-qcom и wifi-qcom-ac на новых устройствах MikroTik AX, а также более ранних моделях MikroTik AC.

    Быстрый роуминг

    Быстрый роуминг — метод переключения между точками доступа WiFi, при котором возможны краткосрочные потери сигнала или его задержки.

    При построении сети, между точками доступа WiFi создаются смежные зоны покрытия таким образом, чтобы при переходе из одной зоны в другую соединение WiFi имело возможность быстрого переключения. Подобное быстрое переключение позволяет оставаться в online без необходимости ручного переключения. В некоторых случаях при переходе между точками доступа может появиться задержка 200-1000мс, что негативно отражается на VoIP звонках. Такая задержка может наблюдаться в работе переносного SIP оборудования, приложениях типа Telegram, WhatsApp, Viber, Skype и прочих. Обрыв будет присутствовать при любых видеоконференциях, стриминге и скачивании файлов. Это может быть важным фактором при выборе WiFi системы для роуминга. Решение на базе быстрого роуминга CAPsMAN может подойти в том случае, если плавность перехода не так важна. Его часто устанавливают в офисах, загородных домах, квартирах и на открытой местности.

    Существуют также случаи, когда переключение между точками WiFi не происходит совсем. Клиент WiFi может быть подключён к точке доступа с худшим сигналом и находиться в зоне покрытия другой точки доступа с более лучшим сигналом. Для решения задачи по переключению между точками доступа может применяться несколько методов. Первый из них, это настройка всех точек доступа на одном WiFi канале так, чтобы они не накладывались между собой и при этом предоставляли возможность клиенту автоматически выбирать точку доступа с лучшим сигналом при перемещении между зонами покрытия. Второй метод основан на том, что в настройках CAPsMAN создаётся правило принудительного отключения WiFi клиента при достижении низкого уровня сигнала. В момент такого отключения клиент сам выберет лучшую точку, к которой можно подключиться.

    Fast rouming используется только в пакете wirelles и считается менее продуктивным по сравнению с новыми пакетами wifi-qcom и wifi-qcom-ac. Пакет wirelles обычно устанавливается в RouterOS v6 на оборудовании MikroTik AC\N, а также может быть установлен и в RouterOS v7.

    Что такое CAPsMAN

    Контроллер CAPsMAN(Controller Access Point system Manager)это программный пакет, встроенный в любой роутер MikroTik c RouterOS v6 или v7. Это означает, что не требуется дополнительных затрат для покупки аппаратных WiFi контроллеров, как это реализовано в UniFi(Ubiquity), Tp-link Omada, HP Aruba и прочих. Дополнительное оборудование типа UniFi Cloud Key или Tp-link Omada OC200(OC300) обладает точно таким же функционалом, что и MikroTik CAPsMAN.

    Основная задача, которую выполняет контроллер CAPsMAN, это управление всеми WiFi устройствами MikroTik. Он позволяет создать единый центр управления трафиком и мониторинга работы WiFi сети. Настройка CAPsMAN происходит таким образом, что все точки доступа имеют общее название сети(SSID) и пароль. Все настройки автоматически применяются на точке доступа после подключения к контроллеру. Такая архитектура сети значительно облегчает управление в больших и малых сетях.

    Как работает бесшовный WiFi

    Оборудование MikroTik является лидером при выборе WiFi системы из-за соотношения цены и возможностей. Цены на WiFi оборудование находится в «золотой серединке», а возможности существенно превосходят более дорогих конкурентов. Из популярных дополнений, которые можно применить по отношению к WiFi сети, используется: гостевая WiFi сеть, ограничения по скорости интернета, расписание пользования WiFi сетью, ограничения по доступу к локальным ресурсам, а также различные настройки маршрутизации при использовании исходящих VPN туннелей.

    Поддержка бесшовного WiFi 6 роуминга в MikroTik AX

    Оборудование MikroTik в новом пакете wifi-qcom(WiFiWave2) и wifi-qcom-ac начинает поддержку проколов бесшовного WiFi, а именно 802.11r/k/v. И для ценителей WiFi от MikroTik это настоящий прорыв в беспроводных технологиях. Больше ни какого быстрого роуминга, WiFi начинает работать бесшовно. Совершая аудио или видео звонок через Telegram, Whatsapp, Viber, Skype ваше устройство Iphone(IOS) или Android будет плавно переключаться между точками доступа WiFi без потери качества сигнала. И более того, устройство не само переключается между точками доступа WiFi, а именно контроллер CAPsMAN wifi-qcom совершает это переключение, благодаря поддержке проколов 802.11r/k/v.

    Именно бесшовный WiFi это то, что все хотят видеть в своей сетевой инфраструктуре пользователи, когда рядом с роутером MikroTik появляется дополнительная точка доступа WiFi. В CAPsMAN wifi-qcom можно подключить новые устройства MikroTik AX, а также прошлое поколение MikroTik AC\N на базе процессора ARM.

    Как работает бесшовный WiFi от MikroTik

    Настройка нового CAPsMAN используя пакет wifi-qcom

    Настройка контроллера CAPsMAN wifi-qcom в новой версии прошивки RouterOS 7.13 будет производиться на центральном роутере MikroTik hAP ax2, прошивка которого обновлена до RouterOS  7.14.3. Роутер MikroTik hAP ax2 находится в базовой конфигурации, а CAPsMAN wifi-qcom конфигурация будет выгружена в текстовый вид в конце текущего раздела.

    Если прошивка будущего контроллера CAPsMAN будет ниже чем RouterOS 7.13, ее следует обновить. Обычно это происходит в два этапа:

    • обновление прошивки до RouterOS 7.12.1(подготовка пакетов до преобразования);
    • обновление прошивки до актуальной RouterOS 7.14.3(переход на новый WiFi пакет wifi-qcom вместо WiFiWave2).

    Настройка находится в System→Packages

    Настройка CAPsMAN для MikroTik AX, обновление версии прошивки

    После обновление прошивки до последней актуальной версии, в списке пакетов должно отображаться два элемента: routeros и wifi-qcom. Этот обновленный список и будет означать успешное обновление, на котором будет основана вся последующая настройка CAPsMAN wifi-qcom.

    Настройка CAPsMAN wifi-qcom Channel, частотные каналы

    В разделе WiFi Channel будут описаны характеристики WiFi модулей, которые будут подключиться к CAPsMAN и принимать от него соответствующие настройки частотных каналов.

    Настройка находится в WiFi→Channel

    • Band — версия WiFi 6 стандарта(A, N, AX и тд);
    • Channel Width — ширина канала;
    • Frequency – список частотных каналов. В примере перечислены непересекающиеся каналы 1(2412), 6(2437) и 11(2462), только эти значение будет выбраны точками доступа WiFi 6. Такой подход обеспечит максимальную производительность на частоте 2G. Для 5G рекомендуется оставить параметр Frequency пустым.

    Настройка CAPsMAN для MikroTik AX, частотные каналы 2G

    • Skip DFS Channels = 10min CAC — не использовать DFS каналы. В противном случае наблюдается ситуация, когда на точке доступа WiFi выбирается частота, которая потом не видна на клиенте(смартфон, ноутбук).

    Настройка CAPsMAN для MikroTik AX, раздел Channel для 5G

    Настройка CAPsMAN wifi-qcom Security, установка пароля

    В отличие от 128-битного шифрования WPA2, в WPA3 используется 192-битное шифрование. Однако для плавной работы бесшовного WiFi 6 будет использоваться только WPA2. Использование старого WPA2 вместо WPA3 было проверено опытным путём и на RouterOS 7.13.2 является рекомендацией.
    Настройка находится в WiFi→Security
    • Authentication Types = WPA2 PSK — метод шифрования WPA с поддержкой надёжного стандарта AES;
    • Group Key Update = 00:20:00 — частота обновления пароля между CAPsMAN и клиентом WiFi;
    • Passphrare = WiFi_PASSWORD — парольная фраза для WPA2.
    • ft=yes ft-over-ds=yes — активирует бесшовный WiFi в MikroTik(новые параметры в прошивке RoutesOS 7.13 и выше).

    FT(Fast Transition) это протокол 802.11r который обеспечивает технологию хранения ключей шифрования всех точек доступа WiFi. В этом стандарте предусматривается режим over-ds. При использования режима FT возможна небольшая пауза в голосовых сервисах, но сессия при этом обрываться не будет.

    Over Ds клиент WiFi подключается к новой точке доступа перед миграцией, через точку доступа, на которой установлено активное подключение. Т.е. анализ подключения к точке доступа WiFi-2 происходит на моменте уже установленного подключения к WiFi-1. И если параметры соединения к WiFi-2 будут лучше чем у WiFi-1, то произойдёт переключение или иными словами бесшовный роуминг продемонстрирует свою работу на практике.

    Настройка CAPsMAN для MikroTik AX, добавить пароль на WiFi
    Настройка CAPsMAN для MikroTik AX, включить бесшовный WiFi роуминг

    Настройка CAPsMAN wifi-qcom Datapath

    Весь трафик будет заворачивать в локальный Bridge. Раздел Datapath был пересмотрен в версиях RoutesOS 7.13 и выше, а именно в нём забрали параметр Local Forwarding. Это повлияло на настройку как основной WiFi сети так и гостевой.

    Настройка находится в WiFi→Datapath

    Настройка CAPsMAN для MikroTik AX, Datapath

    Настройка CAPsMAN wifi-qcom Configuration

    В разделе Configuration нужно собрать конфигурацию для WiFi модулей из заранее подготовленных шаблонов. Такой метод позволяет хранить соответствующие настройки в распределённых разделах, пароли в Security, частотные каналы в Channels. А самое важно — этим удобно пользоваться.

    Настройка находится в WiFi→Configuration

    Настройка CAPsMAN для MikroTik AX, добавление конфигурации 2G

    В случаях, когда автоматический выбор мощности Tx Power модуля 2G занижается, можно выбрать страну Country=Latvia или United States. Эта настройка позволяет использовать максимальные значения мощности. Значения no_country_set, как в прошлой версии CAPsMAN, больше нет в списке выбора Country.

    Настройка CAPsMAN для MikroTik AX, добавление в конфигурацию канала 2G

    Настройка CAPsMAN для MikroTik AX, добавление в конфигурацию пароля 2G

    Настройка CAPsMAN для MikroTik AX, добавление в конфигурацию datapath 2G

    Настройка CAPsMAN для MikroTik AX, добавление конфигурации для 5G

    Настройка CAPsMAN для MikroTik AX, добавление в конфигурацию канала 5G

    Настройка CAPsMAN для MikroTik AX, добавление в конфигурацию пароля 5G

    Настройка CAPsMAN для MikroTik AX, добавление в конфигурацию datapath 5G

    Настройка CAPsMAN wifi-qcom Provisioning

    В разделе Provisioning подготавливаются фильтры, как именно будут конфигурации CAPsMAN wifi-qcom применяться на точке доступа. К примеру если на точке доступа имеется модуль WiFi 2GHz AX, то ему будет присвоена конфигурация 2G как основная.

    Настройка находится в WiFi→Provisioning

    • Supported Bands = 2GHz AX\5GHz AX — будет распространяться на соответствующий WiFi модуль;
    • Action = create dybanic enabled — интерфейсы в CAPsMAN wifi-qcom будут создавать автоматически;
    • Master Configuration = 2G\5G — основная конфигурация, которая будет применяться на WiFi модуле точки доступа(была заранее подготовлена в разделе Configuration);
    • Slave Configuration — применяется для настройки Multi-SSID;
    • Name Format = 2G-%I — префикс, который будет добавляться для вновь созданных интерфейсов в CAPsMAN wifi-qcom.

    Настройка CAPsMAN для MikroTik AX, provisioning для 2G

    Настройка CAPsMAN для MikroTik AX, provisioning для 5G

    Включить CAPsMAN wifi-qcom в MikroTik AX

    Настройка находится в WiFi→Remote CAP→CAPsMAN

    • Enabled = yes — включить контроллер бесшовного WiFi CAPsMAN wifi-qcom;
    • Update Policy = require same version — версии прошивок точек доступа MikroTik должны быть такой же версии, что и контроллер CAPsMAN wifi-qcom. Это обеспечивает лучшую совместимость при выходе новых версий прошивок и исключает ситуацию, когда разные версии прошивок могут быть причиной сбоя работы WiFi. Если тип CPU у точки доступа будет совпадать с типом CPU в CAPsMAN wifi-qcom, то прошивка для точки доступа будет скачана с CAPsMAN wifi-qcom устройства. Если тип CPU будет отличный или прошивку на точке доступа нужно установить вручную, то точка доступа не подключится к CAPsMAN wifi-qcom.

    Настройка CAPsMAN для MikroTik AX, включить контроллер

    Подключить роутер MikroTik AX к новому CAPsMAN wifi-qcom

    Роутер MikroTik hAP ax2 имеет два WiFi модуля 2GHz AX и 5GHz AX, которые нужно подключить к CAPsMAN wifi-qcom. Этот метод подключения является индивидуальным и отличается от подключения точки доступа WiFi, т.к. контроллер бесшовного WiFi находится непосредственно на самом роутере MikroTik.

    Указать путь к CAPsMAN wifi-qcom в MikroTik AX

    Настройка находится в WiFi→CAP

    • Enabled = yes — включить на точке доступа режим CAP, т.е. точка будет пытаться найти и подключиться к CAPsMAN wifi-qcom;
    • CAPsMAN Addresses = 127.0.0.1 — подключиться к CAPsMAN wifi-qcom, который находится на самом роутере.

    Настройка CAPsMAN для MikroTik AX, включить поиск контроллера

    Включить CAPsMAN для wifi1 и wifi2

    • Manager = capsman — использовать конфигурацию CAPsMAN wifi-qcom.

    Настройка находится в WiFi→WiFi→wifi1\wifi2

    Настройка CAPsMAN для MikroTik AX, активировать capsman manager для 2G

    Настройка CAPsMAN для MikroTik AX, активировать capsman manager для 5G

    Выгрузка настроек нового CAPsMAN wifi-qcom на базе MikroTik AX

    # 2024-05-18 12:42:59 by RouterOS 7.14.3
    # software id = P4A7-BFN9
    #
    # model = C52iG-5HaxD2HaxD
    # serial number = HE508HJ2TMX
    /interface bridge
    add admin-mac=CA:D7:EC:B6:EC:B2 auto-mac=no name=Bridge-LAN port-cost-mode=\
    short
    /interface wifi channel
    add band=2ghz-ax disabled=no frequency=2412,2437,2462 name=2G
    add band=5ghz-ax disabled=no name=5G skip-dfs-channels=10min-cac
    /interface wifi datapath
    add bridge=Bridge-LAN disabled=no name=Datapath
    /interface wifi security
    add authentication-types=wpa2-psk disabled=no ft=yes ft-over-ds=yes group-key-update=20m \
    name=Security passphrase=10203040
    /interface wifi configuration
    add channel=2G datapath=Datapath disabled=no mode=ap name=2G security=\
    Security ssid=nastrojka-mikrotik.ukr
    add channel=5G datapath=Datapath disabled=no mode=ap name=5G \
    security=Security ssid=nastrojka-mikrotik.ukr
    /interface bridge port
    add bridge=Bridge-LAN interface=ether1 internal-path-cost=10 path-cost=10
    add bridge=Bridge-LAN interface=ether2 internal-path-cost=10 path-cost=10
    add bridge=Bridge-LAN interface=ether3 internal-path-cost=10 path-cost=10
    add bridge=Bridge-LAN interface=ether4 internal-path-cost=10 path-cost=10
    add bridge=Bridge-LAN interface=ether5 internal-path-cost=10 path-cost=10
    /interface wifi cap
    set caps-man-addresses=127.0.0.1 enabled=yes
    /interface wifi capsman
    set enabled=yes interfaces="" package-path="" require-peer-certificate=no \
    upgrade-policy=require-same-version
    /interface wifi provisioning
    add action=create-dynamic-enabled disabled=no master-configuration=2G \
    name-format=2G-%I supported-bands=2ghz-ax
    add action=create-dynamic-enabled disabled=no master-configuration=5G \
    name-format=5G-%I supported-bands=5ghz-ax
    /ip dhcp-client
    add interface=Bridge-LAN
    /system clock
    set time-zone-name=Europe/Kiev
    /system identity
    set name=MikroTik-CAPsMAN
    /system note
    set show-at-login=no

    Подключение точки доступа MikroTik AX к новому CAPsMAN wifi-qcom

    В качестве точки доступа будут использоваться MikroTik cAP ax. Общая задача звучит так:

    • Точка доступа должна загружать настройки WiFi 6 с контроллера CAPsMAN wifi-qcom;
    • Все Ethernet порты должны типа LAN.

    Сброс настроек на точке доступа MikroTik AX

    Настройка точки доступа MikroTik cAP ax будет производиться в ручном режиме, поэтому конфигурацию нужно сбросить на пустую. Сброшенная конфигурация не будет содержать ни каких настроек.

    Настройка находится в System→Reset Configuration

    Настройка MikroTik Cap AX, сброс до заводских настроек

    Создание Bridge на точке доступа MikroTik AX

    Параметр Admin. MAC Address следует скопировать с параметра MAC Address и если точка доступа в сети не одна, необходимо контролировать его уникальность.

    Настройка находится в Bridge→Bridge

    Настройка CAPsMAN для MikroTik AX, создание Bridge на точке доступа

    Добавление портов в Bridge для точки доступа MikroTik AX

    В Bridge нужно добавить все Ethernet порты. Как правило ether1 работает как uplink через poe инжектор, а ether2 используется как LAN.

    Настройка находится в Bridge→Ports

    Настройка CAPsMAN для MikroTik AX, добавление портов в Bridge

    Настройка идентификатора для точки доступа MikroTik AX

    Для того, чтобы в списке устройств можно было отличить одно устройство от другого, рекомендуется использовать идентификаторы. Точки доступа можно наделять общим идентификатором по принадлежности к помещению или типу устройств.

    Настройка находится в System→Identity

    Настройка CAPsMAN для MikroTik AX, добавление идентификатора для точки доступа

    Настройка DHCP client на точке доступа MikroTik AX

    Сетевые настройки точки доступа WiFi будут присваиваться автоматически от основного роутера MikroTik. У точки доступа MikroTik AX появится IP адрес, а также будет работать интернет.

    Настройка находится в IP→DCHP client

    Настройка CAPsMAN для MikroTik AX, добавление DHCP client на точке доступа

    Обновление прошивки на точке доступа MikroTik AX

    Версия прошивки точки доступа WiFi должна быть выше или равна версии RouterOS 7.13, иначе пакеты точки и CAPsMAN wifi-qcom будут отличаться и это может быть причиной некорректной работой WiFi сети. Старый пакет имеет название WiFiWave2, а новый wifi-qcom. Рекомендуется обновлять прошивку до самой последней версии RouterOS(latest). Если версия прошивки точки доступа к примеру будет 7.14.3, а у CAPsMAN 7.14.2 и включён параметр Update Policy = require same version, точка доступа успешно подключится.

    Настройка находится в System→Packages→Check For Updates

    Настройка CAPsMAN для MikroTik AX, обновление версии прошивки

    Создать Datapath на точке доступа MikroTik AX

    Текущая настройка Datapath будет применять для основной WiFi сети, т.е. все пакеты от точки будут работать через LAN порты.

    Настройка находится в WiFi→Datapath

    Настройка CAPsMAN для MikroTik AX, добавление datapath на точке доступа

    Подключиться к CAPsMAN wifi-qcom

    Настройка находится в WiFi→CAP

    • Discovery Interfaces = Bridge-LAN — интерфейсы, на которых будут активирован автоматический поиск контроллера бесшовного WiFi CAPsMAN wifi-qcom.

    Настройка CAPsMAN для MikroTik AX, включить поиск контроллера на точке доступа

    Использовать CAPsMAN Manager

    Настройка находится в WiFi→wifi1\wifi2→Configuration

    • Manager = capsman — использовать конфигурацию CAPsMAN wifi-qcom.

    Настройка CAPsMAN для MikroTik AX, активировать capsman manager для 5G

    Настройка CAPsMAN для MikroTik AX, активировать capsman manager для 2G

    Использовать Local Forwarding

    Для использовании опции local forwarding на точке доступа нужно в настройках каждого радиомодуля(wifi1 и wifi2) выбрать локальный Datapath.

    Настройка находится в WiFi→wifi1\wifi2→Datapath

    Настройка CAPsMAN для MikroTik AX, выбрать datapath на точке доступа для 5G

    Настройка CAPsMAN для MikroTik AX, выбрать datapath на точке доступа для 2G

    Обзор списка подключенных точек доступа MikroTik AX

    Если по какой-то причине точка доступа отображается в этом списке, но ещё не работает в CAPsMAN wifi-qcom, можно воспользоваться командой Provisioning, которая применит на точке доступа MikroTik AX текущую CAPsMAN wifi-qcom конфигурацию.

    Настройка находится в WiFi→Radio→Provision

    Настройка CAPsMAN для MikroTik AX, список подключенных устройств

    Нужно настроить CAPsMAN в MikroTik?

    Настройка CAPsMAN для роутеров и точек доступа MikroTik: настройка контроллера WiFi, подключение точек доступа AX и AC стандарта, настройка гостевой сети с ограничением по скорости интернета.


      Выгрузка настроек точки доступа MikroTik AX

      # 2024-05-18 13:10:11 by RouterOS 7.14.3
      # software id = D78K-RS7N
      #
      # model = cAPGi-5HaxD2HaxD
      # serial number = HEG08PW6WBW
      /interface bridge
      add admin-mac=16:0A:05:A2:6A:A5 auto-mac=no name=Bridge-LAN
      /interface wifi datapath
      add bridge=Bridge-LAN disabled=no name=Datapath
      /interface wifi
      # managed by CAPsMAN
      # mode: AP, SSID: nastrojka-mikrotik.ukr, channel: 5500/ax/Ceee
      set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap \
      datapath=Datapath disabled=no
      # managed by CAPsMAN
      # mode: AP, SSID: nastrojka-mikrotik.ukr, channel: 2412/ax/Ce
      set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap \
      datapath=Datapath disabled=no
      /interface bridge port
      add bridge=Bridge-LAN interface=ether1
      add bridge=Bridge-LAN interface=ether2
      /interface wifi cap
      set discovery-interfaces=Bridge-LAN enabled=yes
      /ip dhcp-client
      add interface=Bridge-LAN
      /system clock
      set time-zone-name=Europe/Kiev
      /system identity
      set name=MikroTik-cAP-ax
      /system note
      set show-at-login=no

      Тест скорости нового CAPsMAN wifi-qcom на MikroTik AX

      По сравнению с MikroTik AC, новый CAPsMAN на MikroTik AX демонстрирует достойные показатели.

      Тест скорости MikroTik AC

      Тестирование скорости MikroTik WiFi

      Тест скорости MikroTik AX

      Настройка нового CAPsMAN для MikroTik AX, тест скорости

      Совместимость между MikroTik AX и AC, обзор пакетов RouterOS v7

      С выходном AX устройств стало понятным, что MikroTik не позаботился об обратной совместимости со старой линейкой AC\N устройств, которые занимали лидирующую позицию при выборе бесшовного WiFi. Самым заменяющим устройством в сети обычно выступает роутер и в случае с MikroTik его замена сопровождается огромным списком дополнительных задач, основная из которых — что сделать со старой сетью AC\N устройств, если новый роутер MikroTik c новым AX WiFi 6 и в нём нет поддержки AC\N устройств.

      В прошивке RouterOS 7.13 и выше появляется прямая и обратная совместимость, были добавлены\удалены\обновлены пакеты:

      • Пакет wifiwave2УДАЛЕН. Предназначался для устройств с поддержкой AX стандарта, актуален только до RouterOS 7.12.1.
      • Пакет wifi-qcom-ac — для устройств MikroTik AC\N и их совместимостью с MikroTik AX;
      • Пакет wifi-qcom это новое представление пакета wifiwave2 в RouterOS версии от 7.13, для устройств MikroTik AX;
      • Пакет wireless — старый пакет CAPsMAN, который оставили для возможности настройки устройств, процессор которых отличный от ARM.

      Для выбора нужно пакета RouterOS нужно сравнить устройство со списком:

      • Новые устройства MikroTik AX должны быть с установленным пакетом wifi-qcom;
      • MikroTik AC\N на базе процессора ARM должны быть с установленным пакетом wifi-qcom-ac. Если после обновления прошивки до версии RouterOS 7.13 и выше на устройстве установлен пакет wireless, то его следует удалить и после этого установить пакет wifi-qcom-ac;
      • Устройства MikroTik AC\N на базе процессора MIPSBE не совместимы с новым пакетом wifi-qcom. Их настройка в RouterOS 7.13 и выше возможна только на пакете wireless;
      • Устройства без WiFi модулей, к примеру MikroTik RB3011UiAS-RM, могут использовать любой пакет wifi-qcom или wireless или одновременно оба пакета.

      Первым шагом для настройки CAPsMAN на MikroTik это обновление прошивки до версии RouterOS 7.12.1. На этапе обновления до версии 7.12.1 будет происходить подготовка для конвертации WiFi пакетов и дальше можно обновляться до версии RouterOS 7.13 и выше. Подобное «двойное» обновление нужно совершить на всех устройствах, не зависимо от стандарта WiFi. После обновления MikroTik стандарта AX или AC меню в Winbox может содержать два раздела и три пункта:

      • WiFi — раздел c модулями MikroTik AX, тут также можно настраивать CAPsMAN для MikroTik AX;
      • Wireless→CAPsMAN — обычный раздел CAPsMAN, без каких-либо обновлений;
      • Wireless→Wireless — раздел c модулями MikroTik AC\N.

      Для того, чтобы максимально изучить этот переход, будут рассмотрены две схемы:

      1. Контроллер CAPsMAN(процессор ARM) с поддержкой AC\N устройств, на который нужно добавить MikroTik AX(процессор ARM64) ;
      2. Настроенный CAPsMANдля MikroTik AX(процессор ARM64) устройств, в который нужно добавить MikroTik AC\N(процессор ARM).

      Настройка CAPsMAN на роутере MikroTik

      В рассмотренном примере будет использоваться роутер MikroTik RB4011iGS+5HacQ2HnD-IN и точки доступа MikroTik cAP ac. Для настройки CAPsMAN может быть использован любой роутер лицензией с RouterOS Level 4 и выше, а в качестве точки доступа WiFi любая точка из поколения MikroTik AC или N.

      В качестве прошивки используется RouterOS v7 и пакет wireless, но в прошивке RouterOS v6 настройка полностью идентична.

      Предполагается, что роутер MikroTik RB4011iGS+5HacQ2HnD-IN находится в базовой конфигурации, на нём работает локальная сеть(LAN) и доступен выход в интернет(WAN). С описанием конфигурации можно ознакомиться в инструкции Настройка MikroTik Routerboard, базовая конфигурация роутера

      Представленная настройка CAPsMAN будет содержать возможность подключения модулей WiFi для 2.4 и 5Ггц.

      Включить CAPs Manager

      Первым делом нужно включить контроллер CAPsMAN. Точки доступа будут находить активированный контроллер автоматически. Рекомендация общей пришивки для всех CAP устройств крайне желательна к применению, т.к. отличия в конфигурации CAPsMAN и точки доступа WiFi могут привести к нестабильной работе WiFi.

      Настройка находится в CAPsMAN→CAP Interface→Manager

      • Enabled = yes включить контроллер CAPsMAN;
      • Upgrade Policy = require same version версия RouterOS точки доступа должна быть точно такой же как и версия прошивки контроллера CAPsMAN.

      Настройка MikroTik CapsMan, включить контроллер

      Настройка CAPs Channel

      В разделе CAPsMAN Channels происходит настройка модулей WiFi, а именно частоты, ширины канала и поддерживаемые стандартов WiFi.

      Представленное сочетание Control Channel Width и Extension Channel позволить использовать всю ширину канала. Для канала 2.4Ггц ширина будет 20/40Мгц, а для 5Ггц — 20/40/80Мгц. На практике такие характеристики частотных каналов позволяют использовать WiFi соединение на скорости 30-40Мб\с для 2.4Ггц и 150-200Мб\с для 5Ггц.

      Если рядом с WiFi точками находятся много соседей на частоте 2.4Ггц, следует сократить ширину канала до 20Мгц, установив в Extension Channel значение disabled.

      Настройка находится в CAPsMAN→Channels

      • Name — название настроек частотных каналов. В примере используются сокращения 2G и 5G для удобства, они ассоциируются с частотой 2.4 Ггц и 5Ггц соответственно;
      • Frequency — список частотных каналов. В примере c 2G перечислены непересекающиеся каналы 1(2412), 6(2437) и 11(2462), только эти значение будет выбраны точками доступа WiFi. Такой подход обеспечит максимальную производительность на частоте 2.4 Ггц. Для случая с 5G такой подход не актуальный, т.к. в частоте 5Ггц на много больше частотных каналов и использование 5Ггц WiFi обеспечивает высокую скорость. Поэтому в варианте с 5G будет выбран автоматический выбор частоты.
      • Skip DFS Channels = yes — не использовать DFS каналы. В противном случае наблюдается ситуация, когда на точке доступа WiFi выбирается частота, которая потом не видна на клиенте(смартфон, ноутбук).

      Настройка CAPsMAN, настройка 2G

      Настройка CAPsMAN, настройка канала 5G

      Настройка CAPs Datapath

      Настройки CAPsMAN Datapaths управляют аспектами, связанными с пересылкой данных. Существует 2 основных режима переадресации:

      • Local Forwarding — трафик, который будет приходить от клиента будет обрабатываться контроллером CAPsMAN (чек бокс не установлен) или самой точкой доступа(с активным чек боксом). Это можно применять для разгрузки центрального маршрутизатора, который помещает виртуальные интерфейсы, созданные CAPsMAN, в локальный бридж(Bridge). Local Forwarding не подходит для гостевой сети. В случае с гостевой сетью, параметр Local Forwarding минует бридж(Bridge) и тем самым обрабатывает пакет только на L2. Как следствие — процессор не задействуется и нельзя воспользоваться Firewall.

      !!! Если параметр активирован, значение параметры Datapaths→Bridge будет игнорироваться.

      • Client To Client Forwarding — разрешение обмена трафика между клиентами. Для примера: в гостевой сети необходимо запретить такой обмен, а вот в локальной сети — разрешить.

      В примере сделано так, чтобы WiFi пакеты сразу попадали в локальную сеть(LAN), по аналогии с проводными подключениями, а также активирована возможность общения между WiFi клиентами.

      Настройка находится в CAPsMAN→Datapaths

      Настройка CAPsMAN, настройка Datapath

      Настройка CAPs Security

      В разделе CAPsMAN Security Cfg. находятся настройки связанные с аутентификацией клиентов или другими словами тут задаётся пароль для подключения к WiFi сети. Другие параметры из раздела безопасности имеются значения, которые рекомендованы для использования в любых WiFi сетях.

      Настройка находится в CAPsMAN→Security Cfg.

      • Authentication Type = WPA2 PSK. Новая версия метода шифрования WPA с поддержкой надёжного стандарта AES;
      • Encryption = aes ccm. Более безопасный протокол шифрования WPA, основанный на надежном AES (расширенный стандарт шифрования). AES следует выбирать на всех устройствах, вместо устаревшего TKIP;
      • Group Encryption = aes ccm;
      • Group Key Update = 00:20:00. Частота обновления пароля между CAPsMAN и клиентом WiFi.
      • Passpharase = WiFi_PASSWORD. Парольная фраза для WPA2.

      Настройка CAPsMAN, настройка пароля

      Настройка CAPs Configuration

      В разделе CAPsMAN Configurations нужно добавить две отдельные конфигурации, но суть их в одном — указать ссылки на произведенные ранее настроить в разделах Channels, Datapaths, Security Cfg. Будет рассмотрена конфигурация для частоты 2,4ГГц, а 5ГГц, настраивается по абсолютной аналогии.

      Если при подключении точки доступа к CAPsMAN выводится ошибка country does not match locked, параметр Country следует оставить пустым.

      Настройка находится в CAPsMAN→Configurations

      • Name = 2G. Наименование конфигурации, значение произвольное;
      • Mode = ap. Подключаемые устройства будут работать в режиме точки доступа WiFi;
      • SSID = Home. Название WiFi сети;
      • Country = no_country_set. Не устанавливать региональные ограничение мощности, частоты и ширины канала;
      • Installation = any;
      • HT Tx Chains = 0,1,2,3. Количество антенн, которое будет задействовано на точке доступа в режиме приёма и передачи. Такой выбор эквивалентен MIMO 4X4 и работает только при условии аппаратной поддержки со стороны точки доступа;
      • HT Rx Chains = 0,1,2,3;
      • Channel = 2G. Заготовленный ранее шаблон работы на частоте 2Ггц;
      • Datapath = Datapath. Заготовленный ранее шаблон Datapath;
      • Security = Security. Заготовленный ранее шаблон Security.

      Настройка CAPsMAN, сбор общей конфигурации wirelles

      Настройка CAPsMAN, сбор общей конфигурации channel

      Настройка CAPsMAN, сбор общей конфигурации datapath

      Настройка CAPsMAN, сбор общей конфигурации security

      Настройка CAPs Provisioning

      В разделе CAPsMAN Provisioning задано условие, которое сравнивает значение параметра hw-supported-modes с каждым WiFi модулем, который совершает попытку подключиться к CAPsMAN. В случае успеха, на модуль будет запровижинена конфигурация, указанная в Master Configuration. Это финальный раздел по настройке CAPsMAN.

      Action — действия, которые следует предпринять, если совпадения правил указаны следующими параметрами:

      • create-disabled — создавать отключенные статические интерфейсы для radio. То есть интерфейсы будут привязаны к radio, но raio не будет работать до тех пор, пока интерфейс не будет включен вручную;
      • create-enabled — создавать включенные статические интерфейсы. То есть интерфейсы будут привязаны к radio и радио будет работать;
      • create-dynamic-enabled — создавать разрешенные динамические интерфейсы. То есть интерфейсы будут привязаны к radio, и radio будет работать;
      • none — ничего не делать, оставить radio в неподготовленном состоянии.

      name-format — указать синтаксис создания имени интерфейса CAP:

      • cap — имя по умолчанию;
      • identity — имя системного удостоверения CAP boards;
      • prefix — имя из значения префикса имени;
      • prefix-identity — имя из значения префикса имени и имени системного идентификатора CAP boards.

      Настройка находится в CAPsMAN→Provisioning

      Настройка CAPsMAN, provisioning для 2G

      Настройка CAPsMAN, provisioning для 5G

      Нужно настроить CAPsMAN в MikroTik?

      Настройка CAPsMAN для роутеров и точек доступа MikroTik: настройка контроллера WiFi, подключение точек доступа AX и AC стандарта, настройка гостевой сети с ограничением по скорости интернета.

        Показать полную настройку CAPsMAN
        /caps-man channel
        add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=XX \
        frequency=2412,2437,2462 name=2G
        add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XXXX name=\
        5G skip-dfs-channels=yes
        /caps-man datapath
        add client-to-client-forwarding=yes local-forwarding=yes name=Datapath
        /caps-man security
        add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
        group-key-update=20m name=Security passphrase=11223344
        /caps-man configuration
        add channel=2G country=no_country_set datapath=Datapath installation=any \
        mode=ap name=2G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
        0,1,2,3
        add channel=5G country=no_country_set datapath=Datapath installation=any \
        mode=ap name=5G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
        0,1,2,3
        /caps-man manager set enabled=yes upgrade-policy=require-same-version
        /caps-man provisioning
        add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
        5G name-format=prefix-identity name-prefix=5G
        add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
        2G name-format=prefix-identity name-prefix=2G


        Настройка подключения к CAPsMAN, режим CAP на точке доступа

        После того, как будет проделаны все настройки CAPsMAN, нужно перейти к настройке самой точки доступа, как правило это или отдельное устройство или WiFi модуль на самом роутере.

        Версия прошивки RouterOS точки доступа должна быть точно такой же как и на контроллере WiFi CAPsMAN. Как обновить прошивку в MikroTik

        Первый делом нужно сбросить настройки точки доступа WiFi к пустой конфигурации. Это нужно применить только для подключаемой точки доступа WiFi!

        Настройка MikroTik Cap AC, сброс до заводских настроек

        Частым случаем можно встретить ситуацию, когда точка доступа WiFi находится в заводской конфигурации с активными настройками, аналогичными роутеру. На практике это создаёт проблему для доступа к точке доступа по первому Ethernet порту из-за активного Firewall на нём, который блокирует все входящие соединения. Для решения данной ситуации есть три метода:

        • В случае с моделями типа MikroTik cAP ac, у которых 2 Ethernet порта, точку доступа нужно подключить одновременно двумя портами в локальную сеть. Доступ по второму порту обеспечит вход в настройки точки доступа;
        • К точке доступа можно подключиться по WiFi, обычно это открытая WiFi сеть без пароля, которая имеет название MikroTik-XXXXXX;
        • Точку доступа можно перевести в режим CAP с помощью кнопки Reset. Для активации этого режима следует удерживать кнопку Reset 10 секунд.

        Создание Bridge на точке доступа

        Параметр Admin. MAC Address следует скопировать с параметра MAC Address и если точка доступа в сети не одна, необходимо контролировать его уникальность. Т.е. если MAC Address будет совпадать MAC Address другой точки доступа, проще всего создать ещё один Bridge, у которого будет уже другой MAC Address.

        Настройка находится в Bridge→Bridge

        Настройка CAPsMAN, Bridge для точки доступа

        Добавление портов в Bridge для точки доступа

        В Bridge нужно добавить все Ethernet порты.

        Настройка находится в Bridge→Ports

        Настройка CAPsMAN, добавление портов в Bridge для точки доступа

        Присвоить идентификатор для точки доступа

        Это признак отличия позволит лучше ориентироваться среди списка подключаемого оборудования, а также мониторинге подключаемых WiFi клиентов, таких как смартфон или ноутбук.

        Настройка находится в System→Identity

        Настройка CAPsMAN, установить identity для точки доступа

        Подключить точку доступа к CAPsMAN

        Это завершающий этап, на котором WiFi модули MikroTik роутера или точки доступа будут делегированы под управление CAPsMAN.

        Настройка находится в Wireless→WiFi Interfaces

        • Enabled = yes включение режима CAP;
        • Interfaces — интерфейсы WiFi, которые подключатся к CAPsMAN;
        • Discovery Interfaces — интерфейс, на котором через broadcast будет совершён поиск CAPsMAN;
        • Bridge — указан локальный Bridge, в который динамически будут давлены интерфейсы точки доступа.

        Настройка CAPsMAN, подключение точки доступа

        Показать настройку CAPsMAN точки доступа WiFi

        /interface bridge
        add admin-mac=02:F1:41:46:46:E2 auto-mac=no name=Bridge-LAN
        /interface wireless
        # managed by CAPsMAN
        # channel: 2462/20-eC/gn(28dBm), SSID: Home, CAPsMAN forwarding
        set [ find default-name=wlan1 ] ssid=MikroTik station-roaming=enabled
        # managed by CAPsMAN
        # channel: 5200/20-eCee/ac(14dBm), SSID: Home, CAPsMAN forwarding
        set [ find default-name=wlan2 ] ssid=MikroTik station-roaming=enabled
        /interface wireless security-profiles
        set [ find default=yes ] supplicant-identity=MikroTik
        /user group
        set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
        sword,web,sniff,sensitive,api,romon,dude,tikapp"
        /interface bridge port
        add bridge=Bridge-LAN interface=ether1
        add bridge=Bridge-LAN interface=ether2
        /interface wireless cap
        set bridge=Bridge-LAN discovery-interfaces=Bridge-LAN enabled=yes interfaces=\
        wlan1,wlan2
        /ip dhcp-client
        add disabled=no interface=Bridge-LAN
        /system identity
        set name=MikroTik-AP-3
        /system scheduler
        add name=Auto-Upgrade-Firmware on-event="if ([/system routerboard get current-\
        firmware] != [/system routerboard get upgrade-firmware]) do={\r\
        \n/system routerboard upgrade\r\
        \n:delay 15s\r\
        \n/system reboot\r\
        \n}" policy=\
        ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
        start-time=startup
        /tool romon
        set enabled=yes

        Успешное подключение точки доступа выглядит так. Из скриншота видно, что оба WiFi модуля теперь управляются контроллером CAPsMAN.

        Настройка CAPsMAN, подключенная точка доступа

        А список CAP интерфейсов на контроллере CAPsMAN будет отображать все подключенные radio модули

        Настройка CAPsMAN, список radio интерфейсов на контроллере WiFi

        Список подключенных клиентов будет иметь соответствующий вид

        Настройка CAPsMAN, список подключенных WiFi клиентов

        По данному списку легко просмотреть к какой из точек подключен клиент, а также уровень сигнала, который может указать на возможные проблемы со скоростью.

        Обновление настроек CAPsMAN для подключенных точек доступа MikroTik WiFi

        Изменения настроек CAPsMAN будет автоматически применены на подключенных точках доступа WiFi. Если этого не произошло, такое обновление можно вызвать ручным методом.

        Настройка находится в CAPsMAN→Remote CAP→Provision
        Настройка MikroTik CapsMan WiFi, обновление конфигурации на точках доступа

        Настройка CAPsMAN для быстрого роуминга в MikroTik

        Термин бесшовный роуминг следует взять в «», т.к. он не соответствует действительности. Оборудование MikroTik типа AC и N в пакете wirelees не поддерживает технологию бесшовного роуминга, т.е. ни контроллер CAPsMAN ни точка доступа WiFi не занимаются переключением клиента во время миграции от одной точки доступа к другой. Все эти процессы ложатся на самого WiFi клиента, а MikroTik обеспечивает лишь быстрое переключение, тем самым сокращая потерю сигнала. Быстрый роуминг достигается добавлением правила, в котором указывается, что если у клиента слабый сигнал его нужно отключить. Это способствует повторному подключению клиента к более мощной WiFi точке.

        ВАЖНО!!! Часто это правило может быть причиной лишнего обращения в службу поддержки, т.к. 1Мб со стороны клиента это лучше, чем неудачная попытка подключиться к точке доступа с уровнем сигнала ниже -85dbi.

        Настройка MikroTik CapsMan WiFi, правило для бесшовного роуминга

        add action=reject allow-signal-out-of-range=10s disabled=no interface=all \
        signal-range=-120..-85 ssid-regexp=""

        Настройка CAPsMAN для гостевого WiFi в  MikroTik

        Гостевая сеть в современной сетевой инфраструктуре может решать ряд задач:

        1. Упрощённый(быстрый) доступ к интернету: запоминающий(лёгкий) пароль, нет необходимости создавать список устройств для доступа с привязкой по MAC адресу;
        2. Ограничения по совместному доступу для устройств таких как смартфоны и ноутбук. Если пользователю WiFi устройства достаточно только выхода в Интернет, нет необходимости открывать ему всю сеть. Подобные ограничения не только защищают корпоративную или частную сети, но и также препятствует горизонтальному распространению нежелательного ПО(вирусы);
        3. Ограничение по скорости, времени доступа и тд.

        Настройка CAPsMAN для гостевого WiFi  будет состоять из параллельной настройки конфигурации для гостевой сети, дополнительным правилам Firewall, а также ограничения по скорости.

        Со стороны точки доступа WiFi ни каких дополнительных настроек производить не нужно! Применённая ниже конфигурация добавит динамические интерфейсы для гостевого WiFi автоматически. Так выглядит CAP Interface в инфраструктуре, где присутствует локальная сеть(LAN) и гостевая WiFi.

        Настройка гостевого WiFi в CAPsMAN, итоговый вид

        Итак приступим.

        Первым делом будет создан Bridge, в который будут помещены виртуальные интерфейсы точек доступа WiFi. Данный Bridge будет также иметь отдельную адресацию, которая позволит в полной мере не только отделить пользователей гостевой WiFi, но и также полноценно описать любого рода ограничения.

        Создание Bridge для гостевой WiFi

        Настройка находится в Bridge→Bridge

        Настройка гостевого WiFi в CAPsMAN, создание Bridge

        Настройка CAPs Datapaths для гостевой WiFi

        Клиенты гостевого WiFi не будут иметь возможности общаться друг с другом, за таким поведение следит параметр Client To Client Forwarding. Все пакеты будут заворачиваться в Bridge-Guest на контроллере CAPsMAN, что позволит использовать Firewall в целях ограничения гостевого WiFi к локальным ресурсам.

        Настройка находится в CAPsMAN→Datapaths

        Настройка гостевого WiFi в CAPsMAN, создание Datapath

        Настройка CAPs Security, пароль для гостевой WiFi

        Рекомендуется создавать простые пароли, чтобы пользователи гостевой сети могли с лёгкость ввести пароль для WiFi.

        Настройка находится в CAPsMAN→Security Cfg.

        Настройка гостевого WiFi в CAPsMAN, создание пароля

        Настройка CAPs Configuration для гостевой WiFi

        В разделе Configurations необходимо по указать ранее созданные Datapath и Security, а также определить имя гостевой WiFi сети.

        Настройка находится в CAPsMAN→Configurations

        Настройка гостевого WiFi в CAPsMAN, общая конфигурация wireless

        Настройка гостевого WiFi в CAPsMAN, общая конфигурация datapath

        Настройка гостевого WiFi в CAPsMAN, общая конфигурация security

        Настройка CAPs Provisioning для гостевой WiFi

        Конфигурации гостевой WiFi сети следует указать как Slave Configuration, для Provisioning частоты 2G и 5G. Это позволит создать дополнительный виртуальный WiFi интерфейc на точке доступа с гостевой сетью.

        Настройка находится в CAPsMAN→Provisioning

        Настройка гостевого WiFi в CAPsMAN, provisioning 2G

        Настройка гостевого WiFi в CAPsMAN, provisioning 5G

        /interface bridge
        add admin-mac=1A:F2:12:3E:E7:31 auto-mac=no name=Bridge-Guest
        /caps-man datapath
        add bridge=Bridge-Guest name=Datapath-Guest
        /caps-man security
        add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
        group-key-update=1h name=Security-Guest passphrase=XXXXYYYY
        /caps-man configuration
        add datapath=Datapath-Guest \
        name=Guest security=Security-Guest ssid=W8_Guest
        /caps-man provisioning
        add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
        2G name-format=prefix-identity name-prefix=2G slave-configurations=Guest
        add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
        5G name-format=prefix-identity name-prefix=5G slave-configurations=Guest

        На этом настройка CAPsMAN завершена и можно переходить к настройке сети для гостевого WiFi.

        Настройка сети для гостевого WiFi в CAPsMAN MikroTik

        Ниже будет произведена настройка адресации для гостевого WiFi, по аналогии как это сделано в базовой конфигурации для сети типа LAN.

        Настройка IP адреса для Bridge guest

        Настройка находится в IP→Addresses

        Настройка гостевого WiFi в CAPsMAN, IP адреса для Bridge Guest

        Настройка DHCP сервера для гостевого WiFi

        Настройка находится в IP→DHCP Server

        Настройка гостевого WiFi в CAPsMAN, DHCP сервер

        Настройка гостевого WiFi в CAPsMAN, выбор подсети для DHCP сервера

        Настройка гостевого WiFi в CAPsMAN, выбор шлюза для DHCP сервера

        Настройка гостевого WiFi в CAPsMAN, задать диапазон IP для DHCP сервера

        Настройка гостевого WiFi в CAPsMAN, выбор DNS для DHCP сервера

        Настройка гостевого WiFi в CAPsMAN, задать время аренды для DHCP сервера

        Настройка DNS сервера для гостевого WiFi

        Использование роутера MikroTik в качестве DNS сервера является абсолютно оправданным решением. Это не будет иметь угрозы со стороны безопасности, но и также позволит экономить и управлять DNS запросами.

        Настройка находится в IP→DNS

        Настройка гостевого WiFi в CAPsMAN, включить DNS сервер

        /ip pool
        add name=Ip-Pool-Guest ranges=174.16.0.100-174.16.0.254
        /ip dhcp-server
        add address-pool=Ip-Pool-Guest disabled=no interface=Bridge-Guest lease-time=\
        4h name=DHCP-Guest
        /ip address
        add address=174.16.0.1/24 interface=Bridge-Guest network=174.16.0.0
        /ip dhcp-server network
        add address=174.16.0.0/24 dns-server=174.16.0.1 gateway=174.16.0.1 netmask=24
        /ip dns
        set allow-remote-requests=yes

        Настройка Firewall для гостевого WiFi в CAPsMAN MikroTik

        Принцип настройки Firewall для гостевого WiFi будет сводиться к тому, что пользователю гостевого WiFi будет разрешен доступ только в интернет(+ локальные DNS запросы к роутеру MikroTik), а все остальные направления будут запрещены. Располагать правила Firewall для гостевой сети следует выше правил запрета из-за принципа работы Firewall сверху вниз.

        Настройка Firewall для гостевого WiFi

        Настройки Firewall для гостевого WiFi следует располагать выше правил типа drop для интерфейсов !LAN.

        Настройка находится в IP→Firewall

        Настройка гостевого WiFi в CAPsMAN, правила Firewall

        /ip firewall filter
        add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
        out-interface-list=WAN
        add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=\
        udp
        add action=drop chain=forward in-interface=Bridge-Guest
        add action=drop chain=input in-interface=Bridge-Guest

        Ограничение скорости для гостевого WiFi в CAPsMAN MikroTik

        Чтобы пользователи гостевого WiFi не имели существенного влияния на производительность основной сети, можно обратиться к такому инструменту как ограничение скорости.

        Первым делом нужно проконтролировать статус правила Firewall такого как Faststrack connection и отключить его. Причина отключения Faststrack connection в Firewall в том, что правило позволяет миновать раздел Queues, который как раз занимается очередями и будет контролировать ограничение скорости для пользователей гостевого WiFi.

        Отключение Faststrack connection

        Настройка находится в IP→Firewall

        Настройка гостевого WiFi в CAPsMAN, отключить fasttrack connection

        Настройка ограничение скорости для гостевого WiFi

        В указанном примере для гостевой сети будет использоваться лимит в скорости равный 10Мб\с для направлений download и upload.

        Настройка находится в Queuses→Simple Queues

        • Target — указать подсеть, к которой будут применяться ограничения по скорости;
        • Dst. — исходящий Интернет интерфейс;
        • Max. Limit — лимит по скорости.

        Настройка гостевого WiFi в CAPsMAN, ограничение скорости

        /queue simple
        add dst=ether1 max-limit=10M/10M name=Queue-Guest-WiFi target=174.16.0.0/24

        Нужно настроить CAPsMAN в MikroTik?

        Настройка CAPsMAN для роутеров и точек доступа MikroTik: настройка контроллера WiFi, подключение точек доступа AX и AC стандарта, настройка гостевой сети с ограничением по скорости интернета.

          Есть вопросы или предложения по настройке нового CAPsMAN для MikroTik AX и MikroTik AC\N? Активно предлагай свой вариант настройки! Оставить комментарий