В инструкции будет рассмотрена настройка CAPsMAN, как быстрого роуминга WiFi на базе оборудования MikroTik. В качестве контроллера CAPsMAN выбран роутер MikroTik, к которому будут подключены точки доступа WiFi. Точкой доступа WiFi может выступать любое устройство MikroTik, на котором есть WiFi модуль 2.4 или 5Ггц.

  1. Настройка CAPsMAN
  2. Подключение к CAPsMAN
  3. Правило быстрого роуминга WiFi
  4. Настройка гостевого WiFi в CAPsMAN
  5. Настройка Firewall для гостевого WiFi
  6. Ограничение скорости для гостевой WiFi
  7. Задать вопрос по настройке CAPsMAN

Бесшовный WiFi MikroTik – возможность организовать WiFi сеть для 2-ух и более WiFi устройств. Этот подход может применяться для покрытия единой WiFi сетью больших помещений, к примеру 2\3-ёх этажных домах, кафе и ресторанах, квартирах большой площадью и прочих помещениях. Стоит отметить, что оборудование MikroTik N/AC в пакете отличного от wifi-qcom не поддерживает протоколы бесшовного WiFi 802.11r, 802.11k, 802.11v. Но на смену этим бесшовным протоколам приходит быстрое переключение между точками WiFi Fast rouming.

Настройка CAPsMAN на роутере MikroTik

Основная задача, которую выполняет контроллер CAPsMAN, это управление всеми устройствами MikroTik. На его базе создается единый центр управления трафиком и мониторинга работы WiFi сети. Между точками доступа создаются смежные зоны покрытия таким образом, чтобы при переходе из одной зоны в другую соединение WiFi имело возможность быстрого переключения. Подобное быстрое переключение позволяет оставаться в online без необходимости ручного переключения.

Как работает бесшовный WiFi

Такую организацию WiFi оборудования можно встретить у: UniFi(Ubiquity), Tp-link Omada, HP Aruba и прочих.

Оборудование MikroTik существенно отличается от своих конкурентов наличием в прошивке менеджера управления WiFi сетями CAPsMAN. И для этого не нужно покупать дополнительное оборудование типа UniFi Cloud Key или Tp-link Omada OC200(OC300).

Нужна настройка CAPsMAN на MikroTik?

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

    Представленная настройка будет содержать возможность подключения модулей WiFi для 2.4 и 5Ггц.

    Включить контроллер CAPsMAN

    Настройка находится в CAPsMAN→CAP Interface→Manager

    Настройка MikroTik CapsMan WiFi, включить контроллер

    Upgrade Policy = require same version версия RouterOS точки доступа должна быть точно такой же как и версия прошивки контроллера CAPsMAN.

    Рекомендация общей пришивки для всех CAPs устройств крайне желательна к применению, т.к. отличия в конфигурации CAPsMAN и точки доступа WiFi могут привести к нестабильной работе WiFi.

    Настройка CAPsMAN Channel

    В разделе Channel происходит настройка модулей WiFi, а именно частоты, ширины канала и поддерживаемые стандартов WiFi.

    • Frequency – список частотных каналов. В примере перечислены непересекающиеся каналы 1(2412), 6(2437) и 11(2462), только эти значение будет выбраны точками доступа WiFi. Такой подход обеспечит максимальную производительность на частоте 2.4 Ггц.
    • Представленное сочетание Control Channel Width и Extension Channel позволить использовать всю ширину канала. Для канала 2.4Ггц ширина будет 20/40Мгц, а для 5Ггц – 20/40/80Мгц

    Настройка находится в CAPsMAN→Channels

    Настройка CAPsMAN, настройка 2G

    Настройка CAPsMAN, настройка 5G

    Настройка CAPsMAN Datapath

    Настройки Datapath управляют аспектами, связанными с пересылкой данных. Существует 2 основных режима переадресации:

    • Local Forwarding – трафик, который будет приходить от клиента будет обрабатываться контроллером CAPsMAN(чек бокс не установлен) или самой точкой доступа(с активным чек боксом). Это можно применять для разгрузки центрального маршрутизатора, который помещает виртуальные интерфейсы, созданные CAPsMAN, в локальный бридж(Bridge). Local Forwarding не подходит для гостевой сети. В случае с гостевой сетью, параметр Local Forwarding минует бридж(Bridge) и тем самым обрабатывает пакет только на L2. Как следствие – процессор не задействуется и нельзя воспользоваться Firewall.

    !!! Если параметр активирован, значение параметры Datapaths→Bridge будет игнорироваться.

    • Client To Client Forwarding – разрешение обмена трафика между клиентами. Для примера: в гостевой сети необходимо запретить такой обмен, а вот в локальной сети – разрешить.

    Настройка находится в CAPsMAN→Datapaths

    Настройка CAPsMAN, настройка Datapath

    Настройка пароля CAPsMAN

    Настройка находится в CAPsMAN→Security Cfg.

    • Authentication Type = WPA2 PSK. Новая версия метода шифрования WPA с поддержкой надёжного стандарта AES;
    • Encryption = aes ccm. Более безопасный протокол шифрования WPA, основанный на надежном AES (расширенный стандарт шифрования). AES следует выбирать на всех устройствах, вместо устаревшего TKIP;
    • Group Encryption = aes ccm;
    • Group Key Update = 00:20:00. Частота обновления пароля между CAPsMAN и клиентом WiFi.
    • Passpharase = WiFi_PASSWORD. Парольная фраза для WPA2.

    Настройка CAPsMAN, настройка пароля

    Общая конфигурация CAPsMAN

    В этом разделе нужно добавить две отдельные конфигурации, но суть их в одном – указать ссылки на произведенные ранее настроить в разделах Channels, Datapaths, Security Cfg. Будет рассмотрена конфигурация для частоты 2,4ГГц, а 5ГГц, настраивается по абсолютной аналогии.

    Если при подключении точки доступа к CAPsMAN выводится ошибка country does not match locked, параметр Country следует оставить пустым.

    Настройка находится в CAPsMAN→Configurations

    • Name = 2G. Наименование конфигурации, значение произвольное;
    • Mode = ap. Подключаемые устройства будут работать в режиме точки доступа WiFi;
    • SSID = Home. Название WiFi сети;
    • Country = no_country_set. Не устанавливать региональные ограничение мощности, частоты и ширины канала;
    • Installation = any;
    • HT Tx Chains = 0,1,2,3. Количество антенн, которое будет задействовано на точке доступа в режиме приёма и передачи. Такой выбор эквивалентен MIMO 4X4 и работает только при условии аппаратной поддержки со стороны точки доступа;
    • HT Rx Chains = 0,1,2,3;
    • Channel = 2G. Заготовленный ранее шаблон работы на частоте 2Ггц;
    • Datapath = Datapath. Заготовленный ранее шаблон Datapath;
    • Security = Security. Заготовленный ранее шаблон Security.

    Настройка CAPsMAN, сбор общей конфигурации wirelles

    Настройка CAPsMAN, сбор общей конфигурации channel

    Настройка CAPsMAN, сбор общей конфигурации datapath

    Настройка CAPsMAN, сбор общей конфигурации security

    Настройка CAPsMAN Provisioning

    Для каждого WiFi модуля точки доступа, который совпадёт по параметру hw-supported-modes будет применена конфигурация, указанная в Master Configuration.

    Action – действия, которые следует предпринять, если совпадения правил указаны следующими параметрами:

    • create-disabled – создавать отключенные статические интерфейсы для radio. То есть интерфейсы будут привязаны к radio, но raio не будет работать до тех пор, пока интерфейс не будет включен вручную;
    • create-enabled — создавать включенные статические интерфейсы. То есть интерфейсы будут привязаны к radio и радио будет работать;
    • create-dynamic-enabled — создавать разрешенные динамические интерфейсы. То есть интерфейсы будут привязаны к radio, и radio будет работать;
    • none – ничего не делать, оставить radio в неподготовленном состоянии.

    name-format – указать синтаксис создания имени интерфейса CAP:

    • cap – имя по умолчанию;
    • identity – имя системного удостоверения CAP boards;
    • prefix – имя из значения префикса имени;
    • prefix-identity – имя из значения префикса имени и имени системного идентификатора CAP boards.

    Настройка находится в CAPsMAN→Provisioning

    Настройка CAPsMAN, provisioning для 2G

    Настройка CAPsMAN, provisioning для 5G

    /caps-man channel
    add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=XX \
    frequency=2412,2437,2462 name=2G
    add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XXXX name=\
    5G
    /caps-man datapath
    add client-to-client-forwarding=yes local-forwarding=yes name=Datapath
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=20m name=Security passphrase=11223344
    /caps-man configuration
    add channel=2G country=no_country_set datapath=Datapath installation=any \
    mode=ap name=2G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
    0,1,2,3
    add channel=5G country=no_country_set datapath=Datapath installation=any \
    mode=ap name=5G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=\
    0,1,2,3
    /caps-man manager set enabled=yes upgrade-policy=require-same-version
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    5G name-format=prefix-identity name-prefix=5G
    add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    2G name-format=prefix-identity name-prefix=2G

    Подключение к MikroTik CAPsMAN

    После того, как будет проделаны все настройки CAPsMAN, нужно перейти к настройке самой точки доступа, как правило это или отдельное устройство или WiFi модуль на самом роутере.

    Версия прошивки RouterOS точки доступа должна быть точно такой же как и на контроллере WiFi CAPsMAN. Как обновить прошивку в MikroTik

    Первый делом нужно сбросить настройки точки доступа WiFi к пустой конфигурации. Это нужно применить только для подключаемой точки доступа WiFi!

    Настройка MikroTik Cap AC, сброс до заводских настроек

    Создание Bridge на точке доступа

    Параметр Admin. MAC Address следует скопировать с параметра MAC Address и если точка доступа в сети не одна, необходимо контролировать его уникальность. Т.е. если MAC Address будет совпадать MAC Address другой точки доступа, проще всего создать ещё один Bridge, у которого будет уже другой MAC Address.

    Настройка находится в Bridge→Bridge

    Настройка CAPsMAN, Bridge для точки доступа

    Добавление портов в Bridge для точки доступа

    В Bridge нужно добавить все Ethernet порты.

    Настройка находится в Bridge→Ports

    Настройка CAPsMAN, добавление портов в Bridge для точки доступа

    Присвоить идентификатор для точки доступа

    Это признак отличия позволит лучше ориентироваться среди списка подключаемого оборудования, а также мониторинге подключаемых WiFi клиентов, таких как смартфон или ноутбук.

    Настройка находится в System→Identity

    Настройка CAPsMAN, установить identity для точки доступа

    Подключить точку доступа к CAPsMAN

    Это завершающий этап, где

    • Interfaces – интерфейсы WiFi, которые подключатся к CAPsMAN;
    • Discovery Interfaces – интерфейс, на котором через broadcast будет совершён поиск CAPsMAN;
    • Bridge – указан локальный Bridge, в который динамически будут давлены интерфейсы точки доступа.

    Настройка находится в Wireless→WiFi Interfaces

    Настройка CAPsMAN, подключение точки доступа

    /interface bridge
    add admin-mac=02:F1:41:46:46:E2 auto-mac=no name=Bridge-LAN
    /interface wireless
    # managed by CAPsMAN
    # channel: 2462/20-eC/gn(28dBm), SSID: Home, CAPsMAN forwarding
    set [ find default-name=wlan1 ] ssid=MikroTik station-roaming=enabled
    # managed by CAPsMAN
    # channel: 5200/20-eCee/ac(14dBm), SSID: Home, CAPsMAN forwarding
    set [ find default-name=wlan2 ] ssid=MikroTik station-roaming=enabled
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /user group
    set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
    /interface bridge port
    add bridge=Bridge-LAN interface=ether1
    add bridge=Bridge-LAN interface=ether2
    /interface wireless cap
    set bridge=Bridge-LAN discovery-interfaces=Bridge-LAN enabled=yes interfaces=\
    wlan1,wlan2
    /ip dhcp-client
    add disabled=no interface=Bridge-LAN
    /system identity
    set name=MikroTik-AP-3
    /system scheduler
    add name=Auto-Upgrade-Firmware on-event="if ([/system routerboard get current-\
    firmware] != [/system routerboard get upgrade-firmware]) do={\r\
    \n/system routerboard upgrade\r\
    \n:delay 15s\r\
    \n/system reboot\r\
    \n}" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-time=startup
    /tool romon
    set enabled=yes

    Успешное подключение точки доступа выглядит так

    Настройка CAPsMAN, подключенная точка доступа

    А список CAP интерфейсов на контроллере CAPsMAN будет отображать все подключенные radio модули

    Настройка CAPsMAN, список radio интерфейсов на контроллере WiFi

    Список подключенных клиентов будет иметь соответствующий вид

    Настройка CAPsMAN, список подключенных WiFi клиентов

    По данному списку легко просмотреть к какой из точек подключен клиент, а также уровень сигнала, который может указать на возможные проблемы со скоростью.

    Обновление настроек CAPsMAN в MikroTik для подключенных точек доступа WiFi

    Изменения настроек CAPsMAN будет автоматически применены на подключенных точках доступа WiFi. Если этого не произошло, такое обновление можно вызвать ручным методом.

    Настройка находится в CAPsMAN→Remote CAP→Provision
    Настройка MikroTik CapsMan WiFi, обновление конфигурации на точках доступа

    Настройка CAPsMAN для быстрого роуминга в MikroTik

    WiFi оборудование MikroTik с пакетом отличным от wifi-qcom и wifi-qcom-ac не поддерживает технологию бесшовного WiFi. Т.е. ни контроллер CAPsMAN ни точка доступа WiFi не занимаются переключением клиента во время миграции от одной точки доступа к другой. Все эти процессы ложатся на самого WiFi клиента, а MikroTik обеспечивает лишь быстрое переключение, тем самым сокращая потерю сигнала. Быстрый роуминг достигается добавлением правила, в котором указывается, что если у клиента слабый сигнал его нужно отключить. Это способствует повторному подключению клиента к более мощной WiFi точке.

    ВАЖНО!!! Часто это правило может быть причиной лишнего обращения в службу поддержки, т.к. 1Мб со стороны клиента это лучше, чем неудачная попытка подключиться к точке доступа с уровнем сигнала ниже -85dbi.

    Настройка MikroTik CapsMan WiFi, правило для бесшовного роуминга

    add action=reject allow-signal-out-of-range=10s disabled=no interface=all \
    signal-range=-120..-85 ssid-regexp=""

    Настройка CAPsMAN для гостевого WiFi в MikroTik

    Гостевая сеть в современной сетевой инфраструктуре может решать ряд задач:

    1. Упрощённый(быстрый) доступ к интернету: запоминающий(лёгкий) пароль, нет необходимости создавать список устройств для доступа с привязкой по MAC адресу;
    2. Ограничения по совместному доступу для устройств таких как смартфоны и ноутбук. Если пользователю WiFi устройства достаточно только выхода в Интернет, нет необходимости открывать ему всю сеть. Подобные ограничения не только защищают корпоративную или частную сети, но и также препятствует горизонтальному распространению нежелательного ПО(вирусы);
    3. Ограничение по скорости, времени доступа и тд.

    Настройка CAPsMAN для гостевого WiFi  будет состоять из параллельной настройки конфигурации для гостевой сети, дополнительным правилам Firewall, а также ограничения по скорости.

    Со стороны точки доступа WiFi ни каких дополнительных настроек производить не нужно! Применённая ниже конфигурация добавит динамические интерфейсы для гостевого WiFi автоматически. Так выглядит CAP Interface в инфраструктуре, где присутствует локальная сеть(LAN) и гостевая WiFi.

    Настройка гостевого WiFi в CAPsMAN, итоговый вид

    Итак приступим.

    Первым делом будет создан Bridge, в который будут помещены виртуальные интерфейсы точек доступа WiFi. Данный Bridge будет также иметь отдельную адресацию, которая позволит в полной мере не только отделить пользователей гостевой WiFi, но и также полноценно описать любого рода ограничения.

    Создание Bridge для гостевой WiFi

    Настройка находится в Bridge→Bridge

    Настройка гостевого WiFi в CAPsMAN, создание Bridge

    Настройка CAPsMAN Datapath для гостевой WiFi

    Клиенты гостевого WiFi не будут иметь возможности общаться друг с другом, за таким поведение следит параметр Client To Client Forwarding.

    Настройка находится в CAPsMAN→Datapaths

    Настройка гостевого WiFi в CAPsMAN, создание Datapath

    Настройка CAPsMAN пароля для гостевой WiFi

    Рекомендуется создавать простые пароли, чтобы пользователи гостевой сети могли с лёгкость ввести пароль для WiFi.

    Настройка находится в CAPsMAN→Security Cfg.

    Настройка гостевого WiFi в CAPsMAN, создание пароля

    Общая конфигурация для гостевой WiFi

    В разделе Configurations необходимо по указать ранее созданные Datapath и Security, а также определить имя гостевой WiFi сети.

    Настройка находится в CAPsMAN→Configurations

    Настройка гостевого WiFi в CAPsMAN, общая конфигурация wireless

    Настройка гостевого WiFi в CAPsMAN, общая конфигурация datapath

    Настройка гостевого WiFi в CAPsMAN, общая конфигурация security

    Настройка CAPsMAN Provisioning для гостевой WiFi

    Конфигурации гостевой WiFi сети следует указать как Slave Configuration, для Provisioning частоты 2G и 5G.

    Настройка находится в CAPsMAN→Provisioning

    Настройка гостевого WiFi в CAPsMAN, provisioning 2G

    Настройка гостевого WiFi в CAPsMAN, provisioning 5G

    /interface bridge
    add admin-mac=1A:F2:12:3E:E7:31 auto-mac=no name=Bridge-Guest
    /caps-man datapath
    add bridge=Bridge-Guest name=Datapath-Guest
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    group-key-update=1h name=Security-Guest passphrase=XXXXYYYY
    /caps-man configuration
    add datapath=Datapath-Guest \
    name=Guest security=Security-Guest ssid=W8_Guest
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    2G name-format=prefix-identity name-prefix=2G slave-configurations=Guest
    add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    5G name-format=prefix-identity name-prefix=5G slave-configurations=Guest

    На этом настройка CAPsMAN завершена и можно переходить к настройке сети для гостевого WiFi.

    Настройка сети для гостевого WiFi в CAPsMAN MikroTik

    Ниже будет произведена настройка адресации для гостевого WiFi, по аналогии как это сделано в базовой конфигурации для сети типа LAN.

    Настройка IP адреса для Bridge guest

    Настройка находится в IP→Addresses

    Настройка гостевого WiFi в CAPsMAN, IP адреса для Bridge Guest

    Настройка DHCP сервера для гостевого WiFi

    Настройка находится в IP→DHCP Server

    Настройка гостевого WiFi в CAPsMAN, DHCP сервер

    Настройка гостевого WiFi в CAPsMAN, выбор подсети для DHCP сервера

    Настройка гостевого WiFi в CAPsMAN, выбор шлюза для DHCP сервера

    Настройка гостевого WiFi в CAPsMAN, задать диапазон IP для DHCP сервера

    Настройка гостевого WiFi в CAPsMAN, выбор DNS для DHCP сервера

    Настройка гостевого WiFi в CAPsMAN, задать время аренды для DHCP сервера

    Настройка DNS сервера для гостевого WiFi

    Использование роутера MikroTik в качестве DNS сервера является абсолютно оправданным решением. Это не будет иметь угрозы со стороны безопасности, но и также позволит экономить и управлять DNS запросами.

    Настройка находится в IP→DNS

    Настройка гостевого WiFi в CAPsMAN, включить DNS сервер

    /ip pool
    add name=Ip-Pool-Guest ranges=174.16.0.100-174.16.0.254
    /ip dhcp-server
    add address-pool=Ip-Pool-Guest disabled=no interface=Bridge-Guest lease-time=\
    4h name=DHCP-Guest
    /ip address
    add address=174.16.0.1/24 interface=Bridge-Guest network=174.16.0.0
    /ip dhcp-server network
    add address=174.16.0.0/24 dns-server=174.16.0.1 gateway=174.16.0.1 netmask=24
    /ip dns
    set allow-remote-requests=yes

    Настройка Firewall для гостевого WiFi в CAPsMAN MikroTik

    Принцип настройки Firewall для гостевого WiFi будет сводиться к тому, что пользователю гостевого WiFi будет разрешен доступ только в интернет(+ локальные DNS запросы к роутеру MikroTik), а все остальные направления будут запрещены.

    Настройка Firewall для гостевого WiFi

    Настройки Firewall для гостевого WiFi следует располагать выше правил типа drop для интерфейсов !LAN.

    Настройка находится в IP→Firewall

    Настройка гостевого WiFi в CAPsMAN, правила Firewall

    /ip firewall filter
    add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest \
    out-interface-list=WAN
    add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=\
    udp
    add action=drop chain=forward in-interface=Bridge-Guest
    add action=drop chain=input in-interface=Bridge-Guest

    Ограничение скорости для гостевого WiFi в CAPsMAN MikroTik

    Чтобы пользователи гостевого WiFi не имели существенного влияния на производительность основной сети, можно обратиться к такому инструменту как ограничение скорости.

    Первым делом нужно проконтролировать статус правила Firewall такого как Faststrack connection и отключить его. Причина отключения Faststrack connection в Firewall в том, что правило позволяет миновать раздел Queues, который как раз занимается очередями и будет контролировать ограничение скорости для пользователей гостевого WiFi.

    Отключение Faststrack connection

    Настройка находится в IP→Firewall

    Настройка гостевого WiFi в CAPsMAN, отключить fasttrack connection

    Настройка ограничение скорости для гостевого WiFi

    • Target – указать подсеть, к которой будут применяться ограничения по скорости;
    • Dst. – исходящий Интернет интерфейс;
    • Max. Limit – лимит по скорости.

    Настройка находится в Queuses→Simple Queues

    Настройка гостевого WiFi в CAPsMAN, ограничение скорости

    /queue simple
    add dst=ether1 max-limit=10M/10M name=Queue-Guest-WiFi target=174.16.0.0/24

    Есть вопросы или предложения по настройке CAPsMAN в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий