Поставлена задача организовать беспроводную сеть для рабочего процесса в организации (не для телефонов сотрудников). Для этой цели решено использовать CAPsMAN (Controlled Access Point system Manager) – диспетчер управляемых точек доступа. Он позволяет централизовать управление беспроводной сетью и при необходимости выполнять обработку данных. Все управляемые точки доступа (Controlled Access Points или CAPs) получают от него настройки. У всех точек доступа один общий SSID. Так же диспетчер позволяет централизованно обновлять прошивки управляемых точек. Плавное переключение клиента от точки со слабым сигналом к точке с хорошим сигналом без разрыва соединения, системой не предусматривается. В настоящее время (2022г) в CAPsMAN нет функционала бесшовного wi-fi.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
На каждый этаж небольшого здания рассчитано по две точки доступа, соединенные гирляндой, чтоб не тащить два кабеля на этаж. Последовательное соединение не очень надежно, но приемлемо в условиях малого бюджета проекта. Производитель сам предлагает такое исполнение, устанавливая в точке доступа два порта: PoE-in и PoE-Out.
Модель точек доступа: RBmAP2nD.
*пока точки не закупили, тесты проводились на другом оборудовании
Модель роутера с CAPsMAN: CRS326
Изначально в роутере с CAPsMAN выполнена базовая настройка по этой инструкции. Работает DHCP-сервер, настроен доступ в Интернет.
Настройка CAPsMAN.
Настройки, которые нужно выполнить:
1.Channels – каналы wi-fi (частота, диапазон, мощность и тп.).
2.Datapath – пересылка данных (MTU, ARP, VLAN и тп.)
3.Security Cfg – безопасность (пароль, шифрование, сертификаты)
4.Configuration – общая конфигурация.
5.Provisioning – назначение конфигурации на точки доступа.
6.Активация CAPsMAN – выполняется в последнюю очередь после выполнения настроек.
Настройка CAPs.
Настройка выполняется для диапазона 2ГГц.
Выберем непересекающиеся по частоте каналы 1, 6, 11, чтоб между ними не возникало помех.
Name: CH-2GHZ – любое понятное имя латиницей.
Friquency: 2412, 2437, 2462 – частоты каналов 1, 6 и 11 соответственно.
Control Channel Width: 20MHz – ширина канала.
Band: 2ghz-b/g/n – диапазоны wi-fi.
Жмем ОК – для сохранения настройки.
Через командную строку терминала.
|
1 |
/caps-man channel add name=CH-2GHZ band=2ghz-b/g/n control-channel-width=20mhz frequency=2412,2437,2462 |
Создаем новую конфигурацию нажав +.
Name: DATAPATH-1 – любое понятное имя латиницей.
Bridge: Bridge-LAN – мост для Datapath. (если несколько мостов, нужно выбрать тот который предназначен для точек wifi)
Local Forwarding – отмечен галочкой – трафик будет обрабатываться в точке доступа (для разгрузки процессора CAPsMAN).
Client To Clien Forwarding – отмечен галочкой – обмен трафика между клиентами разрешен. (в случае гостевой сети обмен данными между клиентами нужно запрещать)
Через командную строку терминала.
|
1 |
/caps-man datapath add name=DATAPATH-1 bridge=bridge-LAN client-to-client-forwarding=yes local-forwarding=yes |
Создаем настройку безопасности.
Name: SECURITY-1 – любое понятное имя латиницей.
Authentication Type: WPA2 PSK.
Encryption: aes ccm.
Passphrase: Password12345 – пароль для подключения к точке доступа.
(в реальности сложный пароль из букв разного регистра, цифр и спецсимволов длинной не менее 12 знаков)
Через командную строку терминала.
|
1 |
/caps-man security add name=SECURITY-1 authentication-types=wpa2-psk encryption=aes-ccm passphrase=Password12345 |
4.Configuration – общая конфигурация.
Объединяем все настройки в одной конфигурации.
Через командную строку терминала.
|
1 |
/caps-man configuration add name=CONFIG-1 channel=CH-2GHZ country=belarus datapath=DATAPATH-1 installation=indoor mode=ap security=SECURITY-1 ssid=PC360 |
5.Provisioning – назначение конфигурации на точки доступа.
Action: create dynamic enabled – разрешение на создание динамических интерфейсов подключаемых CAPs.
Master Configuration: CONFIG-1 — общая конфигурация.
Name Format: prefix identity — использовать префикс в имени CAP.
Name Prefix: 2GHZ — сам префикс в имени CAP — любое понятное название.
Через командную строку терминала.
|
1 |
/caps-man provisioning add action=create-dynamic-enabled master-configuration=CONFIG-1 name-format=prefix-identity name-prefix=2GHZ |
Запустим CAPsMAN в работу установив галочку Enable в меню CAPs Manager.
Через командную строку терминала.
|
1 |
/caps-man manager set enabled=yes |
Upgrade Policy – следует обратить внимание на эту настройку. Она нужна для обновления прошивок CAPs. Первоначальная настройка – none.
Через кнопку Interfaces можно настроить интерфейс, на котором нужно работать. По умолчанию указаны все интерфейсы.
Конфигурация в одном файле. Для ROSv6.49.7
Подключение точки доступа CAP к диспетчеру CAPsMAN.
Самый простой и быстрый способ через сброс конфигурации.
System >> Reset Configuration.
Две обязательные настройки.
CAPS Mode – активировано.
No Default Configuration – деактивировано.
Остальные галочки по желанию (сохранить пользователей и не делать резервную копию конфигурации).
Нажимаем Reset Configuration и через пару минут после сброса и перезагрузки точка доступа появляется в CAPsMAN.
В настройках на точке доступа (CAPs) следующая информация. 
Если посмотреть конфигурацию через терминал, то видно, что настройки беспроводного адаптера прилетают от CAPsMAN.
Точкам CAP и далее клиентам в виде планшетов раздаются IP-адреса из DHCP-сервера роутера.
Сбрасываем конфигурацию точки доступа.
No Default Configuration – обязательная настройка.
CAPsMAN – не отмечаем.
Остальные настройки по желанию.
Подключаемся к точке доступа после сброса настроек через WinBox по MAC-адресу.
Создаем мост.
Через командную строку терминала.
|
1 |
/interface bridge add name=bridge-LAN |
Добавляем в мост все порты.
Через командную строку терминала.
|
1 2 3 4 |
/interface bridge port add bridge=bridge-LAN interface=ether1 add bridge=bridge-LAN interface=ether2 add bridge=bridge-LAN interface=ether3 |
Создаем DHCP-клиента.
Через командную строку терминала.
|
1 |
/ip dhcp-client add interface=bridge-LAN |
CAP получит IP-адрес.
Переходим в настройки беспроводной сети.
Активируем и настраиваем CAP.
Enabled – активация управления от диспетчера CAPsMAN
Interfaces: wlan1 — беспроводной интерфейс.
Discovery Interfaces: bridge-LAN — проводной интерфейс c CAPsMAN.
Bridge: bridge-LAN — мост для локальной пересылки.
Через командную строку терминала.
|
1 |
/interface wireless cap set interfaces=wlan1 discovery-interfaces=bridge-LAN enabled=yes bridge=bridge-LAN |
После сохранения точка доступа свяжется с CAPsMAN и получит дополнительные настройки автоматически.
Желательно изменить имя, чтоб различать точки доступа, когда их будет много.
Через командную строку терминала.
|
1 |
/system identity set name=CAP09 |
Проверяем CAPsMAN.
Видна точка доступа 2GHZ-CAP09-1 в соответствии с измененным именем и префиксом согласно настройке.
Чтоб не подключатся к разным точкам их имя можно изменить из CAPsMAN.
Аналогичным способом подключаются остальные точки. 
Проверяем клиента.
Планшет подключается, получает IP-адрес и выходит в Интернет.
В списке подключенных клиентов можно узнать, какие устройства в сети, ориентируясь на MAC-адрес.
Чтоб обеспечить подключение клиентов только к точкам с надежным сигналом можно создать правило ACL с указанием мощности сигнала, при котором подключение запрещено. Правило создается в CAPsMAN.
В зависимости от ситуации эту мощность можно подобрать экспериментальным путем. Обычно указывается граница на минус 80-85 дБм. Время по первоначальной настройке 10сек. Если мощность выходит за рамки указанной, точка доступа не позволяет клиенту подключиться, и он соответственно подключается к другой подходящей точке.
Через командную строку терминала.
|
1 |
/caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp="" |
В результате многочисленных экспериментов установлено, если планшет подключился к точке доступа и его сигнал ухудшается с увеличением расстояния, точка не отключает клиента. А если клиент отключился при слабом сигнале и хочет подключиться опять к той же точке доступа, то она не позволит ему это. Делается вывод, что правило ACL срабатывает только при подключении клиента. Его можно оставить на случай, чтоб клиенты не подключались к точкам со слабым сигналом.
Бывают случаи, когда нужно передать служебную информацию в дальней части здания хотя-бы при минимальной скорости, а клиент не может подключиться к точке из-за правила ACL. По этому правило нужно настраивать в зависимости от ситуации.
Далее существует огромное количество настроек в CAPsMAN которые можно использовать для улучшения системы и повышения безопасности.
При подключении точки доступа wi-fi, работающей в диапазоне частот 5ГГц к контроллеру CAPsMAN с настройками, описанными выше, получилось следующее сообщение – не поддерживаемый канал (no supported channel).
CAPsMAN пытался назначить на интерфейс работающий в диапазоне 5ГГц настройки с частотами 2ГГц. Естественно ничего не получилось.
Следовательно, для работы CAP в диапазоне 5ГГц нужно добавить необходимые частоты и несколько дополнительных настроек.
Все действия почти аналогичны настройкам для диапазона 2ГГц.
Channels – каналы wi—fi.
Добавим каналы в необходимом диапазоне частот (5ГГц). 
Name: CH-5GHZ – любое понятное имя латиницей.
Friquency: без изменений (blank), в этом случае рабочая частота будет выбираться автоматически.
Control Channel Width: 20MHz – ширина канала.
Band: 5ghz-a/n/ac – диапазоны wi-fi.
Extension Channel: направление для расширения частоты канала.
Ce – выше относительно несущей частоты.
eC – ниже относительно несущей частоты.
XX – автоматический выбор.
ОК – для сохранения настройки.
Через командную строку терминала.
|
1 |
/caps-man channel add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XX name=CH-5GHZ |
Дополнительная настройка (не обязательная).
Если рабочая частота не указана и выбирается автоматически (поле Frequency пустое), то можно настроить периодичность время сканирования и выбора частоты.
Save Selected – сохранение выбранной рабочей частоты после анализа окружающего пространства.
Reselect Interval – периодичность сканирования для выбора частоты.
Настройки Datapaths и Security Cfg. остались без изменений, дополнительно можно их не создавать, если не нужны какие-нибудь особенности.
Configuration – общая конфигурация.
Создаем новую конфигурацию.
Выбираем созданную конфигурацию для частот в диапазоне 5ГГц. 
Datapaths и Security Cfg. взяты из настройки для 2ГГц. 
Через командную строку терминала.
|
1 |
/caps-man configuration add name=CONFIG-2 channel=CH-5GHZ ssid=PC360 country=belarus installation=indoor mode=ap datapath=DATAPATH-1 security=SECURITY-1 |
Provisioning – назначение конфигурации на точки доступа.
Создаем назначение с указанием мастер-конфигурации CONFIG-2. 
Hw.Supported Modes: a an ac – поддерживаемые режимы wi-fi
Action: create dynamic enabled – разрешение на создание динамических интерфейсов подключаемых CAPs.
Master Configuration: CONFIG-2 – созданная конфигурация для диапазона 5ГГц.
Name Format: prefix identity – использовать префикс в имени CAP.
Name Prefix: 5GHZ – префикс в имени CAP — любое понятное название.
Через командную строку терминала.
|
1 |
/caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=a,an,ac master-configuration=CONFIG-2 name-format=prefix-identity name-prefix=5GHZ |
Подключение точки доступа CAP 5ГГц.
Подсоединяем провод в первый порт точки доступа, подключаемся по WinBox и выполняем быструю настройку – сброс конфигурации и перезагрузка в CAPS Mode.
System >> Reset Configuration.
Две обязательные настройки.
CAPS Mode – активировано.
No Default Configuration – деактивировано.
Остальные галочки по желанию.
Нажимаем Reset Configuration и через пару минут после сброса и перезагрузки точка доступа появляется в CAPsMAN.
Есть одна особенность настройки. Точка доступа 5ГГц висела с ошибкой «no support channel» и принимала на интерфейс частоты из диапазона 2ГГц.
Для того чтоб устранить эту ошибку понадобилось явным образом указать какие режимы wi-fi нужно передавать для CAPs 2ГГц.
Это логично. Так как Radio MAC – все нули, то правило применимо к любой точке доступа. И далее по какому признаку распределить это назначение программа не знает. А так как это правило первое в списке оно в первую очередь раздавалось на все подряд точки доступа.
После указания Hw. Supported Modes: b g gn раздача конфигурации пошла по плану.
Отображение конфигурации в CAP с двумя рабочими диапазонами частот 2ГГц и 5ГГц 
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.