Краткое описание: инструкция по настройке “бесшовного” WiFi6 в новом пакете MikroTik WiFiWave2 под управлением CAPsMAN. Будет рассмотрена настройка таких устройств как: MikroTik hAP ax2, MikroTik hAP ax3 и MikroTik cAP ax.
В инструкции обнаружены многочисленные неточности и опечатки, поэтому данная инструкция не рекомендована к применению.
Настройка WiFiWave2 в режиме CAPsMAN
Настройка контроллера CAPsMAN в новой версии WiFiWave2 будет производиться на центральном роутере MikroTik hAP ax2, прошивка которого обновлена до RouterOS v. 7.10.2. Роутер MikroTik hAP ax2 находится в базовой конфигурации и вместе в настройками WiFiWave2 конфигурация будет выгружена в текстовый вид в конце текущего раздела.
Определение частотных каналов WiFiWave2
- Band – версия WiFi стандарта(A, N, AX и тд);
- Channel Width – ширина канала;
- Frequency – список частотных каналов. В примере перечислены непересекающиеся каналы 1(2412), 6(2437) и 11(2462), только эти значение будет выбраны точками доступа WiFi. Такой подход обеспечит максимальную производительность на частоте 2G. Для 5G рекомендуется оставить параметр Frequency пустым.
Настройка находится в WiFiWave2→Channel
Настройка пароля WiFiWave2
Настройка находится в WiFiWave2→Security
Настройка Datapath
Настройка находится в WiFiWave2→Datapath
Настройка WiFiWave2 Configuration
Manager = capsman – управлять настройкой WiFi будет контроллер CAPsMAN.
Настройка находится в WiFiWave2→Configuration
Настройка WiFiWave2 Provisioning
Настройка находится в WiFiWave2→Provisioning
Включить CAPsMAN в WiFiWave2
Настройка находится в WiFiWave2→Remote CAP→CAPsMAN
Подключить роутер к CAPsMAN в WiFiWave2
Так как контроллер CAPsMAN располагается на том же устройстве, что и WiFi модули, то в качестве CAPsMAN Addresses следует указать 127.0.0.1
Настройка находится в WiFiWave2→WiFiWave2→CAP
Полная выгрузка конфигурации роутера с WiFiWave2
# 2023-07-13 15:24:53 by RouterOS 7.10.2 # software id = JH1L-J6NQ # # model = C52iG-5HaxD2HaxD # serial number = HD7085PVKF7 /interface bridge add admin-mac=18:FD:74:BB:C3:34 auto-mac=no comment=defconf name=bridge /interface wifiwave2 # managed by CAPsMAN # mode: AP, SSID: Home, channel: 5220/ax/eeCe set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap \ datapath.bridge=bridge disabled=no # managed by CAPsMAN # mode: AP, SSID: Home, channel: 2462/ax/eC set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap \ datapath.bridge=bridge disabled=no /interface ethernet set [ find default-name=ether1 ] mac-address=18:FD:74:A5:3E:A7 /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wifiwave2 channel add band=2ghz-ax disabled=no frequency=2412,2437,2462 name=2G add band=5ghz-ax disabled=no name=5G /interface wifiwave2 security add authentication-types=wpa2-psk,wpa3-psk disabled=no group-key-update=1h \ name=Security /interface wifiwave2 configuration add channel=5G country="United States" disabled=no mode=ap name=5G security=\ Security ssid=Home add channel=2G country="United States" disabled=no mode=ap name=2G security=\ Security ssid=Home /ip pool add name=dhcp ranges=192.168.55.100-192.168.55.254 /ip dhcp-server add address-pool=dhcp interface=bridge lease-time=8h name=defconf /port set 0 name=serial0 /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 /ip neighbor discovery-settings set discover-interface-list=LAN /ipv6 settings set max-neighbor-entries=15360 /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface wifiwave2 cap set caps-man-addresses=127.0.0.1 enabled=yes /interface wifiwave2 capsman set ca-certificate=auto enabled=yes package-path="" require-peer-certificate=\ no upgrade-policy=none /interface wifiwave2 provisioning add action=create-dynamic-enabled disabled=no master-configuration=5G-GW \ radio-mac=18:FD:74:BB:C3:38 supported-bands=5ghz-ax add action=create-dynamic-enabled disabled=no master-configuration=2G-GW \ radio-mac=18:FD:74:BB:C3:39 supported-bands=2ghz-ax add action=create-dynamic-enabled disabled=no master-configuration=5G \ supported-bands=5ghz-ax add action=create-dynamic-enabled disabled=no master-configuration=2G \ supported-bands=2ghz-ax /ip address add address=192.168.55.1/24 comment=defconf interface=bridge network=\ 192.168.55.0 /ip dhcp-client add comment=defconf interface=ether1 /ip dhcp-server network add address=192.168.55.0/24 caps-manager=192.168.88.1 comment=defconf \ dns-server=192.168.55.1 gateway=192.168.55.1 netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.55.1 comment=defconf name=router.lan /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related hw-offload=yes add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN # pppoe-out1 not ready add action=dst-nat chain=dstnat dst-port=37777 in-interface=pppoe-out1 \ protocol=tcp to-addresses=192.168.88.88 /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\ icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=\ 33434-33534 protocol=udp add action=accept chain=input comment=\ "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\ udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \ protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\ ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\ ipsec-esp add action=accept chain=input comment=\ "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment=\ "defconf: drop everything else not coming from LAN" in-interface-list=\ !LAN add action=accept chain=forward comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment=\ "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \ hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\ icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=\ 500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\ ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\ ipsec-esp add action=accept chain=forward comment=\ "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment=\ "defconf: drop everything else not coming from LAN" in-interface-list=\ !LAN /system clock set time-zone-name=Europe/Kiev /system identity set name=MikroTik-GW /system note set show-at-login=no /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN
Подключение MikroTik cAP ax к CAPsMAN на WiFiWave2
В качестве точки доступа будут использоваться MikroTik cAP ax. Общая задача звучит так:
- Точка доступа должна загружать настройки WiFi с контроллера CAPsMAN;
- Все Ethernet порты должны типа LAN.
Сброс настроек на точке доступа
Настройка находится в System→Reset Configuration
Обновление прошивки
Настройка находится в System→Pacages→Check For Updates
Создание Bridge на точке доступа
Параметр Admin. MAC Address следует скопировать с параметра MAC Address и если точка доступа в сети не одна, необходимо контролировать его уникальность.
Настройка находится в Bridge→Bridge
Добавление портов в Bridge для точки доступа
В Bridge нужно добавить все Ethernet порты.
Настройка находится в Bridge→Ports
Настройка идентификатора для точки доступа
Для того, чтобы в списке устройств можно было отличить одно устройство от другого, рекомендуется использовать идентификаторы. Точки доступа можно наделять общим идентификатором по принадлежности к помещению или типу устройств.
Настройка находится в System→Identity
Настройка DHCP client на точке доступа
Настройка находится в IP→DCHP client
Подключиться к CAPsMAN
Настройка находится в WiFiWave2→WiFiWave2→CAP
Использовать CAPsMAN Manager
Настройка находится в WiFiWave2→WiFiWave2
Использовать Local Forwarding
Для использовании опции local forwarding на точке доступа нужно в настройках каждого радиомодуля(wifi1 и wifi2) выбрать локальный Bridge.
Настройка находится в WiFiWave2→WiFiWave2
Добавление точки доступа в список допустимых устройств
Эта новая опция в RouterOS v.7, когда точке доступа нужно дополнительное разрешение на подключение к CAPsMAN. При первом подключении к CAPsMAN, все интерфейсы точки доступа выключены, нужно их выделить а активировать через Provision. Действия совершая со стороны контроллера CAPsMAN, т.е. на основном роутере.
Настройка находится в WiFiWave2→Radio→Provision
Полная выгрузка конфигурации AX точки доступа
# 2023-07-13 15:26:26 by RouterOS 7.10.2 # software id = D78K-RS7N # # model = cAPGi-5HaxD2HaxD # serial number = HEG08PW6WBW /interface bridge add admin-mac=CA:D7:EC:B6:EC:B2 auto-mac=no name=Bridge-LAN /interface wifiwave2 # managed by CAPsMAN # mode: AP, SSID: Home, channel: 5220/ax/eeCe set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap \ datapath.bridge=Bridge-LAN disabled=no # managed by CAPsMAN # mode: AP, SSID: Home, channel: 2462/ax/eC set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap \ datapath.bridge=Bridge-LAN disabled=no /interface bridge port add bridge=Bridge-LAN interface=ether1 add bridge=Bridge-LAN interface=ether2 /interface wifiwave2 cap set discovery-interfaces=Bridge-LAN enabled=yes /ip dhcp-client add interface=Bridge-LAN /system clock set time-zone-name=Europe/Kiev /system identity set name=MikroTik-cAP-ax /system note set show-at-login=no
Сделал все как по инструкции, но на CAPsMan контроллере не запускаются WIFI интерфейсы (State: disabled).
нужно выполнить команду provision WiFiWave2→Radio→Provision(это описано в инструкции) или у вас не работает после этого действия?
Заработало после того как я настроил Manager не в конфигурации, а непосредственно в настройках интерфейса.
До этого при нажатии на Provision ничего не происходило и интерфейсы были в выключенном состоянии.
Всё верно, рассмотренный в инструкции пример не рабочий и требует правки
Здравствуйте. Настроил все как тут описано. Но после выполнения данной команды интерфейс удаляется и создается снова но уже без CAPsMan. Подскажите что я делаю не так?
Дякую автору за статтю. Доповню
Можливо комусь допоможе, бо у мене теж точки не підхватують налаштуваннь і неактивні, хоча в ЛОГові пише що читає налаштування з контролера – потрібно в налаштуванні вайфай адаптерів вказати конфігурейшн менеджер – капсмен ор локал
#set configuration.manager= on the WifiWave2 interface that should act as CAP
/interface/wifiwave2/set wifi1,wifi2 configuration.manager=capsman-or-local, без цього точки не підхоплюють нгалаштуваннь з конролера.
Спасибо за важную поправку, она уже взята в работу на исправление
можно пожалуйста ещё настройку автопереключения клиента на самый сильный сигнал из доступных в пределах сети описать?
Чи налаштовував хтось capsman wifiwave2 з 2-ма чи більше vlan. Щоб vlan 10 була робоча мережа, а vlan 20 гостьова. Capsman сервером вистуапає hap ax3, а в якості точки доступа hap ax2. З інтерфейсами wifiwave2 з hap ax3 все ок vlan працюють, а з віддаленою точкою не виходить. Інтерфейси динамічно не добавляються в брідж.
У мене все працює згідно за цією інструкцією